Skip to content

Votre antivirus a signalé le fichier EICAR — cela signifie-t-il que vous êtes infecté par un virus ?

Réponse courte

Non. Le fichier de test EICAR est une chaîne ASCII délibérément inoffensive de 68 octets que tous les éditeurs d'antivirus s'accordent à détecter, afin de vérifier en toute sécurité la détection et les alertes sans manipuler de vrai malware. Une détection signifie que votre antivirus fonctionne — pas que vous êtes infecté. Ce n'est pas un virus et il ne fait rien s'il est exécuté. Confondre une détection de test EICAR avec une vraie infection est un piège classique en début de carrière.

Celui-ci joue sur l'alarme. Une « alerte antivirus » sonne comme une urgence, et le nom effrayant pousse à imaginer le pire. Mais le fichier EICAR est le test du détecteur de fumée volontairement sûr du secteur de la sécurité — appuyer sur le bouton prouve que l'alarme marche, cela ne signifie pas qu'il y a un incendie.

Ce qu'est réellement EICAR

Le fichier de test EICAR est une chaîne de 68 octets de caractères ASCII imprimables, développée par l'European Institute for Computer Antivirus Research. Par accord du secteur, chaque produit antivirus détecte cette chaîne exacte comme s'il s'agissait d'un malware. C'est tout l'objectif : les éditeurs livrent délibérément une signature pour un fichier totalement inerte.

La chaîne n'est pas un malware exécutable au sens utile — elle ne fait rien de nuisible si on l'ouvre ou l'exécute. Elle ne contient aucun exploit, aucune charge utile, aucun code de réplication. Elle existe uniquement pour que les administrateurs et utilisateurs confirment que leur scanner, leur flux de quarantaine et leurs alertes se déclenchent bien sans manipuler de malware actif.

Pourquoi un faux fichier de test existe

On ne doit jamais tester un antivirus de production en téléchargeant un vrai virus — c'est dangereux et souvent illégal à diffuser. EICAR résout cela : un artefact standardisé et inoffensif qui déclenche la détection de manière identique chez tous les éditeurs. Il permet de répondre en sécurité à des questions comme « le scanner à l'accès attrape-t-il un téléchargement ? », « la quarantaine fonctionne-t-elle ? » et « l'alerte atteint-elle le SOC ? ».

Lire l'alerte correctement

Une détection EICAR est une bonne nouvelle : elle confirme que la détection et l'alerte fonctionnent. Elle ne dit rien d'une vraie infection, car aucun vrai malware n'est impliqué. La lire comme « je suis infecté » en inverse le sens.

La leçon plus profonde porte sur ce que prouvent les signatures antivirus. Une correspondance de signature signifie « ceci a correspondu à un motif connu », pas « ceci vous nuit actuellement ». EICAR en est le cas le plus pur : un motif que tout le monde accepte de détecter, attaché à un fichier incapable de nuire.

À retenir pour l'entretien

Si vous voyez EICAR signalé, la bonne lecture est « l'antivirus est vivant et les alertes fonctionnent ». Traiter une chaîne de test inoffensive et convenue comme une infection active — ou pire, déclarer un incident pour cela — révèle une compréhension fragile de la détection par signature.

Questions de suivi probables

  • Pourquoi a-t-on créé une chaîne de test inoffensive standardisée plutôt que d'utiliser un vrai échantillon pour tester l'antivirus ?
  • Que vous apprend réellement une détection EICAR sur votre chaîne de détection et d'alerte ?
  • Comment tester en sécurité la détection comportementale d'un EDR au-delà de ce que couvre EICAR ?

Sources

Certifications

Recevez 100 questions d'entretien en cybersécurité + réponses

Laissez votre e-mail et nous vous enverrons le pack PDF gratuit et le jeu de flashcards.

Pas de spam. Désabonnez-vous à tout moment.