ClamAV : l'antivirus open source qui protège serveurs de messagerie et systèmes Linux

1 juillet 2026
ClamAV : l'antivirus open source qui protège serveurs de messagerie et systèmes Linux

ClamAV existe depuis 2002 et reste aujourd’hui l’un des outils les plus utilisés pour scanner les flux de courriels sur les serveurs UNIX et Linux. Créé à l’origine par Tomasz Kojm, il a été racheté plus tard par Sourcefire puis intégré chez Cisco Talos, qui le maintient toujours et alimente une grande partie des détections. Le moteur s’appelle libclamav et il tourne sous licence GPLv2, donc complètement gratuit.

Beaucoup d’administrateurs le gardent dans leur stack parce qu’il fait exactement ce dont on a besoin sur une passerelle mail ou un serveur de fichiers : attraper les pièces jointes malveillantes avant qu’elles n’arrivent aux boîtes des utilisateurs. Et franchement, quand on voit le volume de malwares qui transitent encore par email, c’est une couche qui compte.

Qu’est-ce que ClamAV exactement ?

C’est une boîte à outils antivirus open source conçue pour détecter virus, trojans, malwares et autres menaces. Il excelle particulièrement dans l’analyse des serveurs de messagerie, mais on peut aussi l’utiliser pour scanner des fichiers à la volée sur un système Linux ou même sur Windows et macOS aujourd’hui.

Le point fort, c’est qu’il cible majoritairement les menaces Windows tout en tournant sur des systèmes où on n’installe pas forcément un antivirus lourd. La base de signatures est signée et mise à jour en continu par l’équipe Talos.

Son parcours jusqu’à Cisco Talos

Tout a commencé en mai 2002 avec une première version très légère. La base de signatures a grossi rapidement : des milliers au départ, puis des centaines de milliers, et aujourd’hui des millions de détections. En 2007 Sourcefire l’a racheté, puis Cisco a acquis Sourcefire en 2013. Depuis, c’est Talos qui pilote le développement et publie les correctifs.

La version stable actuelle est la 1.5.2, sortie en mars 2026. Elle corrige notamment une vulnérabilité dans le parseur HTML qui pouvait provoquer un déni de service. L’équipe a aussi allégé les bases de signatures fin 2025 pour que les mises à jour pèsent moins lourd et consomment moins de bande passante.

À quoi sert vraiment ClamAV sur le terrain ?

Son usage principal reste le filtrage des emails entrants sur les serveurs de messagerie. On le branche souvent sur Postfix via clamav-milter : chaque message passe par le scanner avant d’être accepté. Si un malware est détecté dans une pièce jointe ou même dans le corps du mail, il est rejeté ou mis en quarantaine.

On l’utilise aussi pour scanner des partages de fichiers, des répertoires de téléchargement sur des serveurs Linux, ou des archives qui arrivent via d’autres canaux. Il gère très bien les formats compressés, les exécutables packés, les documents Office, les PDF et même certains formats chiffrés. Sur Linux on peut même activer un scan à l’accès pour une détection plus proactive.

ClamAV est-il gratuit ?

Oui, et il l’est resté depuis le début. Licence GPLv2, code source disponible sur GitHub chez Cisco-Talos, pas de version payante cachée. Vous pouvez l’installer sur autant de serveurs que vous voulez sans rien débourser. Talos fournit les signatures et assure la maintenance, mais l’outil reste ouvert à tous. C’est d’ailleurs ce qui explique pourquoi on le retrouve dans plein d’appliances et de distributions serveurs.

Les outils qui composent ClamAV

Le cœur du système, c’est la bibliothèque libclamav qui fait tout le travail de détection. Autour, il y a plusieurs utilitaires bien distincts.

clamscan sert aux analyses ponctuelles depuis la ligne de commande. On l’appelle quand on veut vérifier un fichier ou un dossier précis.

clamd est le démon multi-threadé qui reste en mémoire. C’est lui qu’on utilise en production parce qu’il répond beaucoup plus vite et consomme moins de ressources sur un serveur qui reçoit beaucoup de requêtes.

freshclam se charge des mises à jour automatiques de la base de signatures. On le configure pour qu’il tourne en arrière-plan ou via une tâche planifiée.

