Antivirus et Anti-trojans
Maintenir à jour ses antivirus et anti-trojans
Le meilleur antivirus ? Le meilleur anti-trojans ? Oui, mais à condition de le maintenir à jour
Il ne sert strictement à rien d'avoir le meilleur antivirus et le meilleur anti-trojans si ceux-ci ont des bases de signatures de plus de 2 ou 3 jours (plus de quelques heures en ce qui concerne les antivirus). Il en va de même des programmes antivirus et anti-trojans en eux-mêmes, les "binaires", dont les algorithmes sont modifiés en fonction de l'évolution des technologies mouvantes des virus et trojans.
Permettez à votre antivirus et à votre anti-trojans de faire leurs mises à jour automatiquement (règle permissive dans votre pare-feu). Cette procédure connue sous le nom de "Live Update", inventée par Norton et reprise par tous, permet à vos utilitaires, chaque fois que vous êtes connectés, d'aller faire un tour sur le serveur de leurs éditeurs afin de procéder automatiquement à une mise à jour. Si vous restez connecté longtemps, vos utilitaires doivent être paramétré pour aller chercher les mises à jour toutes les 3 ou 4 heures. Ce n'est pas de trop devant l'émergence de virus ultra rapides. Le 25 janvier 2003, le vers (une forme de virus) Sapphire/Slammer avait déjà infecté 75.000 serveurs 10 minutes après avoir été lâché et la population des serveurs infectés doublait, au début de l'attaque, toutes les 8,5 secondes. CodeRed en juillet 2001 infecta 360.000 serveurs en 14 heures. Et ces 2 exemples parlent de virus attaquant uniquement les serveurs, chaque serveur (par exemple ceux de votre fournisseur d'accès à Internet) pouvant gérer des dizaines de milliers d'ordinateurs...
Ne perdez jamais de vue qu'un antivirus ou un anti-trojans est toujours en retard sur un virus ou un trojan (mis à part leurs fonctions leur permettant de découvrir des attaquants inconnus grâce à des systèmes heuristiques, des sandbox, des machines virtuelles dans lesquelles ils font "tourner" un nouveau processus pour voir si son activité est hostile ou non etc...). Lorsqu'un nouveau virus ou un nouveau trojan est lâché, il faut quelques heures pour que les éditeurs d'antivirus ou d'anti-trojans en soient informés et en reçoivent quelques exemplaires. Il va encore leur falloir quelques heures pour développer une contre-mesure (par exemple isoler des signatures - fingerprints) et les mettre sur leurs serveurs de mises à jour. Il va encore falloir quelques heures pour que votre antivirus ou votre anti-trojans prenne l'initiative d'aller voir s'il existe des mises à jour (à condition qu'il soit bien paramétré et que sa fonction de mise à jour n'ai pas été inhibée par vous même ou par un virus ou un trojan se protégeant en s'attaquant aux antivirus et aux anti-trojans). Il y a déjà longtemps que l'attaquant à infesté la planette.
Dans la pratique, les antivirus consultent automatiquement les serveurs de leurs éditeurs toutes les 3 ou 4 heures et il est recommandé de provoquer une mise à jour de l'antivirus avant de procéder à un relevé de courrier (lorsque le courrier est relevé épisodiquement, par exemple une fois par jour - si vous relevez votre courrier en continu, par exemple toutes les minutes, cela ne sert plus à rien). Les anti-trojans se mettent à jour un peu moins fréquemment (1 fois par jour).
Certains éditeurs d'antivirus, en environnements professionnels, pratiquent le "push" : ce ne sont pas les antivirus qui consultent épisodiquement les serveurs de leurs éditeurs pour voir s'il y a quelque chose de nouveau, ce sont les éditeurs qui appellent et mettent à jour automatiquement les antivirus, chez tous leurs clients, dès qu'il y a une nouveauté. Le push pourait être une bonne chose mais, malheureusement, il nécessite la présence, active en permanence, d'une tâche d'écoute maintenant un port ouvert ce qui est, ni plus ni moins, un backdoor. La technologie employée est souvent celle de BackWeb. Cet outil est systématiquement signalé comme une malveillance par la totalité des anti-trojans. Permettre à un tiers de faire du push sur une machine, c'est-à-dire installer ou de modifier des programmes sans que nous en ayons connaissance, sans pouvoir s'y opposer et sans pouvoir les tester, constitue une faille de sécurité majeure. Sur de grands réseaux d'entreprises le push est parfois autorisé sur une machine complètement isolée de l'intranet. Les mises à jour sont alors appliquées sur un mini réseau, hors du réseau de l'entreprise, supportant un mirroir des applications et tout est testé avant de déployer la mise à jour sur le réseau réel. Il est évident que ce fonctionnement, coûteux en infrastructures et en ressources humaines, ne s'applique pas aux petites et moyennes entreprises et encore moins aux particuliers.
Enfin, ne permettez qu'à votre antivirus et à votre anti-trojan, et uniquement s'il s'agit de produits réputés, de se mettre à jour automatiquement. Vous devez formellement interdire toutes autres formes de mises à jour automatiques dont Internet Explorer, Windows, Media Player, Java, toutes vos applications, tous vos utilitaires... Lire, à ce sujet, Mises à jour automatiques et Anti-mises à jour automatiques.
Il va sans dire que vous devez être à jour de vos contrats de licences et d'abonnements aux mises à jour.
