Retrouvez cet article dans : Linux Pratique 36

KlamAV est l'interface graphique développée sous KDE pour ClamAV 1, une puissante suite d'outils, qui permet de scruter les fichiers échangés sous Linux et identifier ceux qui présentent un danger pour l'intégrité de vos données ou de votre système.

Installation

L'installation de KlamAV ne pose pas de problème avec les distributions courantes ; il existe donc des paquetages binaires à disposition pour la plupart d'entre elles. Bien sûr, l'utilisation de KlamAV implique celle de ClamAV, dont il n'est qu'une interface graphique. Il faut donc au préalable installer les paquets suivants (les versions sont celles de la Mandriva 2006 commerciale) : clamav-0.87, clamav-db-0.87, libclamav1-0.87.

 1 ClamAV est une suite d'outils dont l'objectif premier est d'analyser le contenu des pièces jointes de vos courriels ; il fournit un démon multitâches et flexible, un outil de recherche en ligne de commande, ainsi qu'un outil pour se mettre automatiquement à jour depuis l'Internet. Ces programmes sont basés sur une bibliothèque partagée que vous pouvez utiliser avec vos propres programmes. Enfin, la banque de données des virus connus est régulièrement mise à jour. Le site du projet : http://www.clamav.net/

Le premier paquet contient la suite logicielle en elle-même ; le deuxième est la base de données des virus connus au moment de la mise en paquet de la version 0.87 ; enfin, le dernier renferme les bibliothèques partagées de ClamAV.
Ensuite vient un dernier paquet : klamav-0.22
C'est celui qui permet de bénéficier de la protection offerte par ClamAV directement à partir de KDE. Les services offerts par cette interface sont multiples :

• analyse à chaque accès ;
• analyse manuelle ;
• gestion des zones de quarantaine ;
• téléchargement des mises à jour ;
• analyse des courriels.

Au premier lancement (Menu K > Système > Outils fichiers > Klamav), le logiciel vous informe que la banque de données des virus sera par défaut placée dans le dossier ~/.klamav/database et vous propose immédiatement de télécharger la base de données la plus récente. Pour accepter, cliquez simplement sur le bouton Download. Il crée immédiatement après un autre dossier ~/.klamav/quarantine qui servira de zone de quarantaine.

Fig. 1 : Sélection des dossiers à analyser manuellement dans l'onglet Scan

L'interface

Celle-ci est très simple ; dans le plus pur style de KDE, les différentes fonctionnalités de KlamAV sont réparties dans différents onglets, faciles à passer en revue.

L'onglet Scan

Cette partie de l'interface permet de lancer une analyse manuelle sur le contenu de votre système de fichiers. Des cases à cocher permettent de déterminer les dossiers à analyser, et il est possible de dérouler l'arborescence pour une sélection plus fine des dossiers à analyser (Fig. 1).
Par défaut, KlamAV propose d'analyser les dossiers de façon récursive. S'il trouve un fichier suspect, il peut :

• Quarantine file :
  mettre le fichier en quarantaine ;
• Just report :
  simplement prévenir l'utilisateur ;
• Ask me:
  demander à l'utilisateur ce qu'il doit faire.

Après avoir sélectionné au moins un dossier, il est également possible de planifier les analyses en cliquant sur le bouton Schedule. Une nouvelle interface apparaît et propose de planifier l'action à chaque démarrage de KDE, chaque jour, chaque semaine ou chaque mois, avec la possibilité de régler une heure fixe (Fig. 2).

 Fig. 2 : Planifi-cation des analyses

Une fois la fréquence d'analyse spécifiée, il faut cliquer sur le bouton Add pour ajouter l'action au planning. En ajoutant diverses tâches, selon des scénarios différents et portant sur des groupes de dossiers plus ou moins définis, il est possible de paramétrer assez finement la fréquence d'analyse de votre système : par exemple, une analyse complète et exhaustive par mois, avec une analyse de vos fichiers personnels chaque semaine et une surveillance quotidienne de vos fichiers critiques.
Le bouton Options, pour sa part, vous renvoie sur les options d'analyse de KlamAV (Fig. 3). En particulier, elles gèrent la façon de traiter les archives de fichiers en imposant une limite au-delà de laquelle le logiciel ne poussera pas son analyse, pour épargner la charge du système ; il peut s'agir d'un nombre de fichiers décompressés ou encore de la " profondeur " des dossiers. Si la limite est atteinte, l'option Mark as Virus if Limit Exceeded permet de déclarer automatiquement l'archive comme étant vérolée, ce qui est une bonne attitude conservative, mais qui, si elle est répétitive, peut devenir ennuyeuse. Pensez alors à modifier les valeurs par défaut dans la fenêtre des Options. D'autres options, relatives à des types de fichiers spécifiques, sont également proposées.

Fig. 3 : Options d'analyse des archives et des fichiers spéciaux

Lorsque vous avez défini les dossiers à analyser et le comportement de l'antivirus, cliquez sur le bouton Scan pour lancer l'analyse et Stop pour l'interrompre. A mesure de la progression de l'analyse, la fenêtre centrale affiche le résultat de celle-ci (Fig. 4). La liste des fichiers infectés 2 est stockée dans un onglet, qui ne disparaîtra que si vous cliquez sur le bouton Close.

2 La banque de données de virus est mise à jour plusieurs fois par semaine. En règle générale, l'équipe se vante de mettre à jour la base moins d'une heure après qu'un nouveau ver soit détecté, ainsi qu'en témoigne la page http://lurker.clamav.net/list/clamav-virusdb.html

Fig. 4 : L’analyse est en cours, les fichiers potentiellement infectés apparaissent dans un onglet à part

L'onglet Auto-Scan

Ici sont définis les dossiers faisant l'objet d'une surveillance permanente par KlamAV. L'interface permet de bâtir une liste de dossiers devant faire l'objet de cette surveillance, mais également une liste de ceux qui ne le doivent jamais (Fig. 5).
Une fois la liste définie, vous pouvez cliquer sur le bouton Enable Auto-Scan pour activer cette fonctionnalité, puis, plus tard, Disable Auto-Scan pour l'annuler. Le bouton Advanced vous permet de fixer le cadre de cette surveillance :

• Created/Modified :
  un fichier est analysé à chaque fois qu'il est créé ou modifié ;
• Opened :
  lorsqu'il est ouvert ;
• Closed :
  lorsqu'il est fermé ;
• Executé :
  lorsqu'il est lancé, dans le cas de fichiers exécutables.

 Fig. 5 : Cette partie de l'interface permet de gérer la surveillance permanente de votre système de fichiers

 Vous pouvez spécifier que cette surveillance s'exerce aussi sur les archives, avec la possibilité supplémentaire de définir un poids de fichier (en Mo), au-delà duquel KlamAV décidera de ne pas lancer l'analyse. Bien sûr, le nombre d'options que vous cocherez dépendra de votre niveau de paranoïa ou de la vulnérabilité de votre système de fichiers.
L'onglet Update
Cet onglet permet de définir les paramètres liés à la mise à jour de la banque de données des virus. Ainsi qu'il vous l'a été signalé lors du premier lancement, celle-ci est stockée dans le dossier ~/.klamav/database, mais il vous est ici possible d'en spécifier un autre. Si vous êtes connecté à l'Internet au travers d'un Proxy, KlamAV nécessite que vous l'en informiez. Enfin, une option de mise à jour automatique de la banque de données vous est offerte ; cochez pour cela la case Update Virus Database Automatically et spécifiez ensuite le nombre de fois par jour que cette action doit être accomplie. Bien sûr, vous pouvez à tout moment déclencher une mise à jour manuelle de la banque de données en cliquant sur le bouton Update Now (Fig. 6).

Fig. 6 : Tout pour ne plus jamais avoir à se soucier des mises à jour

 3 A ce jour, ClamAV n'est pas en mesure de désinfecter les fichiers contaminés, même s'il est prévu que l'une des prochaines versions stables permette de nettoyer les fichiers OLE2. L'équipe de développement ne prévoit toutefois pas la désinfection des autres types de fichiers, considérant que cela est inutile : après nettoyage, le fichier est souvent trop endommagé pour rester utile, et considérer comme intègre un fichier qui a été dévérolé est un risque vis-à-vis des informations anciennement contenues dans celui-ci.

4 Pour être tenu au courant de la mise à jour de la banque de données des virus, vous pouvez vous inscrire sur une liste de diffusion dédiée à ce type d'information, clamav-virusdb : http://www.clamav.net/ml.html#pagestart

L'onglet E-Mail Protection

L'analyse des courriels est assurée par un programme nommé klammail, faisant partie de la suite KlamAV, et donc installé en même temps que celle-ci. Activer cette protection peut se faire de deux façons : soit manuellement en configurant vous-même KMail, soit en laissant l'assistant de KlamAV s'en occuper pour vous.

Configuration manuelle

Pour que KMail puisse se reposer sur ce programme pour l'analyse des fichiers entrant ou sortant, il est nécessaire de configurer un nouveau Filtre : Configuration > Configurer les Filtres... et cliquez sur l'icône Nouveau. Dans la partie Actions du Filtre, choisissez Filtrer par et saisissez la commande klammail -d avec le chemin approprié vers le dossier contenant la banque de données des virus ; par exemple : klammail -d /home/olivier/.klamav/database (Fig. 7) .Désormais, tout courriel entrant ou sortant passera en premier par ce programme, qui l'analysera. S'il détecte un virus, il ajoutera dans son en-tête les mots virus-found.

