====== Antivirus à la demande pour Linux ======


===== Pourquoi un antivirus ? =====

Linux est très peu sensible aux virus, mais au delà de ça, il peut être utile de scanner des fichiers pour éviter d'être porteur sain de virus.

Si vous avez un doute et que vous voulez scanner un unique fichier, la meilleure solution reste [[https://virustotal.com|VirusTotal]]. 

Mais si vous avez besoin de scanner un ensemble de répertoires, un antivirus localement installé sur votre machine est une meilleure solution. C'est la solution présentée ci-dessous.

<note important>**Attention** VirusTotal (qui appartient à Google) conserve une copie des fichiers qui lui sont envoyés. Ce n'est peut-être pas une bonne idée de lui envoyer des fichiers privés.</note>

===== Pourquoi F-Prot et pas ClamAV =====

<note warning>Malheureusement, la société CYREN qui a racheté F-Prot a mis fin au produit. Ils ne proposent plus l'antivirus à télécharger, et la mise à jour des signatures cessera le 31 juillet 2021. En remplacement, vous pouvez utiliser [[clamav|ClamAV]].</note>

De mon expérience, ClamAV (la solution majoritairement proposée sous Linux) renvoie beaucoup trop de faux positifs. De plus, si vous n'avez pas le service ClamAV installé, l'antivirus met //beaucoup// de temps à démarrer.

Je préfère me fier à **F-Prot** (que je connais depuis très longtemps et qui dans mon expérience a toujours fait du bon boulot).

F-Prot propose une version gratuite de son antivirus, mais limitée au scan à la demande. Elle bénéficie de la même technologie de détection et des mêmes signatures que la version payante.

Avantages de cette solution:
  * Gratuit.
  * Rapide à démarrer et relativement rapide à scanner.
  * Non intrusif dans le système (pas de service supplémentaire installé)
  * Détecte les malwares Windows, Linux, Mac, mobiles, Java, macros, etc.
  * Détecte les adwares et outils d'administration à distance.
  * Détection heuristique.
  * Scanne à l'intérieur des archives (zip/rar...) et fichiers intégrés (pdf...)
  * Affichage des fichiers qui n'ont pas été scannés (parce que chiffrés, endommagés, etc.)
  * Mises à jour fréquentes et automatiques des signatures.

Limites:
  * Scan à la demande seulement.
  * Quelques faux positifs (mais moins que ClamAV)

===== Installation =====

Une fois installé avec les options par défaut, vous aurez à disposition l'outil ''fpscan'' en ligne de commande, et sera installé dans votre crontab une mise à jour automatique des signatures toutes les heures.

Je vous recommande d'installer l'antivirus dans ''/opt/f-prot''

Page de téléchargement: http://www.f-prot.com/download/home_user/download_fplinux.html

<note>Notez que la page ne semble proposer que la version 32 bits, mais la version 64 bits est également téléchargeable (remplacez "32" par "64" dans l'URL).</note>

Les versions que j'ai au 3 février 2020 sont (sha256sum):<code>aad50674ea3657894b5f9a11a7f3cdb476638c5e43c95a7a26f62ebe565083e1  fp-Linux.x86.32-ws.tar.gz
e0c15c4c6c401d4f165b8cf7b726433dae13fe9842961ddaffc95afac69fddbb  fp-Linux.x86.64-ws.tar.gz</code>


==== Procédure d'installation ====

<code>cd /opt
sudo wget http://files.f-prot.com/files/unix-trial/fp-Linux.x86.64-ws.tar.gz
sudo tar xvf fp-Linux.x86.64-ws.tar.gz
sudo rm fp-Linux.x86.64-ws.tar.gz
cd f-prot
sudo ./install-f-prot.pl</code>

<note>Vous pouvez également télécharger fp-Linux.x86.**32**-ws.tar.gz pour la version 32 bits si vous préférez.</note>

La dernière ligne (//install-f-prot.pl//) va lancer l'installeur qui il va créer les liens symboliques nécessaires à l'intégration dans le système et installer les manpages.  Vous pouvez presser simplement la touche <key>Entrée</key> jusqu'à la fin de l'installation, ou changer les options si celles par défaut ne vous conviennent pas.

Pendant l'installation, l'installeur va télécharger les mises à jour des signatures.

Après cette installation, il va vous proposer d'installer une ligne dans votre crontab pour mettre à jour automatiquement les signatures toutes les heures. Pressez simplement <key>Entrée</key> pour accepter la configuration par défaut (libre à vous de la modifier plus tard si vous le souhaitez).

Vous pouvez maintenant utiliser ''fpscan'' où bon vous semble.



===== Utilisation =====

Vous avez accès à la documentation:<code bash>man fpscan</code>

Utilisation simple:
<code bash>fpscan fichier-ou-dossier</code>

Par défaut, F-Prot ne vous affichera que les fichiers infectés, douteux ou qu'il n'a pas réussi à scanner.

Options intéressantes:
  * ''%%--mount%%'': Lors du scan, rester sur le même filesystem (utile par exemple quand vous avez des répertoires distants montés localement et que vous ne voulez pas qu'il les scanne).
  * ''%%--adware%%'': Liste des adwares détectés en plus des virus.
  * ''%%--applications%%'' : Liste aussi les applications pouvant poser un risque de sécurité (comme les application d'administration à distance).

Si vous avez un doute sur un fichier unique, il peut être intéressant de le soumette à [[https://virustotal.com|VirusTotal]].

==== Tester le bon fonctionnement ====

Téléchargez le fichier-test EICAR. C'est un fichier non dangereux, mais que tous les éditeurs d'antivirus se sont accordés pour détecter dans les analyses. Il permet de vérifier qu'un antivirus fonctionne bien.

<code>> cd /tmp
> wget https://secure.eicar.org/eicar.com
> fpscan eicar.com

F-PROT Antivirus CLS version 6.7.10.6267, 64bit (built: 2012-03-27T11-39-07)


FRISK Software International (C) Copyright 1989-2011
Engine version:   4.6.5.141
Arguments:        eicar.com 
Virus signatures: 202002050637
                  (/opt/f-prot/antivir.def)

[Found virus] <EICAR_Test_File (exact)> 	eicar.com

Disinfect? (Y)es, (N)o, (A)ll yes, (I)gnore all, (Q)uit scan:</code>

===== Mise à jour =====

La procédure d'installation automatique vous a ajouté une entrée dans votre crontab qui met à jour les signatures toutes les heures.

Voici la ligne qui a été ajoutée à votre ''/etc/crontab'':
<code>25 * * * * root /opt/f-prot/fpupdate > /dev/null</code>

(La minute en premier paramètre est aléatoire, afin de répartir la charge sur les serveurs de mise à jour.)

Vous pouvez également forcer la mise à jour:<code bash>sudo /opt/f-prot/fpupdate</code>

<note important>Si vous faites trop de mises à jour manuelles, il est fort possible que le serveur de mises à jour vous bloque pendant quelques temps. De préférence, laissez faire les mises à jour automatiques.</note>

Pour voir quelle version des signatures vous avez, faite ''fpscan %%--%%version'':
<code>F-PROT Antivirus CLS version 6.7.10.6267, 64bit (built: 2012-03-27T11-39-07)


FRISK Software International (C) Copyright 1989-2011
Engine version:   4.6.5.141
Arguments:        --version 
Virus signatures: 202002050637
                  (/opt/f-prot/antivir.def)</code>

On voit là que la version des signatures est 202002050637, ou 2020-02-05 06h37.

Pour avoir plus de détails sur le fichier des signatures vous pouvez faire ''fpscan %%--virno%%''.

===== Intégration dans le navigateur de fichier =====

Nous prendrons ici en exemple le navigateur de fichiers par défaut de Linux Mint, Caja (mais ce genre d'adaptation est possible dans la majorité des navigateurs de fichiers).

Voici comment ajouter une option dans le clic-droit sur les fichiers et dossier pour scanner.

Sauvegardez le script suivant dans le répertoire ''~/.config/caja/scripts'' et rendez-le exécutable:

<file bash Scanner avec F-Prot>#!/bin/bash
IFS=$'\n'

for FILENAME in $CAJA_SCRIPT_SELECTED_FILE_PATHS; do
if [ -d "$FILENAME" ]; then
 cmd="fpscan --adware \"$FILENAME\" ; read"
 xterm -geometry 260x60 -e /bin/bash -l -c "$cmd"
fi
if [ -f "$FILENAME" ]; then
 cmd="fpscan --adware \"$FILENAME\" ; read"
 xterm -geometry 260x60 -e /bin/bash -l -c "$cmd"
fi
done</file>

Vous pouvez désormais scanner n'importe quel fichier ou dossier: **Clic droit > Scripts > Scanner avec F-Prot.**

(Pensez à installer xterm si vous ne l'avez pas: ''sudo apt install xterm'')