 |
En
savoir plus |
|
Dossier 
Virus |
De par leur fonctionnement, les produits de sécurité sont régulièrement amenés à interagir avec les systèmes d'exploitation, que ce soit pour la protection, la réparation ou la génération d'alertes. Une relation qui se veut de plus en plus étroite, de manière à contrôler au plus bas niveau possible les actions qu'entreprend l'utilisateur ou que génèrent les applications.
Symboles de cette relation étroite, la plupart des éditeurs de systèmes d'exploitation (IBM, Sun, Microsoft, Apple) disposent de cellules dédiées à la sécurité, fournissant aux éditeurs du marché les informations nécessaires pour qu'ils développent leur produit. Pour d'autres fournisseurs, la relation va même encore plus loin par le biais de boîtier intégrant un système d'exploitation préalablement configuré pour des tâches de sécurité et associé à une solution logicielle.
"Dans le cadre de notre solution de VPN SSL, nous protégeons les machines à distance sous Windows. Lorsque des gens souhaitent accéder à un système depuis l'extérieur, notre solution examine la version du système d'exploitation, vérifie le niveau des correctifs installés, la version du navigateur et l'ensemble des processus qui doivent tourner ou non. Si la personne n'a pas de pare-feu activé, nous sommes capables de lancer à distance le Service Pack 2", explique Alain Thibaud, directeur technique de F5 Networks.
La relation établie avec le système d'exploitation, ici bidirectionnelle, va plus loin qu'un simple dialogue puisque la solution de sécurité peut, si nécessaire, ordonner au poste concerné de se mettre en conformité. Prévu pour permettre l'accès aux utilisateurs à des services riches et variés, le système d'exploitation n'est par nature que peu restrictif. Un comportement que les solutions antivirus ou les pare-feu vont alors venir contrôler, en se positionnant encore en situation de force.
| Des antivirus donneurs d'ordres mais aussi à l'écoute du système |
"Notre outil de protection se base sur l'analyse du comportement. Il a pour cela besoin d'intercepter les appels systèmes et d'arrêter ceux dont le comportement paraît anormal. Cela peut aller du changement de clés de registre au blocage de programmes corrompus générant un dépassement de mémoire tampon ou de processus écoutant les frappes claviers. Nous intervenons entre les DLL et le noyau Windows", déclare Philippe Honigman, directeur général de SkyRecon Systems.
Dès lors, l'antivirus aura besoin de pouvoir supprimer des fichiers corrompus, restaurer certaines applications, tuer un processus : des tâches qu'il remplit dans ces cas à la place du système d'exploitation. Une protection de bas niveau rendue nécessaire par des menaces telles que les rootkits, ces programmes malveillants qui s'installent au démarrage du système et cachent les portes dérobées ouvertes par un ver.
Mais le dialogue ne s'instaure pas uniquement à l'initiative des produits de sécurité. Parfois, c'est au système lui-même de commander des produits, en amont, de manière à limiter ces risques. C'est le cas par exemple des solutions de filtrage, des pare-feu applicatifs ou des répartiteurs de charge. L'application dialogue alors directement via des commandes spécifiques (API) avec le boîtier de sécurité pour se coordonner.
"Notre répartiteur de charge peut réduire le trafic ou le rediriger selon la charge, bien sur, mais aussi selon le risque que détecte le serveur derrière. Cela se passe par un échange entre un serveur d'applications, un serveur Web IIS ou un système Windows Server, et cela sans intervention humaine", ajoute Alain Thibaud, directeur technique de F5 Networks.
| Une évolution des OS vers la sécurité qui remet en cause le fonction-nement actuel |
Sur Linux, des programmes tiers effectuent l'intermédiaire entre le système d'exploitation et les produits de sécurité. "Pour de l'interception de fichiers au niveau système ou du contrôle d'intégrité de poste, nous travaillons avec des produits comme Dazuko. Pour scanner la messagerie Sendmail ou Postfix, il s'agit d'Amalys", détaille Eugénio Correnti, directeur technique chez F-Secure.
De même, chez F-Secure, des distributions Linux Debian sur CD incluant l'antivirus ont été créées de manière à pouvoir désinfecter une machine tierce entièrement corrompue et a priori difficilement nettoyable. Le système d'exploitation et le logiciel antivirus ne font alors plus qu'un, même s'ils ne sont pas amenés dans ce cas à collaborer, la Debian se contente juste de lancer la détection.
"Sur les systèmes d'exploitation mobiles, nous rencontrons une autre problématique un peu particulière. Souvent, les constructeurs de téléphones portables sont en étroites relations avec les fabricants de systèmes d'exploitation, en général Symbian. D'un modèle à l'autre, la version de Symbian subie donc des petites personnalisations auxquelles nous devons nous adapter pour communiquer", précise Eugénio Correnti.
Or, les dernières évolutions des systèmes d'exploitation tendent à renforcer encore la sécurité en limitant l'accès aux fonctionnalités ou aux fichiers systèmes, en bloquant des comportements suspects et en limitant les droits des utilisateurs par défaut.
"Sur Windows Vista, nous serons obligés de faire des compromis en termes d'actions correctives mais c'est un mal pour un bien, car les nouvelles fonctionnalités apportent un réel plus en matière de sécurité. Tous nos produits seront compatibles à la sortie du système. Il a fallu changer des choses avec cette nouvelle version, certes, mais cela nous le faisons depuis toujours", note Eugénio Correnti.
"Par exemple, depuis que Microsoft a introduit la restauration automatique dans Windows 2000 et Windows XP, nous avons du changer le comportement de nos produits de manière à éviter qu'un virus qui se trouve dans un dossier verrouillé puisse se réinstaller sur le système", termine le directeur technique de F-Secure.
|
En
savoir plus |
|
|
Dossier
Virus |
Pour d'autres en revanche, ce mélange entre sécurité et système d'exploitation oblige à un changement de modèle économique. "Dans Windows Vista, il y a beaucoup d'améliorations qui rendent moins utiles certaines de nos avancées. Il nous a donc semblé opportun de lancer un nouveau produit à l'occasion de son lancement, en ciblant des points vulnérables auxquels Microsoft n'apporte pas de réponse, notamment la protection anti rootkit, le keylogging et la protection contre les périphériques mobiles", évoque Philippe Honigman.
|
