Un scanner en mode stream pour l’anti virus gratuit ClamAv

Image-Par-Défaut-Site-Actualités

Nouvelle méthode d'analyse de virus !

Dans un article publié dans The Journal of Systems and Software n° 81, quatre chercheurs traitent de la mise en place d’un scanneur anti  virus en mode stream sur l’anti virus gratuit ClamaAv et les avantages que cela apporte.

Traditionnellement dans un environnement professionnel, la détection anti virus des courriers électroniques ne se passe pas sur un poste utilisateur, car l’utilisateur peut oublier de mettre à jour son programme, mettant ainsi en danger tout le système. Un tel déploiement pose aussi la question des coûts de maintenance. La solution privilégiée est alors l’installation de l’anti virus sur le serveur mail qui sert de passerelle, de point d’entrée des e-mails venant de l’Internet.

Que l’on décide d’utiliser un anti virus gratuit ou payant, l’anti virus fonctionne de deux manières possibles : en mode stockage ou en mode stream. En mode stockage, tout le contenu est reçu et stocké avant le scan, tandis qu’en mode stream le scan ne concerne qu’une partie qui sera immédiatement relâchée après coup, sans stockage. Le mode stockage implique de disposer d’un espace de stockage suffisamment large pour gérer tout le contenu à scanner, et pose en plus un problème de temps de traitement, les temps de lecture et d’écriture en disque étant évidemment plus lents que les temps d’écriture et de lecture en mémoire.

La plupart des anti virus commerciaux est en mode stockage.Le fonctionnement des quelques solutions en mode stream, comme le ZyWall UTM de ZyXEL est peu connu, secret commercial oblige. Les auteurs ont donc cherché à concevoir un scanner en mode stream entièrement basé sur des produits open source, comme l’anti virus gratuit  ClamAv, les librairies Zlib et Compress ::Zlib. Ils ont ensuite comparé les performances avec un autre anti virus gratuit.

Le système est conçu de manière à satisfaire plusieurs contraintes, notamment : l’espace tampon (buffer) requis qui doit être facilement réduit afin de permettre un grand nombre de connexions en mêlant la décompression et le scan anti virus sur les segments du fichier sans nécessité de stocker tout le fichier ; et la plateforme qui doit être suffisamment malléable pour faciliter l’ajout de nouveaux protocoles outre SMTP et POP3. Le système est ensuite implémenté en Perl et lancé sur une machine Linux (2.6.10) avec Postfix comme MTA. Deux types de mails sont utilisés pour le test : le premier type avec une pièce jointe exécutable de 1 Mo, le second avec le même exécutable mais compressé à 37%.

Les résultats montrent que l’utilisation en mode stream sur l’antivirus gratuit ClamAv amène de meilleures performances, un temps de latence réduit et un débit plus important. En scan, le proxy utilisant le mode stream délivre un débit de 21.79 Mbps contre 6.9 Mbps pour l’anti virus gratuit en mode stockage. Ce débit passe à 8.05 Mbps en scan+décompression contre 3.82 Mbps pour l’anti virus gratuit. En matière d’utilisation d’espace, le proxy de l’antivirus gratuit ClamAv occupe 176 Ko par client en mémoire tandis que son concurrent occupe 7350 Ko par client. De plus, le mode stream n’utilise aucun fichier temporaire sur le disque, tandis que le mode stockage prend d’autant plus d’espace disque qu’il y a de clients connectés et de mails volumineux. Le mode stream se passant entièrement en mémoire, il est également utilisable sur des systèmes sans disque dur, un système embarqué par exemple. Enfin, chaque dispositif a son goulot d’étranglement : le transfert de mail pour le mode stockage et le scan anti virus pour le mode stream.

Le scan en mode stream, jusqu’ici l’apanage de quelques anti virus commerciaux, démontre donc toute son efficacité chez les anti virus gratuits, et il ne serait pas étonnant que les applications du type ClamAv incorporent prochainement ce mode.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …