Les idées reçues en sécurité logicielle


Libellules© Publié le 21/01/2008

Une petite compilation d'idées reçues, fausses ou inexactes, concernant la sécurité logicielle au sens large, et trop répandues. A force de les lire, l'habitude ou l'inertie prennent le dessus et la critique s'émousse. Si cela tord le cou violemment à une de vos convictions, vos remarques sont bienvenues sur le forum.

 

 

Avec les protections que j'ai mis en place, je ne crains rien.

Faux (hélas). On trouve toujours plus malin, et parfois c'est un petit programme qui vous incitera à l'installer. La plupart des infections ne se chargent pas automatiquement en mémoire, leur activation est souvent mise en oeuvre... par l'utilisateur. Les malwares se déguisent par exemple en  logiciel de sécurité (on appelle cela les rogues) ou en programme attirant (crack, keygenerator, photos "prometteuses", etc...). Restez critique, la protection et l'infection, c'est la lance et le bouclier, on épaissit le blindage des deux côtés, mais jamais au même rythme... prudence donc, car le principe du cheval de Troie reste valable : le malware se débrouille pour que vous lui ouvriez la porte de votre PC, et que vous l'exécutiez vous-même.

 

2 antivirus ensemble jamais.

Oui et non. Il ne faut pas faire cohabiter deux logiciels résidents (avec un module chargé en mémoire) dévolus aux mêmes tâches. Deux modules de scan d'arrière plan d'antivirus : non. Un antivirus résident + un antivirus non-résident : possible. Intéressant, ça c'est une autre question. D'ordinaire ça ne l'est pas.

Ceci est valable pour les autres protections résidentes, antispywares par exemple, le principe est simple : un seul logiciel résident par fonction, et autant de logiciels non résidents que vous voulez (à utiliser comme simples scanneurs à la demande). Attention à l'empilement des logiciels de sécurité résidents, qui peut être contre productif et gourmand en ressources. Passez aussi par des programmes à lancer au coup par coup, sinon votre budget ressources risque d'être avalé par les protections.

 

Protéger la machine consomme beaucoup de ressources.

Pas nécessairement. L'empilage de logiciels résidents charge la mémoire inutilement, certains programmes utilisés à la demande peuvent s'avérer aussi efficaces, mais on oublie trop souvent l'importance de simples réglages de Windows (désactiver certains services ou un composant à risque), ce qui ne consomme absolument rien, n'est à faire qu'une fois, et peut même vous faire gagner des ressources. N'oubliez pas certaines protections non résidentes comme le fichier hosts.

 

Le scan POP3 des antivirus : indispensable.

Faux. L'email est un vecteur de diffusion de virus et autres très utilisé, partant de ce constat, les éditeurs suivent et proposent des solutions dédiées. Un scan pop3 (le protocole qui rapatrie les mails) écoute les ports de communication concernés (110 par défaut, pour la réception). Quand quelque chose passe dans ce canal de communication, il avertit dès qu'il identifie une menace. L'utilisateur gagne du temps : le nuisible est bloqué tout de suite, avant même que le mail ne se trouve dans votre client mail.

Si on se place du côté de l'utilisateur, et non du côté technique et théorique, cela rassure de savoir que l'on a quelque chose en plus.

En revanche, sans ce module dédié, le module résident de l'antivirus, correctement paramétré, réagira dès que l'utilisateur se place dans une situation vulnérable : toucher à une pièce jointe infectée, essayer de la télécharger sur le bureau ou de l'ouvrir directement. Vous êtes protégé. Seul ce qui vous menace concrètement et réellement est intercepté, au moment critique. Bien sûr votre module résident doit être configuré pour scanner les fichiers sur lecteur et écriture/création.

Pour faire un test, vous pouvez vous rendre sur ce site : http://www.gfi.com/emailsecuritytest/. Voyez si votre antivirus réagit bien.

 

Une config sécurité béton me dispense de mises à jour de Windows.

Faux. Même un pare-feu optimalement configuré protège Windows, certes, mais qui protège le pare-feu ? Il peut avoir des failles de sécurité exploitables par du code malveillant présent sur des pages web piégées, pages qui peuvent aussi accéder avec la bénédiction du pare-feu aux failles non corrigées de votre OS via le navigateur. Mettez à jour tout la logithèque ayant accès à internet (OS, navigateurs, clients mail, lecteurs PDF, lecteurs musicaux et vidéo, etc...), et surtout configurez bien votre pare-feu, sinon il ne sert à rien. N'oubliez pas, l'infection, nous la faisons entrer nous-mêmes.

 

Le logiciel HijackThis permet forcément de détecter une infection.

