Pourquoi les antivirus utilisent autant de RAM… et pourquoi c’est une bonne chose !

  • avril 13, 2016
  • 7 min read

Nombreux sont les blogs et magazines qui prodiguent des conseils judicieux visant à améliorer la rapidité de votre ordinateur en réduisant les demandes sur les ressources de votre PC. Certes, quelques gigaoctets de libres sur le disque dur valent toujours mieux qu’un disque dur saturé, toutefois cela n’est pas le cas quand il est question de RAM (ou mémoire vive), la mémoire à court terme ultrarapide de votre ordinateur.

La RAM est le composant le plus rapide de votre PC

blog_ram_is_the_fatest_component_of_your_pc_730x200

Parlons chiffres : pour un vieux disque dur à plateaux tournants (HDD), comptez un taux de transfert d’environ 80 à 160 Mo/seconde. Un nouveau disque dur de type SDD utilise des puces mémoires semblables à celles des cartes SD de votre appareil photo ou smartphone, proposant ainsi une vitesse d’environ 200 à 400 Mo/seconde. Votre mémoire vive, qui ne peut stocker des données sans alimentation, fonctionne à une vitesse de 10 à 20 Go/seconde. C’est 100 plus rapide qu’un disque dur !

Si vous étiez un architecte de système d’exploitation, où préféreriez-vous que les programmes soient exécutés ? Depuis la RAM bien entendu !

Comment Windows utilise la RAM

Quand Windows démarre, il lit tous les programmes qui font partie du système du disque dur afin de les mettre en mémoire vive. C’est là que le processeur peut y accéder le plus efficacement. Les données de fonctionnement créées par votre programme, ainsi que les autres programmes, sont conservées dans la RAM. Cela signifie que plus vous lancez de programmes – et plus le nombre de données avec lesquelles vous travaillez est important – plus vite votre RAM saturera.

Comme la capacité de la mémoire vive varie de nos jours généralement entre 2 et 16 Go, il se peut que Windows ait besoin de plus de RAM que celle proposée par votre système. Ne vous inquiétez pas, les développeurs chez Microsoft étaient conscients de ce risque et ont, par conséquent, introduit une fonction dénommée Fichier d’échange. Le principe est simple : les programmes ou données rarement utilisés dans la mémoire vive sont transférés dans un fichier « de RAM virtuelle » sur le disque dur (caché, c:\pagefile.sys). Ainsi, vous disposez de plus d’espace de RAM libre. Toutefois, quand vous avez besoin des données placées dans la RAM virtuelle, elles devront d’abord être lues depuis le disque dur, moins rapide, avant d’être utilisées.

C’est à ce moment précis que vous pouvez constater un ralentissement notable de votre ordinateur, vous demander pourquoi un tel ralentissement se produit, qu’est-ce que ceci cache, et si votre PC est sur le point de rendre l’âme. Ne vous en faites pas, il s’agit simplement du temps nécessaire au transfert de données vers le fichier d’échange.

Bon ou mauvais usage de la mémoire

Résumons : la RAM est rapide, faites-en bon usage ! Réduire l’usage de la mémoire, disons, de 70 % à 40 % ne vous sert à rien car la mémoire vive libre est inutilisée, donc une perte de ressources. Vous n’économisez pas d’énergie ni n’améliorez les performances de votre PC. De ce point de vue, veillez à utiliser autant de RAM que possible afin d’optimiser l’usage que vous faites de votre système en général.

Toutefois, arrive un moment où il y a saturation et Windows commence à utiliser le fichier d’échange. Vous pouvez empêcher que cela ne se produise fréquemment en veillant à ce que votre ordinateur ait assez de RAM installée. Acheter de la RAM ne coûte pas grand-chose. En outre, plus le module de RAM est important, plus grandes sont les chances que votre vieil ordinateur grappille un ou deux ans de durée de vie supplémentaires. Par exemple, j’utilise mon ordinateur quasiment tout le temps, mais ai rarement besoin de plus de 4 Go de RAM.

Pourquoi les antivirus/anti-malwares ont-ils besoin d’autant de RAM ?

blog_antivirus_antimalware_ram_after_all_730x200

Nos clients se plaignent souvent que nos logiciels accaparent trop de RAM. À dire vrai, nous souhaitons détecter tous les malwares. Pour ce faire, nous avons besoin de motifs de recherche et reconnaissance afin de comparer les fichiers avec notre base de données de menaces connues. Ces motifs (parfois appelés empreintes ou signatures) ne sont pas très lourds mais le nombre de menaces auxquelles vous êtes exposé est immense – nous avons besoin par conséquent d’un nombre énorme de signatures.

