Bon au bout du compte le webshield c'est useless, soit, ça fera plus de ressources pour le reste. Le pare-feu c'est useless aussi, soit, mais alors tu proposes quoi ?
Attention pour le pare feu, ce qui est inutil c'est de chercher à filtrer le sortant. Ce n'est en aucun cas ce qui permettra d'éviter une propagation ou une fuite de donnée, etc. car tout comme Comodo ici et d'autres, c'est contournable. Malheuresement le point est là, rien est fiable à 100 %.
Plutôt que rester sur l'idée, il y a un trou, trouvons comment le boucher et ce ainsi de suite à chaque nouvelle découverte, il suffit d'aller au plus simple. Soit avec des outils qui signaleront quelque chose d'anormal sur le fonctionnement classique du poste, c'est la que les HIDS sont plutôt interressant mais peu existe pour l'instant ou sont réellement peu performant. C'est d'ailleurs la dessus que les auteurs de sécurité devraient travailler. Soit en étant plus intelligent et en trouvant comment être averti rapidement d'un souci, et d'utiliser un hameçon.
C'est là que je remets en avant l'utilisation du firewall de Windows, première cible de toute attaque en général et de fait meilleur système d'alarme de votre poste.
Il gère très bien son role, interdire l'entrant, et si de toute façon s'il tombe à cause d'un programme sur votre poste, c'est qu'il est déjà trop tard de toute façon.
J'en parlais à Vigen il y a peu, contourner un filtrage sortant ce n'est pas bien compliqué, il suffit de passer par un tuyaux déjà ouvert. Normalement je ferais un autre script pour le démontrer.
Aussi pour montrer la "puissance" du pare feu de base, il suffit de regarder les concours de hack qu'on a frequement pour tester les differentss navigateur ou plateforme en terme de sécurité, ils ne cherchent pas trop à s'occuper du parefeu, ça serait une perte de temps.
Les antivirus sont très inconstants actuellement, les détections comportementales ne font sûrement pas tout non plus.
Il nous reste defensewall et sandboxie...
Les sandbox sont contournables, c'est plus complexe mais le plus simple reste d'utiliser l'utilisateur (fiou ste phrase xD).
Cad, tu detectes la sandbox et tu fermes l'appli. Réaction simple de l'utilisateur, il va le sortir de la sandbox pensant qu'elle fait planter l'appli (ce qui arrive toujours quelques fois donc logique) et là, bingo.
Coté antivirus, je suis toujours dans le plus simple, le moins chiant et moins consommateur, panda cloud qui me suit depuis 2 ans. Franchement pour le nombre de menace recontrée / ans, cela ne vaut pas le coup de trop sacrifier ses performances. Qui plus est, si tu as une infection, généralement PCAV se coupe, il est facile à contourner, le firewall aussi, 2 alertes pour le prix d'une. Généralement tu lances un petit malwarebytes, tu redemares, et c'est fini. temps de l'opération max 20 min pour un incident potentiel tous les 39 du mois (testé et approuvé depuis 2 ans sur un minimum de 50 postes)
Hormis la réécriture complète de comodo il y a peut-être d'autres façons de régler ce problème.
De mémoire chez Emsisoft il avait été expliqué que ce script posait un double problème : celui de découvrir une faille, ce qui n'est jamais bon mais aussi que pour renforcer ce genre de protection il fallait réécrire une partie du code et cela risquait de poser de sérieux problèmes de compatibilité avec certaines applications.
En l'état, le plus simple est de brider les accès des applications en liste blanche (pour ce qui concerne de la faille la dessus). Pourquoi un navigateur internet peut lancer une application ou tuer un processus ? .... Déjà avec ça on peut reduire les dégats. Mais si l'on veut rester dans cette optique, il faut juste oublié l'idée qu'un processus peut être sûr, cela n'existe pas.
N'importe quel pare-feu, y compris celui de windows, bloque les acces extérieurs. Et ta box le fait aussi.
Attention par contre pour la box, uniquement en ipv4, en ipv6 on est directement connecté à internet. Bon, rare sont encore ceux qui l'utilisent (même moi je ne l'ai pas encore activé) mais bon, c'est ammené à devenir la norme donc bon, il faut juste le préciser au cas où.
Ce message a été modifié par Shaoran - 26 novembre 2012 - 21:47 .