Sandbox : finalement on l'active ou pas ?

Ancien utilisateur de la v3, j’avoue être un peu dérouté par le comportement de la sandbox dans la v4.1…

Aussi, dans un premier temps, j’avais désactivé cette sandbox pour retrouver mes alertes habituelles de cis v3 (D+ et FW en sécurisé) 8)

Et puis… je me suis dit que je n’étais pas le seul à utiliser mon ordi (femme et enfants aboard !) alors, j’ai réactivé la sandbox… Après une floppée d’alertes pour mes progs habituels (en cochant ne plus lancer dans la sandbox à chaque fois :P) je retrouve enfin un système plus calme…

A votre avis, ai-je bien fait ? puis-je autant faire confiance à mon cis qu’avant ? Devrais-je revenir à mon ancienne config ? Je ne sais pas pourquoi, mais je me méfie des actions automatiques de la sandbox… parano , moi !!!

a mon avis la sandbox est un plus très appréciable ,chez moi elle a toujours été activée et je ne vois absolument rien de suspect dans son fonctionnement.
ce que je trouve interessant c’est d’avoir dans le menu contextuel via le clic droit de la souris la commande “exécuter dans la sandbox comodo” lorsqu’on sélectionne un exécutable, sachant que j’ai déjà été sérieusement infecté par une très très méchante bestiole qui ne m’a laissé aucune chance et j’ai du me résoudre a formater et a tout réinstaller.
une tel commande m’aurai surement sauvé la vie.
je ne saurais trop te conseillé de laissé activé la sandbox.

ooops ,après ce que je viens de lire ici :
https://forums.comodo.com/francais-french/finalement-je-quitte-le-navire-t56430.60.html
apparemment la sandbox est bourrée de bugs et de failles a n’en plus finir…et pas des moindres.
peut être pour une utilisation normale ca devrai aller.
reste a vérifier ca avec le temps et espérer que l’équipe de comodo parvienne a résoudre tout ses problèmes soit dans les prochaines MAJ ou dans une future version.
quoi qu’il en soit je la laisse activée chez moi.

j’ai vu ça aussi et cela me donne quelques réflexions :

  • Les spécialistes qui en discutent sur infomars (shaoran, peghorse,visualbasic entre autres) sont très “joueurs” et cherchent la petite bête (et ils ont raison!) pour pousser la comodo team à avancer. ils recherchent comment pousser comodo à la faute en créant parfois de toute pièce des malwares ciblés sur cis 88). Parfois, on note même une volonté de casser cis (revanche, aigreur ?). Ils sont néanmoins d’accord pour dire qu’il n’y a pas de solution 100% sûre ET 100% user friendly… cis reste un bon compromis.

  • les menaces “réelles” auxquelles seront confrontés les utilisateurs “normaux” seront à mon avis contrôlées par CIS. Evidemment, le geek qui passe son temps à installer des leaktests plus ou moins vérolés, des keygens pour son Nero ou le vicelard qui va sur www.maman_chaudasse.com n’est pas 100% à l’abri (mais à 99%). Il doit alors savoir comment surfer (noscript/WOT) et faire tourner cela sur une machine virtuelle (à mon humble avis).

  • je serais seul sur mon ordi, je désactiverais la sandbox (je sais répondre et je prends le temps de lire les popups D+), mais avec les enfants, c’est autre chose… je pense que la sandox est un plus pour une utilisation “familiale”.

Si vous me le permettez, je vais vous résumer le fond de ma penser.

