C'est un fait bien connu, les hackers et virus informatiques ont fait leur apparition dans notre quotidien dès les premiers balbutiements d'internet.
Mon premier contact avec un hacker était en 2000. Je venais de télécharger un «logiciel » me permettant de regarder un film sur internet (l’erreur du débutant!). Après son installation, un hacker était venu me parler par l'intermédiaire d'une petite fenêtre de « Tchat ».
« Dieu », comme il aimait se faire appeler, avait pris le contrôle de mon ordinateur par l’intermédiaire d’un virus camouflé dans le logiciel que je venais d’installer.
Intrigué, j’ai demandé à « Dieu » comment il avait fait pour prendre le contrôle de mon ordinateur alors que j’avais un antivirus d’installé. Il me répondit que sont virus était indétectable car mon antivirus ne le connaissait pas.
C'est sur ces mots que « Dieu » décida de me laisser tranquille. Il ne voulait pas détruire mon ordinateur. Il réservait ce sort à d'autres personnes moins « sympas ».
Cette première rencontre il y a 16 ans avec un hacker avait été plutôt plaisante.
Malheureusement de nos jours, avec l’explosion des banques en ligne et du e-commerce, les hackers préfèrent rester silencieux car ce qui les intéressent ce sont vos informations bancaires : Trop souvent c'est votre banque qui vous informera que vous avez fait l'objet d'un hack.
Dans ces conditions, comment faire confiance à son antivirus?
Comment choisir et configurer l’antivirus qui vous apportera le plus de sécurité?
Bien comprendre les différentes fonctionnalités mises à votre disposition par les éditeurs d'antivirus vous permettra de choisir l'antivirus qui vous apportera le plus haut niveau de sécurité tout en minimisant l'impact qu'il aura sur vos activités (toute sécurité a une contrepartie : pertes de fonctionnalités, efforts de configuration, fausses alertes, etc.)
Dans cet article, nous vous présenterons les fonctionnalités proposées par les éditeurs et vous expliquerons leurs avantages et inconvénients.
Comment fonctionne un antivirus?
Un antivirus doit en premier lieu empêcher une infection de se produire. Si l'infection est innévitables, l'antivirus doit être en mesure de détecter les activités malicieuses du virus et/ou réduire son impact sur votre système. Dès détection d’un virus, l'antivirus doit être capable de le supprimer entièrement de votre ordinateur et vous présenter les informations nécessaires pour que vous puissiez évaluer l’impact du virus sur votre parc informatique. Enfin, l'antivirus doit être en mesure de vous protéger où que vous soyez : bureau, hôtel, chez vous, etc.
Un antivirus doit empêcher un virus d'infecter votre ordinateur :
Les antivirus doivent avant tout détecter et stopper les virus avant qu'ils ne puissent s'exécuter sur votre ordinateur. Pour ce faire, plusieurs techniques sont proposées par les solutions du marché :
• Détection des virus connus : Les antivirus surveilles la liste des sites internet que vous consultez ainsi que les fichiers que vous téléchargez. Si un site ou un fichier est connu comme étant malicieux, votre antivirus vous interdira la visite du site ou l'exécution du fichier. Trop souvent, seule cette fonctionnalité est activée dans les entreprises. D’où l’inefficacité « perçue » des solutions antivirus.
◦ Avantages : les virus sont détectés avant leurs exécutions. Pas de faux positif : l'antivirus ne "casse" pas les fonctionnalités de vos applications. Peu de maintenance de la part des administrateurs.
◦ Inconvénients : l'antivirus empêche l'exécution des virus connus uniquement (en moyenne 30 à 40% des virus rencontrés sont des virus connus par les éditeurs d'antivirus)
• Listes blanches : L'antivirus connaît les programmes autorisés par votre administrateur. Si un programme est inconnu son exécution est refusée.
◦ Avantages : Extrêmement efficace. Les virus n'ayant de facto jamais été autorisé par vos administrateurs, ils ne pourront pas contaminer vos systèmes.
