4 méthodes éprouvées pour stopper net les malwares
Les technologies antivirus et antimalwares ont toujours eu pour objectif principal d'empêcher l'exécution du code malveillant sur un périphérique pour éviter que celui-ci soit endommagé.
En matière de solutions d'antimalwares, les principales évolutions technologiques portent sur le mode de détection des malwares et sur les éléments du périphérique auxquels un logiciel malveillant a accès. Il existe actuellement quatre approches différentes.
1. Bloquer les programmes malveillants
Il s’agit de l'approche antivirus traditionnelle : faire correspondre les signatures du malware et le code exécuté sur le périphérique. Le problème, c'est l'échelle : les programmes malveillants sont tellement nombreux qu'il est impossible de s'attendre à ce que le poste client reconnaisse toutes les attaques qui ont un jour été créées.
2. Améliorer l'analyse heuristique
Il est impossible de bloquer tous les malwares car ils changent constamment : il faut donc se concentrer sur ce que fait le malware, dans le périphérique ou dans l'application. En améliorant la reconnaissance des modèles d'attaque et en bloquant les activités qui n'ont aucun sens pour une application spécifique, on améliore de façon significative la capacité à protéger les périphériques contre les attaques.
Bien entendu, cela sous-entend de savoir ce que l'application devrait faire en détail, afin d'identifier les modèles qui diffèrent du « comportement d'application autorisé » et qui signalent sans doute un malware.
3. Isoler les applications vulnérables
L'une des techniques émergentes pour protéger les postes clients consiste à exécuter des applications vulnérables (navigateurs Web, Java et Adobe Reader, entre autres) dans un environnement « sandbox » restreint afin de les isoler du reste du périphérique au cas où elles exécuteraient un code malveillant.
Cette technique part du principe que les applications vont bien être infectées, et donc elle empêche les pirates de contrôler le périphérique ou d'y voler des données. L'autre solution consiste à explorer l’ensemble du code du système d'exploitation et isoler les processus un par un. Cette technologie émergente est prometteuse pour aider les systèmes d'exploitation de base à résister aux attaques.
4. Accepter les codes sur whitelist
Il y a enfin le refus par défaut, qui définit l'ensemble de code autorisé à s'exécuter sur les périphériques et qui bloque tout le reste. Cela permet un blocage réel des périphériques car aucun code (malveillant ou légitime) ne peut s'exécuter sans autorisation. C'est l'approche sous-jacente des technologies de contrôle des applications.
Il existe ainsi plusieurs façons d'éviter les dommages. L'approche appropriée dépend de la situation.