Pour ce qui est des hips de manière générale, ils ne servent pas à grand chose. Il y a plusieurs problèmes
Dans un premier temps, les hips ne sont pas sans faille, c’est leur principal problème car tout ce qu’ils font, c’est canaliser l’exécution d’une application. Vous vous imaginez un tuyaux dans lequel s’écoule de l’eau, et à un moment donné, un trou, un solution non colmaté par l’hips qui laissera tout passer.
En second lieu, l’utilisateur et l’hips. En effet, c’est l’utilisateur qui autorise ou pas une action surveillée. Lorsque des testeurs s’amusent avec des fichiers qu’ils savent malveillants c’est bien, mais que ce passera t’il lorsque vous penserez l’application sûre ? Ou bien, chose plus fréquente, que vous ne savez pas à quoi correspond exactement l’alerte ? Et bien vous la laissez passer, c’est tout le problème.
Enfin, le problème des userfriendly comme CIS et OA qui donnent tous les droits aux applications “sûres”. le soucis, c’est que se faisant, vous autorisez toutes les failles de sécurité possible via cette application, autrement dit, il suffit de cibler une application sûre, derrière, elle fera tout ce qu’elle veut. C’est la faille que j’ai publiée qui est, après réflexion, impossible à corriger en l’état et demanderai énormément d’analyse et de modifications pour que cela fonctionne.

Pour ce qui est de la sandbox, même soucis, il y aura toujours des failles, voyez une sandbox connue Sandboxie qui n’arrive pas à tout contenir, c’est toujours le problème de l’exécution, c’est dur à canaliser.

Pour ce qui est des pare-feu, même chose que les hips, c’est l’utilisateur qui autorise ou non les connexions, donc il suffit de le berner. Ajouter à cela le problème encore une fois des applications sûres.

Sur ces trois modules, que dire au final à part que c’est de la poudre aux yeux. Les seuls hips efficaces sont ceux qui bombarderont l’utilisateur d’alerte, comme OSSS par exemple. Cela a été ma conclusion lorsque j’ai tenté de trouver un remplaçant CIS, au début cela devait être OA, mais je ne l’ai finalement pas pris.

A mon sens, les menaces ne doivent pas être exécutées autant que possible et je penses qu’il faut regarder plus en amont. A commencer par le navigateur et la possibilité d’ajouter des extension comme WOT par exemple qui pourra prévenir sans difficulté si l’on visite un site malveillant. On peut donc ainsi réduire efficacement l’une des premières menaces constitué par les sites web.
Par contre, par rapport à ce qui était dit, les sites pornos = virus, heureusement pour eux que ce n’est pas le cas vu le pognons qu’ils se font la dessus. Pour ce qui est des warez, de plus en plus la possibilité de commentaire et de filtrage réduit les menaces, dans tout les cas, en 2 ans, je n’ai pas eu une seul virus bien que je télécharge :stuck_out_tongue:

Reste les menaces d’autre réseaux, comme P2P ou téléchargement divers légaux ou non, emails, ici, pour l’instant, je n’ai pas de solution hormis les protections suivantes.

Enfin la dernière vois d’accès, les disque amovibles, c’est pareil.

Il faut donc un deuxième écran de protection et ici c’est plus l’antivirus qui devrait faire le nécessaire, maintenant comme toujours ce pose la question de quel antivirus choisir, c’est un autre débat.

Il existe enfin un système plus efficace, les behavior blocker qui arrivent à déterminer rapidement si un fichier est un menace ou non juste avant l’exécution généralement. Actuellement, il n’y en a qu’un seul gratuit, mais sont utilité fait débat ainsi que ces influences sur les ressources du système, je vous invite plus à lire informars pour les discutions qui s’y rapportent.

Enfin, le dernière système qui devient un peu à la mode, ce sont les IDS, ils analysent les comportement pour détecter les menaces potentielles à la manière d’un hips en quelque sorte sauf qu’ils s’auto gèrent.
Il n’en existe actuellement aucun gratuit, c’est d’ailleurs quelque chose que plusieurs d’entre nous cherchons en ce moment.

Ce deux derniers outils sont l’avenir de la sécurité, le reste, il faut l’oublier.