À présent, le logiciel de protection d’Emsisoft utilise plus de 7 millions de signatures de malware. Pour toutes les charger dans la RAM, il faut quelque 200 mégaoctets. Cela peut sembler beaucoup, toutefois gardez à l’esprit que cela correspond à une courte séquence de 28 octets en moyenne à utiliser pour confirmer si un fichier est bienveillant ou non. Prenons un exemple : imaginez une séquence de texte de seulement 28 lettres à trouver dans une bibliothèque de plus d’un milliard de livres sans aucunement avoir le droit à l’erreur. Un détecteur de malware doit vérifier quelque 7 millions de signatures pour chacun des 300 000 fichiers environ compris sur votre disque dur… le tout en une fraction de seconde !

Techniquement, il est impossible de faire soudainement disparaître 7 millions de signatures. Elles doivent être stockées si vous souhaitez que le taux de détection soit optimal plutôt que minime (comme pour Windows Defender). On doit également pouvoir y accéder rapidement afin que tout fichier nouveau ou modifié sur votre ordinateur soit examiné. De plus, il faut le faire assez rapidement pour que vous ne vous rendiez pas compte qu’une analyse est effectuée en arrière-plan. Le meilleur endroit donc est la RAM.

La problématique associée à la mémoire vive ne concerne pas qu’Emsisoft, mais tout notre secteur. Tous les moteurs d’analyse d’antivirus ou d’anti-malwares recourant aux signatures ont besoin d’un espace de RAM important pour protéger votre ordinateur de manière efficace.

Secret d’initiés : les antivirus ont tendance à ne pas dévoiler combien de RAM ils utilisent

Un usage élevé de la mémoire vive ne fait pas bon ménage en marketing. Alors, que faire si cette problématique est incontournable ? Ne pas le dévoiler. Deux techniques principales sont utilisées pour faire penser qu’un programme gourmand en RAM ne l’est pas :

  1. Usage du fichier d’échange : comme décrit précédemment, Windows transfert les parties des programmes les moins utilisées sur le disque dur lent. Certains programmes peuvent également forcer ce processus et « demander » à Windows de les faire passer sur le fichier d’échange à intervalles réguliers. Ainsi, le gestionnaire des tâches de Windows affiche un usage de la mémoire très faible, mais le prix à payer est une temporisation de 1 à 3 secondes lorsque vous accédez au programme. Ce délai correspond au temps nécessaire pour lire à nouveau les données sur le disque dur.
    Utilisation de mémoire réduite

    Usage de mémoire réduite

    Dans Emsisoft Anti-Malware et Emsisoft Internet Security, vous pouvez entièrement commander cette fonctionnalité. Lorsque vous désactivez dans les paramètres principaux « Optimisation de l’usage de la mémoire », le logiciel ne lancera pas de transfert vers le fichier d’échange. Cela signifie que les performances du système, sous réserve que vous ayez assez de RAM, devraient s’améliorer.

  2. Usage des pilotes système : le gestionnaire des tâches de Windows renseigne les services et programmes mais  pas les pilotes. Ces derniers sont des modules de code chargés directement par le système d’exploitation pour certaines fonctionnalités essentielles. Certains fournisseurs d’antivirus chargent des centaines de mégaoctets de données dans ces pilotes afin de laisser penser que leur programme n’utilise que peu de mémoire. Vous pouvez le détecter en additionnant la quantité de mémoire qu’utilise chaque programme actif et en comparant la quantité totale de RAM utilisée. Si la différence est conséquente, il est fort probable qu’un programme cache le réel usage qu’il fait de la mémoire.

Vu que le nombre de menace double chaque année, comment se fait-il que l’usage de la mémoire n’est pas proportionnel ?

Ce qui est bien chez les malwares, c’est qu’un grand nombre d’échantillons réellement constatés (en dehors de nos labos) présentent de grandes similitudes. Le nombre de familles de malware est limité, ce qui fait que, souvent, les échantillons ne diffèrent que de quelques octets de données. Cela signifie que nous sommes capables de détecter une importante quantité de menaces par le biais de moins de signatures, plus intelligentes toutefois. En utilisant cette méthode, le nombre de signatures requis pour une détection optimale n’est pas proportionnel au nombre de menaces existantes.

Conclusion : faites bon usage de votre RAM

Prenez le temps d’ouvrir votre gestionnaire des tâches (clic droit sur la barre de tâches puis choisissez « Gestionnaire des tâches ») et évaluez combien de RAM vous utilisez réellement lorsque vous utilisez votre ordinateur de manière intensive. Si vous n’avoisinez pas la limite maximale, désactivez la fonction « Optimisation de l’usage de la mémoire » dans le logiciel de protection d’Emsisoft afin de bénéficier des meilleures performances possible.

Paramètres du logiciel de protection d'Emsisoft

Paramètres du logiciel de protection d’Emsisoft

Ne choisissez pas votre antivirus/anti-malware sur base des avis mentionnant l’usage de la mémoire vive à moins que vous n’en soyez vraiment à court (moins de 2 Go).

 

Fran Rajewski

What to read next

Reader Comments