Faux. HijackThis ne fait pas tout et ne voit pas tout, ce qui ne retire rien à ses qualités, mais les infections de type rootkits par exemple, dont les fichiers sont dissimulés à l'OS lui-même ne seront pas visibles, et les drivers utilisés non plus. D'autres outils, comme DiagHelp, permettent de compléter le diagnostic de HijackThis. Enfin, les outils de nettoyage embarquent des modules de diagnostic, mais très spécialisés, ce n'est pas la même catégorie de programmes.

 

Il y a des analyseurs de rapports HijackThis en ligne, plus besoin de demander sur un forum.

Faux. Ces analyseurs reposent sur des bases de données qui ne sont pas forcément aussi récentes que le contenu de votre rapport, et tout ce qui est listé comme supprimable n'est pas forcément à effacer. Certaines lignes indiquant "file missing" sont parfaitement légitimes, et parfois nécessaires, HijackThis peut parfois oublier quelques fichiers. Désinfecter, c'est ne supprimer que ce qui est nuisible sur votre machine. Un humain qualifié procèdera à l'interprétation du rapport, et pourra prendre les décisions là où l'analyseur laisse des vides ou ne tranche pas. Une pensée pour les développeurs, qui font tout leur possible, mais se trouvent face à de nouvelles variantes parfois destinées à tromper les outils. Ne leur jetons pas la pierre.

 

Ad-Aware Personal + Spybot Search and Destroy + Avast home : c'est le top.

Ce le fut. Au début des années 2000, ad-aware et Spybot Search and Destroy étaient presque les seuls logiciels à traiter les malwares. A cette époque le choix était vite fait. Les malwares ont beaucoup évolué depuis, mais ces deux logiciels ne l'ont fait aussi vite. Sans rien retirer à leurs qualités, on constate qu'ils demeurent inadaptés face aux dernières menaces (comme d'autres programmes, d'ailleurs). Le public, guidé par l'habitude et des dossiers maintenant dépassés, a pris néanmoins l'habitude de les considérer comme références, et s'y est habitué.

Leur principal manque est de ne pas proposer de réel module temps réel pour la surveillance de la machine. Ad-aware ne le propose que dans sa version payante, et les modules de Spybot ne sont pas généralistes et ne ciblent que certaines zones du système ou de la base de registre. Ce sont des logiciels qu'il ne faut pas pour autant désinstaller, mais qui devraient s'intégrer à une configuration de sécurité en tant que programmes secondaires et comme logiciel de scan à la demande, leur fonction première.

Avast édition familiale (version gratuite), souvent encensé, est depuis un moment en retard sur la prise en compte de certains parasites, notamment les infections MSN/WLM. Ce n'est pas un mauvais produit, loin de là, mais dans le secteur des antivirus gratuits, actuellement l'alternative (plus réactive) existe : antivir. (voir forum et les tests de Malekal.com).

 

Mettre à jour un lecteur PDF pour la sécurité, c'est de l'intox.

Hélas non, et pas seulement pour les lecteurs PDF. Un fichier piégé sur le net (sur un site, ou diffusé par mail, p2p, etc.) plantera le logiciel et pourra exploiter une faille pour infecter une machine, donc potentiellement faire ce qu'il veut. Même certains lecteurs multimédia ont été exploités de la sorte. Mettez tout à jour, rapidement, des programmes comme PSI, de Secunia, ou son module en ligne sont là pour vous y aider (testé sur le blog).

 

J'ai un routeur, je n'ai pas besoin d'un firewall logiciel.

Inexact. La plupart des routeurs destinés aux particuliers proposent de la redirection de ports NAT : Network Address Translation. Les modems type "box" le proposent également. Il s'agit de rediriger (ou non) des ports vers la/les machine(s) de votre choix sur un réseau. Si dans la pratique ce système permet de protéger une machine en n'autorisant que certains ports et en bloquant le reste, cela ne dispense pas de l'installation d'un pare-feu logiciel bidirectionnel, qui filtrera non seulement ce qui vient d'internet mais aussi ce qui y va depuis votre machine, ce qu'un routeur NAT ne fait pas. Le pare-feu basique intégré à Windows XP ne remplit pas cette fonction, celui de Vista le fait en revanche.

 

Pas besoin de me casser la tête, je peux me faire désinfecter gratos sur un forum.

Techniquement, c'est exact. Est-ce utile ou pratique ? Sur un forum qualifié proposant des conseils après une désinfection, une réinfection peut agacer. Les conseils donnés ne sont pas là pour ennuyer vos habitudes de surf, mais vous permettre de les conserver au maximum, parfois avec quelques concessions à faire, tout en surfant de manière sécurisée.


