web-dev-qa-db-fra.com

Ai-je vraiment besoin d'un logiciel antivirus si je fais attention où je navigue?

Un ami m'a dit ce qui suit:

Je n'utilise pas du tout de logiciel antivirus, je fais juste attention où je vais et sur quoi je clique.

J'ai également entendu cela d'autres personnes pendant que je réparais leur PC et nettoyais les logiciels malveillants/virus qu'ils avaient reçus en naviguant sur les "mauvais" sites. Enfin, j'ai trouvé ce billet de blog qui dit:

Pour être franc: j'ai refusé d'installer tout type d'antivirus ou de pare-feu personnel sur la plupart de mes ordinateurs (mais voir la mise à jour 1/1/2012 ci-dessous.) Cela comprenait un système Windows XP Home qui a été utilisé par mes enfants comme système de navigation sur le Web/e-mail/jeu. Je n'ai subi aucune infection pendant cette période.

Ma question est la suivante: y a-t-il des études documentées qui prouvent ou réfutent ces allégations de pouvoir naviguer sur Internet avec soin et d'avoir le même risque d'infection que celui de naviguer sur Internet avec un logiciel antivirus?

Remarque: Je pensais que je me souvenais d'avoir vu un épisode d'économiseurs d'écran une fois où ils avaient un PC connecté à Internet sans anti-malware ou anti-virus et à la fin du spectacle, l'ordinateur était devenu inutile mais je ne pouvais pas semble pas le trouver.

30
James Mertz

Comme mentionné dans certains commentaires, aucun site ne peut être garanti sûr. Même les sites de bonne réputation ont souffert de bannières publicitaires, d'erreurs de codage, d'attaques délibérées, etc. donc le premier problème est que vous ne pouvez faire confiance à aucun site Web. Vous pouvez déterminer un niveau de probabilité de sécurité en regardant le code à partir d'un bac à sable et des liens suivants, mais de nombreux attaquants écrivent du code qui se cache des outils de débogage ou des environnements de test, et le code change souvent de vecteur d'attaque avec le temps.

Donc, pour la partie suivante - avez-vous besoin d'un antivirus? Absolument - un grand nombre de machines connectées à Internet sont infectées et fonctionnent dans le cadre de botnets. Si vous ne protégez pas votre machine, elle pourrait finir par attaquer la mienne. Si vous ne pouvez pas détecter de malware sur votre machine, je blâmerais vos techniques de détection, je ne pense pas que votre machine était propre.

Depuis SANS, le temps d'infection prévu pour une machine non protégée sur Internet est inférieur à 5 minutes! (le temps de survie est calculé comme le temps moyen entre les rapports pour une IP cible moyenne adresse ... alias quelqu'un cingler votre ordinateur compterait comme une "infection")

Bien sûr, AV n'est qu'une couche de sécurité (ou potentiellement 2 si vous utilisez AV sur la passerelle et le bureau), mais toutes les couches ont de la valeur. Tout ce que vous manquez augmente la probabilité d'un compromis réussi.

24
Rory Alsop

Il y a beaucoup d'angles à cette question et je ne pourrai pas tout couvrir.

Au départ, une divulgation partielle, je travaille dans l'industrie audiovisuelle, mais je ne donnerai pas plus de détails. Autre révélation, je n'ai utilisé aucun mécanisme AV "en temps réel" sur mes machines privées au cours des dix dernières années. Cependant, j'ai exécuté des analyses hors ligne de temps en temps sur mes machines.

Plusieurs angles pour regarder le problème

Les infections par les drive-by et les chevaux de Troie ne sont que deux des vecteurs d'attaque potentiels, donc une navigation prudente pas vous soulagera complètement d'utiliser votre bon sens ou de faire vos devoirs dans d'autres domaines (garder votre logiciel patché et tel). Il y en a beaucoup plus, notamment des attaques ciblées (généralement appelées "pêche au harpon", "ingénierie sociale").

Potentiel d'attaques sous-estimé

Par exemple, des chercheurs ont montré que placer une clé USB qui ressemble à un lecteur flash mais qui se comporte comme un stockage + une souris + un clavier peut être utilisé pour pénétrer dans des zones autrement hautement sécurisées. Personne ne pense à une attaque en premier lors de la recherche d'un lecteur flash USB, non? Mais ça pourrait l'être.

