"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui regardent et laissent faire !" Albert Einstein

Pourquoi Microsoft exécute Windows Defender dans un bac à sable


Windows Defender est le premier antivirus à être isolé dans un bac à sable sécurisé. La fonctionnalité exécute certaines fonctions les plus risquées au sein d’un environnement confiné pour éviter que l’antivirus, si infecté, donne accès au reste du système.

Windows Defender devient le premier antivirus à s'exécuter dans un bac à sable sécurisé. La prise en charge du mode «sandbox» pour certaines fonctions a été déployée automatiquement pour les participants du programme Windows Insiders. Faire tourner dans un sandbox l’antivirus intégré par défaut à Windows garantit que, dans le cas où l’antivirus lui-même serait compromis par une attaque, les actions malveillantes restent limitées à un environnement confiné (bac à sable), protégeant ainsi le reste du système.

Microsoft explique que les antivirus devant inspecter l'ensemble du système à la recherche de contenus malveillants, ces logiciels s'exécutent avec des privilèges d'accès élevés. Une particularité qui fait des antivirus des cibles de choix pour les cybercriminels. Des chercheurs en sécurité ont déjà identifié comment un attaquant pourrait tirer profit des vulnérabilités des analyseurs de contenu de Windows Defender dans le but de permettre une exécution arbitraire du code, précise la firme de Redmond.

Un billet de blog de Microsoft explique en détails en quoi déployer des capacités de sandboxing dans Windows Defender n’a pas été une mince affaire. Il a par exemple été nécessaire de superposer les composants devant absolument fonctionner avec des privilèges complets et les composants pouvant être sandboxés, en s’assurant que ces derniers englobent les fonctionnalités les plus risquées. En parallèle, les équipes de Windows Defender ont dû minimiser le nombre d'interactions entre les deux couches afin d'éviter que le sandboxing ne vienne impacter la performance globale de l’antivirus.

A noter que la fonctionnalité est aussi accessible aux non participants du programme Windows Insider. Les utilisateurs familiarisés avec les invites de commandes peuvent ainsi, sur Windows 10 version 1703 ou ultérieure, forcer l’activation du sandboxing dans Windows Defender en tapant «setx /M MP_FORCE_USE_SANDBOX 1» dans Powershell.

Le smartphone, maillon faible de la sécurité informatique


Les téléphones mobiles sont omniprésents dans nos vies, mais nous ne sommes pas encore assez conscients de leur vulnérabilité aux attaques des pirates informatiques, préviennent les spécialistes en cybersésurité.

"Il faut imaginer que le risque autour du mobile aujourd'hui, c'est le même que le risque sur l'ordinateur personnel il y a quelques années, quand démarrait toute cette problématique sécuritaire", explique Loic Guezo, de la société spécialisée japonaise Trend Micro, en marge des Assises de la cybersécurité à Monaco.

Les pirates ne font que suivre les internautes, qui privilégient de plus en plus le smartphone à l'ordinateur pour accéder aux services en ligne.

Selon RSA, le bras "cybersécurité" du constructeur informatique américain Dell, 56% des transactions marchandes sur la toile sont désormais réalisées sur téléphone portable.

"Conséquence de ces nouvelles pratiques, 71% des fraudes et escroqueries diverses ont désormais lieu" sur ces appareils, selon RSA.

Les attaquants cherchent à introduire dans les smartphones des programmes malveillants capables d'intercepter les communications, de voler des identifiants et mots de passe pour les réseaux sociaux et sites de commerce en ligne, de détourner les applications bancaires pour siphonner les comptes des utilisateurs....

"Un +login+ et un mot de passe qui fonctionnent sur des plateformes comme Amazon ou LinkedIn, ça vaut 100, voire 200 euros" sur le "dark web", la face cachée d'internet, relève Matthieu Dierick, un expert de la société de cybersécurité F5.

Parmi les moyens utilisés par les cybercriminels, l'incontournable mail de "phishing" se prévaut d'une fausse identité pour inciter le destinataire à cliquer et télécharger le code malveillant.

Mais les pirates utilisent aussi les réseaux sociaux: détournant l'avatar d'un proche de la cible, ils envoient un faux message sur un réseau social, incitant l'internaute à faire le clic fatal.

"Nous avons un client entreprise qui a interdit à ses collaborateurs d'utiliser les services comme WhatsApp ou Snapchat sur leurs smartphones", indique Bastien Bobe, de Lookout, un spécialiste américain de la sécurité des mobiles.

D'autres attaquants se sont introduits dans des régies publicitaires pour faire passer de fausses pubs, souligne Loïc Guezo.

Les cybercriminels cherchent aussi à introduire des applications "vérolées" qui, sous couvert d'un jeu par exemple, introduisent du code malveillant dans le smartphone.

Le danger vient en particulier des applications téléchargeables sur des magasins d'applications Android moins scrupuleux que le Google Play Store (où les applications sont globalement sûres).

Le lancement de la version Android du jeu vidéo à succès Fortnite a été ainsi l'occasion pour les pirates d'infecter de nombreux smartphones, explique Gauthier Vathaire, de la société de cybersécurité Bitdefender.

Epic Games, l'éditeur de Fortnite, n'a pas voulu mettre le jeu à disposition dans la boutique en ligne de Google, préférant son propre site. Du coup, des indélicats ont créé de faux sites Fortnite et de fausses applications pour attirer les internautes.

Applications clandestines

"Il y a beaucoup d'applications vérolées, avec la vraie application Fortnite à laquelle les pirates ont rajouté du code malveillant", indique Gauthier Vathaire. "Epic Game a réagi et essayé de lutter", "mais c'est très difficile de faire bloquer ces sites".

Les possesseurs d'iPhone peuvent se sentir plus en sécurité, car ils ne peuvent télécharger en principe que des applications disponibles sur l'Apple Store officiel.

Mais il est possible que des pirates réussissent à "jailbreaker" (débloquer) un iPhone à l'insu de son utilisateur, l'ouvrant à toutes sortes d'applications clandestines, avertissent les experts.

Pour certains, les problèmes de sécurité qui se posent aujourd'hui sur les quelques 2,5 milliards de smartphones en circulation dans le monde ne font que préfigurer, à petite échelle, les problèmes de sécurité qui se poseront avec la prolifération des objets connectés.

"Dans un contexte où tous les objets sont connectés ensemble, on ne peut avoir de périmètre de sécurité bien défini", explique Bernard Ourghanlian, directeur technique et sécurité de Microsoft France.

Dans une entreprise, "le système informatique ne pourra plus faire confiance à rien et devra tout vérifier: la qualité de l'utilisateur, le contexte dans lequel les informations sont demandées, l'outil qu'il utilise..."

"Si je suis connecté via un PC de l'entreprise, via le réseau de l'entreprise, j'aurai accès à des informations qui me seront peut-être refusées si j'essaie de me connecter avec mon téléphone", explique-t-il.