Les antivirus - Tegam Viguard

Nom	Viguard antivirus sans base de signature et sans mise à jour
Site officiel	Tegam International
Lancement	1998
Auteur	Tegam International
Editeur	Tegam International
Plateforme(s)	Windows 95 / 98 / ME / NT / NT TSE / 2000 / XP
Cible(s)	Virus et vers
Technologie	DVP - Technologie propriétaire BVD - Biometric Virus Detection
Version testée	Viguard Pro 2004
Taille	Viguard Pro 2004 : 8,17 Mo (8 568 323 octets)   Ne jamais télécharger un logiciel depuis un site autre que celui de son éditeur lui-même - Suivre les liens d'Assiste.com. Si taille supérieure à celle annoncée, il y a risque de dropper ou binder et/ou packer accolé + backdoor ou RAT ou BHO etc. ... produit transformé en cheval de Troie (trojan). Si taille inférieure à celle annoncée, il y a risque de, il y a installation d'un downloader. Vérifier la stricte exactitude du contenu téléchargé avec SummerProperties.
Langue	Français
Télécharger	Uniquement sur demande sur Tegam International
Forum	http://assiste.forum.free.fr (en français)
Mode d'emploi
Prix	Produit commercial Il existe depuis peu une version "light" vendue en boite dans 2 enseignes mais les versions Pro et Réseau ne sont vendue que par des revendeurs agrées.   Les prix peuvent avoir changé depuis la dernière mise à jour de cette fiche ainsi que le cours des monnaies (euros contre dollars). Certains annoncent des prix hors taxes auxquels il faut ajouter la TVA. L'achat en ligne consiste, la plupart du temps, en la simple communication d'une clé d'enregistrement de licence à appliquer sur la version de démonstration qui est déjà une version complète du produit. Vous disposez donc de votre licence légale immédiatement. Les prix donnés en dollars américains sont plus stables que leur conversion en € qui change tout le temps. Vous pouvez partir sur une idée de parité soit 1 us$ = 1 € donc, un produit valant 20 US$ vaut environ 20 €.

Résumé :

Viguard

Attention : Société TEGAM INTERNATIONAL RCS Paris B 381 479 088 Décision(s) de justice : Depuis le 10-05-2005 - Liquidation judiciaire Liquidateur : JOSSE MARIE-JOSE 4 Rue du Marche-Saint-Honore 75001 PARIS 01 http://www.societe.com/cgi-bin/recherche?rncs=381479088&vu=4 Viguard - L'antivirus sans base de signatures et sans mise à jour. Ce produit est français et est distribué uniquement sur la sphère francophone : France, Canada, Belgique, Suisse, Afrique. Ce logiciel est déconcertant et totalement atypique car il adopte une approche différente de celle des antivirus classiques, qui fonctionnent à l'aide de signatures contre les virus connus et à l'aide de systèmes intelligents contre les virus inconnus (algorithmes heuristiques, prédictifs, sandbox ou machines virtuelles etc. ...). Certains l'appelle "firewall antiviral". Il est dommage de le réduire à un antivirus, anti-vers et anti-trojans. Il fait bien plus que cela. C'est aussi un produit plus destiné aux grands comptes et aux grands réseaux avec un kit d'administration centralisé. C'est un utilitaire de contrôle d'intégrité et de contrôle d'activité qui s'installe sur une machine saine, en prend une photo et en assure la préservation. Il utilise une combinaisons de : règles applicables aux fichiers (accès application-fichiers programmables (Filewall)) règles applicables aux processus règles applicables à la base de registre méthodes de certification des macros authorisées filtration des téléchargements filtration des pièces jointes système de contrôle du démarrage (liste de démarrage) système d'alerte sur l'envoi de mail système d'audit de l'utilisation d'Internet par les applications Il se rapproche plus de Tripwire ou Afick ou Total Uninstall mais en temps réel, empêchant les modifications ou en demandant l'autorisation, alors que ces derniers sont en temps différé et servent, au contraire, à tracer les modifications apportées par une installation ou une activité. Ses technologies le rendent, de plus, totalement incompatible avec les protocoles de tests comparatifs habituels des antivirus conduits par les laboratoires de tests : On ne peut pas le confronter, dans un test "on demand" à une collection de virus, car il ne comporte pas de scanner et ses technologies ne reposent pas sur des signatures de virus. Notons que les nouvelles versions comportent un scanner à signatures utilisé lors de l'installation du produit. On ne