Bien des gens considèrent que la protection contre les programmes malveillants consiste principalement à détecter les virus par le biais de signatures. Cependant, ce n’est qu’une facette de la médaille de l’antivirus. Certains diraient même que la détection basée sur la signature – une sorte de liste noire – est le côté le moins efficace de cette médaille. De l’autre côté se trouve la liste blanche, c’est-à-dire l’autorisation de logiciels inoffensifs, et donc le contraire du blocage des logiciels malveillants. La protection whitelisting se présente comme une solution fiable. 

Qu’est-ce que la liste noire ?

Laissez-moi vous expliquer cela avec notre technologie spéciale Kaspersky, le réseau de sécurité Kaspersky (KSN). Lorsqu’un utilisateur installe un produit Kaspersky, il lui est proposé de participer gratuitement au KSN. S’il accepte cette offre, il fait partie d’une infrastructure distribuée par laquelle les informations liées à la sécurité sont traitées. Par exemple, si un utilisateur de KSN en Inde est infecté par un tout nouveau virus, Kaspersky Lab crée une signature par laquelle ce virus peut être détecté et ajoute cette signature à sa base de données afin qu’aucun autre utilisateur de Kaspersky ne puisse être infecté par ce virus.

En termes simples, il s’agit d’une liste noire. Nous créons une liste de choses nuisibles et l’utilisons pour les éloigner de votre ordinateur. La liste noire fonctionne très bien si elle est efficace à 99,9 % et s’il n’y a qu’environ 10 000 nouveaux applis malveillants par an. Mais ce n’est pas suffisant si son efficacité est de 99,9 %, mais 10 millions de nouveaux applis malveillants apparaissent chaque année.

Qu’est-ce que la liste blanche ? Dans ce cas, il s’agit d’un processus appelé “Default Deny”. Ici, une solution de sécurité bloquerait tous les applis, sauf s’ils sont explicitement autorisés. Pour ce faire, vous avez besoin d’une liste blanche des applis autorisés. Ce type de liste blanche de refus par défaut est principalement utilisé dans les entreprises, où un bureau central a généralement le contrôle sur ce dont les utilisateurs ont besoin. Il est assez facile de prévoir quels applis sont nécessaires pour le travail et lesquels peuvent être ignorés. En outre, la liste des applis autorisés dans un environnement d’entreprise reste généralement la même pendant une longue période. Pour les utilisateurs à domicile, en revanche, il existe certains pièges, car il est difficile de prévoir ce dont un utilisateur particulier a besoin et quels applis il veut utiliser.

“Default Deny” vs. “Trusted Programs”

Cependant, les experts de Kaspersky ont trouvé un moyen de personnaliser les principes de refus par défaut pour les utilisateurs à domicile – à cette fin, les produits Kaspersky incluent le module “Trusted Programs”. Fondamentalement, le module Logiciels de confiance est une liste blanc mise à jour dynamiquement de logiciels qui ont été testés par rapport à un ensemble de critères et de données provenant du KSN.

En d’autres termes, notre liste blanche dynamique est une base de connaissances complète et continuellement mise à jour des logiciels existants. Il contient des informations sur plus d’un milliard de fichiers uniques – des logiciels populaires tels que les logiciels de bureautique, les navigateurs et les visionneuses d’images, à de nombreux autres logiciels rarement utilisés.

En gros, les logiciels de confiance sont une liste blanche de logiciels mis à jour dynamiquement et testés selon une série de critères et de données provenant du KSN.

Avec des informations supplémentaires provenant de près de 450 partenaires, principalement des développeurs de logiciels, cette base de données minimise l’apparition de ce que l’on appelle les faux positifs (fausses alarmes), car elle connaît même le contenu des mises à jour avant qu’elles ne soient livrées par les développeurs.

La chaîne de confiance

Mais qu’en est-il des logiciels que nous ne connaissons pas ? Certains softwares et processus créent de nouvelles applications et il est impossible pour notre liste blanche d’en garder la trace. Par exemple, pour télécharger une mise à jour, un logiciel peut avoir besoin de lancer un module spécial qui se connecte aux serveurs de l’éditeur du logiciel et télécharge la nouvelle version du programme. Ce module de mise à jour n’est rien d’autre qu’un nouveau programme créé par le programme original et pour lequel il n’y a peut-être pas encore de données dans la liste blanche. Mais comme ce programme a été créé et lancé par un programme de confiance, il est également considéré comme digne de confiance. Ce processus est également appelé “chaîne de confiance”. De même, une mise à jour téléchargée automatiquement qui diffère de l’ancien programme peut être libérée en vérifiant sa signature numérique ou son certificat, par exemple. Une troisième possibilité entre en jeu si un programme change de manière inattendue et n’est pas non plus signé. Dans ce cas, la chaîne de confiance peut comparer le domaine à partir duquel le programme a été téléchargé avec la liste des domaines de confiance qui appartiennent généralement à des fournisseurs de logiciels connus. Si un domaine est digne de confiance, cela s’applique également au programme nouvellement téléchargé. Cependant, si un domaine est utilisé pour distribuer des logiciels malveillants, il est retiré de la liste des domaines de confiance. Dernier point, mais non des moindres

Comme vous pouvez l’imaginer, les attaquants savent aussi très bien ce que nous faisons sur le site de protection. C’est l’une des raisons pour lesquelles ils aiment trouver des failles de sécurité dans les programmes populaires et en abuser pour contourner les mécanismes de protection mentionnés ci-dessus en laissant des actions malveillantes être effectuées par des softwares de confiance.

Pour y remédier, nos développeurs ont créé un système appelé “Security Corridor”. Ce module complète la liste blanche dynamique en garantissant que les logiciels autorisés n’effectuent que les actions qu’ils sont censés effectuer.

Andrey Ladikov de l’équipe de recherche sur la liste blanche et l’infrastructure en nuage explique : “Par exemple, la logique d’un navigateur est d’afficher des pages web et de télécharger des fichiers. Les actions telles que la modification des fichiers système ou des secteurs de disque sont fondamentalement étrangères au navigateur. Un programme de texte est là pour ouvrir et enregistrer des documents de texte, mais pas pour enregistrer de nouveaux logiciels sur le disque dur et les lancer”. Par exemple, si votre programme graphique se met soudainement à utiliser votre microphone, le programme sera marqué comme suspect.