Index des protections

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 84469
Inscription : 10 sept. 2005 13:57
Contact :

Index des protections

Message par Malekal_morte » 27 août 2009 16:55

Tout comme il existe un Index des menaces et programmes malveillants/Malwares, l'index des protections a pour but de regrouper les technologies ou notions utilisés par les solutions de sécurités afin d'y voir plus clair.
Lorsque vous consultez un tableau comparatif des composants d'un antivirus ou suite de sécurité, vous pouvez vous reporter à cette page afin de mieux comprendre.

Pour chaque protection, une étiquette "Niveau de connaissance", il faut bien comprendre que si pour certains utilisateurs certaines solutions peuvent s'avérer efficace, ces solutions ne peuvent pas être mises entre toutes les mains. On ne peux pas installer un Firewall (ou un HIPS) qui demande des accès à des processus à un utilisateur néophyte, ce dernier risque de faire pire que les malwares (blocage de certaines composants de Windows voir crash du système).

Faible = Tous les utilisateurs
Moyen = Néophytes+
Avancé = Utilisateurs avancés

C'est bien pour cela quand on choisit une solution de sécurité, il faut prendre en compte le niveau des connaissances des utilisateurs. (Il faut aussi prendre en compte les activités sur internet, il est complètement stupide de coller une suite de sécurité qui incorpore un HIPS lourde et compliqué, si l'utilisateur se contente de lire des emails et surfer 30min par jour).

Vous devez aussi prendre en compte que la solution choisit ne fait pas tout.... votre attitude (vos habitudes sur internet, naïveté, capacité de critiques etc) joue. Ce n'est pas en collant toutes les solutions de sécurité ci-dessous que vous allez obligatoirement amélioéré la sécurité de votre Windows. Lire la page : La sécurité de son Windows, c'est quoi, du vent ?.

Scanneur : scanne l'intégralité du disque dur (éventuellement processus et registre Windows) afin de détecter des malwares. Les scanneurs peuvent inclure aussi le scan rootkit (voir aussi : les-anti-rootkit-scanner-rootkit-t796.html).

Niveau de connaissance : faible

Image

Guard / Protection en temps réel / Scanneur en temps réel : La protection en temps réel est un module de l'antivirus qui scanne les fichiers que vous tentez d'ouvrir, télécharger ou contenus dans un répertoire que vous consultez. Certains Protection en temps réel/Guard scanne aussi les processus en mémoire à la recherche de processus malveillant (et éventuellement les modules sous forme de .dll chargés par ces processus mais c'est plus rare). Le Guard utilise la définition virale de l'antivirus pour déterminer si un fichier est un malware ou non. Si le guard rencontre un malware inconnus (aucune détection pour ce malware), aucune alerte ne sera faite.

Niveau de connaissance : faible

Image

Webguard (ou bouclier Web) : C'est le guard mais au niveau des connexions WEB (HTTP), c'est à dire que le guard va regarder les connexions WEB établies. Si une adresse est connue pour être une adresse WEB malicieuse, une alerte sera donnée et la connexion à la page sera interdite (403). Un WebGuard efficace est capable de bloquer les connexions WEB venant de n'importe quel processus afin de bloquer tout téléchargement de malwares, cela peut permettre d'empécher les malwares de se mettre à jour qui a pour but d'échapper aux détections (si un malware se met à jour tous les jours et que l'éditeur de l'antivirus met 2 jours pour ajotuer la détection, le malware ne sera jamais détecté). Le WebGuard peut aussi permettre de bloquer la connexion au centre de contrôle quand ce dernier est en HTTP. Le WebGuard a surtout pour but de protéger contre les exploits sur des sites WEB.

Niveau de connaissance : faible

Exemple d'une page malicieuse bloquée :
Image
Image

MailGuard : Module scannant les mails entrants et sortants. Le but est de détecter des éléments infectieux lors du téléchargement du mail et de les supprimer (ou bloquer l'accès) sur le client Mail afin que l'utilisateur ne puisse infecter son Windows. Les mails sont toujours vecteurs d'infectieux mais moins que lors des grandes épidémies de 2004 - notamment l'utilisateur de pièce jointes est beaucoup moins fréquentes (même s'il y a tjrs des campagnes Zbot)

Généralement, les mails contiennent maintenant des liens soit vers un fichiers infectieux (exemple e-card, soit une page contenant des exploits sur des sites WEB , soit social engineering exemple Trojan.Exchanger. Le MailGuard ne peux protéger de ces infections (sauf s'il reconnaît le contenu du mail comme étant infectieux mais la majorité des MailGuard se contente de détecter les pièces jointes infectieuses).

