Encore un nouveau (sorti il y a quelques mois) programme de protection système, ou HIPS, qui se montre assez intéressant
: Dynamic Security Agent, édité par Privacyware.
http://www.privacyware.com/dynamic_security_agent.html
Le but est de se protéger de malwares qui ne seraient pas reconnus par l'antivirus, de compléter son travail en assurant une protection contre les menaces de type "zero-day" : Il n'y a aucune base de signature utilisée ici, le programme permet de bloquer les malwares en détectant simplement les "anomalies-système". Il se classe donc parmi les Process Guard, Online Armor, CyberHawk, AppDefend, System Safety Monitor, et consorts.
Ah!!
Au fait, il est
gratuit .
L'interface est extrêmement simplifiée :
L'onglet Process Detection :
Les processus listés ici sont ceux qui sont "autorisés" à se lancer, et la liste en est établie pendant que le programme est en mode "apprentissage",après son installation; la durée peut en être ajustée, ou ce mode peut être suspendu. Une fois le mode apprentissage quitté, tout nouveau processus déclenche une alerte :
Cela permet d'empêcher tout malware de se lancer, si tant est qu'ils 'agisse d'un exécutable
. C'est déjà beaucoup!
Mais Dynamic Security Agent dispose d'autres ressources, pour assurer la protection du système. Une fois un processus lancé, il doit passer d'autres "barrières", par exemple le programme comporte un module d'analyse des connexions :
Ainsi, tout programme fraîchement autorisé à se lancer ne pourra pas accèder librement au réseau, DSA peut l'en empêcher.
Il dispose aussi d'un module d'analyse comportementale de l'activité courrier, pouvant détecter un nombre anormal d'envoi de mails, pouvant révéler la présence d'un ver, par ex.
Le plus curieux est son module de "détection d'anomalie système", analysant les statistiques d'utilisation des ressources par les différents processus du système, pour pouvoir signaler en as d'activité inhabituelle :
A vrai dire, je suis un peu circonspect quant à l'efficacité réelle de cette protection
, je l'ai désactivée pour l'instant.
Enfn, d'autres paramètres ne sont pas accessibles dans l'interface, mais sont couverts par DSA : Protection des clés Run dans le registre, contrôle des créations/modifications de services, accès à des objets système sensibles, etc.
Voulant évaluer un peu son efficacité pratique, je lui ai soumis différents malwares :
Note : Tous ces tests peuvent être considérés comme
réussis, dans la mesure où il est possible (et fortement conseillé
) d'empêcher tous ces différents malwares de se lancer; avec DSA, il faut expréssément autoriser à se lancer tous les processus qui ne sont pas dans la "liste autorisée". A défaut, DSA leur interdit alors de s'exécuter. (
cf la 3ème image
supra).
Ici j'ai laissé les différents malwares s'exécuter, pour voir un peu de quelle manière il pouvait les identifier comme malicieux, et comment il réagissait lorsque ceux-ci sont
déjà lancés.
* Test avec un
rootkit : DSA s'en sort haut-la-main, en détectant la création du service requis par le rootkit. Une fois pressé Block, le rootkit est tué avant d'avoir pu lancer son service, et donc de pouvoir cacher des fichiers
* Test avec un
keylogger : Ici DSA échoue, si tant est que le keylogger est autorisé à se lancer bien sûr :
Bon, ç'est un keylogger, assez vicieux d'ailleurs, DSA doit avoir plus de succès avec d'autres...
* Test avec quelques
Vers :
DSA n'empêche pas ceux-ci de créér des fichiers dans les répertoires système, mais empêche cependant les vers d'accéder à ces fichiers qu'ils ont eux-même créés!
Wormray
(Celui-ci est en outre empêché de s'inscrire au démarrage de l'ordinateur).
Lovesan
* Avec un
troyen :
* Enfin, avec un
spyware :
EDIT : Voir en dessous pour le spyware.
[strike]Je suis déçu, celui que j'ai testé ici n'a pas été bloqué.
En installant une application bidon, qui installe EDG-access, DSA n'a pas du tout détecté la création, puis le lancement de ce rootkit
Pour preuve, on le voit caracoler dans Icesword[/strike] :
[strike]Bon, bilan mitigé, mais n'oublions pas que j'ai volontairement laissé ici le fichier de test initial s'exécuter, ce qui modère quand même la critique. Et j'ai peut-être pas non plus choisi l'exemple le plus commode, Lol[/strike].
Me reste à tester la protection contre les "drive-by-downloads", puisque la description du programme sur son site en parle comme une des caractéristiques. Je le ferai plus tard