Fig. 7 : Configuration du premier filtre, ordonnant que tout courriel passe d'abord entre les " mains " de klammail

Créez ensuite un second filtre (Fig. 8); dans les critères de filtrage, <n'importe quel en-tête> doit contenir virus-found. Si c'est le cas, dans les actions du filtre, il faut mettre le message suspect dans un dossier séparé, par exemple la Corbeille. Le message sera clairement identifié comme vérolé, précisera le nom du virus ainsi que l'expéditeur. Pensez à déplacer ce nouveau filtre en seconde position par rapport à celui créé précédemment.

Fig. 8 : Grâce au second filtre, tout message contenant dans l'en-tête les mots " virus-found " sera automatiquement déplacé dans la Corbeille.

Configuration automatique

Si vous ne vous sentez pas à l'aise avec cette procédure, vous pouvez laisser faire l'assistant de KlamAV. Dans l'onglet E-Mail Protection, choisissez votre client de courriel, par exemple KMail. Quittez bien sûr votre client, puis cliquez ensuite sur le bouton Configure Automatically. KlamAV définit alors automatiquement les filtres appropriés comme les deux derniers de la liste des filtres.

L'onglet Quarantine

La seule action que KlamAV est pour l'instant en mesure d'entreprendre vis-à-vis d'un fichier contaminé est de l'isoler 3. Cet onglet permet tout simplement de gérer les fichiers mis en quarantaine
(Fig. 9). Lors du premier démarrage, KlamAV vous a informé de la création d'un dossier ~/.klamav/quarantine où seront stockés tous les fichiers suspects. Vous pouvez le modifier dans cet onglet.

Fig. 9 : La gestion des objets en quarantaine ne présente aucune complexité.

La zone de quarantaine s'administre très simplement : après avoir rafraîchi la liste des fichiers mis en quarantaine (bouton Refresh), vous pouvez les sélectionner un à un pour les restaurer (bouton Restore) si vous pensez qu'ils ne présentent pas de danger ou ont été mis en quarantaine pour une mauvaise raison ou les supprimer (bouton Delete) si l'infection est avérée.
Un historique de quarantaine est également proposé, permettant de garder trace de tous les fichiers mis à l'écart après une probable infection. Vous pouvez réinitialiser l'historique, grâce au bouton Clear All, ou effacer les événements un à un, grâce au bouton Delete, pour ne conserver que ceux réellement significatifs.

L'onglet Virus Browser

Cet onglet est en fait un mini-navigateur (Fig. 10), qui permet de se connecter à www.viruspool.net pour chercher des informations complémentaires sur un virus, voire pour le télécharger. Il n'est souvent intéressant d'y recourir que lorsqu'un nouveau virus est découvert 4.

Fig. 10

L'onglet About

Outre afficher les traditionnels crédits, l'onglet About fournit des liens pour rejoindre différents sites d'importance variable. En particulier :

• Home, News Download KlamAV et Security Notes :

à ce jour, ces différents liens pointent désormais tous sur la page d'accueil du projet KlamAV, en fait un wiki : http://klamav.sourceforge.net/klamavwiki/index.php/Main_Page

• Download ClamAV :

avoir une banque de données de virus à jour n'est pas toujours suffisant pour stopper une épidémie de virus. KlamAV scrute systématiquement la version de ClamAV installée et, si une version plus récente est disponible, vous en serez averti. Utilisez alors ce lien pour la récupérer : http://www.clamav.net/

Conclusion

ClamAV (et son interface KDE) est une initiative remarquable dans le sens où il s'agit de l'une des premières solutions libres en matière d'antivirus. Elle offre la possibilité de détecter environ 50 000 virus, vers et autres joyeusetés malveillantes. C'est certainement moins que plusieurs produits commerciaux, mais il faut relativiser la taille de la banque de données plus faible par le fait que les autres contiennent de nombreux virus trop anciens pour endommager les systèmes actuels. Même s'il n'y a pas (ou peu) de virus déclarés capables d'affecter un système Linux, installer KlamAV vous permettra au minimum d'éviter de les relayer involontairement à votre famille ou vos cercles d'amis ou de collègues.

Liens

• Site du projet ClamAV : http://www.clamav.net/
• Site du projet KlamAV : klamav.sourceforge.net/klamavwiki/index.php/Main_Page
• Mieux connaître les virus informatiques : http://fr.wikipedia.org/wiki/Virus_informatique