Quoi qu'il en soit, il existe de nombreux autres vecteurs d'attaque à plus grande échelle. Les exemples les plus courants incluent:

  • vulnérabilités des logiciels que vous utilisez
    • Adobe Flash et Adobe Reader: PDF (incorporant JavaScript ou Flash ... ou des combinaisons imbriquées) - sous Windows, je suggère d'utiliser SumatraPDF , car il ne prend tout simplement pas en charge les scripts ou Flash dans les PDF.
    • Les différents moteurs de navigation
    • Le rendu simple des chaînes peut exploiter les vulnérabilités (trouvées dans le passé dans le rendu des polices )
    • Java lorsqu'il est utilisé comme plugin de navigateur (bien qu'il ne soit plus vraiment nécessaire de nos jours, sauf si vous visitez de nombreux sites Web des années 1990;))
    • utilisation d'un certain nombre de formats de fichiers complexes et/ou propriétaires (images, documents ...) où le logiciel décodant le format de fichier est plus sujet aux erreurs.
    • les composants du système d'exploitation eux-mêmes: pensez au ver Blaster et au ver/ransomware WannaCry.
  • éteindre votre propre cerveau au mauvais moment
    • recevoir un e-mail d'un être cher avec une pièce jointe? Oh, oh, les expéditeurs d'e-mails peuvent être truqués comme des cartes postales. Vous pouvez utiliser des courriers signés cryptographiquement pour vous prémunir contre cela. Mieux encore, vous pouvez utiliser PGP/ GPG pour vous protéger contre quelqu'un d'autre que vous et votre proche - lecture le contenu par également le chiffrer; la contrepartie électronique d'une enveloppe, mais pas aussi facile à "ouvrir".
    • aller en fait sur un site "érotique" et juste pour voir une image ou une vidéo exécutant ce "téléchargeur" ​​ou "spectateur"
  • Le micrologiciel peut être "cheval de Troie" afin que votre système d'exploitation n'ait pas la moindre chance de détecter tout acte répréhensible sur une partie de l'ordinateur.
    • Bluepill de Joanna Rutkowska était une approche similaire en ce qu'il utilise des instructions de virtualisation pour déplacer le système en cours d'exécution dans la position d'invité tandis que le rootkit lui-même conserve la position d'hyperviseur.

Pour n'en nommer que quelques-uns. Le propre EMET de Microsoft s'est avéré utile plusieurs fois pour prévenir certains types d'exploits. Mais ce ne sera pas une solution miracle. Si vous utilisez une édition Windows qui le permet, vous pouvez également définir les politiques de restriction logicielle et les politiques de contrôle des applications . Malheureusement, Microsoft ne semble plus donner beaucoup d'amour à ceux-ci et depuis l'application des signatures hachées SHA-2, les ACP ne fonctionnent plus de manière fiable sur la base des signatures. Cependant, vous pouvez toujours les utiliser avec des règles de hachage de fichier.

Btw: l'inverse est également vrai. On pourrait également concevoir une souris ou un clavier qui inclut le stockage et déclenche l'exécution de quelque chose hors de ce stockage. Voici un projet qui le rend accessible à un public plus large.

Conclusions erronées

Mais regardons la citation que vous avez donnée.

Pour être franc: j'ai refusé d'installer tout type d'antivirus ou de pare-feu personnel sur la plupart de mes ordinateurs (mais voir la mise à jour 1/1/2012 ci-dessous.) Cela comprenait un système Windows XP Home qui a été utilisé par mes enfants comme système de navigation sur le Web/e-mail/jeu. Je n'ai subi aucune infection pendant cette période.

Cela montre clairement que la personne citée ne connaît pas très bien le sujet. Personne, y compris les vendeurs AV, ne peut vous dire avec 100% de certitude que vous n'êtes pas infecté. C'est une idiote prétendre. Ce n'est pas parce qu'il n'y a aucun signe d'infection qu'il n'y a pas d'infection. Un malware peut rester inactif pendant une longue période, par exemple, juste pour entrer en action à un moment donné (pensez au virus Michelangelo ) Il existe très peu de méthodes, impliquant généralement des CD/DVD en direct (exemple - Qubes ) qui protégera contre la plupart des vecteurs d'attaque, mais on peut généralement trouver un scénario où ils échouent. Les plus pratiques sont les bacs à sable qui séparent les programmes les uns des autres et c'est l'approche utilisée par Qubes.

Ce que je dis, c'est que la personne utilise les mauvaises justifications et tire les mauvaises conclusions - pas qu'il n'y a rien de mal à ne pas utiliser les programmes AV.

Les AV ne vous protégeront pas nécessairement, en particulier les AV purs

Ma question est la suivante: y a-t-il des études documentées qui prouvent ou réfutent ces allégations de pouvoir naviguer sur Internet avec soin et d'avoir le même risque d'infection que celui de naviguer sur Internet avec un logiciel antivirus?

