J'essaie depuis un jour ou deux GeSWall, un programme de type sandbox (isolation de certains programmes par rapport au reste du système) :
http://www.gentlesecurity.com/
A la manière de SandBoxie, par exemple, il confine les programmes qui sont les vecteurs privilégiés d'infection (navigateurs, Instant Messengers, clients mail, ou à peu près tout ce qui se connecte au Net), en les faisant tourner dans un environnement isolé du reste du système (fichiers systèmes, processus système, autres programmes, registre, etc).
Le résultat est que tout malware téléchargé par l'un de ces programmes est soumis lui aussi aux restrictions de la sandbox, et a donc beaucoup moins de chance d'infecter le système que dans une situation normale : L'accès des programmes tournant dans la sandbox aux programmes exterieurs est restreint à la lecture seule, par exemple lorsqu'un malware cherche à remplacer/modifier un fichier système, ou une clé/valeur du registre, ces objets sont "virtualizés", une copie en est crée, et seule cette copie subira les changements operés par le malware.
En outre, certaines modifications sont interdites : La création ou modification de services, la création de clé autorun...
Enfin le programme permet de créér une zone "confidentielle", à laquelle les programmes tournant dans la sandbox n'auront même pas accès en lecture. Il permet de soustraire des documents personnels à toute tentative de vol d'informations (par un cheval de Troie, par ex.), par exemple.
Le mode de fonctionnement peut sommairement se résumer ainsi :
Les programmes isolés...
* Ne peuvent PAS modifier les resources de confiance ("non-isolées"), fichiers, processus, etc. Mais peuvent les lire.
* Ne peuvent PAS lire ou modifier les resources confidentielles.
* Peuvent créér de nouvelles resources isolées.
* Peuvent lire ou modifier les resources déjà isolées.
Le pendant est que les applications de confiance (non-isolées) ne peuvent PAS charger d'exécutables "isolés" dans leur propre adresse mémoire.
L'interface utilise mmc, la console de gestion Windows, pour chosir entre 3 niveaux de sécurité :
Celui par défaut, medium, interroge l'utilisateur chaque fois qu'un programme est lancé par un programme "isolé", pour savoir s'il faut l'isoler lui-aussi ou non.
En temps normal, l'utilisateur n'est pas censé accéder à cette console, réservée à la configuration avancée du programme, il faut donc y accéder par l'entrée GeSWall dans le menu démarrer : l'icône de barre des tâches, elle, ne propose que de modifier des détails mineurs : Apparence du marquage des fenêtres des programmes "isolés", par exemple :
En effet, toutes les fenêtres des programmes "isolés" se signalent par une marque verte (par défaut), recouvrant leurs barres de titres, de manière cyclique :
Le but est d'identifier clairement, en un coup d'oeil, les programmes "isolés".
En pratique, le programme semble offrir une protection efficace avec ses réglages par défaut :
Un spyware récupéré en surfant avec IE provoque l'afficage d'une fenêtre, demandant si l'utilisateur désire lancer ce programme "isolé" ou non :
La cause en est que ce spyware a été lancé par Internet Explorer, qui est lui-même "isolé" du système : Donc tout ce qui provient d'IE est aussi isolé (à moins que l'utilisateur choisisse "NO", auquel cas le programme est lancé normalement; fortement déconseillé pour un spyware !
)
Ce spyware télécharge et installe un composant nuisible (edgaccess), lui aussi "isolé" : Résultat, le rootkit ne parvient pas à s'installer sur le système. GeSWall a empêché celui-ci d'effectuer certaines opérations, et quand bien même il fut téléchargé puis lancé, le malware est finalement inoffensif, puisque totalement inerte une fois tous les programmes "isolés" terminés
. Dans le log ci-dessous, on voit que certaines actions ont l'attribut "REDIRECT", ce qui signifient qu'elles furent virtualisées. D'autres furent interdites (DENY).
Idem avec SystemDoctor, qui lui ne parvient pas même à s'installer
(le dossier System Doctor dans Program Files reste désesperément vide, lol) :
Donc premier bilan : L'isolation semble
a priori effective. Il est possible de voir l'activité des programmes isolés en ouvrant la console GeSWall, puis les logs, qui journalisent l'activité de ces programmes (ici l'échec de l'installation edgaccess):
Concrètement, le programme prétend protéger contre les vers, virus, spyware, troyens, rootkits, keyloggers, etc. Je ne sais pas s'il est efficace contre absolument tout
- chaque programme a ses limites - mais il constitue un complément idéal à une solution classique, articulée autour d'un parefeu et antivirus : Il défend contre de nombreux malwares sans avoir à les reconnaître (indépendant de toute signatures), et permet de faire face aux menaces de type "zero-day", celles contre lesquelles les solutions classiques sont inefficaces, car ne disposant pas encore de signatures pour les identifier.
D'autant qu'il est
totalement gratuit
Il est très léger, à peine 12 Mo de RAM.
Pour le téléchargement, je vous conseille d'aller voir
ici Car le lien de téléchargement sur le site GentleSecurity ne marche pas en ce moment... Les autres sites ont souvent des versions périmées (l'actuelle est la 2.3.1), faites attention.