La sandbox de la version 5 est elle vraiment efficace ????

Bonjour,

J’ai fait quelque essais et je me demande si la sandbox de la version 5 de CIS est vraiment efficace.

La comparaison s’est faite entre la version 4.1, qui introduisait pour la première fois ce module et la dernière version de CIS disponible.

Je suis parti d’un programme sain, mais pas reconnu par CIS, ni dans sa liste blanche ni dans ces editeurs de confiance.

1/avec CIS 4.1
le programme n’est donc pas reconnu, il est donc lancé directement dans la sandbox (réaction logique).
Bien que le programme soit isolé il fonctionne. C’est quand même le but. Mais il est isolé du reste du PC.

2/ avec CIS 5
j’ai choisi dans un premier temps les réglages par défaut. C’est à dire qu’un programme inconnu sera lancé en “partiellement limité”.
Le programme est lancé, et envoyé dans la sandbox. Le programme s’ouvre, mais il est impossible de s’en servir. >:(
Donc bien sur si je passe les réglages sur “limité” le programme ne fonctionnera pas mieux, puis ce que j’enlève encore plus de droits.

Alors vous allez dire que la protection de la sandbox dans la version 4.1 est inférieur. Et bien non…
Car cette fois ci je lance un keylogger et un screenshot et je refais les mêmes essais.

1/ avec CIS 4.1
les programmes sont lancés dans la sandbox, ils sont isolés du système et bloqués.

2/ avec CIS 5
en mode “partiellement limité” et dans la sandbox
Keylogger, sceenshot tous passe >:(

en mode “limité” et dans la sandbox
les programmes sont bloqués

Conclusion de ces petits tests.
Je me demande à quoi sert la sandbox dans la version 5 si aucun programme ne peut se lancer à travers cette dernière. En plus en mode “partiellement limité” la protection est très légère.
Ce qui est sur c’est que entre ces deux versions, le fonctionnement de la sandbox est différent.
Pour ma part utilisant les deux programmes, j’ai coupé la sandbox dans la version 5.

Autres points étranges que j’ai aussi constaté.
Reprenons le programme que j’ai utilisé au début de ce post. Il n’est pas reconnu par CIS OK. Mais je l’ai déjà soumis plusieurs fois en l’espace de 4 mois et il n’est toujours pas reconnu???
Par contre d’autres programmes potentiellement dangereux sont analysé en ligne comme sain.
En plus il semblerait que CIS n’a pas toujours les mêmes réactions.
Le même programme chez deux personnes différentes avec la même version de CIS ne va pas réagir de la même façon.
Programme inconnu, chez moi il sera mis automatiquement en " fichier fiable" alors que chez une autre personne il sera inconnu et lancé dans la sandbox.
Etrange…

Bon CIS reste un très bon programme, mais certaines de ces réactions m’étonnent.

En effet, la sandbox, ne semble pas concluante. J’utilise pour ma part Comodo 4.1 en défense proactive sans sandbox. L’antivirus ne m’a jamais convaincu. En ce qui concerne la reconnaissance de fichiers fiables ou inconnu, si je me souviens bien, c’est un problème ancien sur cette suite. Par défaut, il ne faut pas faire confiance en CIS pour cela. C’est à toi de faire la job (comme ils disent ici au Québec). J’aime Comodo, mais il présente tout de même quelques failles. On en parle assez sur un autre forum où je participe http://salesmalwares.com/.

la sandbox marche en restriction et pas en virtualisation .

Re Lucy

Non pour moi le rôle d’une sandbox est justement de virtualisé le système. Pour preuve dans la rubrique Sandbox de D+ il est bien stipulé “virtualisation du registre”.

