On pense souvent que les protections antivirus se basent sur la détection par signatures. Cependant, la détection de programmes malveillants n’est qu’une pièce du puzzle. En fait le système de détection par signatures, basé sur le modèle des listes de refus, est la pièce la moins importante du puzzle. D’un autre côté, il y a les listes d’autorisation, les autorisations de logiciels fiables ou interdictions de logiciels malveillants.
Qu’est-ce que la liste de refus ?
Permettez-moi de passer par le prisme de la technologie de Kaspersky pour vous l’expliquer : le Kaspersky Security Network (KSN). Quand les utilisateurs installent certains des produits de Kaspersky Lab, on leur propose de rejoindre le KSN. S’ils acceptent, ils deviennent partie intégrante d’une infrastructure qui traite les informations reliées à la sécurité informatique.
Par exemple, si un nouveau type de malware infecte l’ordinateur d’un membre du KSN en Inde,
Kaspersky Lab va créer une signature spécialement pour ce malware et va l’ajouter à la base de données pour qu’aucun autre utilisateur ne soit infecté.
Pour résumer, voici comment marchent les listes de refus : nous répertorions tous les programmes malveillants dans le but de les tenir éloignés de nos ordinateurs. Ce système fonctionne bien quand il est efficace à 99,9% et qu’il existait seulement 10 000 nouvelles familles de logiciels malveillants par an, mais ce n’est pas suffisant quand il est efficace à 99,9% quand il y a désormais 10 000 000 de nouvelles familles de malwares qui émergent chaque année.
Qu’est-ce que la liste d’autorisation ?
Je vais de nouveau utiliser la technologie et la terminologie de Kaspersky Lab pour illustrer le fonctionnement des listes d’autorisation. Dans ce cas, nous parlons de quelque chose qu’à Kaspersky Lab on appelle » Déni par défaut « . Ce principe implique qu’un antivirus bloque toutes les applications et tous les logiciels par défaut sauf s’ils ont été autorisés au préalable par l’administrateur. La liste d’autorisation contient donc toutes les applications autorisées.
Le problème est que ce système de liste d’autorisation est principalement utilisé dans le milieu corporatif, au sein duquel la hiérarchie possède plus de pouvoir que nécessaire. Il est relativement facile de dire que certaines applications sont indispensables pour travailler et ignorer toutes les autres. Cependant, il est probable que, dans le monde de l’entreprise, la liste d’applications autorisées ne soit quasiment jamais actualisée. Au niveau des consommateurs, certains pièges sont évidents, ce qui signifie qu’il est difficile de déterminer les envies ou les besoins des consommateurs à un moment donné.
Le déni par défaut via les applications fiables
Bien sûr, nos amis chercheurs de Kaspersky Lab ont trouvé le moyen d’appliquer les principes du déni par défaut à l’ensemble des consommateurs grâce à la technologie » Applications fiables « . En substance, les applications fiables sont répertoriées dans une liste d’autorisation qui s’actualise automatiquement à l’aide d’un ensemble de critères établis grâce à la base de données KSN.
#Allowlisting and smooth workflow: do they contradict each other? https://t.co/CzVUzrWSFf
— Eugene Kaspersky (@e_kaspersky) 10 Octobre 2014
En d’autres termes, notre liste d’autorisation dynamique et destinée aux consommateurs est une base de données approfondie et constamment actualisée, regroupant toutes les applications existantes. Cette base de données rassemble des informations sur pratiquement un milliard de fichiers, et couvre la grande majorité des applications populaires, comme les navigateurs, les visionneuses d’images et bien d’autres.
En utilisant les données de presque 450 collaborateurs, dont la plupart travaillent dans le développement de softwares, il est plus facile d’éviter les fausses alertes aux virus, car cela nous permet de connaître le contenu des mises à jours des fabricants avant même que celles-ci n’aient lieu.
La chaîne de la confiance
Mais qu’en est-il des applications que l’on ne connaît pas ? Certaines applications et procédés engendrent de nouvelles applications et il est impossible d’établir une liste d’autorisation qui tienne compte de ces constants changements. Par exemple, pour télécharger la mise à jour, il se peut que le programme doive lancer un module spécial, qui se connectera au serveur du fabricant de softwares et télécharge une nouvelle version du programme. En effet, le module de mise à jour est une nouvelle application crée par le programme d’origine et il se peut qu’on ne retrouve pas sa trace dans la base de donnée de la liste d’autorisation. Cependant, étant donné que l’application a été créé et lancée par un programme fiable, elle est censée l’être aussi. C’est cela que l’on appelle » la chaîne de la confiance « .
La liste d’autorisation implique l’autorisation de programmes #fiables et non pas le blocage de contenu #malveillant.
Tweet
De la même manière, si une nouvelle mise à jour se télécharge automatiquement et qu’elle est diffère de l’ancienne application et que la liste d’autorisation ne la reconnaît pas, elle peut être autorisé via la vérification de la signature ou de son certificat numérique. Un troisième module de sécurité intégrée peut se déclencher si un changement inattendu survient sur une application sans signature. Dans ce cas, la chaîne de la confiance peut analyser le domaine téléchargé en le comparant à une liste de domaines de confiance, qui appartient en général à des vendeurs de logiciels réputés. Si un domaine est fiable, alors la nouvelle application l’est aussi. Si un domaine est connu pour avoir distribué des malwares à un moment donné, il est retiré de la chaîne de confiance.
Et le meilleur pour la fin
Comme vous devez le savoir, les pirates sont au courant de presque tout ce que l’on peut faire pour se protéger. Cela est dû en partie au fait qu’ils adorent chercher les vulnérabilités présentes dans les programmes populaires, afin de les exploiter et de contourner les protections décrites ci-dessus, en lançant des actions malicieuses à partir de programmes fiables.
Pour lutter contre cela, nos chercheurs ont développé un système connu comme le » couloir de la sécurité « . Le couloir de la sécurité vient en complément de la liste d’autorisation dynamique et fait en sorte que les applications et les programmes autorisés exécutent seulement les tâches qu’ils sont censés exécuter.
« Par exemple, la logique d’un navigateur est normalement d’afficher les pages Web et les fichiers téléchargés » a expliqué Andrey Ladikov de l’équipe de recherche de Kaspersky Lab spécialisée en listes d’autorisation et infrastructures Cloud. « Les actions telles que changer les fichiers système ou les secteurs du disque sont étrangères au navigateur. Un éditeur de texte est conçu pour ouvrir et sauvegarder des documents sur un disque, mais pas pour sauvegarder de nouvelles applications sur un disque ou les lancer ». Ainsi, si votre application de dessin préférée commence à utiliser votre micro, l’application sera signalée.
Quels sont les ordinateurs protégés ?
La technologie de la liste d’autorisation dynamique n’est pas disponible pour tous. Seuls les utilisateurs de
Kaspersky Internet Security, Kaspersky Internet Security Multi-Device et Kaspersky Pure peuvent profiter de ce niveau de protection.
Lectures supplémentaires
Nos amis chercheurs n’ont pas écrit un, ni deux mais trois articles sur la science des listes d’autorisation. Cliquez sur les liens pour en savoir davantage.