Changement de paramètres de configuration avec l'antivirus ClamAV version 0.105

La sortie de la version 0.105 de l'antivirus ClamAV

Le 4 mai 2022, l'antivirus ClamAV sort une nouvelle version. Il s'agit de la version 0.105.0.
Parmi les nouvelles fonctionnalités, les corrections de bug et les patchs de sécurité, les paramètres par défaut de ClamAV ont été augmentés. Voici les nouvelles valeurs :

MaxScanSize: 400M (100M auparavent)
MaxFileSize: 100M (25M auparavent)
StreamMaxLength: 100M (25M auparavent)
PCREMaxFileSize: 100M (25M auparavent)
MaxEmbeddedPE: 40M (10M auparavent)
MaxHTMLNormalize: 40M (10M auparavent)
MaxScriptNormalize: 20M (5M auparavent)
MaxHTMLNoTags: 8M (2M auparavent)

Bref, les anciens paramètres ont été multipliés par 4.

Pourquoi les paramètres de configuration de ClamAV ont été augmentés ?

La taille des malwares ont fortement augmentés depuis ces 10 dernières années.
Aujourd'hui, il n'est pas rare de voir des fichiers HTML, ASCII ou EXE qui font plusieurs dizaines de Mo.
Or, si ClamAV arrête de scanner un fichier parce qu'il est trop gros, alors il risque de louper une détection de malware.
Par conséquent, augmenter la capacité de scanner de gros fichiers permet donc d'améliorer le taux de détection de malwares.

Conséquences de ces changements de paramètres

L'augmentation des paramètres de configuration de ClamAV engendrent un risque de saturation de mémoire.
En effet, le fait de scanner des fichiers plus gros prend plus de place en mémoire.
Le paramètre MaxScanSize est positionné maintenant à 400 Mo, cela signifie donc qu'un seul fichier peut prendre jusqu'à 400 Mo de mémoire pour que ClamAV le scanne !
Aussi nous vous recommandons d'avoir au moins 8 Go de mémoire pour faire fonctionner l'antivirus ClamAV.
Si votre serveur ou station de travail a moins de 8 Go de mémoire, il est fortement recommandé d'envisager un upgrade de sa configuration matérielle !

D'autre part, scanner de gros fichiers prend plus de temps. Il est donc recommandé d'avoir un processeur rapide et récent si vous ne voulez pas que vos scan antivirus durent une plombe...

Donc avant de passer en version 0.105, ou avant de changer manuellement vos paramètres, veuillez vous assurer que vous avez un processeur rapide et au moins 8 Go de mémoire RAM.

J'utilise une vieille version de ClamAV. Puis-je, moi aussi, augmenter ces paramètres ?

Bien sûr que oui ! Ces modifications concernent en fait toutes les versions de ClamAV. Vous pouvez donc les appliquer aux version inférieures ou égales à 0.104.

Modifications pour clamd

Si vous utilisez clamd, le daemon de ClamAV, voici ce qu'il faut mettre dans le fichier de configuration clamd.conf (généralement sité dans /etc/clamav/clamd.conf) :

MaxScanSize 400M
MaxFileSize 100M
StreamMaxLength 100M
PCREMaxFileSize 100M
MaxEmbeddedPE 40M
MaxHTMLNormalize 40M
MaxScriptNormalize 20M
MaxHTMLNoTags 8M

N'oubliez pas de relancer le démon pour que les modifications soient prises en compte :
service clamav-daemon restart
ou
/etc/init.d/clamav-daemon restart

Modifications pour clamscan

Si vous utilisez clamscan en ligne de commande, voici les paramètres qu'il faut ajouter :

clamscan --max-scansize=400M --max-filesize=100M --pcre-max-filesize=100M --max-embeddedpe=40M --max-htmlnormalize=40M --max-scriptnormalize=20M --max-htmlnotags=8M

Le paramètre StreamMaxLength n'existe pas pour clamscan, car clamscan n'est pas capable de scanner un flux (alors que le daemon clamav en est capable).

A propos de l'auteur de l'article

Arnaud Jacques est le co-fondateur et gérant de SecuriteInfo.com, site web depuis 1999 et entreprise de cybersécurité créée en 2004.
Il a participé au développement de ClamAV en tant que créateur de signatures (sigmaker). Son nom figure dans la page officielle des remerciements de ClamAV.
Depuis 2015, SecuriteInfo.com propose des signatures additionnelles à l'antivirus ClamAV permettant d'augmenter le taux de détection des malwares. Les malwares 0-day et 0-hour sont détectés par ces signatures.