Bonjour,
J’ai fait quelque essais et je me demande si la sandbox de la version 5 de CIS est vraiment efficace.
La comparaison s’est faite entre la version 4.1, qui introduisait pour la première fois ce module et la dernière version de CIS disponible.
Je suis parti d’un programme sain, mais pas reconnu par CIS, ni dans sa liste blanche ni dans ces editeurs de confiance.
1/avec CIS 4.1
le programme n’est donc pas reconnu, il est donc lancé directement dans la sandbox (réaction logique).
Bien que le programme soit isolé il fonctionne. C’est quand même le but. Mais il est isolé du reste du PC.
2/ avec CIS 5
j’ai choisi dans un premier temps les réglages par défaut. C’est à dire qu’un programme inconnu sera lancé en “partiellement limité”.
Le programme est lancé, et envoyé dans la sandbox. Le programme s’ouvre, mais il est impossible de s’en servir. >:(
Donc bien sur si je passe les réglages sur “limité” le programme ne fonctionnera pas mieux, puis ce que j’enlève encore plus de droits.
Alors vous allez dire que la protection de la sandbox dans la version 4.1 est inférieur. Et bien non…
Car cette fois ci je lance un keylogger et un screenshot et je refais les mêmes essais.
1/ avec CIS 4.1
les programmes sont lancés dans la sandbox, ils sont isolés du système et bloqués.
2/ avec CIS 5
en mode “partiellement limité” et dans la sandbox
Keylogger, sceenshot tous passe >:(
en mode “limité” et dans la sandbox
les programmes sont bloqués
Conclusion de ces petits tests.
Je me demande à quoi sert la sandbox dans la version 5 si aucun programme ne peut se lancer à travers cette dernière. En plus en mode “partiellement limité” la protection est très légère.
Ce qui est sur c’est que entre ces deux versions, le fonctionnement de la sandbox est différent.
Pour ma part utilisant les deux programmes, j’ai coupé la sandbox dans la version 5.
Autres points étranges que j’ai aussi constaté.
Reprenons le programme que j’ai utilisé au début de ce post. Il n’est pas reconnu par CIS OK. Mais je l’ai déjà soumis plusieurs fois en l’espace de 4 mois et il n’est toujours pas reconnu???
Par contre d’autres programmes potentiellement dangereux sont analysé en ligne comme sain.
En plus il semblerait que CIS n’a pas toujours les mêmes réactions.
Le même programme chez deux personnes différentes avec la même version de CIS ne va pas réagir de la même façon.
Programme inconnu, chez moi il sera mis automatiquement en " fichier fiable" alors que chez une autre personne il sera inconnu et lancé dans la sandbox.
Etrange…
Bon CIS reste un très bon programme, mais certaines de ces réactions m’étonnent.