C'est un fait bien connu, les hackers et virus informatiques ont fait
leur apparition dans notre quotidien dès les premiers balbutiements d'internet.
Mon premier contact avec un hacker était en 2000. Je venais de
télécharger un «logiciel » me permettant de regarder un film sur internet
(l’erreur du débutant!). Après son installation, un hacker était venu me parler
par l'intermédiaire d'une petite fenêtre de « Tchat ».
« Dieu », comme il aimait se faire appeler, avait pris le
contrôle de mon ordinateur par l’intermédiaire d’un virus camouflé dans le
logiciel que je venais d’installer.
Intrigué, j’ai demandé à « Dieu » comment il avait fait pour
prendre le contrôle de mon ordinateur alors que j’avais un antivirus d’installé.
Il me répondit que sont virus était indétectable car mon antivirus ne le
connaissait pas.
C'est sur ces mots que « Dieu » décida de me laisser
tranquille. Il ne voulait pas
détruire mon ordinateur. Il réservait ce sort à d'autres personnes moins « sympas ».
Cette première rencontre il y a 16 ans avec un hacker
avait été plutôt plaisante.
Malheureusement de nos jours, avec l’explosion des
banques en ligne et du e-commerce, les hackers préfèrent rester silencieux car ce
qui les intéressent ce sont vos informations bancaires : Trop
souvent c'est votre banque qui vous informera que vous avez fait l'objet d'un
hack.
Dans ces
conditions, comment faire confiance à
son antivirus?
Comment choisir et configurer l’antivirus qui vous apportera le plus de sécurité?
Comment choisir et configurer l’antivirus qui vous apportera le plus de sécurité?
Bien comprendre les différentes fonctionnalités mises à votre disposition
par les éditeurs d'antivirus vous permettra de choisir l'antivirus qui vous
apportera le plus haut niveau de sécurité tout en minimisant l'impact qu'il
aura sur vos activités (toute sécurité a une contrepartie : pertes de
fonctionnalités, efforts de configuration, fausses alertes, etc.)
Dans cet article, nous vous présenterons les fonctionnalités proposées
par les éditeurs et vous expliquerons leurs avantages et
inconvénients.
Comment fonctionne un antivirus?
Un antivirus doit en premier lieu empêcher une infection de se
produire. Si l'infection est innévitables, l'antivirus doit être en mesure de détecter
les activités malicieuses du virus et/ou réduire son impact sur votre système. Dès détection d’un virus, l'antivirus doit être capable de le supprimer
entièrement de votre ordinateur et vous présenter les informations
nécessaires pour que vous puissiez évaluer l’impact du virus sur votre
parc informatique. Enfin, l'antivirus doit être
en mesure de vous protéger où que vous soyez : bureau, hôtel, chez
vous, etc.
Un antivirus doit empêcher un virus d'infecter votre
ordinateur :
Les antivirus doivent avant tout détecter et stopper les virus avant
qu'ils ne puissent s'exécuter sur votre ordinateur. Pour ce faire, plusieurs
techniques sont proposées par les solutions du marché :
• Détection des virus connus : Les antivirus surveilles la liste des sites internet que vous consultez ainsi que les fichiers
que vous téléchargez. Si un site ou un fichier est connu comme étant malicieux,
votre antivirus vous interdira la visite du site ou l'exécution du fichier. Trop souvent, seule cette fonctionnalité est activée dans les
entreprises. D’où l’inefficacité « perçue » des solutions antivirus.
◦ Avantages : les virus sont détectés avant
leurs exécutions. Pas de faux positif : l'antivirus ne "casse" pas les fonctionnalités de vos applications. Peu de maintenance de la part des administrateurs.
◦ Inconvénients : l'antivirus empêche l'exécution
des virus connus uniquement (en moyenne 30 à 40% des virus rencontrés
sont des virus connus par les éditeurs d'antivirus)
• Listes blanches : L'antivirus
connaît les programmes autorisés par votre administrateur. Si un
programme est inconnu son exécution est refusée.
◦ Avantages : Extrêmement efficace. Les virus
n'ayant de facto jamais été autorisé par vos administrateurs, ils ne pourront pas contaminer
vos systèmes.
