Ce n'est pas un retour à l'enfance que je vous propose, mais une nouvelle façon d'envisager la sécurité du poste de travail. En effet, les solutions de protection actuelles, si elles n'ont pas montrées leurs incompétences, n'ont pas non plus éblouies par leurs performances en matière de sécurité. Pourquoi, tout simplement, car ces solutions font appels pour travailler à une base de signature, qui par définition, si elle est même mis à jour toutes les 6 heures, sera toujours en retard sur l'actualité. Je sais, vous me direz, maintenant, ces solutions ont aussi un moteur heuristique... Simple saupoudrage marketing, ou effet cosmétique... Comme vous l'avez vu dans nos précédents messages, ce n'est presque que de la poudre aux yeux.
Alors, me direz vous on ne peut pas protéger efficacement un pc ? Oh, que si, la solution existe, elle existait même avant les solutions de sécurité, il s'agit de contrôler tous les processus permis à l'exécution, et son petit nom est " Host Intrusion Detection System " ou HIDS. Seulement voilà, si c'est la panacée, cette solution est aussi très difficile à mettre en place, car avoir idée de tous les processus d'une machine est couteux en énergie et en temps. Alors c'est pas possible de sécuriser un pc ? A 100% non, par contre, des nouveaux produits commencent à apparaitre sur le marché qui partent du constat suivant : " comme une grande partie des attaques proviennent du web, et que la virtualisation est à la mode, virtualisons le navigateur ". Eh oui, c'est une très bonne idée, tout ce que l'utilisateur fera sur le web, sera dans une fenêtre virtuelle avec aucune interaction avec le système. Cette technologie d'abord poussée par des start-up, a été adoptée par les ténors de la sécurité qui ont sorti, ou vont sortir un produit de ce type. Mais me direz vous, toutes les attaques ne proviennent pas seulement du web, mais aussi des mails, des vers (exploit d'une vulnérabilité système ou d'un logiciel). Alors votre virtualisation du navigateur cela ne sert pas pour ce type d'attaque ? C'est vrai, et c'est pour cela, que des produits de virtualisation du système entier commencent à bourgeonner. L'intérêt est, que quel que soit les manipulations faites par l'utilisateur, elles seront " effacées " au prochain reboot. Ces techniques pourraient être la fin des cauchemars des responsables micro. Pour la bonne bouche, et pour justifier mon titre, il n'y a pas que la virtualisation, mais aussi le bac à sable. Le résultat est le même, mais on peut par ce principe isoler un programme spécifique (par exemple, oh malheur, faire un test de comportement d'un virus, ou un programme serbo croate qui semblait intéressant, mais qui n'offre pas toute la confiance nécessaire...). Il existe un programme pour faire cela dont la version gratuite est déjà assez élaborée, il s'agit de sandboxie. Ce n'est pas (encore)un programme permettant de gérer la sécurité d'un parc, mais je vous conseille vivement de l'avoir. Nous reviendrons avec Christophe R. tout au long de l'année sur ces différentes techniques de protection.
_