Re Th Crown

je teste les deux versions 4.1 et 5.3.
Pour la sandbox je préfère celle de la 4.1 qui faisait un excellent travail. J’ai du la couper dans la version 5 comme je l’ai stipulé ci dessus.
Par contre, la version 5 amène son lot d’amélioration, comme le cloud que je trouve relativement efficace. L’antivirus c’est aussi amélioré. J’ai pu effectué quelques tests sur des URLS infectés très récentes et les résultats ont été très convainquants. Par contre j’ai fait quelques réglages au niveau de l’antivirus, comme le passage de l’heuristique en “moyen”.
Je pense que l’antivirus peux remplacer avantageusement Antivir ou Avast. Ce n’est que mon opinion, et il faut attendre encore un peu pour en avoir la confirmation.
CIS ne possède pas de protection de mail ou de protection WEB. Mais il suffit de passer par un Webmail qui analysera le courrier et de paramétré ces DNS par Clear cloud ou Norton DNS pour obtenir une bonne protection au niveau du web.

Il faut aussi admettre que CIS possède quelques failles, dont on a déjà très longuement parlé sur ce forum. Mais bon je ne connais pas d’antivirus qui soit fiable à 100%.

Je connais bien le site http://salesmalwares.com/. Je suis présent sur ce dernier sous le nom de Mandrake.

Ce n’est que pour la sandbox manuelle.

Bonjour Mandrake

Je suis moi aussi sur VSM, et d’ailleurs, voici un sujet lancé par Future sur l’antivirus de comodo. http://salesmalwares.com/Sujet-Mini-test-de-Comodo-Antivirus-5-3. Comme d’habitude, il n’est pas tendre avec. Il montre une limite du cloud. Ce que j’aime avec Comodo, ce sont ses alertes. Elles sont claires et nous permettent rapidement de décider de nos choix.
Je n’ai guère confiance en l’antivirus et y préfère de longue date Kaspersky, et j’adjoins Malwarebytes, et Emsisoft, Clear Cloud, firefox (avec noscript, wot et Adblock plus)

Personnellement, la Sandbox, me laisse sceptique. Comme le dit Future sur VSM, elle n’est pas une véritable virtualisation.

Bonjour Th Crown,

merci pour ce lien concernant le test de Futur.
Que dire.
Et bien pour ma part, tout d’abord, on connait tous les deux l’avis de Futur concernant ce logiciel. Il n’est pas très impartial. Je préfère les tests effectué par des gens neutres (my opinion).
Je fais moi aussi mes tests personnels, on n’est jamais mieux servi que par soit même.
Effectivement CIS montre ces limites, mais au même titre que d’autres antivirus. Il y a peu de temps j’ai fait des essais en comparant ce dernier avec Antivir et Avast. Ces deux n’ont pas fait mieux , voir même moins bien en ce qui concerne Avast, et pourtant j’étais un habitué de ce dernier.
Avec Antivir, j’ai eu l’installation d’un bon vieux rogue, qui heureusement avait été isolé par CIS (du moins dans la version 4.1).
En ce qui concerne Panda Cloud, pas folichon non plus.
J’ai testé en scan 2000 virus. C’est Antivir et CIS qui s’en sortaient le mieux.
Chaque programme à ces avantages et ces inconvénients. Avast a un bon WebGuard, mais une base de signatures incomplètes, Antivir a une bonne base de signatures mais le logiciel est très incomplet (et moins performant que dans sa version 9), CIS a une bonne base de signatures mais sa sandbox est inopérante dans la version 5 et sa liste d’éditeurs peut être parfois un handicap et une porte ouverte pour des malwares.

J’ai testé différents configurations autour de CIS.
CIS 4.1+ Antivir + Immunet
CIS 5 + Avast
CIS 5+ Antivir…
Le but recherché étant de trouver la meilleur solution efficacité/légèreté.
Franchement, je cherche toujours.

Tu as une bonne configuration avec Kapersky. Je n’ai pas adopté ce dernier car il est lourd sur mon système et je le trouve chère.
J’utilise moi aussi Malwarebyte et Emisoft. Pour les DNS, j’utilise Norton, car chez moi ce dernier va plus vite que Clear Cloud et j’ai eu des faux positifs avec ce dernier.