Encore une fois, la navigation n'est pas le seul vecteur d'attaque par lequel des logiciels malveillants peuvent pénétrer dans votre système (le mécanisme d'exécution automatique de Windows ainsi qu'une vulnérabilité dans le gestionnaire d'icônes pour les fichiers de liens ont permis à Stuxnet de se propager). C'était aussi simple que de brancher un lecteur flash sur l'ordinateur. La prochaine chose est qu'une solution audiovisuelle pure ne filtrera pas les sites Web auxquels vous accédez et ne se déclenchera que lorsque quelque chose frappe le disque (peut également être le cache du navigateur). Cela montre donc clairement qu'une solution audiovisuelle pure ne fournit pas une très bonne protection contre les infections liées à la navigation en premier lieu.

Cependant, nous pouvons supposer que la plupart des logiciels malveillants doivent persister sur les machines des utilisateurs pour être utiles à leur auteur - contrairement au passé où les auteurs de logiciels malveillants ont prouvé leurs connaissances grâce à la création de virus et autres, de nos jours, l'écriture de logiciels malveillants est très quasi - entreprise commerciale - comme l'écrémage de données bancaires ou l'utilisation du GPU pour l'extraction ou le rançon de Bitcoin et ainsi de suite.

Donc, quand il frappe le disque, l'AV peut l'attraper. Pourvu que l'AV le sache. Et ne vous y trompez pas, la plupart des fournisseurs de systèmes audiovisuels ont depuis longtemps abandonné la détection basée sur la signature surmontée ou ne les utilisent que comme méthode de détection supplémentaire. C'est contraire à la croyance populaire que j'ai vu maintes et maintes fois. Je ne connais qu'un seul fournisseur qui s'en tient essentiellement aux anciennes méthodes de détection basées sur les signatures. La majorité des fournisseurs utilisent une détection qui détecte généralement des centaines ou des milliers d'échantillons de logiciels malveillants associés à la fois. Pourtant, la société AV doit avoir rencontré le malware pour le détecter. Et plus il trouve d'échantillons pour une famille, mieux il peut affiner ses heuristiques pour éviter les faux positifs.

C'est une course et finalement une course aux armements. Les auteurs de programmes malveillants utilisent VirusTotal et d'autres sites similaires (ainsi que les versions darknet de ces services) pour savoir si leurs créations sont détectées. Puisqu'il y a de l'argent à faire, que ce soit directement ou en louant votre machine infectée en tant que bot, il y a suffisamment d'incitation à garder un profil bas.

Dissiper un mythe ...

Juste pour ces croyants aux AV les résultats que vous voyez dans beaucoup, sinon la plupart, des certifications sont gravement biaisés. Cela a à voir avec deux choses:

  1. certains d'entre eux veulent un paiement, ce qui crée bien sûr un obstacle au mécontentement des fournisseurs audiovisuels (payants)
  2. la plupart des tests permettent de révéler des failles qui sont impitoyablement abusées en faveur des résultats des tests dans les rapports marketing respectifs des fournisseurs

À mon avis, l'un des meilleurs tests est le test RAP (réactif et proactif) qui mesure la qualité des AV avec des signatures de virus "obsolètes". Mais il y a certainement plus de choses qui devraient être amélioré afin de rendre ces tests plus objectifs.

Depuis que j'ai écrit cette réponse à l'origine, un effort est en cours, appelé AMTSO , pour rendre les tests plus significatifs pour les clients des solutions anti-malware. Pour le moment, je ne suis pas sûr que cela apportera les améliorations promises, mais l'avenir nous le dira. À tout le moins, il est devenu clair que, puisque les fournisseurs sont plus nombreux que les testeurs, il semble y avoir un biais inhérent aux décisions et aux directives. Mais il existe au moins une prise de conscience de ce problème.

Conclusion: vous ne pouvez pas acheter de sécurité

AVs sera fournir une couche de sécurité supplémentaire au profane et même à l'expert. Période. Mais - et c'est un gros mais - cette sécurité supplémentaire ne peut jamais compenser le manque d'éducation à l'utilisation des ordinateurs sensibles à la sécurité. Inversement, je soutiens que, si vous êtes paranoïaque et assez diligent, vous pas besoin un AV comme dans un must have . La couche de protection technologique ne compensera pas la protection que vous obtenez grâce à la diligence raisonnable, la paranoïa et, surtout, prise de conscience.

La sécurité fournie par un AV peut être comparée à la sécurité de l'aéroport. Il y a beaucoup de sécurité, mais il y a aussi quelques réels sécurité supplémentaire impliquée. Mais ne croyez pas que l'AV vous protégera - ou d'autres d'ailleurs - à 100% contre l'infection. Qui peut également être lu comme une fiche sans vergogne pour n'importe quelle solution de sauvegarde (assurez-vous de garder les sauvegardes hors ligne, afin qu'elles ne soient pas effacées par les ransomwares, par exemple).