peut pas, non plus, le tester dans le contexte dit "on-access" (à l'ouverture d'un fichier infesté) car il intervient avant, en empêchant l'infestation. Les laboratoires "West Coast Labs" qui délivrent le label CheckMark (vous pouvez retrouver leurs résultats dans le tableau de synthèse des tests antivirus) ont attribués le label CheckMark à Viguard le 7 avril 2004 après un test dit de "certification niveau 1" consistant en l'affrontement de la "Wild List" (liste assez courte, servant de standard industriel, des virus les plus actifs du moment) sans utiliser de base de signatures. Le test s'est déroulé en mars 2004 sur la version de juin 2003 de Viguard, soit une version de plusieurs mois antérieure à la création des virus contre lesquels elle a été confrontée. La Wild List de mars 2004. Le leitmotiv de Viguard est de dire : il faut plusieurs heures avant qu'un nouveau virus ne soit analysé par les laboratoires de recherche des antivirus traditionnels et qu'ils produisent une contre-mesure. Il faut encore plusieurs heures à plusieurs jours pour que les utilisateurs mettent à jour leur antivirus. Entre-temps, le virus a attaqué des centaines de milliers de machines et a, dans certains cas, tout détruit sur son passage. Viguard s'est donc totalement détaché de la recherche de signatures de virus. Il s'attache à : Une analyse comportementale assez confidentielle pour qu'on n'en sache quasiment rien (il ne semble pas qu'il s'agisse, par exemple, d'une sandbox). Un contrôleur d'intégrité. Il tourne le dos aux signatures des virus en s'attachant exactement à leur inverse : les signatures des programmes sains - la vaccination - par calcul de signatures RSA MD5 générant des certificats. Ceci nécessite : un état initial impérativement sain avant l'installation de Viguard car il scanne le contenu de vos lecteurs durant l'installation et certifie les fichiers qui s'y trouvent (raison pour laquelle il n'y a pas de version de démonstration ou d'évaluation en libre téléchargement. Il faut écrire à l'éditeur en remplissant un formulaire (un peu inquisiteur). Une version d'évaluation sur 15 jours est alors fournie dont l'installation est précédée d'un scan classique). la coopération forte d'un humain "avancé" en informatique, de réel niveau "administrateur" (pas au sens des droits d'accès en tant qu'administrateur mais au sens de l'intelligence de la chose) de la machine ou du réseau. Ceci sous-entend que ces listes de signatures MD5, livrées en standard avec le produit ou créées avec l'aide de l'administrateur de la machine, s'apparentent à des listes de signatures de virus mais, en l'occurence, sont des listes blanches (permissives) au lieu de listes noires (restrictives), même s'il s'agit de listes de chiffres clé MD5 au lieu de liste de chaînes de caractères. que ces listes subissent des mises à jour régulières mais à la charge de l'utilisateur, sur la base de ses choix, par exemple de certification d'une nouvelle macro commande, raison pour laquelle les mises à jour ne viennent pas de l'éditeur mais se passent en tête à tête entre l'utilisateur et le produit Viguard. que Viguard arrête bien tout ce qui lui est inconnu, modifié ou suspect (virus et autres) mais que c'est à l'utilisateur de décider lorsqu'il est face à une alerte. Il doit donc être parfaitement informé de tout et capable de prendre une décision devant chaque alerte de Viguard. Il dispose d'une hot line chez l'éditeur pour aider dans ses prises de décisions. Il doit, impérativement, avoir un profil d'informaticien. Si un virus, quelque soit sa forme, vers, virus, macrovirus, malveillance diverse, attaque du boot... passe, c'est l'utilisateur qui l'a laissé passé et est donc complice, Viguard s'en lavant les mains. Ceci est parfois appelé "politique de responsabilisation de l'utilisateur" mais peut tout aussi bien être appelé "politique de déresponsabilisation de Tegam et Viguard". Viguard comporte : Une protection / surveillance des exécutables NetTrap qui est un filtre Internet (probablement un fonctionnement de type proxy local - analyse par mot clé des scripts) Analyse de comportement (behavior - probablement de type SandBox - bac à sable) Contrôleur d'intégrité (vaccination, signatures MD5, copies de sécurité...) Une protection contre les macro virus Certification des macros (standards livrées avec les produits et