From Brian Hall: Even after trying to search for information on Clamav, I can't really find any comparison of its ability compared to other proprietary Linux AVs. I guess the key factor in any antivirus is the, hopefully regularly updated, database behind the program, but is the Clamav database less comprehensive (because it's open source) than those used by the free versions of proprietary AVs? MB: The question is interesting in several ways: We humans like to compare products. After that we try to make a decision on what choice is the best one for us. In the case of malware detections tools, obviously the detection rate would be something to use for the selection. However, we could also use the percentage of false positives (incorrectly marked as being malicious) or consider the price to be the most important factor. In other words, what makes a malware detection to be “well enough” or outstanding..?
De Brian Hall :
Même après avoir essayé de chercher de l'information sur Clamav, je n'ai pas réussi à trouver un comparatif sur ses capacités par rapport à d'autres anti-virus Linux propriétaires. Je suppose que le facteur clé de tout anti-virus est la base de données (régulièrement mise à jour, du moins, je l'espère) derrière le programme, mais est-ce que la base de données Clamav est moins complète (parce que elle est Open Source) que celles utilisées par les versions gratuites des anti-virus propriétaires ?
MB : La question est intéressante à plusieurs titres : nous les humains nous aimons comparer les produits. Après, nous essayons de prendre une décision sur le meilleur choix pour nous. Dans le cas des outils de détection des logiciels malveillants, le taux de détection paraît évidemment une chose à prendre en compte pour la sélection. Cependant, nous pourrions utiliser aussi le pourcentage de détections erronées (marquées incorrectement comme malicieuses) ou prendre le prix en considération comme critère le plus important. En d'autres termes, qu'est-ce qui fait qu'une détection de logiciel malveillant est « juste assez bien » ou exceptionnelle ?
In case of anti-virus tools, it’s important to consider the threats you are trying to protect against. If the tool is used for scanning a mail server, each intercepted e-mail with malware is a win. Ones that are not picked up, well, end up in the user’s mailbox, and hopefully don’t get opened, or are properly detected by a local on-access virus scanner. In the case of an on-access scanner for surfing the web, you’d rather have a much higher detection rate. Back to ClamAV.. ClamAV uses a core database, with a daily addition to it. This smaller daily database (daily.cvd) is regularly updated during the day. However, that doesn’t say much about the detection rate. This is where professional comparison tests come into play. Unfortunately ClamAV often is not included in tests, because it’s not commercial or not focused mainly on Windows.
Dans le cas d'outils anti-virus, il est important d'examiner les menaces contre lesquelles vous essayez de vous protéger. Si l'outil est utilisé pour scanner un serveur de courrier, chaque courrier intercepté avec un logiciel malveillant est une victoire. Ceux qui ne sont pas épinglés, eh bien ! finissent dans la boîte de réception et, espérons-le, ne sont pas ouverts ou sont correctement détectés par un scanner de virus local sur accès. Dans le cas d'un scanner sur accès pour naviguer sur Internet, vous préféreriez un taux de détection beaucoup plus haut.
Retour sur Clamav… Clamav utilise une base de données principale, complétée quotidiennement. Cette plus petite base de données quotidienne (daily.cvd) est régulièrement mise à jour dans la journée. Cependant, ça ne renseigne pas beaucoup sur le taux de détection. C'est là que les tests comparatifs professionnels entrent en jeu. Malheureusement, Clamav n'est pas souvent inclus dans ces tests, parce qu'il n'est pas commercial ou qu'il n'est pas centré principalement sur Windows.
However, there is no need to think ClamAV is not good due to lack of evidence. Because the project is community driven, and many people provide samples they discover, it shouldn’t take long for ClamAV to protect against new threats. Sometimes this occurs because another malware tool (correctly) discovered a new threat. Other vendors, including ClamAV, then include a signature to their database as well. One of the best examples for “community driven malware detection”, is the website VirusTotal. All submitted examples get analyzed, and results get shared with all participating vendors. So, if you discover a malware sample, and upload it, it may get recognized by only a few in the beginning, while after a few hours many of them “suddenly” recognize it. ClamAV is participating in this list of vendors, so it should benefit from submitted samples as well.
Cependant, il n'est pas nécessaire de penser, par manque de preuves, que Clamav n'est pas bon. Parce que c'est un projet communautaire, et que beaucoup de gens fournissent les échantillons qu'ils trouvent, ça ne devrait pas prendre beaucoup de temps pour que Clamav protège contre des nouvelles menaces. Parfois ça arrive parce qu'un autre outil contre les logiciels malveillants a découvert (à juste titre) une nouvelle menace. Les autres distributeurs, dont Clamav, ajoutent alors une signature à leur base de données.
Le site VirusTotal est un des meilleurs exemples pour la « détection de logiciels malveillants piloté par une communauté ». Tous les exemples sont analysés et les résultats sont partagés entre tous les distributeurs participants. Aussi, si vous découvrez un échantillon de logiciel malveillant et le téléversez, il peut être reconnu que par quelques-uns au début, alors qu'au bout de quelques heures beaucoup le reconnaissent « soudainement ». Clamav fait partie de cette liste de distributeurs et dévrait profiter aussi des échantillons soumis.
Even if the ClamAV database is less comprehensive than from other vendors, it depends on your use of the tool. With information security, we should never rely on just a single defense, but build a fortress of layers. Using a community driven tool is just one of the possible layers we could add. From my personal experience, I can tell it helped many of my customers and their mailboxes. I’m sure it didn’t detect every threat, but no single other software tool would be able to do that either.
Même si la base de données Clamav est moins complète que celles d'autres distributeurs, tout dépend de votre utilisation de l'outil. En matière de sécurité de l'information, vous ne devez jamais faire confiance à une seule défense, mais construire une forteresse en couches. Utiliser un outil géré par une communauté est juste une des couches possibles que vous pouvez ajouter. Par expérience personnelle, je peux dire que cela a aidé beaucoup de mes clients et leurs boîtes de réception. Je ne suis pas sûr que toutes les menaces soient détectées, mais, de toute manière, aucun outil logiciel seul ne serait capable de le faire.