Je me répèterai pour rien encore je suppose, mais n’allez pas penser que je dis cela uniquement dans le but de pouvoir défoncer Comodo encore une fois car je suis haineux envers Comodo.
Déjà d’une, je ne leur fais plus confiance, j’ai déjà bousillé plusieurs postes avec leurs applications, j’en soupçonnais certaines d’en provoquer, et finalement j’en sou-estimais l’impact …
Les bugs et les FP de l’antivirus, c’est vraiment ce qui me déplais chez Comodo, ce que j’avais expliqué bien avant mon départ. Découvrir “ma” faille, et ensuite l’avoir approfondi correctement m’a fait aussi comprendre que c’était une mauvaise façon de se protéger, c’est pourquoi je cherche de nouvelles voix et que j’aurai de toute façon fini par abandonné Comodo, ce dernier étant finalement inefficace selon moi, tout comme l’ai OA et d’autre outils du même genre.

Concernant la publication de failles chez infomars, certes, cis s’en prend plein, c’est aussi car c’est le plus simple à contourner de tous, pour les deux dernières failles que j’ai publié, je n’ai même pas eu à chercher, elles sont apparues d’elles mêmes. Sachez aussi que pour ma part je ne fais pas ça pour améliorer Comodo, et que je ne m’amuserai pas longtemps à en trouver.
Je n’ai pas envoyé ces fichiers à leurs staff et généralement, je ne publie pas tout ce que je trouve. Si ces failles sont corrigés, tant mieux pour eux, dans notre cas, le tout est de tester des softs et aussi de pouvoir les juger ou pouvoir argumenter en images sur un problème X de sécurité tu comme celui que je préparait à savoir, les hips et firewall à filtrage sortant ne servent à rien.

Bien, je crois avoir fait le tour.

merci a toi shaoran pour cette brillante vision d’avenir sur les suites sécuritaire de demain.
les IDS (intrusion detection system) étant ,d’après ce que j’ai compris des firewall intelligent et les behavior blocker des hips intelligent ne nécessitant pas l’intervention de l’utilisateur ,avec que des pop-up justifiés.
je pense que tu faisais référence a panda cloud antivirus qui devrai intégrer cette technologie prochainement.
rien ne nous dit que comodo ne fera pas pareil d’ici quelques temps.
d’ici là on peux concevoir sans peine qu’être réellement a l’abri n’est qu’une utopie.

Salut le behavior blockers bloques les vulnerabilités des produits adobe/office/ie/ff/opera etc, et permet de prevenir contre l’attaques sur les fichiers importante, Ou la modification des paramatre " hijacks "

un ids peut être inclus dans un pare-feu pour detecter les backdoors et certains botnet.

juste une petite remarque sur panda cloud que parabellum cite et que beaucoup semblent adopter : est-il raisonnable de faire confiance à un logiciel qui semble lié à une secte pour analyser notre surf sur internet (le cloud est un écran entre nous et internet si j’ai bien compris…) :-\ :-\ :-\ :stuck_out_tongue:

[Quote]est-il raisonnable de faire confiance à un logiciel qui semble lié à une secte pour analyser notre surf sur internet
[/quote]
est-il raissonable en lui meme d’utiliser comodo apres leur réputation du passé Et des ennemis qu’ils font chaque jours?
Pour le cloud, oui, ca derange pas plus que ca, comodo envoie plus de fichiers a leur serveur que fait panda.

Concernant la secte, si y verse 20% a la wwf quelque choses comme ca, c’est bien… c’est honorable. <

:o :-TD

Bah y sauve les petits panda (:LOV)

En fait, pas pour ceux auquel je pense, le nom correcte serait plus HIDS pour Host based IDS. Voir : Système de détection d'intrusion — Wikipédia
Celui que j’ai pu voir pour l’instant en action, c’est AVG Identity Prevention disponible sur la version Internet Security. On peut infecter le post autant qu’on veut, il nettoie la mémoire au fur et à mesure tout seul.

Il l’intègre déjà, il en intègre même deux, sachant que le second est sur la version pro uniquement. n’ayant aucune version d’évaluation pour l’instant, personne ne l’a testé.

Cela fait parti de leur projet à ma connaissance.