Et clamav-milter permet l’intégration directe avec les serveurs de messagerie comme Postfix ou Sendmail. Le MTA lui passe le message, ClamAV le scanne et renvoie le verdict en temps réel.

Comment le mettre en place sur un serveur Linux ?

Sur Ubuntu ou Debian, un simple apt install clamav suffit pour avoir les paquets de base. Sur Arch ou d’autres distributions, les dépôts communautaires proposent aussi les paquets. Une fois installé, on édite clamd.conf et freshclam.conf pour adapter le comportement (nombre de threads, dossier de quarantaine, etc.), puis on lance freshclam pour récupérer la base initiale.

Il existe également des installateurs MSI et des paquets pour Windows, même si l’usage reste plus marginal côté poste de travail. La documentation officielle sur docs.clamav.net et les wikis des distributions donnent les étapes précises selon l’environnement.

Garder les signatures à jour

C’est probablement la partie la plus importante. Les menaces évoluent vite et Talos publie régulièrement de nouvelles détections. freshclam s’occupe de tout : il vérifie, télécharge et applique les mises à jour sans intervention manuelle.

Récemment l’équipe a retiré des signatures obsolètes, ce qui a réduit la taille des fichiers main.cvd et daily.cvd d’environ moitié. Résultat : des mises à jour plus rapides et une empreinte mémoire un peu plus légère sur les serveurs.

Intégration avec Postfix et les autres MTA

C’est là que ClamAV montre vraiment sa valeur. Avec clamav-milter, Postfix peut scanner chaque email avant de l’accepter. Le flux est simple : le message arrive, passe par le milter, ClamAV analyse les pièces jointes et le contenu, et si rien de suspect n’est trouvé, le mail continue son chemin. Sinon il est rejeté avec un code d’erreur clair.

Beaucoup d’installations l’associent aussi à Amavisd-new ou à SpamAssassin pour combiner détection de malware et filtrage antispam. Ça reste une solution légère comparée à certaines appliances tout-en-un.

Forces et limites en cybersécurité

Côté forces, c’est gratuit, open source, relativement léger et extrêmement efficace sur les flux de messagerie. Il gère très bien les archives et les formats exotiques, et il s’intègre proprement dans des environnements serveurs où on ne veut pas installer un antivirus complet.

Côté limites, il repose principalement sur les signatures (même si l’heuristique et le support YARA aident). Les menaces zero-day peuvent donc passer au travers. Ce n’est pas non plus l’outil le plus adapté pour protéger des postes de travail Windows grand public en 2026. Sur Linux desktop, d’autres solutions existent parfois.

Le meilleur usage reste donc en défense en profondeur : ClamAV sur la passerelle mail + une solution endpoint sur les postes clients + bonnes pratiques de sensibilisation.

Où aller plus loin ?

Le site officiel clamav.net donne accès aux téléchargements et aux annonces. La documentation complète vit sur docs.clamav.net. Le dépôt GitHub Cisco-Talos/clamav contient le code et les notes de version. Pour les guides d’installation pas à pas, les wikis Ubuntu-fr et Arch Linux restent très pratiques.

Si vous gérez des serveurs de messagerie ou des infrastructures Linux, ClamAV mérite clairement un tour dans un environnement de test. Une fois configuré correctement, il tourne en silence et vous évite pas mal de mauvaises surprises sur les pièces jointes qui arrivent tous les jours.

Nous sommes une équipe d'experts passionnés, convaincus que la sécurité informatique est devenue un enjeu majeur et stratégique pour toutes les organisations, quels que soient leur taille et leur secteur d'activité.
Partager cet article:
Top