Qu’est-ce qu’un HIPS ? La technologie d’Emsisoft Online Armor expliquée en détail

  • juillet 10, 2012
  • 6 min read

Il y a différentes méthodes de détecter, bloquer ou effacer des logiciels malveillants. Les termes techniques décrivant ces fonctionnalités varient selon les fournisseurs, ce qui rend la compréhension compliquée pour les utilisateurs. Tout ce qui brille n’est pas forcément de l’or – nous, par contre, n’avons pas l’intention de nous cacher derrière des termes compliqués, mais plutôt vous fournir les connaissances nécessaires pour choisir le meilleur système de protection adapté à vos besoins personnels.

Dans un autre article, nous avons déjà expliqué le fonctionnement d’Emsisoft Anti-Malware avec ses trois niveaux de protection (« Protection de surf », « Gardien de fichiers » et « Analyse de comportement »). Emsisoft Online Armor s’appuie sur une autre technologie pour détecter des attaques : Il fait partie de la catégorie des HIPS.

Les HIPS empêchent toute intrusion dans votre ordinateur.

HIPS est un acronyme anglais pour « Host-based Intrusion Prevention System“, ce qui veut dire « système de prévention d’intrusion basé sur hôte ». Contrairement à un système de prévention d’intrusion basé sur le réseau, qui est spécialisé dans la détection d’attaques dans le trafic du réseau, un HIPS tel qu’Emsisoft Online Armor marche sur l’ordinateur lui-même qu’il est censé protéger. Il est principalement conçu de telle manière que toute modification du système touchant la sécurité de celui-ci – surtout dans les points critiques – sera alertée. Ceci donne à l’utilisateur le contrôle complet de tous les processus importants du système, et celui-ci peut dont décider lui-même de quel programme il se fie pour lui permettre d’effectuer d’autres actions.

Il n’est malheureusement pas un remède universel contre toutes sortes d’attaques. Car, un système d’exploitation moderne établit et termine de nouvelles connexions sur Internet toutes les deux secondes, lance et termine des programmes visibles et invisibles ainsi que leurs modules et effectue des processus de lecture et d’écriture dans le registre et d’autres fichiers de configuration. Un HIPS alerte, dans un sens, d’abord toutes les modifications peu importe s’il s’agit d’un logiciel malveillant ou d’un programme normal. Si toute modification ouvrait un fenêtre d’alerte, l’utilisateur ne serait plus capable de travailler ou de naviguer comme il lui faudrait cliquer sur Permettre ou Bloquer tout le temps.

Tout HIPS de qualité évite les alertes inutiles.

C’est pourquoi notre HIPS Emsisoft Online Armor se sert de différentes technologies pour minimiser le nombre des alertes. Regardons, p.ex. les entrées Autorun. Sur les systèmes actuels, celles-ci sont effacées, modifiées ou ajoutées tout le temps, par exemple, lors de l’installation d’un programme ou d’un pilote. Normalement, vous devriez recevoir un alerte à confirmer de la part de votre HIPS chaque fois qu’une telle entrée autorun est modifiée. Car, les entrées autorun sont une source de risque que de nombreux logiciels malveillants utilisent pour être lancés lors de chaque démarrage de l’ordinateur.

Emsisoft Online Armor détecte quand même les entrées autoruns conventionnelles et sans risque selon différents critères de sorte qu’il est capable de prendre beaucoup de décisions lui-même. Par conséquent, vous ne recevez pas d’alerte et pouvez continuer à utiliser l’ordinateur sans gêne et sans risque.

Ces règles et filtres ne s’appliquent bien sûr pas seulement pour les autoruns, mais pour tous les 500 points de risque du système. Strictement parlant, il est très compliqué de filtrer les alertes qui se passe sur plusieurs niveaux de votre système d’exploitation. En tout cas, il faut assurer qu’aucune attaque virtuelle n’arrive à atteindre votre ordinateur.


Décisions automatiques d’Emsisoft Online Armor pour minimiser le nombre d’alertes.

