Passer au contenu

Comment ça marche : les processeurs antivirus

Avec le SP2, la technologie NX des processeurs est enfin utilisable. Comment fonctionne ce type d’antivirus ? L’Athlon 64 nous l’explique lui-même !

Micro Hebdo : Bonjour Athlon 64 et merci de nous accorder quelques minutes entre deux battues… car je crois que vous partez à la chasse aux virus. C’est une nouveauté pour un
processeur !
Athlon 64 : Oui et non. Oui, car jusqu’à aujourd’hui aucun processeur ne savait détecter un virus ; et non parce que je suis armé pour cette chasse depuis maintenant une année, date de ma commercialisation.
Faute de munitions, je ne pouvais pas passer à l’action.Entendez par là que les systèmes d’exploitation ne pouvaient pas utiliser ma nouvelle fonction. C’est une lacune désormais comblée avec le Service Pack 2 de Windows XP. Grâce à lui, je peux enfin sortir mes armes et traquer les virus.
Sans Service Pack 2, ou avec les versions antérieures de Windows, cette nouvelle fonction reste totalement inutilisable.Comment s’appelle cette nouvelle fonction ?Chez les fabricants, elle est dénommée NX, une contraction de No eXecute. Elle symbolise la volonté des constructeurs de processeurs d’empêcher les virus de ‘ s’exécuter ‘ ; un terme
emprunté aux informaticiens, synonyme d” effectuer une opération ‘.Je sens que vous allez me dire que vous n’avez pas vu le terme NX dans ma dernière publicité. Effectivement, chez mon concepteur AMD, on préfère utiliser le terme EVP (Enhanced Virus Protection, protection
améliorée contre les virus) plus parlant pour le public… qui parle anglais. Vous me concéderez que le mot virus est universel et retient plus l’attention que l’acronyme NX.Etes-vous nombreux à utiliser l’EVP ?Bien entendu ! L’union fait la force ! On dénombre pas moins de quatre processeurs équipés de l’EVP : l’Athlon 64, l’Athlon 64 Mobile, l’Athlon FX et le Sempron Mobile. Seuls les Sempron de bureau de dernière génération
intégreront cette technologie. On pourrait aussi parler d’un cinquième processeur, l’Opteron, mais il n’est destiné qu’à un usage professionnel.Quel type de virus chassez-vous ?Pas toutes les espèces qui vivent dans nos micros… hélas ! J’ai une aversion particulière pour les virus de type ‘ buffer overflow ‘, en réalité les seuls que j’élimine sans
pitié. C’est une tâche d’une ampleur déjà bien suffisante. Ils étaient incriminés dans la moitié des mises à jour d’antivirus et de pare-feu de ces deux dernières années. Vous voyez qu’il faut donc impérativement réguler l’espèce, ou
mieux : la faire disparaître.Comment fonctionnent-ils et quels dégâts peuvent-ils causer ?Avant de répondre à cette question, je dois vous expliquer comment fonctionne un programme. Lorsque vous cliquez sur l’icône d’un logiciel, celui-ci démarre et demande à Windows de lui réserver une certaine quantité de mémoire.
Celle-ci est coupée en deux parties. La première accueille le programme et son code de fonctionnement. On appelle cela la zone d’exécution. La seconde est normalement réservée aux données écrites par le programme. C’est là par exemple que Word
stocke temporairement le document que vous êtes en train d’écrire.Vous avez remarqué que j’ai dit ‘ normalement ‘ ; pourquoi ? Parce que les virus ‘ buffer overflow ‘ sont des programmes qui s’immiscent dans la zone
réservée au stockage des données. Tapis dans l’ombre, ils attendent le moment opportun pour démarrer. A partir de ce moment-là, ils peuvent faire pratiquement ce qu’ils veulent de votre ordinateur. Certains restent très discrets et se contentent
d’espionner votre micro et vos habitudes, parfois à des fins commerciales.C’est là que vous entrez en jeu ?En fait, je commence mon travail de protection bien avant cela… dès le démarrage du programme infecté. A ce moment-là, Windows alloue la mémoire exécutable et la mémoire de stockage sous forme de pages. De mon côté, je note
dans un tableau les numéros de celles exclusivement attribuées au stockage. Ainsi, chaque fois qu’un programme tente de démarrer, je peux contrôler sa position dans la mémoire et savoir s’il est bien contenu dans une zone réservée à l’exécution.Dans le cas contraire, j’envoie un signal d’alerte à Windows pour lui indiquer qu’un programme tente de s’exécuter dans une partie interdite de la mémoire et je le bloque. De son côté, Windows interrompt le programme atteint par le
virus et envoie un message d’erreur dans une fenêtre intitulée Prévention de l’exécution des données avant d’effacer la mémoire infectée.Vous ne commettez jamais d’erreur ?On m’accuse parfois de tirer à vue, mais c’est parfaitement faux. Il faut savoir que certains programmes, mal écrits par leurs développeurs, ont un comportement étrange qui les pousse à s’exécuter dans cette fameuse mémoire réservée
aux données. Je ne peux pas alors les distinguer des virus et je les bloque comme tels. Il faut voir le bon côté des choses ; cela incite désormais les développeurs à mieux écrire leurs programmes.Windows n’est pas capable d’effectuer ce travail tout seul, sans votre aide ?Si, bien sûr, mais le fait que je me charge de cette tâche présente deux avantages, et non des moindres. Tout d’abord je suis une solution dite matérielle. C’est-à-dire que, contrairement à un logiciel, mon fonctionnement ne peut pas
être altéré ou contourné par un virus. C’est une sécurité supplémentaire.Ensuite, une protection par logiciel demande du temps de calcul au processeur qui doit vérifier sans cesse si la demande d’accès à la mémoire est autorisée. Il est alors moins disponible pour faire fonctionner les programmes. Moi, je
laisse mon unité de calcul entièrement au service des logiciels pendant que mon EVP chasse les virus. En fin de compte, je suis plus rapide et plus sûr.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Vincent Lheur