on remarquera l’utilité de la sandbox qui rattrape automatiquement les erreurs de l’utilisateur mais ce qui est fâcheux c’est l’ajout de certaines applications dans les fichiers sûrs.
j’avais déjà remarqué cette manœuvre de D+ qui consiste a ajouter automatiquement des applications exécutées dans les fichiers sûrs sans alerter l’utilisateur.
ce n’est pas systématique mais ca peut se produire.
y a t’il un moyen pour éviter cet ajout ou du moins en être alerté?
y’a certains cas où je ne comprends pas pourqu’oi il autorise l’acces internet alors que l’alerte heuristique annonce un comportement suspect… ??? m’enfin bon, la sandbox rattrape… :-TU
j’imagine que c’est pour imiter le comportement d’un novice face a une application qu’il a autorisé a s’exécuter juste avant.
CIS s’en sort finalement bien et c’est étonnant de voir que la mémoire reste relativement clean après le boot.
ce qui m’a l’air vraiment dangereux c’est l’ajout de certaines applications dans les fichiers sûrs.
bug ou stratégie voulu par comodo pour essayer de resté discret?
Salut !
Bon ben comme le post est déjà fait jvais commenter le sujet =)
Euh c’est pas une stratégie, en fait c’est pas un bug non plus.
Le problème de base c’est que Comodo ajoute automatiquement les applications sûrs dans “Mes fichiers sûrs”, cependant, certains malwares intelligents utilisent “Windows installer” par exemple qui est donc sûre car ça vient de Microsoft mais qui est utilisé pour polluer, mais comme Windows Installer c’est sûr, ben le malware obtient la liberté totale car Comodo ne l’arrêtera pas.
Donc ça part d’une bonne intention de faciliter l’utilisation du logiciel mais certains malwares pourront en profiter…
Tout d’abord je remercie peghorse de nous rejoindre sur le forum et nous aider a y voir plus clair sur ces ajouts de fichiers sûrs. 8)
le malware utilisera forcement “windows installer” pour s’installer et D+ a ce moment là va le placer dans “mes fichiers sûrs”…pour moi il y a un gros problème de sécurité là.
l’idéal serait d’éviter cette indexation automatique soit en vidant complètement la liste des éditeurs de confiance soit en passant en mode paranoïa…soit les deux.
Bravo pour l’ensemble de ton travail :-TU :-TU :-TU
l'idéal serait d'éviter cette indexation automatique soit en vidant complètement la liste des éditeurs de confiance soit en passant en mode paranoïa...soit les deux.
A peu de choses près, la messe est dite.
Il convient d’y ajouter que la sandbox est un danger public en son état actuel, en conséquence de quoi je ne vois aucune raison à ce jour d’utiliser cis 4.
les développeurs de version 4 de comodo se sont donnés pour objectif de limiter les alertes afin de ne pas trop déranger l’utilisateur sans pour autant diminuer de sa protection, d’où la présence de la sandbox qui va, lorsqu’elle jugera l’application douteuse, lui permettre de se planter dans un environnement virtuel restreint sans aucune intervention de l’utilisateur.
jusque là tout va bien mais si la sandbox ne réagit pas et que l’application pour une raison ou une autre se retrouve dans les fichiers sûrs…le pire est a craindre.
Parce que le but ici était de faire l’idiot comme n’importe qui qui utiliserait ça
Car quand on choisit bloquer ben ça bloque bien, comme ça on a vu si la Sandbox rattrapait ou pas.
Je ne vois pas en quoi: il est clair que décréter qu’un éditeur ou un exécutable sont forcément toujours sûr amène, pour le bénéfice de ne pas alerter l’utilisateur, des risques patents.
Il en va de même de la sandbox dont le comportement est erratique et ne permet pas, au même motif, à l’utilisateur final qui devrait être le seul maître à bord après Dieu, de décider lui-même ce qui est sain ou ne l’est pas, et qui faussera l’établissement de règles firewall et/ou defense+ saines.
Cela dit, le problème existe aussi, bien qu’à un moindre degré, sous cis 3 puisque msiexec.exe (puisqu’on en parle) y figure dans le groupe “Windows Updater Applications”, réputé avoir la qualité de “Installateur”, et qu’on ne peut à ce titre modifier que par l’item “mon groupe de fichiers”, qui n’existe pas à ma connaissance ailleurs que dans le registre.
shaoran, si tu veux participer à cette discussion ou à une autre, tu sais que tu y es bienvenu (au moins par les utilisateurs), mais ne trouve tu pas grotesque d’émettre, comme tu le fais, un commentaire par mois?
Par contre, je note tout de suite que malgré ce qu’il a pu y avoir dans cette vidéo, CIS a la fâcheuse habitude d’être imbattable avec les menaces actuelles. Les fichiers qui sont passés sont à prendre avec des pincettes, il peut aisément y avoir des doutes sur leur classification en tant que rogue.
Il faut aussi souligner que ce pack n’a pas été conçu pour ce genre de test à la base.
de là à déconseiller CIS… les tests récents montrent que cis est une des meilleures suites de sécurité, que tu le veuilles ou non… même si, je te l’accorde, elle n’est pas “parfaite”… Pour la sandbox, il suffit de la désactiver si on veut rester “seul maitre à bord” et de décocher les options qui visent à réduire les popups (confiance automatique dans les installeurs signés etc…). Cis est donc très recommandable et paramétrable selon les désirs et les capacités de chacun.
c’est clair que nous aurions souhaité plus d’interventions de shaoran sur le forum 8)
notons que peghorse a rajouté un commentaire des plus utile sur son site, je le cite :
- Problème qui pourrait devenir important : La SandBox autorise facilement l’installation d’un Malware lorsque celui-ci utilise déjà un autre logiciel sûre, exemple : Windows Installer, et d’autre programme de « Setup » connu et sûrs. Une fois qu’il est sûr, Comodo attribue apparemment tous les droits… Chose qui simplifie la tâche mais semble créer un trou potentiel de sécurité à l’avenir…
Salut Symbian depuis le temps =)
Euh ben j’espère bien que la 5.0 sera différente !
En attendant CIS 4.1 n’est pas mauvais mais à faire gaffe quand même avec les fichiers sûrs.
de là à déconseiller CIS... les tests récents montrent que cis est une des meilleures suites de sécurité, que tu le veuilles ou non...
Je ne déconseille pas du tout cis, puisque je l’utilise, en version 3 sans av: je déconseille cis v4, ce qui n’est pas du tout la même chose.
Quant aux “tests”, tout le monde sait que chacun leur fait dire tout et son contraire, et qu’ils n’ont qu’une pertinence limitée (y inclus, je l’accorde, ceux utilisant des failles pour l’instant seulement connues “in vitro”, ce qui ne veut non plus pas dire qu’il n’en existe pas de réelles et “opérationnelles”: mais bon, dans ces conditions, on ne ferait plus rien, ni vos pc ni les miens ne représentent un intérêt stratégique pour les hackers).