◦ Inconvénients : Les antivirus se servant de listes blanches peuvent nécessiter une implication élevée de la part de vos administrateurs. En effet, c’est à eux de définir les exécutables qui peuvent être exécutés en toute sécurité sur vos systèmes.
• Sandboxing : Les antivirus peuvent exécuter les programmes ayant un fort risque d'être exploités (navigateurs web, suite office, etc.) dans des machines virtuelles ou « sandbox ». Si un de ces logiciels se fait exploiter (exemple: exploitation du plugin java d'internet explorer), le virus ne pourra réaliser de changement permanant sur vos systèmes. Le virus sera isolé de votre ordinateur et ne pourra interagir qu'avec la machine virtuelle.
◦ Avantages : En exploitant un logiciel exécuté dans une machine virtuelle, le hacker n'aura pas de main prise sur votre système. La fermeture de l’application exploitée signifie la fin de la contamination : le virus ne peut persister sur votre système.
◦ Inconvénients : Les solutions de « sandboxing » requièrent quelques changements dans les habitudes des utilisateurs finaux. D'autre part, une isolation complète avec les systèmes connectés à l'ordinateur (dossiers partagés, etc.) n'est pas toujours assurée. Il faut donc bien comprendre les limites des solutions de « sandboxing ».
• Anti-exploit : Les hackers se servent parfois de vulnérabilités dans Java, internet explorer, flash, etc. pour prendre le contrôle de votre ordinateur. Les solutions d'anti-exploit permettent de rendre plus difficile l'exploitation de ces failles logicielles.
◦ Avantages : Si votre ordinateur dispose de logiciels vulnérables, les fonctionnalités d'anti exploitation augmentent le niveau de difficulté d’exploitation de ces vulnérabilités.
◦ Inconvénients : Dans certains cas des solutions d'anti-exploitation peuvent faire « planter » certaines applications développées « maison » ou dites « legacy ».
Un antivirus doit détecter les comportements malicieux et réduire leurs impacts :
• Analyse comportementale des programmes exécutés : Si un virus est exécuté sur votre système, ce dernier essaiera sans nul doute de réaliser des modifications sur votre ordinateur afin d’en garder le contrôle, voler des données, enregistrer les touches que vous tapez, etc. Les solutions antivirus peuvent intégrer des modules d’analyse comportementale afin de détecter et stopper les programmes/virus ayant un comportement suspect.
◦ Avantages : Votre antivirus sera dans une certaine mesure capable de détecter des virus inconnus dit « Zero day ».
◦ Inconvénients : Des faux positifs peuvent avoir lieu. Des programmes légitimes peuvent cesser de fonctionner s’ils sont perçus comme potentiellement malicieux par votre antivirus.
• Protection des processus sensibles : Si un virus est exécuté sur votre ordinateur, ce dernier essaiera sans nul doute d’enregistrer les touches que vous tapez dans vos navigateurs web (cela afin de voler vos informations bancaires, mots de passe, etc.). Certaines solutions antivirus proposent des fonctionnalités permettant de vous protéger contre ce type d’attaque en contrôlant quels exécutables peuvent interagir avec des processus et programmes susceptibles de contenir des informations sensibles (mots de passe, etc.)
• Protection des dossiers sensibles : Certaines solutions antivirus proposent des fonctionnalités permettant de contrôler quels exécutables ou programmes peuvent consulter le contenu d’un dossier sensible.
◦ Avantages : Si un virus est exécuté sur votre ordinateur, ce virus ne pourra pas voler les informations sensibles contenues dans les dossiers protégés.
◦ Inconvénients : La configuration d’une telle fonctionnalité demande un effort de maintenance de la part de vos administrateurs. En effet, à eux de définir les dossiers à protéger ainsi que les programmes qui pourront consulter leurs contenus.
• Host-based Firewall "application aware" : Si un virus est exécuté sur votre ordinateur, ce dernier essaiera sans nul doute d’exfiltrer des données vers internet. Des solutions antivirus peuvent vous aider à définir les processus/programmes autorisés à communiquer sur internet.