non standard soumisent à l'administrateur) Vaccination des documents (le terme "documents" ne précise pas quels types de documents sont vaccinés) Vaccination des modèles (protection) Une protection contre les vers et chevaux de Troie NetTrap qui est un filtre Internet (probablement un fonctionnement de type proxy local - analyse par mot clé des scripts) Analyse de comportement (behavior - probablement de type SandBox - bac à sable) ViStartup qui surveille la liste de démarrage, comme StartupMonitor Une protection contre les virus de boot Vérification des lecteurs Sauvegarde et surveillance des boot Anti-furtivité (?) Viguard n'a pas de scanner antivirus et ne reconnaîtra pas un virus spécifique pour vous en donner le nom. Ca, il s'en moque. Il ne travaille qu'en temps réel et en amont de l'infestation. Son éditeur déclare qu'il est : Capable de s'assurer que votre système est bien protégé contre les virus connus et inconnus, même s'ils sont furtifs, polymorphes ou cryptés. Capable de différencier une modification virale (injection) d'une modification légitime d'où il ne génère pas de fausse alerte ("faux positif"). Capable de détecter les virus de boot en temps réel. Capable de nettoyer les fichiers exécutables ou les composants (.dll) modifiés par un virus et de les restaurer à 100% dans leur état d'intégrité initiale. Capable de détecter les macro-virus et permettre à l'administrateur de certifier ses propres macros ou celles reçues de sources fiables (les macros non certifiées étant déclarées suspectes et devant être éliminées). Capable de tester et restaurer la mémoire CMOS. Capable de filtrer les e-mail (qui sont porteurs, désormais, de plus de 90% des infections virales). Le filtrage Internet est assuré par le module NetTrap de Viguard qui bloque tout e-mail contenant un ver avant que celui-ci ne puisse agir. Capable de déclencher une alerte à Haut risque lorsqu'un fichier comporte de multiples extensions dont la dernière devrait laisser penser que le fichier est anodin alors que l'une des autres extensions ou le contenu laisse entendre qu'il s'agit de code exécutable. Capable de détecter et bloquer des ouvertures de ports non autorisées. Ainsi, l'ouverture de port est signalée puis interdite. Capable de protection contre la désactivation : beaucoup de virus (vers de type BugBear.B) désactivent les firewalls personnels et les logiciels antivirus. Viguard s'auto protège contre la désactivation et protège d'autres logiciels. Un firewall personnel protégé par Viguard ne peut être désactivé sur des plates-formes à noyau NT (Windows 2000, XP, NT4). Son éditeur déclare que Viguard comporte aussi un module appelé "FileWall" - un système de protection en amont des fichiers par Viguard : FileWall alerte et neutralise toute tentative de modification de fichiers protégés. Ainsi, tout programme non certifié qui tenterait d'infecter des fichiers exécutables serait alors immédiatement stoppé par Viguard. Le processus du programme serait alors arrêté. Là encore cela nécessite la coopération de l'administrateur de la machine. Ne pas confondre avec FireWall - Viguard n'est pas un firewall bien qu'il dispose de capacités, limitées certes, d'agir en firewall logiciel en fermant quelques ports. Le terme de "FireWall antiviral" est aussi sujet à confusions. Son éditeur déclare que Viguard permet, à l'aide d'un système expert, de détecter les fichiers pouvant être dangereux. Il utilise pour cela une technologie développée en interne, la Biometric Virus Detection, dont on ne sait rien, qui reconnaît les virus selon leur appartenance à quatre familles (Virus de Boot, Virus exécutables, macro virus et vers (virus se propageant par e-mail)). Pour chaque famille, une réponse adaptée est apportée par le produit. Ainsi, par exemple, les macros doivent être certifiées par l'administrateur pour pouvoir être exécutées sur une machine. Encore une fois, ce n'est pas l'utilisateur de base qui est capable de faire ça, quand bien même saurait-il ce qu'est une macro ce qui est rare. Pour les vers, le logiciel se révèle capable de filtrer les fichiers attachés aux e-mail, en particulier les exécutables, ainsi que les fichiers téléchargés depuis Internet, selon les règles déterminées par l'administrateur. Là encore, pas de place pour l'utilisateur de base à qui il n'est pas question de demander de créer des