Les bienfaits de la liste blanche (en opposition à la liste noire)

On pense souvent que le rôle des antivirus est de bloquer les programmes malveillants. Cependant il s’agit plutôt d’autoriser les programmes fiables.

On pense souvent que les protections antivirus se basent sur la détection par signatures. Cependant, la détection de programmes malveillants n’est qu’une pièce du puzzle. En fait le système de détection par signatures, basé sur le modèle des listes noires, est la pièce la moins importante du puzzle. D’un autre côté, il y a les listes blanches, les autorisations de logiciels fiables ou interdictions de logiciels malveillants.

Qu’est-ce que la liste noire ?

Permettez-moi de passer par le prisme de la technologie de Kaspersky pour vous l’expliquer : le Kaspersky Security Network (KSN). Quand les utilisateurs installent certains des produits de Kaspersky Lab, on leur propose de rejoindre le KSN. S’ils acceptent, ils deviennent partie intégrante d’une infrastructure qui traite les informations reliées à la sécurité informatique.

Par exemple, si un nouveau type de malware infecte l’ordinateur d’un membre du KSN en Inde,

Kaspersky Lab va créer une signature spécialement pour ce malware et va l’ajouter à la base de données pour qu’aucun autre utilisateur ne soit infecté.

Pour résumer, voici comment marchent les listes noires : nous répertorions tous les programmes malveillants dans le but de les tenir éloignés de nos ordinateurs. Ce système fonctionne bien quand il est efficace à 99,9% et qu’il existait seulement 10 000 nouvelles familles de logiciels malveillants par an, mais ce n’est pas suffisant quand il est efficace à 99,9% quand il y a désormais 10 000 000 de nouvelles familles de malwares qui émergent chaque année.

Qu’est-ce que la liste blanche ?

Je vais de nouveau utiliser la technologie et la terminologie de Kaspersky Lab pour illustrer le fonctionnement des listes blanches. Dans ce cas, nous parlons de quelque chose qu’à Kaspersky Lab on appelle  » Déni par défaut « . Ce principe implique qu’un antivirus bloque toutes les applications et tous les logiciels par défaut sauf s’ils ont été autorisés au préalable par l’administrateur. La liste blanche contient donc toutes les applications autorisées.

Le problème est que ce système de liste blanche est principalement utilisé dans le milieu corporatif, au sein duquel la hiérarchie possède plus de pouvoir que nécessaire. Il est relativement facile de dire que certaines applications sont indispensables pour travailler et ignorer toutes les autres. Cependant, il est probable que, dans le monde de l’entreprise, la liste d’applications autorisées ne soit quasiment jamais actualisée. Au niveau des consommateurs, certains pièges sont évidents, ce qui signifie qu’il est difficile de déterminer les envies ou les besoins des consommateurs à un moment donné.

Le déni par défaut via les applications fiables

Bien sûr, nos amis chercheurs de Kaspersky Lab ont trouvé le moyen d’appliquer les principes du déni par défaut à l’ensemble des consommateurs grâce à la technologie  » Applications fiables « . En substance, les applications fiables sont répertoriées dans une liste blanche qui s’actualise automatiquement à l’aide d’un ensemble de critères établis grâce à la base de données KSN.

En d’autres termes, notre liste blanche dynamique et destinée aux consommateurs est une base de données approfondie et constamment actualisée, regroupant toutes les applications existantes. Cette base de données rassemble des informations sur pratiquement un milliard de fichiers, et couvre la grande majorité des applications populaires, comme les navigateurs, les visionneuses d’images et bien d’autres.

En substance, les applications fiables sont répertoriées dans une liste blanche qui s’actualise automatiquement à l’aide d’un ensemble de critères établis grâce à la base de données KSN.

En utilisant les données de presque 450 collaborateurs, dont la plupart travaillent dans le développement de softwares, il est plus facile d’éviter les fausses alertes aux virus, car cela nous permet de connaître le contenu des mises à jours des fabricants avant même que celles-ci n’aient lieu.

La chaîne de la confiance

Mais qu’en est-il des applications que l’on ne connaît pas ? Certaines applications et procédés engendrent de nouvelles applications et il est impossible d’établir une liste blanche qui tienne compte de ces constants changements. Par exemple, pour télécharger la mise à jour, il se peut que le programme doive lancer un module spécial, qui se connectera au serveur du fabricant de softwares et télécharge une nouvelle version du programme. En effet, le module de mise à jour est une nouvelle application crée par le programme d’origine et il se peut qu’on ne retrouve pas sa trace dans la base de donnée de la liste blanche. Cependant,  étant donné que l’application a été créé et lancée par un programme fiable, elle est censée l’être aussi. C’est cela que l’on appelle  » la chaîne de la confiance « .

De la même manière, si une nouvelle mise à jour se télécharge automatiquement et qu’elle est diffère de l’ancienne application et que la liste blanche ne la reconnaît pas, elle peut être autorisé via la vérification de la signature ou de son certificat numérique.  Un troisième module de sécurité intégrée peut se déclencher si un changement inattendu survient sur une application sans signature. Dans ce cas, la chaîne de la confiance peut analyser le domaine téléchargé en le comparant à une liste de domaines de confiance, qui appartient en général à des vendeurs de logiciels réputés. Si un domaine est fiable, alors la nouvelle application l’est aussi. Si un domaine est connu pour avoir distribué des malwares à un moment donné, il est retiré de la chaîne de confiance.

Et le meilleur pour la fin

Comme vous devez le savoir, les pirates sont au courant de presque tout ce que l’on peut faire pour se protéger. Cela est dû en partie au fait qu’ils adorent chercher les vulnérabilités présentes dans les programmes populaires, afin de les exploiter et de contourner les protections décrites ci-dessus, en lançant des actions malicieuses à partir de programmes fiables.

Pour lutter contre cela, nos chercheurs ont développé un système connu comme le  » couloir de la sécurité « . Le couloir de la sécurité vient en complément de la liste blanche dynamique et fait en sorte que les applications et les programmes autorisés exécutent seulement les tâches qu’ils sont censés exécuter.

whitelisting

« Par exemple, la logique d’un navigateur est normalement d’afficher les pages Web et les fichiers téléchargés » a expliqué Andrey Ladikov  de l’équipe de recherche de Kaspersky Lab spécialisée en listes blanches et infrastructures Cloud. « Les actions telles que changer les fichiers système ou les secteurs du disque sont étrangères au navigateur. Un éditeur de texte est conçu pour ouvrir et sauvegarder des documents sur un disque, mais pas pour sauvegarder de nouvelles applications sur un disque ou les lancer ». Ainsi, si votre application de dessin préférée commence à utiliser votre micro, l’application sera signalée.

Quels sont les ordinateurs protégés ?

La technologie de la liste blanche dynamique n’est pas disponible pour tous. Seuls les utilisateurs de

Kaspersky Internet Security, Kaspersky Internet Security Multi-Device et Kaspersky Pure peuvent profiter de ce niveau de protection.

Lectures supplémentaires   

Nos amis chercheurs n’ont pas écrit un, ni deux mais trois articles sur la science des listes blanches. Cliquez sur les liens pour en savoir davantage.

 

Conseils