Lumières sur la sécurité

jeudi 11 avril 2024

Dans les publications du projet Lumières sur la sécurité, nous parlons souvent de l'importance d'une protection complète des appareils contre les menaces virales. Cela ne s'applique pas seulement aux ordinateurs exécutant Windows — chaque système d'exploitation nécessite une approche spécifique de la sécurité en raison de certaines caractéristiques de fonctionnement, d'architecture et de tâches. Dans le même temps, les utilisateurs d'appareils personnels qui choisissent le plus souvent Windows ou macOS sont potentiellement exposés à un grand nombre de menaces numériques. Et il ne s'agit pas seulement d'une possible infection par des logiciels malveillants, en particulier dans le cas de Windows, qui est toujours le plus exposé. Il existe d'autres dangers, par exemple, la fraude réseau, qui, malheureusement, est indissociable d'Internet. Compte tenu du fait que nos vies se passent de plus en plus en ligne, l'activité des fraudeurs est un véritable fléau de l'environnement numérique moderne.

Si nous parlons de menaces virales, le principal canal de distribution est Internet. Par exemple, les chevaux de Troie, les portes dérobées, les rançongiciels et d'autres programmes dangereux sont souvent déguisés en logiciels utiles que l'utilisateur recherche sur divers sites. N'oubliez pas que sur Internet, vous pouvez trouver de nombreux liens vers des sites où des fichiers exécutables infectés sont distribués ou bien sur lesquels des scripts malveillants sont actifs.

Bien sûr, un bon antivirus doit neutraliser les menaces lorsqu'elles apparaissent sur le disque dur ou dans la RAM de l'appareil, quelle que soit la manière dont le code malveillant est parvenu à l'ordinateur. Un certain nombre de technologies et de méthodes de détection sont utilisées à cette fin. Mais dans les réalités d'aujourd'hui, il est extrêmement important d'avoir une couche de protection supplémentaire visant à assurer la sécurité de l'ordinateur et de l'utilisateur lors du travail sur le réseau. Par conséquent, une tâche importante des logiciels antivirus est de contrôler et de filtrer le trafic réseau passant par l'ordinateur protégé. Dans cet article, nous parlerons du module SpIDer Gate, qui fait partie du produit complet Dr.Web Security Space pour PC et macOS. Au sein des produits Dr.Web, ce composant est également appelé antivirus web.

Qu'est-ce qu'un antivirus web ?

SpIDer Gate est présent dans Dr.Web Security Space pour Windows, macOS et Linux. Certaines caractéristiques de son fonctionnement et de ses capacités diffèrent en raison des différences entre les systèmes d'exploitation. Ci-dessous, nous examinerons SpIDer Gate dans le contexte du système le plus courant — Windows.

L'antivirus Web SpIDer Gate est un moniteur Internet qui vérifie et filtre le trafic Web. Le trafic au sens général est la quantité de données transmises via le réseau. Nous n'entrerons pas dans les détails techniques, mais nous parlerons ici du trafic transmis sur le protocole HTTP et sa version sécurisée HTTPS. HTTP (Hypertext Transfer Protocol) est un protocole réseau de haut niveau qui s'exécute par-dessus la pile de protocoles TCP/IP. Différents programmes utilisent différents protocoles pour échanger des informations. Notamment, lorsqu'un ordinateur est connecté à Internet, son système d'exploitation a généralement plusieurs connexions réseau ouvertes. La plupart d'entre elles fonctionnent sans être remarquées par l'utilisateur. Ainsi, le système d'exploitation se connecte de temps en temps à des serveurs pour vérifier et télécharger les mises à jour. Les applications peuvent également utiliser Internet à diverses fins : authentification des licences, téléchargement de mises à jour et de fichiers, envoi de données et de statistiques de diagnostic, télémétrie, etc. Certaines connexions fonctionnent « ouvertement » — par exemple, lorsqu'un utilisateur visite des sites sur Internet à l'aide d'un navigateur. C'est le protocole HTTP qui permet au navigateur d'interagir avec le serveur Web, de recevoir et d'afficher le contenu des pages et de télécharger des fichiers. En plus des navigateurs, de nombreuses applications interagissent via le réseau en utilisant également le protocole HTTP. Il convient de noter que le trafic web représente la plus grande partie des échanges que les utilisateurs génèrent lorsqu'ils surfent sur Internet.

L'antivirus Web SpIDer Gate analyse ce trafic en temps réel à la recherche d'objets malveillants. Dans ce cas, l'analyse des données ne dépend pas du navigateur ou de l'application utilisée, ni du port par lequel le trafic Web passe. En fonction des paramètres, SpIDer Gate peut vérifier le trafic entrant et sortant, ainsi que les données transmises via le protocole HTTPS sécurisé. Les objets malveillants et les pages infectées sont automatiquement bloqués avant d'être téléchargés sur l'ordinateur, ce qui augmente considérablement la sécurité de l'appareil. De plus, SpIDer Gate est responsable du filtrage des ressources d'hameçonnage et des sites qui distribuent des logiciels malveillants. Pour ce faire, les données du service cloud et les bases de données virales Dr.Web mises à jour sont utilisées.