Il ne sert strictement à rien d'avoir le meilleur antivirus et le meilleur anti-trojans si ceux-ci ont des bases de signatures de plus de 2 ou 3 jours (plus de quelques heures en ce qui concerne les antivirus). Il en va de même des programmes antivirus et anti-trojans en eux-mêmes, les "binaires", dont les algorithmes sont modifiés en fonction de l'évolution des technologies mouvantes des virus et trojans.
Permettez à votre antivirus et à votre anti-trojans de faire leurs mises à jour automatiquement (règle permissive dans votre pare-feu). Cette procédure connue sous le nom de "Live Update", inventée par Norton et reprise par tous, permet à vos utilitaires, chaque fois que vous êtes connectés, d'aller faire un tour sur le serveur de leurs éditeurs afin de procéder automatiquement à une mise à jour. Si vous restez connecté longtemps, vos utilitaires doivent être paramétré pour aller chercher les mises à jour toutes les 3 ou 4 heures. Ce n'est pas de trop devant l'émergence de virus ultra rapides. Le 25 janvier 2003, le vers (une forme de virus) Sapphire/Slammer avait déjà infecté 75.000 serveurs 10 minutes après avoir été lâché et la population des serveurs infectés doublait, au début de l'attaque, toutes les 8,5 secondes. CodeRed en juillet 2001 infecta 360.000 serveurs en 14 heures. Et ces 2 exemples parlent de virus attaquant uniquement les serveurs, chaque serveur (par exemple ceux de votre fournisseur d'accès à Internet) pouvant gérer des dizaines de milliers d'ordinateurs...
Ne perdez jamais de vue qu'un antivirus ou un anti-trojans est toujours en retard sur un virus ou un trojan (mis à part leurs fonctions leur permettant de découvrir des attaquants inconnus grâce à des systèmes heuristiques, des sandbox, des machines virtuelles dans lesquelles ils font "tourner" un nouveau processus pour voir si son activité est hostile ou non etc...). Lorsqu'un nouveau virus ou un nouveau trojan est lâché, il faut quelques heures pour que les éditeurs d'antivirus ou d'anti-trojans en soient informés et en reçoivent quelques exemplaires. Il va encore leur falloir quelques heures pour développer une contre-mesure (par exemple isoler des signatures - fingerprints) et les mettre sur leurs serveurs de mises à jour. Il va encore falloir quelques heures pour que votre antivirus ou votre anti-trojans prenne l'initiative d'aller voir s'il existe des mises à jour (à condition qu'il soit bien paramétré et que sa fonction de mise à jour n'ai pas été inhibée par vous même ou par un virus ou un trojan se protégeant en s'attaquant aux antivirus et aux anti-trojans). Il y a déjà longtemps que l'attaquant à infesté la planette.
Dans la pratique, les antivirus consultent automatiquement les serveurs de leurs éditeurs toutes les 3 ou 4 heures et il est recommandé de provoquer une mise à jour de l'antivirus avant de procéder à un relevé de courrier (lorsque le courrier est relevé épisodiquement, par exemple une fois par jour - si vous relevez votre courrier en continu, par exemple toutes les minutes, cela ne sert plus à rien). Les anti-trojans se mettent à jour un peu moins fréquemment (1 fois par jour).
Certains éditeurs d'antivirus, en environnements professionnels, pratiquent le "push" : ce ne sont pas les antivirus qui consultent épisodiquement les serveurs de leurs éditeurs pour voir s'il y a quelque chose de nouveau, ce sont les éditeurs qui appellent et mettent à jour automatiquement les antivirus, chez tous leurs clients, dès qu'il y a une nouveauté. Le push pourait être une bonne chose mais, malheureusement, il nécessite la présence, active en permanence, d'une tâche d'écoute maintenant un port ouvert ce qui est, ni plus ni moins, un backdoor. La technologie employée est souvent celle de BackWeb. Cet outil est systématiquement signalé comme une malveillance par la totalité des anti-trojans. Permettre à un tiers de faire du push sur une machine, c'est-à-dire installer ou de modifier des programmes sans que nous en ayons connaissance, sans pouvoir s'y opposer et sans pouvoir les tester, constitue une faille de sécurité majeure. Sur de grands réseaux d'entreprises le push est parfois autorisé sur une machine complètement isolée de l'intranet. Les mises à jour sont alors appliquées sur un mini réseau, hors du réseau de l'entreprise, supportant un mirroir des applications et tout est testé avant de déployer la mise à jour sur le réseau réel. Il est évident que ce fonctionnement, coûteux en infrastructures et en ressources humaines, ne s'applique pas aux petites et moyennes entreprises et encore moins aux particuliers.
Enfin, ne permettez qu'à votre antivirus et à votre anti-trojan, et uniquement s'il s'agit de produits réputés, de se mettre à jour automatiquement. Vous devez formellement interdire toutes autres formes de mises à jour automatiques dont Internet Explorer, Windows, Media Player, Java, toutes vos applications, tous vos utilitaires... Lire, à ce sujet, Mises à jour automatiques et Anti-mises à jour automatiques.
Il va sans dire que vous devez être à jour de vos contrats de licences et d'abonnements aux mises à jour.
| Historique des révisions de ce document : |
|
29.10.2006 Up V4
|
Rédigé en écoutant :
Music
Music