Contrôle maximal pour les utilisateurs expérimentés

Si nécessaire, il est possible de désactiver toutes les règles et filtres d’Emsisoft Online Armor pour vous donner le contrôle maximal de tout ce qui se passe dans votre système. Ce contrôle maximal prend bien sûr plus de temps pour confirmer les alertes. Il faut également de bonnes connaissances informatiques afin de pouvoir bien juger les divers processus et actions.

En principe, un HIPS ne classifie pas un certain logiciel de logiciel malveillant, mais alerte les processus eux-mêmes. Une exception : la fonctionnalité supplémentaire d’Emsisoft Online Armor qui détecte des logiciels malveillants à l’aide de valeurs de hash. Un hash est une somme de contrôle calculée à travers les données d’un fichier existant. La valeur peut être comparée avec ceux de la base de données en nuage d’Emsisoft, « Emsisoft Anti-Malware Network », et un fichier détecté comme logiciel malveillant pourra être bloqué immédiatement. Il incombe tout de même surtout à l’utilisateur et ses connaissances de décider si une action est bloquée ou permise.

Beaucoup de gens pensent que tout pare-feu est un HIPS, ce qui est incorrect. Il est vrai que de nombreux pare-feu personnels se servent de fonctionnalités typiques d’un HIPS, mais un pare-feu classique sert à bloquer les ports TCP/IP, tel que le pare-feu de Windows. Emsisoft Online Armor, lui aussi, surveille les connexions TCP/IP et peut bloquer les ports, mais ce n’est qu’une petite part de la protection.


Le blocage TCP/IP n’est qu’une petite part de la protection.

Pare-feu n’est pas forcément pare-feu ; c’est pourquoi la différence entre Emsisoft Online Armor et le pare-feu de Windows est la même que celle entre un vélo et une voiture Formule 1. Tous les deux roulent sur des pneus, mais la différence entre les deux est énorme en ce qui concerne la complexité et la fonctionnalité. La protection de Windows travaille uniquement basé sur des règles et ne bloque que certains types de connexion, alors que Emsisoft Online Armor surveille en plus d’autres processus internes importants du système. Une fois qu’un logiciel malveillant ou un pirate est arrivé à entrer dans votre ordinateur, le pare-feu de Windows est souvent impuissant, alors que Emsisoft Online Armor arrive, en général, à identifier la menace de manière fiable.

HIPS ou analyse de comportement – qu’est-ce qui est mieux ?

Il n’est pas possible de dire lequel des deux est mieux ou moins bon ; c’est pourquoi nous vous proposons les deux dans deux produits différents. Alors que Emsisoft Anti-Malware réunit la protection de surf, l’analyse de comportement et le scan par signatures dans un pack efficace qui vous informe avant tout des toutes les menaces détectées comme logiciel malveillant, Emsisoft Online Armor est un HIPS moderne qui vous informe de toute modification qui se passe sur votre système et touche la sécurité de celui-ci.

Les avantages et les inconvénients d’un HIPS sont clairs – le contrôle maximal du système pour les utilisateurs expérimentés qui sont à même de juger bien les alertes du HIPS. Si vous préférez les décisions concrètes et un minimum d’alertes possible, vous devriez opter pour l’analyse de comportement.

L’analyse réunit différents types de détection qui, basé sur un calcul de probabilité, ne déclenchent des alertes que lorsqu’une certaine valeur limite a été atteinte qui indique un logiciel malveillant. Ceci mène à beaucoup moins d’alertes en comparaison avec un HIPS tout en offrant un niveau de sécurité extrêmement haut puisque l’analyse de comportement est spécialisé dans les vrais logiciels malveillants.

Mais il ne faut quand même pas se décider pour l’un ou l’autre non plus ; c’est pourquoi nous proposons les deux logiciels également en pack à un prix moins cher. Veuillez vous servir de la puissance des deux outils efficaces pour une protection maximale et utiliser le HIPS, l’analyse de comportement, le scan par signatures et la protection de surf en un. Emsisoft Internet Security Pack vous met sur la route – veuillez le tester gratuitement pendant 30 jours maintenant !

 

Bonne navigation sans malware à vous!

Votre équipe Emsissoft

www.emsisoft.fr

What to read next