Comment fonctionne Spider Gate ?

Le composant SpIDer Gate est basé sur le service de filtrage Dr.Web Net filtering Service, qui assure également le fonctionnement du Contrôle parental et du composant Dr.Web SpIDer Mail. Ce service est un filtre et, comme avec un serveur proxy, toutes les connexions réseau passent par ce service pour vérifier le trafic. Le fonctionnement constant du service en arrière-plan et de l'antivirus Web SpIDer Gate, en particulier, n'affecte pratiquement pas les performances de l'ordinateur et la qualité de la connexion Internet. Il convient de mentionner que le service Dr.Web Net filtering Service lui-même ne consomme pas de trafic réseau. Les analyseurs tiers et les systèmes comptables peuvent montrer une forte consommation de trafic par ce service, mais en fait le transfert de données est initié par d'autres applications — le filtre n'agit que comme un intermédiaire pour l'analyse.

Mais revenons directement à SpIDer Gate et au trafic Web. Par défaut, l'antivirus Web analyse uniquement le trafic HTTP entrant. Si nécessaire, vous pouvez ajouter l'analyse du trafic sortant, ainsi que permettre l'analyse des données cryptées transmises via le protocole HTTPS sécurisé. Nos lecteurs se souviennent qu'il est impossible de consulter le contenu crypté. Comment, alors, un antivirus peut-il scanner et vérifier un tel trafic ? Dans ce cas, pour contourner les restrictions fondamentales, Dr.Web agit en tant qu'intermédiaire entre le serveur Web distant et l'ordinateur, en utilisant son propre certificat de sécurité racine (nous avons écrit en détails sur les certificats numériques et HTTPS dans cet article). Ainsi, le trafic HTTPS reste protégé et est contrôlé par le composant SpIDer Gate. Dans ce mode, le certificat Dr.Web va figurer sur les sites qui prennent en charge HTTPS, et non celui qui est réellement délivré au site. Par conséquent, si vous avez l'habitude (utile) de vérifier de temps en temps les certificats des sites dans le navigateur et que vous avez activé la vérification du trafic protégé, ne soyez pas surpris par la présence d'un certificat Dr.Web. D'ailleurs, d'autres fournisseurs d'antivirus fonctionnent de la même manière.

En plus de l'analyse antivirus des données transmises, SpIDer Gate filtre les sites par URL. Les sites connus comme des sources de distribution de logiciels malveillants sont automatiquement bloqués. Mais dans les bases de données Dr.Web, il existe également des sites non recommandés, dont les visites, d'une manière ou d'une autre, peuvent nuire à l'utilisateur. Par défaut, l'accès à ces sites est également limité, mais l'utilisateur peut ajouter le site souhaité à des exceptions pour le consulter. Notez que l'analyse antivirus de ces sites fonctionnera dans tous les cas.

Comment configurer SpIDer Gate ?

Avec les paramètres par défaut, l'antivirus Web fonctionne de manière optimale. Dans ce cas, l'utilisateur peut configurer le composant en fonction de ses besoins. Ainsi, l'activation de la vérification du trafic HTTPS augmentera la sécurité globale, mais dans certains cas, pour qu'une application fonctionne correctement, il peut être nécessaire d'y importer un certificat numérique de Doctor Web ou, en cas de conflits, d'ajouter l'application à des exceptions. Avant de le faire, il convient de s'assurer fermement que le programme exclu de l'analyse est inoffensif.

L'analyse du trafic Web sortant dans des conditions normales peut être redondante, cette option est donc désactivée par défaut. Le trafic malveillant sortant est généré si l'appareil est déjà infecté par un logiciel malveillant ou fait partie d'un botnet. Cependant, dans ce cas, la tâche d'éliminer la menace incombe aux modules restants de l'antivirus, qui doivent fonctionner de manière proactive. Les utilisateurs expérimentés peuvent avoir besoin de vérifier le trafic Web sortant si l'ordinateur fonctionne dans un environnement dangereux du point de vue des menaces virales.

Les exceptions sont un paramètre assez important, c'est une liste blanche d'applications dont le trafic Web sera exclu de l'analyse. Cependant, nous ne recommandons pas d'ajouter inutilement des applications à des exceptions, en particulier celles qui n'ont pas de signature numérique valide (même si la présence d'une signature n'est pas non plus une garantie absolue de sécurité du programme).

Comme mentionné ci-dessus, vous pouvez créer une liste blanche des sites qui seront autorisés à accéder indépendamment des paramètres des composants. Si l'option Bloquer les sites non recommandés est activée dans SpIDer Gate, l'utilisateur peut autoriser l'accès à certains sites en les ajoutant à la liste des exceptions. Dans le même temps, il convient de rappeler que la politique concernant les sites non recommandés est similaire à la détection de logiciels indésirables, dont nous avons parlé dans cet article. Le contrôle de l'accès à ces ressources par un antivirus est un moyen de protéger davantage les utilisateurs.