règles. En plus de la protection contre les virus, Viguard offre aussi la possibilité de verrouiller le poste contre des installations non autorisées par l'administrateur / superviseur de la machine. Il suffit de lire les questions posées par ceux qui ont réussi à trouver un forum quelconque et à y entrer pour comprendre le monde qui existe entre l'utilisateur normal d'un PC et le niveau administrateur / superviseur requis pour utiliser Viguard. Une nouvelle version sort environ une fois par an. C'est ce qui permet au logiciel d'être prêt à l'avance. Le logiciel évolue, mais n'oblige pas à des mises à jour de signatures quotidiennes ni à des mises à jour de moteur trop fréquentes de la part de l'éditeur (mais on a vu qu'en réalité ces mises à jour existent en continue et sont à la charge de l'utilisateur). Le produit est administrable depuis un seul poste, même s'il tourne sur tous les postes utilisateurs. Son déploiement est enfantin. L'installation se déroule, elle aussi depuis ce poste. Cet antivirus, qui adopte une approche réseau autorise donc la mise en place d'un système de sécurité dont la politique peut être définie d'une manière centralisée. Il est commercialisé à partir de 90 € HT (594 francs HT). Conclusions : Ce logiciel, conceptuellement, se présente comme un excellent outil qui comble le gap temporel entre la naissance d'une hostillité, virale ou non virale, et sa prise en charge par les outils standards, soit les quelques heures à quelques jours durant lesquels le système est vulnérable à une nouvelle malveillance technologiquement hors du champs des moteurs heuristiques, bac à sable et autres dispositifs prédictifs des solutions standards. Toutefois, pour le soulager et soulager son utilisateur, je l'utiliserais au dessus d'une famille d'outils standards qui déblaient le terrain devant lui : un antivirus classique, un anti-trojan et un proxy à filtres. Un solide firewall, quant-à lui, est déjà recommandé par Tegam pour Viguard. Il ne faut pas réduire Viguard à un antivirus car c'est bien plus que cela en étant un véritable contrôleur d'intégrité. Il semble que le marketing de Tegam ne l'ai toujours pas compris. D'après eux, dans une correspondance privée qu'ils m'adressent en avril 2004, dire que Viguard est un système de contrôle d'intégrité au lieu d'un antivirus est réducteur. Contrairement aux outils classiques qui fonctionnent totalement silencieusement, Viguard ne prend pas d'initiative face à une situation nouvelle, puisque, n'ayant pas de signature, il n'a pas de certitudes. Viguard crée une situation d'alerte. Son utilisateur doit donc être une personne responsable et formée, disponible en permanence et doit pourvoir à son remplacement en cas d'abscence (congés, maladie etc. ...) d'où la quasi impossibilité de l'utiliser sur un ordinateur domestique ou de toute petite entreprise où le "responsable" est appelé à s'absenter sans avoir de remplaçant pour gérer une situation d'alerte. Il est donc préférable de réserver Viguard au milieu de la grande entreprise et des grandes structures, avec une équipe permanente de responsables formés, dans le cadre d'une politique rigoureuse de sécurité dotée d'une charte respectée, avec application de tous les patch de sécurité sur tous les logiciels et avec une configuration rigoureuse de Viguard et des logiciels. Son installation sur une machine rigoureusement saine ne peut se concevoir qu'au moment de l'installation de Windows, avant toute connexion au Net et toute installation d'autres logiciels. La moindre modification aux programmes ou à leurs composants (dll...) sera signalée à l'utilisateur. On n'oubliera pas que ce n'est pas un utilisateur "de base" qui est capable de prendre ce genre de décision (acceptation ou refus) et qu'il est nécessaire de suivre une formation (ou être du métier). Pour se rendre compte du "bruit" que peut faire un utilitaire de contrôle d'intégrité, Viguard ou autre, il suffit d'installer un firewall comme ZoneAlarm Pro (30 jours d'essais gratuits) et de le paramétrer en "Mode contrôle des programmes - Elevé". Vous verrez le nombre de fois où vous êtes interpelé pour prendre une décision parcequ'une dll à été modifiée. Je vous souhaite bien du plaisir, même si vous êtes un utilisateur avancé, pour savoir pourquoi telle dll à changé de taille. Vous acceptez avec angoisse ou vous refusez