Bon, mais alors on désinfecte, fin de l'histoire.

Faux sur les forums sérieux. L'intervention n'y est pas que le traitement des symptômes, l'éradication de l'infection n'est qu'une partie d'un processus ; il faut prendre en compte également le nettoyage du disque des fichiers nuisibles (arrêter l'infection et la rendre inactive mais présente sous forme de fichiers passifs ne suffit pas), la remise en place de protections efficaces, l'apprentissage de la prévention des risques d'infection et la participation à la lutte anti malwares, par l'envoi de fichiers de nouvelles variantes et la remontée d'informations aux développeurs d'outils de sécurité.

 

Mon firewall me signale des demandes d'accès de mon pc vers mon pc, je suis infecté.

Pas nécessairement (ouf). Le firewall intercepte les demandes d'accès de certains programmes à la boucle locale (appelée aussi "zone sûre" par ZoneAlarm), soit votre propre machine. Cela peut prendre plusieurs noms, et en IP se traduire par 127.0.0.1, parfois 192.168.x.x ou encore localhost. Que se passe-t-il ? Un programme a besoin de communiquer avec ses différents modules au sein même de votre système, et cette communication se fait en TCP-IP. Pourquoi ? Parce que c'est un protocole bien pratique pour envoyer des données. Antivir, Boinc, et bien d'autres programmes parlent à leurs différents modules en TCP-IP pour envoyer et recevoir des données. Pas d'espionnage, ni de vol de données, tout cela reste local et ne sort pas de votre PC.

 

Les virus maintenant ne détruisent plus les fichiers.

Faux. Il est vrai que la plupart des malwares ont besoin de votre machine et préfèrent l'utiliser... détourner votre connexion internet, transformer votre pc en centre d'envoi de spams, d'attaque de DDOS (saturation de requêtes sur un serveur), mais on trouve encore, bien actifs, des parasites comme virut, qui infectent les fichiers exe, puis finissent par détruire le système lorsque ses fichiers sont touchés.

D'autres, plus rares heureusement, s'appellent les ransomwares. Le parasite crypte avec un bon gros code vos documents word et autres extensions bien utiles, et on vous demande un paiement pour décrypter tout ça. Rare, car il faut du monde derrière, mais cela existe. Faites des backups réguliers, sur plusieurs supports de préférence, de tout ce qui a de l'importance.

 

Pas besoin de me casser la tête, je peux reformater ou utiliser un ghost.

Mais si mais si. Le reformatage est à éviter pour plusieurs raisons. D'abord cela prend du temps, et la réinstallation des programmes est parfois longue, sans parler du simple paramétrage de l'OS et desdits logiciels. Par ailleurs, repasser à un système nu le rend vulnérable, si on ne fait pas attention, que l'on ne sécurise pas avant de relier la machine à internet, on prend plus de risques qu'autre chose.

Restaurer une image disque est une meilleure idée, qui évite de perdre du temps, en revanche, c'est une solution qui n'empêche pas nécessairement le problème qui a conduit à la restauration de se produire à nouveau.

 

 

J'ai un problème d'infection, vite, un nettoyeur de registre !

Les nettoyeurs de registre ne sont pas conçus pour cet usage. Réservez-les à leur usage principal : nettoyer les clés orphelines de la base de registre, si vous avez besoin de le faire. Cela peut entrer dans le cadre d'une désinfection, mais de manière secondaire, après avoir réglé les autres problèmes.

 

Les cookies sont classés comme des spywares, c'est une menace.

Pas toujours. Un cookie stocke des informations, c'est son travail. Il y a des cookies utiles, qui gardent en mémoire vos paramètres d'interface sur un site ou vos préférences, vous connectent automatiquement à un forum, etc... D'autres en revanche sont destinés à des fins de tracking, soit de la statistique sur vos habitudes de surf. Des régies publicitaires utilisent des cookies de la sorte. Cela ne constitue pas une menace pour votre machine, il n'y a pas infection, mais vos habitudes de surf entrent dans des modèles statistiques. Un filtre de cookies (on choisit ce que l'on garde, on efface le reste) peut régler la question.

 

Je surfe depuis un liveCD, lui même dans une machine virtuelle. Et toc !

Ha bon ? Dommage, car fort contraignant. :-)

Ce type de configuration extrême ne devrait rester que théorique pour un usage courant. Installez Linux à ce moment, ou paramétrez bien vos programmes, tout simplement. Sombrer dans la psychose est passer d'un extrême à un autre.

 

 

À lire également :


Les idées reçues dans le monde logiciel.




1997- 2021 Editions Libellules - Tous droits réservés