Ce n'est pas un retour à l'enfance que je vous propose, mais une nouvelle façon d'envisager la sécurité du poste de travail. En effet, les solutions de protection actuelles, si elles n'ont pas montrées leurs incompétences, n'ont pas non plus éblouies par leurs performances en matière de sécurité. Pourquoi, tout simplement, car ces solutions font appels pour travailler à une base de signature, qui par définition, si elle est même mis à jour toutes les 6 heures, sera toujours en retard sur l'actualité. Je sais, vous me direz, maintenant, ces solutions ont aussi un moteur heuristique... Simple saupoudrage marketing, ou effet cosmétique... Comme vous l'avez vu dans nos précédents messages, ce n'est presque que de la poudre aux yeux.
Alors, me direz vous on ne peut pas protéger
efficacement un pc ? Oh, que si, la solution existe, elle existait même avant
les solutions de sécurité, il s'agit de contrôler tous les processus permis à
l'exécution, et son petit nom est " Host Intrusion Detection System " ou HIDS.
Seulement voilà, si c'est la panacée, cette solution est aussi très difficile à
mettre en place, car avoir idée de tous les processus d'une machine est couteux
en énergie et en temps. Alors c'est pas possible de sécuriser un pc ? A
100% non, par contre, des nouveaux produits commencent à apparaitre sur le
marché qui partent du constat suivant : " comme une grande partie des attaques
proviennent du web, et que la virtualisation est à la mode, virtualisons le
navigateur ". Eh oui, c'est une très bonne idée, tout ce que l'utilisateur fera
sur le web, sera dans une fenêtre virtuelle avec aucune interaction avec le
système. Cette technologie d'abord poussée par des start-up, a été adoptée par
les ténors de la sécurité qui ont sorti, ou vont sortir un produit de ce type.
Mais me direz vous, toutes les attaques ne
proviennent pas seulement du web, mais aussi des mails, des vers (exploit d'une
vulnérabilité système ou d'un logiciel). Alors votre virtualisation du
navigateur cela ne sert pas pour ce type d'attaque ? C'est vrai, et c'est pour
cela, que des produits de virtualisation du système entier commencent à
bourgeonner. L'intérêt est, que quel que soit les manipulations faites par
l'utilisateur, elles seront " effacées " au prochain reboot. Ces techniques
pourraient être la fin des cauchemars des responsables micro. Pour la bonne bouche, et pour justifier mon titre,
il n'y a pas que la virtualisation, mais aussi le bac à sable. Le résultat est
le même, mais on peut par ce principe isoler un programme spécifique (par
exemple, oh malheur, faire un test de comportement d'un virus, ou un programme
serbo croate qui semblait intéressant, mais qui n'offre pas toute la confiance
nécessaire...). Il existe un programme pour faire cela dont la version gratuite
est déjà assez élaborée, il s'agit de sandboxie. Ce n'est pas
(encore)un programme permettant de gérer la sécurité d'un parc, mais je vous
conseille vivement de l'avoir. Nous reviendrons avec Christophe R. tout au long
de l'année sur ces différentes techniques de protection.
commenter