◦ Inconvénients : Les antivirus se servant de listes
blanches peuvent nécessiter une implication élevée de la part de vos administrateurs.
En effet, c’est à eux de définir les exécutables qui peuvent être exécutés en
toute sécurité sur vos systèmes.
• Sandboxing : Les antivirus
peuvent exécuter les programmes ayant un fort risque d'être exploités (navigateurs web,
suite office, etc.) dans des machines virtuelles ou « sandbox ». Si
un de ces logiciels se fait exploiter (exemple: exploitation du plugin java d'internet explorer), le virus ne pourra réaliser de
changement permanant sur vos systèmes. Le virus sera isolé de votre ordinateur et ne pourra interagir qu'avec la machine virtuelle.
◦ Avantages : En exploitant un logiciel exécuté
dans une machine virtuelle, le hacker n'aura pas de main prise sur votre système. La fermeture de l’application exploitée signifie la fin de la
contamination : le virus ne peut persister sur votre système.
◦ Inconvénients : Les solutions de « sandboxing »
requièrent quelques changements dans les habitudes des utilisateurs finaux.
D'autre part, une isolation complète avec les systèmes connectés à l'ordinateur
(dossiers partagés, etc.) n'est pas toujours assurée. Il faut donc bien
comprendre les limites des solutions de « sandboxing ».
• Anti-exploit : Les hackers se
servent parfois de vulnérabilités dans Java, internet explorer, flash, etc.
pour prendre le contrôle de votre ordinateur. Les solutions d'anti-exploit
permettent de rendre plus difficile l'exploitation de ces failles logicielles.
◦ Avantages : Si votre ordinateur dispose de
logiciels vulnérables, les fonctionnalités d'anti exploitation augmentent le
niveau de difficulté d’exploitation de ces vulnérabilités.
◦ Inconvénients : Dans certains cas des solutions
d'anti-exploitation peuvent faire « planter » certaines applications
développées « maison » ou dites « legacy ».
Un antivirus doit détecter les comportements malicieux et réduire
leurs impacts :
• Analyse comportementale des programmes exécutés : Si un virus est exécuté sur votre système, ce
dernier essaiera sans nul doute de réaliser des modifications sur votre
ordinateur afin d’en garder le contrôle, voler des données, enregistrer les
touches que vous tapez, etc. Les solutions antivirus peuvent intégrer des
modules d’analyse comportementale afin de détecter et stopper les programmes/virus
ayant un comportement suspect.
◦ Avantages : Votre antivirus sera dans une
certaine mesure capable de détecter des virus inconnus dit « Zero
day ».
◦ nconvénients : Des faux positifs peuvent avoir
lieu. Des programmes légitimes peuvent cesser de fonctionner s’ils sont perçus
comme potentiellement malicieux par votre antivirus.
• Protection des processus sensibles : Si un virus est
exécuté sur votre ordinateur, ce dernier essaiera sans nul doute d’enregistrer
les touches que vous tapez dans vos navigateurs web (cela afin de voler vos
informations bancaires, mots de passe, etc.). Certaines solutions antivirus
proposent des fonctionnalités permettant de vous protéger contre ce type
d’attaque en contrôlant quels exécutables peuvent interagir avec des processus
et programmes susceptibles de contenir des informations sensibles (mots de
passe, etc.)
• Protection des dossiers sensibles : Certaines
solutions antivirus proposent des fonctionnalités permettant de contrôler quels
exécutables ou programmes peuvent consulter le contenu d’un dossier sensible.
◦ Avantages : Si un virus est exécuté sur votre
ordinateur, ce virus ne pourra pas voler les informations sensibles contenues
dans les dossiers protégés.
◦ Inconvénients : La configuration d’une telle
fonctionnalité demande un effort de maintenance de la part de vos
administrateurs. En effet, à eux de définir les dossiers à protéger ainsi que
les programmes qui pourront consulter leurs contenus.
• Host-based Firewall "application aware" : Si un virus est
exécuté sur votre ordinateur, ce dernier essaiera sans nul doute d’exfiltrer
des données vers internet. Des solutions antivirus peuvent vous aider à définir
les processus/programmes autorisés à communiquer sur internet.