À mon avis, la meilleure protection est de loin la sensibilisation et la diligence. Mais malheureusement, il n'y a rien de tel qu'un permis de conduire requis pour l'utilisation d'un ordinateur ou d'Internet. À défaut, la prochaine meilleure protection serait les bacs à sable, les approches de liste blanche et également les AV et autres solutions anti-malware en plus des sauvegardes stockées hors ligne régulières. Ils ne pourront jamais vous offrir une protection à 100% (enfin, liste blanche peut-être), mais ils peuvent vous protéger contre un large éventail de menaces prolifiques. Donc, en cas de doute, bien sûr optez pour cette solution AV (ou en général anti-malware). Mais c'est là que ça devient difficile. Ils diffèrent par leur qualité et même les tests - comme je l'ai souligné plus haut - sont souvent très biaisés. L'ajout d'un autre moteur AV dans le mix peut aider mais il n'y a aucune garantie. Si à l'intérieur d'un seul produit, l'intégration de plusieurs moteurs sera probablement bonne et n'ajoutera pas trop de frais généraux. Cependant, si vous installez plusieurs produits AV en parallèle, vous posez des problèmes. En fait, les versions Windows modernes vous permettent uniquement de voir les statistiques d'une seule solution de sécurité par catégorie dans le Windows Action/Security Center.

En ce qui concerne la liste blanche, les versions récentes de Windows sont assez cool à ce sujet. Vous pouvez l'implémenter efficacement vous-même (exécutez gpedit.msc) dans Stratégies de restriction logicielle et Stratégies de contrôle des applications (ou votre administrateur peut le faire si vous utilisez un environnement géré). I pensez il a été introduit au moins depuis Windows 7, mais il est possible que ces fonctionnalités existent même sur Windows Vista. Malheureusement, cette fonctionnalité peut dépendre de l'édition de votre version de Windows, ce qui est dommage. Il y a aussi un problème: si vous basez les règles sur des signatures de code, cela peut échouer avec les exécutables qui ne sont signés que par SHA-2.

Aussi:

gardez à l'esprit: Strictement parlant, nous pouvons jamais dire si un système est propre, alors que nous pouvons dire que nous n'a pas trouvé quoi que ce soit. Toute affirmation contraire est soit Marketingese, soit va rapidement rendre obsolète l'industrie audiovisuelle dans son ensemble.

(source: ma réponse sur SuperUser ici )

Un filet de sécurité encore meilleur est les sauvegardes et les retours en arrière fréquents vers un état de nettoyage connu - mais c'est juste à mon avis.

Les logiciels malveillants commercialisés n'ont pas besoin d'un accès privilégié, même pas sur Linux, FreeBSD ou macOS

Plus de SuperUser j'ai écrit this :

Encore une chose. De nombreux utilisateurs de Linux (également MacOSX) sont victimes de l'hypothèse que les logiciels malveillants qui ne disposent pas d'un accès privilégié ne peuvent pas vous blesser (ce qui est également souvent cité comme une raison pour laquelle il n'y a "pas" de logiciels malveillants pour les systèmes unixoïdes, ce qui n'est pas non plus le cas). pas tout à fait vrai). Cela ne pouvait pas être plus éloigné de la vérité. Bien que cela l'empêche d'établir un bastion à l'échelle du système, il n'empêchera pas les logiciels malveillants d'écraser les données de vos fichiers personnels, etc. Une extension de navigateur malveillante installée dans votre propre profil sera toujours aussi dangereuse pour votre compte comme celui qui peut le faire pour tous les comptes. Si vous effectuez vos opérations bancaires par Internet avec l'extension escroc installée, cela ne fait aucune différence que vous soyez root ou joe.

21
0xC0000022L

Je vais faire une analogie: ai-je besoin d'un préservatif quand je fais très attention lors des relations sexuelles? Oui, car même si vous êtes en sécurité, vous ne savez pas si l'autre partie est impliquée même si elle ou il le dit. Vous devez donc utiliser un préservatif/anti-virus? Bien sûr, il vaut mieux être prudent que désolé car se débarrasser d'un virus est très difficile.

Notez que même lorsque vous utilisez un antivirus, les choses peuvent mal tourner même lorsque vous êtes en sécurité! Si vous pensez que les choses ont mal tourné, il est préférable de restaurer à partir de la sauvegarde ou d'effectuer une nouvelle installation.

5
Lucas Kauffman