Assiste.com
Sandbox
La « SandBox », c'est le « Bac à sable » des artificiers dans lequel une charge active explose sans créer de dégâts. En sécurité informatique, une « SandBox » fonctionne de la même manière.
cr 01.04.2012 r+ 21.08.2020 r- 20.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Ne faites confiance à aucun programme
La confiance, en informatique et sur le Web, équivaut à être au bord d'un précipice et faire un grand pas en avant.
« SandBox » est un terme anglais, féminin, constitué des deux mots :
- Sand (Sable)
- Box (Boîte)
En français, le terme utilisé, masculin, est « Bac à sable ».
Une « SandBox » ne doit pas être confondue avec une « Machine virtuelle (VM) ».
« SandBox » a de nombreuses acceptions, y compris le « Bac à sable » des chats domestiques. Deux acceptions sont retenues ici, dont l'une est une représentation imagée de l'autre :
- « SandBox » : bac à sable (un puits empli de sable) utilisé par les artificiers démineurs pour faire exploser des mines et autres munitions tout en absorbant l'onde de choc (les effets de la déflagration d'un explosif sont totalement amortis) de manière à ne pas lui permettre de se propager ni causer de dégats.
Préparation d'une SandBox - « SandBox » : dispositif informatique créant un « espace d'exécution infranchissable » à l'intérieur d'un ordinateur hôte et dans lequel peut s'exécuter un programme (un processus inconnu, un programme en cours de développement et tests, ou un processus suspect d'être malicieux) sans avoir aucune influence sur la machine hôte et sans laisser aucune trace dans l'hôte de la « Sandbox ». Les murs virtuels de la « SandBox » sont infranchissables bien que les moyens d'exécuter le processus soient l'ordinateur hôte lui-même et le système d'exploitation hôte lui-même.
- En contexte utilisateur, la « SandBox » permet l'exécution sans aucun risque d'un processus qui, une fois terminé, ne laisse aucune trace dans l'ordinateur hôte (aucun fichier écrit, modifié ou supprimé, aucune manipulation (ajout, modification, suppression) dans le Registre Windows, etc. ... Les fonctions modifiant quoi que ce soit dans l'ordinateur hôte le sont sur des copies temporaires des objets manipulés, à l'intérieur de la « SandBox », sans que les originaux, rééls, ne soient affectés.
L'exécution du navigateur Web (Firefox, Internet Explorer, Opera, Google Chrome, Safari, K-Meleon, etc. ...) dans une « SandBox » est une excellente idée.
- En contexte de recherches, les murs de la « SandBox » sont bardés de sondes qui notent tout dans des journaux d'exécution (des « log ». Il s'agit de voir et conserver les traces de toutes les tentatives d'accès (y compris au Web) et de toutes les actions, de quelle nature qu'elles soient, que conduit l'objet observé (le processus confiné dans la « SandBox »). Est-ce que ces agissements peuvent mettre en péril ou compromettre une machine réelle.
Certaines « SandBox », comme « Anubis », affectent un coefficient de risque à chaque occurence de chaque nature d'action observée, selon un barême qu'elles ont élaboré. La somme des coefficients, par exemple allant de 0 (zéro) à 100, permet alors de classer, « à priori », le processus observé dans la « SandBox », en suspect ou hostile ou anodin.
Le terme « à priori » n'est pas inutile et toutes les « SandBox » ne se valent pas, car l'une des « SandBox » utilisées, analysant une URL (une page Web), a réussi l'exploit de classer en dangereux, avec 66% de risques, la page d'accueil d'assiste.com !
Une « SandBox » voit ce que les antivirus ne voient pas.
L'interprétation des analyses d'une « SandBox » de chercheurs, comme la « SandBox » « Anubis », est illisible aux particuliers. Le tout premier tableau de synthèse donne une mesure estimée du risque, sous forme de cryptogrammes de couleurs, sans aucune certitude que le risque soit autre chose qu'un simple risque. L'évaluation reste du ressort de l'humain.
Exemple d'une analyse de « chercheurs » par la « SandBox » « Anubis ».
- En contexte utilisateur, la « SandBox » permet l'exécution sans aucun risque d'un processus qui, une fois terminé, ne laisse aucune trace dans l'ordinateur hôte (aucun fichier écrit, modifié ou supprimé, aucune manipulation (ajout, modification, suppression) dans le Registre Windows, etc. ... Les fonctions modifiant quoi que ce soit dans l'ordinateur hôte le sont sur des copies temporaires des objets manipulés, à l'intérieur de la « SandBox », sans que les originaux, rééls, ne soient affectés.
Au début des années 2000, les « SandBox » ont commencé à émerger dans de rares outils de sécurité « Grand Public ». Elles étaient citées en exemple, regardées avec des yeux de Chimène, mais nécessitaient alors des machines d'une rare puissance.
Fin 2003, les « SandBox » sont encore quasi inexistantes. Elles sont alors considérées comme l'avenir probable des antivirus mais nécessitent des machines puissantes - on ne peut installer ce genre d'outils sur une machine à base de Céléron 800 avec 128Mo de mémoire ram.
En 2006, la « SandBox » Geswall émerge et permet d'exploiter réellement un programme malicieux sans restriction mais dans un espace fermé, de type « Bac à sable », où les actes compromettant sont exécutés à l'encontre de données fictives, de fichiers fictifs non assignés à des fichiers réels ou simulés etc. ... A la fin de l'exécution, il ne s'est rien passé de compromettant.
Une « SandBox » de recherches permet d'observer une réelle exécution d'un processus dans une zone réelle mais totalement « murée » ou « Boîte à sable » ou « Bac à sable » ou « SandBox », utilisant l'ordinateur hôte (matériel, système d'exploitation, tous dispositifs et toutes technologies implantées, etc. ...), pour « voir ce qui se passe ». Aujourd'hui aucun antivirus sérieux ne peut se passer d'analyses heuristiques et de « Sandboxing » sous peine de disparaître dans les tableaux comparatifs des antivirus et d'être jeté aux Gémonies.
Une « SandBox » permet de lancer des applications de manière totalement isolée du reste du système qui l'accueille. L'accès au réseau, la capacité d'inspecter le système hôte ou de lire à partir de périphériques d'entrée, sont généralement interdits ou fortement limités et surveillés.
Les « SandBox » sont un exemple concret de virtualisation mais « les SandBox ne sont pas des Machines virtuelles». Voir Différence entre Machine virtuelle et Sandbox.
Une « SandBox » permet, lorsque l'on quitte une application sandboxée, que cette application soit quittée de manière définitive, sans laisser aucune trace dans le système hôte (ce qui peut être une difficultée d'usage rendant un peu plus compliqué, par exemple, le téléchargement d'un fichier ou d'un document que l'on souhaite, réellement, conserver).
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
Invircible, dont le code et la licence furent volés par Dotan, de la société Tegam, et renommé Viguard (un contrôleur d'intégrité présenté comme un antivirus), utilisait un concept de « SandBox » dès 1991.
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
Les cybercriminels sont d'excellents informaticiens, de très haut niveau. Certains réussissent à détecter que leur cybercriminalité est en cours d'exécution dans une « SandBox ». Le processus malveillant inhibe alors tout son contenu (toutes ses actions) malveillant ou risquant d'être interprété comme malveillant. La cybercriminalité n'est plus vue que comme un processus ou un objet anodin.
| Aidez Assiste – autorisez quelques publicités et cliquez-les |
| Dossier : OGL - Sandbox |
|---|
| En ligne : 1 fichier (ou URL) vs sandbox Dossier : Outils en ligne Dossier : Virus Dossier : Antivirus |