Les dossiers sur les infections par email : Niveau de connaissance : faible

Programmes Updater / Mise à jour logiciels : Update Notifier est un programme qui liste les programmes non à jour installés sur votre système. Update Notifier vous donne les liens vers les pages de mise à jour de vos logiciels pour que vous pussiez l'installer. Les logiciels non à jour peuvent contenir des vulnérabilités qui peuvent permettre l'installation d'infections sur votre système de manière automatique via des Exploitations de failles sur des sites WEB (exemple avec exploitation SWF/PDF et Java).

Notez que l'antivirus Avast! offre justement cette fonctionnalité avec le Software Updater :

Image

Liens utiles : Logiciels pour maintenir ses programmes à jour

Niveau de connaissance : faible

Programmes Anti-Spam : permet de filtrer les courriers indésirables afin de faire gagner du temps.
Dossier sur les SPAMS/Pourriels : Les SPAMs/Pourriels. Exemple : SpamPal

Niveau de connaissance : faible

UAC : l'UAC (User Access Control - en français Contrôle de comptes utilisateur) est un composant ajouté depuis la version Windows Vista, il permet d’empêcher un utilisateur de tourner avec les droits administrateurs et donc de modifier le système. Cela accru de manière significative la sécurité du Windows empêchant notamment l'installation de malware via des exploits sur des sites WEB. Une page sur le forum est consacré à l'UAC : uac-pourquoi-pas-desactiver-t20646.html Niveau de connaissance : faible - mais il faut comprendre à quoi il sert.

Contrôle parental : Permet de bloquer l'accès aux sites selon certaines catégories (violence, sexe etc.).
Certaines suite de sécurité incorporent des contrôles parentales. Sachez aussi que Windows depuis sa version Vista en possède aussi un (voir dans le panneau de configuration). Quelques contrôle parentaux sont disponibles aussi sur cette page : liste-des-controles-parentaux-t3364.html

Niveau de connaissance : moyen

Pare-feu/Firewall : Un pare-feu/Firewall est un composant réseau qui permet de filtrer les connexions (en général entrantes et sortantes). Sous Windows, on autorise telles ou telles application à se connecter à internet.
Le but étant de ne pas donner la possibilité aux applications non approuvées (et donc les malwares), la possibilité de se connecter à internet soit pour télécharger des malwares supplémentaires, envoyer des informations ou données pour les stealers, soit pour se connecter au centre de contrôle à partir duquel le pirate peut contrôler la machine (notion de Botnets / Zombies). Niveau des connaissances : Dans le cas d'un pare-feu/Firewall supplémentaire (Zone Alarm, Outpost, Comodo, Online Armor) avancé. Le pare-feu de Windows XP et Vista/Seven peut s'avérer suffisant pour un néophyte.

IDS/HIPS : sous Windows les IDS/HIPS permettent de contrôler l'exécution des processus et les modifications de certaines éléments sensibles du système (Registre Windows, Création de Services, ajout de Drivers, BHO, etc.).
Il est possible de contrôler l'exécution de nouveau processus et donc dans le cas d'un processus suspicieux de bloquer son exécution. De plus en plus de solution de sécurité (Kaspersky, COMODO, A-Squared) incorporent des HIPS en plus des détections classiques comme solution face à la multiplication des menaces, l'HIPS donnant la possibilité à l'utilisateur de bloquer un malware inconnu (qui n'a pas de détection antivirus).

Niveau des connaissances : avancé - déconseillé aux néophytes.
Niveau des connaissances : Moyenne dans le cas du pare-feu de Windows
Avancé pour la majorité des firewall tiers (Outpost, ZoneAlarm etc.).

Exemple d'alerte d'un HIPS :
Image

Fichiers HOSTS : permet un filtrage des connexions via le fichier HOSTS de Windows. Le filtrage se fait sur une liste qui doit être régulièrement mise à jour, l'efficace est donc moyenne. Le filtrage peut aussi se faire dans un but néfaste (blocage d'accès au site des antivirus par exemple) par les malwares. La gestion du fichiers HOSTS peut se faire par des programmes, par exemple HOSTS Manager https://www.malekal.com/tutorial_HOSTS_Manager.php

Niveau des connaissances : moyen

Fix : Dans le monde des malwares, c'est un programme écrit pour désinfecter Windows, les fix visent en général des infections particulières, j'entends certains familles d'infections (bien que certains fix peuvent viser de multiples infections différentes). Il ne sert donc à rien de passer un fix à l'aveugle ou pour un utilisateur néophyte puisqu'il faut au préalable déterminer le type d'infection pour passer le "bon" fix.

Niveau des connaissances : avancé.

Liens internes:
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Répondre

Revenir vers « Papiers / Articles »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité