Sommaire

Cet article fait partie d'une série de 5 articles sur la sécurité informatique.

Épisode précédent : Se protéger contre Internet

Dernière mise à jour : 26/11/2007.

Anti quoi ?

La famille des logiciels malveillants s'étendant régulièrement, la famille des logiciels de protection du système s'étend régulièrement aussi. L'antivirus apparu il y a maintenant de nombreuses années est entré dans les mœurs, mais un antivirus seul n'est de nos jours pas suffisant comme l'explique le billet Les logiciels anti-virus sont inefficaces. Il faut aussi lutter contre les logiciels espions (spyware), les intrusions de pirates ou encore les rootkit, d'autant plus que certains virus savent bloquer l'antivirus. Ajoutons à cela qu'un antivirus n'est pas 100% efficace comme le montre la page Comparatives du site http://www.av-comparatives.org/.

Aussi plus votre système et vos applications sont vulnérables, et plus vous avez intérêt à augmenter la palette d'anti-machin, ce que certains résument par la formule :

Risque = Menaces × Vulnérabilités / Mesures de protection

Pour évaluer la menace et les vulnérabilités, on peut consulter des sites spécialisés :

  • VirusTraQ donne un baromètre de la menace (en haut à droite de la page)
  • FrSIRT liste toutes les vulnérabilités récentes dans sa page d'accueil
  • Secuser.com - Alertes virus liste les virus les plus récents et évalue le risque associé

On peut aussi se faire une idée des cibles potentielles des logiciels malveillants et des pirates informatiques en analysant l'activité du réseau. Le billet Évaluer les risques sur Internet se propose d'analyser les résultats de ce type de techniques grâce à l'outil maison py0f et le billet Pots de miel et menace sur Internet montre que l'on peut récupérer des échantillons de logiciels malveillants qui rôdent sur Internet afin de savoir ce qui s'y passe vraiment.

Aussi, si les systèmes BSD, Linux et Mac OS X sont peu vulnérables par nature et peu, voire très peu, menacés, le système Windows® est lui plutôt vulnérable[1] et très, voire terriblement, menacé. Et bien évidemment, des logiciels de protection qui ne sont pas à jour perdent de leur efficacité, vous savez ce qu'il reste à faire...

La longue liste d'anti-machin

Le pare-feu

Bien qu'il n'ait été activé par défaut dans Windows® que depuis fin 2004, le pare-feu est un élément obligatoire, surtout avec une connexion haut-débit. Le pare-feu empêche n'importe qui de se connecter à sa machine et donc d'y installer des logiciels malveillants. L'expérience prouve que le pare-feu, uniquement par le camouflage qu'il opère, diminue le nombre de tentatives de connexion d'autres machines d'un facteur 2 à 3. On peut (encore) en trouver gratuitement :

Attention, le pare-feu livré avec Windows® XP serait de piètre qualité à en croire l'article Firewalls - Internet Security Software Review... Sous Linux, on peut avantageusement utiliser FireStarter qui est simple d'emploi et permet de lister facilement les tentatives d'intrusion.

Pour tester son pare-feu en ligne et savoir s'il est bien installé et configuré :

Anti-spyware

On trouvera une liste d'anti-logiciel espion à la rubrique Utiliser un anti-espiogiciel de Wikipedia. Il en existe aussi en ligne sur Internet, comme chez Spyware Guide. Il faut en installer plusieurs sachant que chacun n'en détecte qu'une partie et que tous ne seront de toute façon pas détectés... A tel point que certains créent des logiciels pour en lancer toute une batterie ! (Hitman Pro par exemple) Il faut savoir qu'il y a des pressions sur les éditeurs d'anti-spyware pour que certaines applications ne soient pas considérées comme telles[2].

Attention : l'anti-spyware n'empêche généralement pas le spyware de s'installer, il y a pour cela des bloqueurs de spyware.

Antivirus

L'antivirus n'est a priori obligatoire que pour ceux qui transfèrent beaucoup de fichiers dont la provenance n'est pas sûre puisqu'une intrusion de virus par Internet est peu probable lorsque tous les verrous sont en place. On peut aussi faire scanner sa machine en ligne, la page Online AntiVirus Scanners recensant les sites qui le proposent.

Pour ce qui est d'installer un antivirus, le logiciel commercial a pris depuis quelques années un virage afin de s'assurer une rente régulière : le client paye son antivirus chaque année non pas parce qu'il est mieux, mais parce qu'il cesse sinon de fonctionner ! Face à cela, il y a la solution logiciel libre : ClamWin. L'inconvénient est qu'il ne fait pas d'analyse à la volée[3], il faut penser à contrôler les fichiers téléchargés ou importés de média amovibles. Cependant Winpooch, un chien de garde surveillant les fichiers, se targue d'être la solution pour mettre en place le scan à la volée. Les plus chevronnés pourront aussi essayer ClamMail pour filtrer automatiquement les emails entrants de n'importe quel logiciel de messagerie.

Pour en savoir plus : Trojan et Virus : Comprendre et se protéger

Détecteur d'intrusion

Comme tout logiciel a ses failles, comme tout logiciel anti-machin utilise une base données qui ne couvre jamais 100% des logiciels malveillants existant, on n'est jamais 100% à l'abri. C'est pourquoi on peut encore renforcer la sécurité à l'aide d'un détecteur d'intrusions - pour les plus paranoïaques ;-) , quoique l'expérience prouve que ça peut être justifié...[4]

Il s'agit d'un logiciel qui analyse toutes les demandes de connexion réseau à un ordinateur ou toutes les informations qui transitent sur un réseau donné. Par exemple si un ordinateur utilise pour se connecter une méthode d'intrusion connue, le détecteur d'intrusion peut demander au pare-feu de refuser systématiquement toute communication avec l'ordinateur en question.

Outre les solutions commerciales, on peut utiliser le logiciel libre Snort dont la réputation est bonne et qui existe en version Windows® et Linux. Sous Linux avec quelques petits aménagement, on peut s'arranger pour que les alertes de snort soient envoyées par email ou par messagerie instantanée jabber pour un maximum de réactivité.

Anti-rootkit

Un rootkit permet à quelqu'un d'accéder à distance à un ordinateur en tant qu'administrateur de la machine sans que l'utilisateur ne s'en rende compte. Ce type de logiciel peut être installé suite à une infection par un logiciel malveillant mais échappe souvent à des analyses de type anti-virus ou anti-spyware. La caractéristique principale d'un rootkit est la discrétion : ils savent se rendre invisibles ! Il existe néanmoins des méthodes spécifiques pour les détecter, ce que met en oeuvre le logiciel RootkitRevealer par exemple.

Le routeur ou la passerelle

Ceux qui possèdent un modem dit routeur gagneront à le configurer dans ce mode. En effet dans ce cas de figure, comme dans celui de la passerelle[5], c'est le routeur qui est vu depuis Internet et non votre machine[6]. Ceci n'empêche évidemment pas d'accéder à votre machine, mais cela peut en compliquer notablement l'opération. Vous êtes en quelque sorte caché derrière le routeur. Si vous utilisez une box de fournisseur d'accès à Internet (Freebox, Livebox, Neufbox, etc.), configurez là en mode routeur, vous serez alors protégé par Linux qui tourne dans ces box[7] ;-) !

Anti-spam

Pour lutter contre les courriers électroniques non sollicités (spam), de plus en plus de fournisseurs d'accès Internet proposent un service anti-spam. Bien que cela élimine la majorité de ces courriers, cela n'élimine pas tout : il ne faudrait en effet pas éliminer les courriers attendus par l'utilisateur ! Il est donc intéressant de compléter le filtre du fournisseur d'accès à l'aide d'un filtre anti-spam personnel, soit directement dans le logiciel de courrier électronique (comme Mozilla Thunderbird), soit en installant un logiciel de filtrage qui s'insère alors entre la connexion Internet et le logiciel de messagerie. Le première solution est de loin la plus simple !

Anti-phishing

Afin d'aider l'utilisateur à détecter les emails de phishing[8], on voit apparaître des fonctionnalités dites anti-phishing dans les navigateurs web. En fait il s'agit principalement de listes de sites à ne pas visiter. En outre, les navigateurs récents sont vigilants envers les adresses de sites web visités car certains types d'adresse sont connus pour être exploités par le phishing[9]. Ne vous étonnez donc pas si Firefox vous demande si vous voulez vraiment visiter tel site.

Liste noires de sites

C'est la généralisation des listes noires pour navigateurs Internet à d'autres problèmes que le phishing, en particulier les Pages web malveillantes. Le navigateur Firefox intégrera dans sa future version 3.0 ce type de protection en standard.

Bilan

Bon vous aviez déjà dépensé 1000 € pour votre machine, 150 € pour le système Windows®[10], 400 € pour les logiciels de bureautique et autres, il vous faut encore débourser entre 50 € et 200 € par an pour vous protéger. A moins d'utiliser des plate-formes moins vulnérables et moins attaquées, auquel cas seule la première dépense est utile, non ? Et puis, tant qu'à passer du temps sur sa machine, autant le passer à faire des choses intéressantes, plutôt que de vérifier sa santé tous les jours pendant 1/2h...

C'est là qu'il ne faut surtout pas poser la question à 10 Mds € : mais pourquoi mon système n'inclut pas d'office tous ces logiciels de protection ? N'est-ce pas le rôle de l'éditeur du système de fournir des logiciels fiables en lesquels on peut effectivement avoir toute confiance ? La réponse est dans le prix de la question[11].

La suite (et la fin ?)

Notes

[1] contrairement aux systèmes de la famille Unix dont Linux et Mac OS X font partie, les systèmes Windows® ont été initialement conçus pour n'être utilisés que par une seule personne sans liaison réseau, ceci est l'explication la plus probable des déboires rencontrés par ces systèmes depuis la fin des années 1990

[2] le marché des logiciels espions se chiffre en millions de dollars

[3] c'est-à-dire que chaque fichier lu ou écrit est automatiquement contrôlé par l'antivirus

[4] les pirates arrivent quand même à s'infiltrer sur des machines équipées de logiciels anti-machin

[5] machine insérée entre la connexion Internet et votre machine

[6] au niveau de l'adresse IP

[7] voir le billet Livebox Orange™ : Linux vous offre sa protection, mais... sur ce blog

[8] message invitant l'utilisateur à se rendre sur une copie parfaite d'un site web existant dans le but de le dépouiller par exemple de son accès à son compte en banque

[9] par exemple http://www.mabanque.com@www.phishing.net/

[10] parce que même s'il était déjà installé sur votre machine à l'achat, vous l'avez payé, on ne vous l'a pas dit ?

[11] c'est approximativement le volume du marché des logiciels anti-machin