Oui, et c’est aussi un point capital pour moi, on peut alors se demander pourquoi devoir supporter des ralentissements, ou des pop up par exemple causés par nos protections.
Si pour ma part j’utilise panda, c’est parce qu’il a un taux de détection plutôt bon et qu’il ne ralenti pas du tout le système.
Sachant qu’en cas d’infection, on peut aisément utiliser MBAM. Jusqu’à présent, je ne l’ai jamais vu échouer dans le nettoyage de pc.

Comme dit MOVEAX, dans le même débat on peut aussi cité Comodo et toutes les affaires qui tournent autour, le spyware autrefois ajouté à ces applications comme CIS avant la 2.4
La possible vente de certificat de domaine à des sites malveillants, etc etc, la liste est longue.

L’affaire panda et scientologie, c’était du principalement au fait qu’un ancien dirigeant était un donateur important de la secte. Cette affaire a fait beaucoup de bruit et on peut encore trouvé beaucoup d’articles dessus. Sachez que cette personne a été viré vu la perte que cela a entrainé pour eux.
Cela pouvait se ressentir facilement car à l’époque, Panda software a perdu beaucoup de ses clients et était exclu de certains point de vente comme la fnac.
Sachez enfin que ce n’était pas les seul, on peut aussi parler de Diskeeper qui a eu le même débat.

Maintenant, on en est plus comme avec Comodo, histoires et ragots d’autrefois, rumeurs ou autre. Je serai plus pour dire que si c’est le cas aujourd’hui, alors ils se feront discret, l’autre souci étant que de ce que je sais de l’église de scientologie, pour ne parler que d’eux, ils sont implantés un peu partout, donc on ne peut malheureusement être certains de rien y compris pour les autres entreprises.

Comme pour Comodo, tenons s’en nous plus aux applications elle même plutôt qu’épiloguer sur des choses que nous ne pouvons pas vérifier.

la méchanceté de cet homme !! ;D il me semble avoir déjà écris cela quelque part >:-D

Bon je ne referais pas le speech, mais depuis que je n’ai plus de logiciel comodo sur ma machine, elle s’en porte beaucoup mieux, et je ne passe pas sans arret mon temps a essayer de regler les problèmes surgissant.

Concernant Panda et la scientologie faut arreter un peu…Tu crois que l’argent que tu dépenses, tu sais exactement a quoi il va servir?

Pareil, j’ai desinstallez, j’ai remis windows 7 ( le seul moyen de desactivez comodo c le formatage) … connard de drivers… par magie, mes applications qui vont sur internet fonctionne 10x plus vite, ma carte reseau ne me donne plus d’érreur, les ralentisements de certaines application sont plus la, et j’en suis heureux.

je pense que ces ralentissements viennent principalement de l’antivirus. En effet, depuis que je n’ai réinstallé que le FW/D+ couplé à Avast! , l’ordi se lance plus vite et est plus fluide (en particulier lors de l’affichage du contenu des dossiers dans l’explorer)… :slight_smile: j’ai retrouvé un ordi rapide.

Maintenant, ptet à retester avec la maj d’aujourd’hui qui est censéee supprimer des ralentissements liés à l’AV… à voir… :wink:

moi, elle est désactivée.

et je m’en porte pas plus mal.

je préfère recevoir des alertes plutôt qu’une application fasse n’importe quoi derrière mon dos sans que je lui ai donné l’autorisation (même si elle est noté “sûre”)

c’est à mon avis le point de vue le plus sûr … quand on est le seul à toucher à son ordi… 8)

je suis pas le seul à utiliser l’ordi.
mais j’ai bien dit à ma copine…quand tu reçois une alerte…(et que je suis pas là)

tu refuse.

je ne sais pas pour vous les gars mais les interventions remarquables de shaoran sur ce post m’ont fais énormément plaisir.
non seulement il nous éclaire sur ce qui se fait actuellement de mieux en matière de sécurité en nous offrant une vision plus globale des choses mais aussi il nous dévoile les facettes cachées de certaines cartes.
on ressent fort bien toute l’intégrité et la compétence de shaoran a travers ses posts.
j’ espères qu’il ne boudera pas trop ce forum d’entraide de comodo.