et ça ne marche plus. D'ailleur Viguard ne s'y trompe pas et livre son produit avec un paramétrage de base qualifié de "souple" .../... "qui permet de faire l'impasse sur les modifications bénines les plus courantes", laissée à la charge d'un véritable FireWall, sinon il "génère systématiquement des alertes sur n'importe quelle modification dans l'ordinateur (virale ou non)" et l'administrateur serait noyé sous un flux continu d'alertes. Ce logiciel s'adresse à des gens informés et vigilants qui ont déjà un antivirus entre les oreilles. Tegam m'écrit : "Il faut savoir que la clientèle de TEGAM International est principalement le monde de l'entreprise. En entreprise, aucune décision dangereuse n'est laissée à l'utilisateur final – seul l'administrateur peut certifier et accepter des éléments ou opérations dangereuses." .../... "ViGUARD a une clientèle à 98% professionnelle" .../... "encore une fois, en entreprise, la problématique de la sécurité est complètement différente, puisque ce n'est pas à l'utilisateur final de prendre les décisions." Le site de Tegam est exécrable car il est censé s'adresser à des techniciens de la chose hors il est un modèle de langue de bois. Les textes sont dithyrambiques mais n'apportent strictement aucune information sur les produits. Le seul document à en apporter est la réponse de Viguard à ses détracteurs. Tout leur site devrait être de cette trempe. Se souvenir qu'aucun antivirus n'est fiable à 100%, pas plus les classiques Norton, Kaspersky, Panda etc. ... que Viguard. L'un des arguments commerciaux majeurs martelés par Tegam est la fidélité de ses clients. C'est tellement important dans leur "communication" qu'il convient d'en dire quelques mots ainsi que sur la psychologie humaine. Il faut vraiment que Tegam revoie sa politique promotionnelle. La versatilité en matière de sécurité est du ressort des adolescents boutonneux et boulimiques. C'est, encore une fois, une erreur de marketing. Personne, après avoir suivi une formation, d'autant plus qu'elle est nécessaire sous Viguard, ne remettra en cause ses acquis et son confort pour recommencer et repartir dans l'incertitude et l'apprentissage avec autre chose. Moi-même, qui, pourtant, teste les produits, je suis fidèle à Norton depuis 20 ans ! C'est une question de nature humaine. Avoir une telle approche commerciale auprès d'un particulier est à peine envisageable, mais l'avoir auprès d'un acheteur et d'un directeur de l'informatique d'un grand groupe, c'est les infantiliser et ça ne passe pas. D'autre part, de cette pseudo fidélité : en entreprises, jamais on ne remettra en cause un choix pour 3 bonnes raisons : Ne pas se désavouer aux yeux de sa hiérarchie ni aux yeux de ses subordonnés. Pour la même raison, il sera difficile de trouver un ex-utilisateur qui viendra témoigner en disant, en substance : je suis mauvais car j'ai fait le mauvais choix, j'ai engagé des capitaux dans la mauvaise direction, je n'ai pas su me servir du produit etc. ... Ne pas désorganiser les services donc, même si le produit n'est pas "top", on fait et on continuera de faire avec. Ne pas "cracher au bassinet" une nouvelle fois et engager de nouveaux investissements (financiers directs et coûts indirects). Contacts : Responsable R&D, Eyal DOTAN CEO, Marc DOTAN Ressources : On lira avantageusement quelques propos pour et contre Viguard pour comprendre que ce produit ne laisse pas indiférent: Comment baiser ViGuard, premiere lecon. Date de 2001 Questions à Guillermito et Roland Garcia par Alain Godet et Olivier Aïchelbaum Viguard mauvais antivirus et mauvais perdant Viguard (faille OR failles) Recherches Google Viguard "fr.comp.securite.virus" Recherches Google Tegam, le "mauvais garçon" de la lutte antivirale Désinformation sur Viguard - Une réponse de Viguard à ses détracteurs Filtrage des emails : la protection de Viguard Mise en examen de Guillermito par Tegan (25 mars 2004) Un fil de discussion sur les forums CommentCaMarche Société Tegam - Comptes, Résultats Viguard, une solution antivirale atypique Viguard 2004 : de nouvelles parades aux nouveaux virus On se penchera sur les autres outils de type Contrôle d'Intégrité en temps réel dont "InVircible Anti Virus" ou "SSM System Safety Monitor" (gratuit) ou Abtrusion Protector (gratuit pour les particuliers) ou encore Finjan, Indefense...

Rédigé en écoutant