◦ Avantages : Si un virus est exécuté sur votre ordinateur, ce virus ne pourra pas communiquer directement sur internet. S’il souhaite communiquer sur internet il devra réaliser des actions qui augmenteront ses risques d’être détectés lors d’une analyse comportementale.
◦ Inconvénients : La configuration d’une telle fonctionnalité demande un effort de maintenance de la part de vos administrateurs. En effet, à eux de définir quels programmes/processus peuvent communiquer vers internet.
• Intégration avec d’autres systèmes : L’intégration de votre solution antivirus avec d’autres systèmes de sécurité comme des firewalls ou Network Access control (NAC) permettra l’isolation rapide et automatisée d’un ordinateur compromis.
◦ Avantages : Si un ordinateur est contaminé, votre solution antivirus pourra donner l’ordre à vos firewalls et solutions NAC d’isoler cet ordinateur du reste de votre environnement. Cela afin d’éviter tout risque de contamination en chaine et de fuite d’information.
◦ Inconvénients : Une telle synergie demande l’achat de solutions firewalls et NAC compatibles avec votre solution antivirus.
Un antivirus doit vous aider à supprimer les virus de vos ordinateurs :
• Nettoyage de la source : La plupart des antivirus se contentent de mettre en quarantaine l’exécutable de départ d’un virus.
• Nettoyage complet : Certaines solutions antivirus plus avancées vous permettront de mettre en quarantaine l’exécutable de départ ainsi que de corriger tous les dégâts causés par le virus sur votre ordinateur (décryption des fichiers, suppression des clés de registres et des tâches programmées malicieuses, etc.).
Un antivirus doit vous aider à évaluer l’impact du virus sur votre parc informatique:
• Logs des changements réalisés par des programmes malicieux : Certaines solutions antivirus enregistreront toutes les actions réalisées par un programme inconnu. Si le programme est reconnu comme malicieux quelques jours après son lancement, la solution antivirus sera capable de présenter aux administrateurs les actions réalisées par le programme malicieux.
Un antivirus doit vous protéger où que vous soyez :
• Encryption des données : en cas de perte de votre ordinateur, l’encryption de vos données est primordiale. Certaines solutions antivirus peuvent complémenter des solutions déjà présentes dans Windows ou MAC OS X.
• Gestionnaires de mots de passe : des solutions antivirus peuvent intégrer des modules de gestion des mots de passe afin d’aider vos usagers à utiliser des mots de passe complexes en toute sécurité.
• Contrôle et destruction à distance : en cas de perte d’un ordinateur il peut être pratique de détruire son contenu à distance, de le situer sur une carte, d'activer sa caméra.
• Console de gestion antivirus « cloud » : il est important de conserver une visibilité sur la sécurité de vos ordinateurs présents en dehors des limites de votre réseau interne. L’utilisation d’une console de gestion antivirus dans le « cloud » vous apporte la garantie que vos ordinateurs sont protégés avec des signatures antivirus et des configurations à jour quelque soit leurs localisations: à l’hôtel, au bureau, etc.
• Gestion des vulnérabilités et patching : Certaines solutions antivirus peuvent vous aider à patcher les logiciels vulnérables installés sur vos ordinateurs.
Vous l’avez compris, l'antivirus idéal devrait avoir toutes les caractéristiques présentées ci-dessus, mais un tel antivirus n'existe malheureusement pas.
Dès lors, il vous faudra choisir l'antivirus vous proposant le plus de mécanismes de protections possibles à un prix qui soit acceptable par votre entreprise.
Si vous ne trouvez pas l'antivirus parfait, essayez de combiner plusieurs antivirus ensemble afin d'obtenir les fonctionnalités requises (attention aux compatibilités!). Cela peut coûter cher, mais vaut grandement la peine pour sécuriser les ordinateurs de vos usagers « VIP ».
Pour finir cet article, nous souhaitons vous rappeler qu'une solution « magique », 100% sécurisante et déployable en 3 jours sur 10 000+ systèmes n’existe pas à ce jour. Le choix d’une solution antivirus et sa configuration doit être le fruit d’une réflexion approfondie.
Des questions concernant cet article?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
graphe ici.