Assiste.com
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
« SandBox » est un terme anglais, féminin, constitué des deux mots :
En français, le terme utilisé, masculin, est « Bac à sable ».
Une « SandBox » ne doit pas être confondue avec une « Machine virtuelle (VM) ».
« SandBox » a de nombreuses acceptions, y compris le « Bac à sable » des chats domestiques. Deux acceptions sont retenues ici, dont l'une est une représentation imagée de l'autre :
L'exécution du navigateur Web (Firefox, Internet Explorer, Opera, Google Chrome, Safari, K-Meleon, etc. ...) dans une « SandBox » est une excellente idée.
Certaines « SandBox », comme « Anubis », affectent un coefficient de risque à chaque occurence de chaque nature d'action observée, selon un barême qu'elles ont élaboré. La somme des coefficients, par exemple allant de 0 (zéro) à 100, permet alors de classer, « à priori », le processus observé dans la « SandBox », en suspect ou hostile ou anodin.
Le terme « à priori » n'est pas inutile et toutes les « SandBox » ne se valent pas, car l'une des « SandBox » utilisées, analysant une URL (une page Web), a réussi l'exploit de classer en dangereux, avec 66% de risques, la page d'accueil d'assiste.com !
Une « SandBox » voit ce que les antivirus ne voient pas.
L'interprétation des analyses d'une « SandBox » de chercheurs, comme la « SandBox » « Anubis », est illisible aux particuliers. Le tout premier tableau de synthèse donne une mesure estimée du risque, sous forme de cryptogrammes de couleurs, sans aucune certitude que le risque soit autre chose qu'un simple risque. L'évaluation reste du ressort de l'humain.
Exemple d'une analyse de « chercheurs » par la « SandBox » « Anubis ».Au début des années 2000, les « SandBox » ont commencé à émerger dans de rares outils de sécurité « Grand Public ». Elles étaient citées en exemple, regardées avec des yeux de Chimène, mais nécessitaient alors des machines d'une rare puissance.
Fin 2003, les « SandBox » sont encore quasi inexistantes. Elles sont alors considérées comme l'avenir probable des antivirus mais nécessitent des machines puissantes - on ne peut installer ce genre d'outils sur une machine à base de Céléron 800 avec 128Mo de mémoire ram.
En 2006, la « SandBox » Geswall émerge et permet d'exploiter réellement un programme malicieux sans restriction mais dans un espace fermé, de type « Bac à sable », où les actes compromettant sont exécutés à l'encontre de données fictives, de fichiers fictifs non assignés à des fichiers réels ou simulés etc. ... A la fin de l'exécution, il ne s'est rien passé de compromettant.
Une « SandBox » de recherches permet d'observer une réelle exécution d'un processus dans une zone réelle mais totalement « murée » ou « Boîte à sable » ou « Bac à sable » ou « SandBox », utilisant l'ordinateur hôte (matériel, système d'exploitation, tous dispositifs et toutes technologies implantées, etc. ...), pour « voir ce qui se passe ». Aujourd'hui aucun antivirus sérieux ne peut se passer d'analyses heuristiques et de « Sandboxing » sous peine de disparaître dans les tableaux comparatifs des antivirus et d'être jeté aux Gémonies.
Une « SandBox » permet de lancer des applications de manière totalement isolée du reste du système qui l'accueille. L'accès au réseau, la capacité d'inspecter le système hôte ou de lire à partir de périphériques d'entrée, sont généralement interdits ou fortement limités et surveillés.
Les « SandBox » sont un exemple concret de virtualisation mais « les SandBox ne sont pas des Machines virtuelles». Voir Différence entre Machine virtuelle et Sandbox.
Une « SandBox » permet, lorsque l'on quitte une application sandboxée, que cette application soit quittée de manière définitive, sans laisser aucune trace dans le système hôte (ce qui peut être une difficultée d'usage rendant un peu plus compliqué, par exemple, le téléchargement d'un fichier ou d'un document que l'on souhaite, réellement, conserver).
|
Invircible, dont le code et la licence furent volés par Dotan, de la société Tegam, et renommé Viguard (un contrôleur d'intégrité présenté comme un antivirus), utilisait un concept de « SandBox » dès 1991.
|
Les cybercriminels sont d'excellents informaticiens, de très haut niveau. Certains réussissent à détecter que leur cybercriminalité est en cours d'exécution dans une « SandBox ». Le processus malveillant inhibe alors tout son contenu (toutes ses actions) malveillant ou risquant d'être interprété comme malveillant. La cybercriminalité n'est plus vue que comme un processus ou un objet anodin.
|
Les encyclopédies |
---|