Pour la sandbox, j’ai expliqué ci dessus mon avis. J’utilise Sandboxie qui est bien plus efficace .

pour moi, la sandbox me permet de gagner du temps . je m’explique : un fichier inconnu s’exécute sans me demander mon avis, la sandbox le rend inofensif et bien souvent l’empêche de s’installer (!) 88) . Cela me laisse le temps de faire des recherches sur ce processus ou ce logiciel…

voili voilà

D’accord avec toi CVSA, mais dans ce cas tu peux aussi couper la sandbox et tu auras un popup qui te permettra de faire ton choix dans la marche à suivre.

bonjour

pour ma part, j’ai aussi désactivé la sandbox,
j’ai mis le niveau de sécurité defense+ en mode apprentissage, ainsi que le pare feu,

comme dit “magneto” plus haut, j’ai fait le “passage de l’heuristique en “moyen”.”

mais quelle va en etre la différence ? quelle est la meilleure configuration ??

merci
a+

la sandbox en restricted ou untrusted arrange tout.
et defense+/parefeu en mode apprentissage, autorissera tout.

alors quel serait le meilleur compromis, pour ne pas laisser tout passer, ni etre trop importuné par les alertes ?

à quoi correspond “activer le centre de messages comodo” dans les préférences, est-ce ceci qui fait qu’on a des messages genre “participer à …” dont on a pas besoin

merci

Bonjour Yvon02

Difficile pour te répondre. Il y a vraiment trop de questions au quel nous n’avons pas de réponses.
Pour moi, ce qui est sur c’est que la sandbox de la version 5, n’est pas d’une grande utilité. En plus le Whitelist prend des initiatives qui ne sont pas toujours de mon gout. Par contre le cloud fonctionne bien.

J’avoue que j’hésite toujours entre la version 4.1 et la version 5.3.
Les sandbox ne fonctionnent pas de la même façon.
Dans la version 4.1, j’ai coupé la liaison avec les serveurs de Comodo. Bien sur c’est + d’alertes mais aussi + de sécurité.
Le seul HIPS que j’ai trouvé qui procure une protection de qualité sans être trop bavard, c’est Defensewall. Mais ce dernier est payant.
CIS à l’avantage d’intégrer le HIPS, le pare feu, le Cloud voir l’antivirus (pour ceux qui veulent) ce n’est tout de même pas mal.

Concernant “le centre de messages comodo”, je pense qu’ils veulent parler des popups qui apparaissent parfois. Le dernier parlait de facebook je crois.

Le mode apprentissage autorise tout, et en plus il crée des règles d’autorisation. A utiliser seulement si vous savez ce que vous faites.

La sandbox auto ne virtualise pas. Elle limite les droits d’exécution du fichiers pour l’empêcher d’infecter le système. Pour la virtualisation, il faut passer par l’ajout manuelle.
Actuellement il y a un problème avec les signatures digital. Certains malware sont signés par des certificats des éditeurs de confiance a cause d’une fuite interne de leur signature. Les labos comodo ont réussi a identifier ces cas et ils travaillent sur des méthodes pour “éradiquer” ce problème de certificats volées.

Bonjour Symbian,
loin de moi de vouloir lancer tel ou tel polémique. Mon but étant de mieux comprendre son fonctionnement et de parer peut être à d’éventuel soucis.

Le mode apprentissage autorise tout, et en plus il crée des règles d’autorisation. A utiliser seulement si vous savez ce que vous faites.

le mode apprentissage n’autorise que ce qui est installé lors de la mise en place de CIS. Toute nouvelle installation sera bloqué. Il est donc important d’être sur que son PC ne soit pas infecté si l’on veut utiliser ce réglage lors de l’installation.

La sandbox auto ne virtualise pas

C’est ce que j’avais cru comprendre. Dans ce cas là je ne vois pas son utilité. Puisque si l’on la désactive on aura un popup de blocage.

Elle limite les droits d’exécution du fichiers pour l’empêcher d’infecter le système.

Oui, mais “en partiellement limité” elle ne permettra pas une protection correcte et en “limité” de nombreux programmes ne pourront pas se lancer.

Actuellement il y a un problème avec les signatures digital

Tu me rassures, car je me posais des questions. J’espère que cela va vite être résolu.