Salut Guardian
Pour ProSecurity, il s'agit en effet de la version Pro, et non de la gratuite. Cette dernière aurait eu des résultats nettement inférieurs à ceux de la version testée ici, car elle n'intégre pas la détection des tentatives de 'debugging at system level'. Or, comme c'est tout particulièremment cette protection qui a valu à Prosecurity sa 1ère place...
Euh, non, le prix ne me semble pas excessif du tout
: Quand on compare le prix d'un tel programme à celui d'un AV, il faut savoir que pour un AV, on achète un abonnement; généralemment 1 an, deux pour certains AV. Ici, on achète une licence pour le produit lui-même, qui fonctionnera encore dans 3,5 ans, avec la même licence
.
Surtout, pour la valeur ajoutée en terme de sécurité, ça n'est pas cher payé - ceci vaut pour ProSecurity, comme d'autres programmes comparables. Bie n entendu, la différence est moins nette aujourd'hui, puisque les AV se mettent à intégrer eux-même un composant de type HIPS (par ex McAfee SystemGuards
). Mais les solutions dédiées gardent cependant l'avantage, en général tout au moins.
Je pense que ProSecurity, encore comme simple exemple, est largement plus "costaud" que SystemGuards : Etant plus complet au niveau des protections (voir la page du site sur "features"), et implémenté de manière autonome (par ex si un malware arrive à "tuer" McAfee, la protection SystemGuard tombe avec. Ici, non (Prosecurity protège par le biais de son driver, c'est-à-dire que si un malware arrivait à tuer son processus, le programme continuerait de protéger le système, la différence étant simplement que l'interface ne tournerait plus, et ne pourrait poser les demandes d'autorisation, comme en circonstances normales - les règles de blocage définies s'appliqueront toujours, mais sans interface pour gérer les blocages).
Enfin pour faire simple, autant désactiver SystemGuards, si ProSecurity tourne en même temps, il offre une bien meilleure protection du système : Possibilité d'interdire le lancement d'un exécutable sorti de nulle part (ex drive-by-download et fichier droppé non détecté par l'AV), et si l'exécutable est lancé quand même, politique rigoureuse de restriction de l'accès au système : Va bloquer tout type de rootkit en les empêchant d'effectuer les opérations requises pour s'installer, par ex. Va empêcher un troyen d'espionner les mots de passe entrés dans des boîtes de dialogues, de modifier la mémoire de processus système, de s"ajouter au redémarrage, de copier leurs fichiers dans le répertoire système, etc-etc
Ce n'est qu'un faible résumé, car la variété de comportements qui peut être bloqué par un HIPS, de préférence un bon, est extrêmemment étendue.
Donc...pour enchaîner avec ta 2ème question, on peut très bien concevoir de se passer d'AV, avec une telle solution : Sachant que les malwares téléchargés ne parviendront pas à se lancer, ou s'il sont lancés, se verront opposer un "barrage" assez imposant pour intéragir avec le système, on est à la limite plus protégé que par un AV : Ici, peu importe que la menace soit connue ou inconnue, elle se verra "mettre des batons dans les roues" de la même manière en tentant de s'installer.
Seulement, il faut savoir se servir correctement du HIPS, pour ce faire
. Il est clair que ce type de solutions ne s'adresse pas au "grand public", mais plutôt à des utilisateurs "avancés".
Dans ce cadre, l'utilisateur ne saura pas "quelle" menace a tenté de s'installer (il faut... un scan AV), mais elle sera bloquée avec plus de chance que par un AV : Par ex menace de type "zero-day", non reconnue par l'AV à un moment donné.
Il arrive que les AV reconnaissent une menace, mais trop tard : Le fichier a déjà été exécuté, et c'est son activité qui a provoqué la détection. Dans ces cas là, souvent le malware a déjà commencé à s'installer, et à changer certains paramètres (je prends l'exemple le pire, un bon gros rootkit kernel-mode, allez hop
). Avec le HIPS, tu as l'occasion de l'empêcher de se lancer, donc de l'empêcher de faire le moindre domage...
Bon enfin voilà, ma réponse n'est pas très ordonnée, mais tes questions sont tellement vastes qu'on pourrait y répondre par plusieurs pages
.
ps : Certains HIPS ne fonctionnent pas du tout de la même manière que ProSecurity - pour reprendre celui que tu as cité. Et certains sont gratuits.