◦ Avantages : Si un virus est exécuté sur votre
ordinateur, ce virus ne pourra pas communiquer directement sur internet. S’il
souhaite communiquer sur internet il devra réaliser des actions qui
augmenteront ses risques d’être détectés lors d’une analyse comportementale.
◦ Inconvénients : La configuration d’une telle
fonctionnalité demande un effort de maintenance de la part de vos
administrateurs. En effet, à eux de définir quels programmes/processus peuvent
communiquer vers internet.
• Intégration avec d’autres systèmes : L’intégration
de votre solution antivirus avec d’autres systèmes de sécurité comme des
firewalls ou Network Access control (NAC) permettra l’isolation rapide et
automatisée d’un ordinateur compromis.
◦ Avantages : Si un ordinateur est contaminé,
votre solution antivirus pourra donner l’ordre à vos firewalls et solutions NAC
d’isoler cet ordinateur du reste de votre environnement. Cela afin d’éviter
tout risque de contamination en chaine et de fuite d’information.
◦ Inconvénients : Une telle synergie demande l’achat
de solutions firewalls et NAC compatibles avec votre solution antivirus.
Un antivirus doit vous aider à supprimer les virus de vos ordinateurs :
• Nettoyage de la source : La plupart des antivirus
se contentent de mettre en quarantaine l’exécutable de départ d’un virus.
• Nettoyage
complet : Certaines solutions antivirus plus avancées vous
permettront de mettre en quarantaine l’exécutable de départ ainsi que de
corriger tous les dégâts causés par le virus sur votre ordinateur (décryption des fichiers, suppression des clés de registres et des tâches programmées
malicieuses, etc.).
Un antivirus doit vous aider à évaluer l’impact du virus sur
votre parc informatique:
• Logs des changements réalisés par des programmes
malicieux : Certaines solutions antivirus enregistreront toutes les actions
réalisées par un programme inconnu. Si le programme est reconnu comme malicieux
quelques jours après son lancement, la solution antivirus sera capable de
présenter aux administrateurs les actions réalisées par le programme malicieux.
Un antivirus doit vous protéger où que vous soyez :
• Encryption des données : en cas de perte
de votre ordinateur, l’encryption de vos données est primordiale. Certaines
solutions antivirus peuvent complémenter des solutions déjà présentes dans
Windows ou MAC OS X.
• Gestionnaires de mots de passe : des solutions antivirus
peuvent intégrer des modules de gestion des mots de passe afin d’aider vos
usagers à utiliser des mots de passe complexes en toute sécurité.
• Contrôle et destruction à distance : en cas de perte
d’un ordinateur il peut être pratique de détruire son contenu à distance, de le situer sur une carte, d'activer sa caméra.
• Console de gestion antivirus « cloud » : il est
important de conserver une visibilité sur la sécurité de vos ordinateurs
présents en dehors des limites de votre réseau interne. L’utilisation d’une
console de gestion antivirus dans le « cloud » vous apporte la garantie
que vos ordinateurs sont protégés avec des signatures antivirus et des
configurations à jour quelque soit leurs localisations: à l’hôtel, au bureau,
etc.
• Gestion des vulnérabilités et patching : Certaines
solutions antivirus peuvent vous aider à patcher les logiciels vulnérables
installés sur vos ordinateurs.
Vous l’avez compris, l'antivirus idéal devrait avoir toutes les
caractéristiques présentées ci-dessus, mais un tel antivirus n'existe malheureusement
pas.
Dès lors, il vous faudra choisir l'antivirus vous proposant le plus de
mécanismes de protections possibles à un prix qui soit acceptable par votre
entreprise.
Si vous ne trouvez pas l'antivirus parfait, essayez de combiner
plusieurs antivirus ensemble afin d'obtenir les fonctionnalités requises (attention
aux compatibilités!). Cela peut coûter cher, mais vaut grandement la peine pour
sécuriser les ordinateurs de vos usagers « VIP ».
Pour finir cet article, nous souhaitons vous rappeler qu'une solution « magique », 100% sécurisante et déployable en 3 jours sur 10 000+ systèmes n’existe pas à ce jour. Le choix
d’une solution antivirus et sa configuration doit être le fruit d’une réflexion
approfondie.
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel : info@oppidumsecurity.com
