Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/s/e/c/securite-facile/www/compteur.php on line 17
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/s/e/c/securite-facile/www/compteur.php on line 33
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/s/e/c/securite-facile/www/compteur.php on line 38
Nous sommes le 07/11/2009
Visiteurs aujourd'hui :
Protéger les processus
Une petite expérience toute bête
Lançons-nous dans une petite expérience, vous pouvez la faire en même temps que moi.
En quoi consiste-t-elle ?
Elle consiste à démontrer que l'on peut fermer une application sans lui demander son avis. C'est très simple et vous l'avez peut-être même déjà fait tout seul.
Par quoi on commence ?
Par lancer une application de sécurité (firewall, antivirus, antispyware...ce que vous voulez) et de s'assurer de son bon fonctionnement. Pour ma part, je prendrais mon firewall logiciel, Jetico, étant fonctionnel :
C'est fait ! Ensuite ?
Appuyez simultanément sur les touches Ctrl, Alt et Suppr. Le gestionnaire de tâches apparaît. Allons dans l'onglet "Processus". Vous obtenez la liste des processus démarrés.
C'est quoi les processus ?
Les processus sont des programmes qui travaillent en permanence, de manière invisible, pour assurer le bon fonctionnement du système et de vos applications. Si un processus vient à s'arrêter, l'application dépendante va se fermer.
Repérons dans la liste le processus correspondant à l'application de sécurité choisie. Dans mon cas, pour mon firewall, le processus est fwsrv.exe. Pour vous, tout dépend de l'application que vous avez choisie. Si vous ne connaissez pas le nom du processus, une petite recherche dans google peut vous le donner.
Une fois le processus repéré et sélectionné, terminons-le par le bouton "Terminer le processus" du bas de la fenêtre. Cela ordonne au processus de stopper son travail.
Windows nous avertit et nous demande si nous sommes sûr de vouloir continuer (merci Windows). Cliquons sur oui (soyons fous, allons jusqu'au bout de l'aventure) :
Si le processus n'est pas capable de s'auto-protéger (car c'est parfois le cas avec certaines applications), il est contraint de s'arrêter et de se fermer. Nous pouvons constater qu'il n'apparaît plus dans la liste des processus en activité :
Je ne sais pas vous de votre côté, mais chez moi mon firewall est tombé à plat.
Bien sûr, tu lui as demandé !
Je n'ai pas demandé à mon firewall de se fermer. Cela se fait normalement par un clic droit sur son icône dans la barre des tâches, puis l'action "Shutdown firewall" pour qu'il se ferme correctement. Ici c'est le processus qui a été contraint de s'arrêter.
C'est tout de même toi qui a arrêté ce processus !!
Ici, oui. Mais imaginez un instant qu'internet regorge de malwares capables d'arrêter des processus. Puis imaginez qu'un de ces malwares parvienne sur votre ordinateur, et ordonne au processus de votre firewall ou de votre antivirus de s'arrêter. Il est tout à fait possible que cela arrive lorsque vous n'êtes pas devant l'écran, ou que la chose se fasse de manière furtive : un malware peut modifier la façon dont un processus fonctionne pour que votre application cesse de vous protéger correctement sans que vous n'en voyiez rien, cela afin d'introduire d'autres bestioles plus facilement.
Alors mes protections ne servent à rien, puisqu'elles peuvent être arrêtées n'importe quand ?
Non, pas du tout. Je pense simplement que protéger ses processus importants d'être repérés, modifiés et terminés est un gain de sécurité tout à fait notable. Cela se fait par une application qui appartient à la famille des "contrôleurs d'intégrité".
Process Guard
C'est l'application en question dont je voulais vous parler :-P
Vous pouvez la télécharger ici : http://www.diamondcs.com.au/processguard/index.php?page=download
Deux versions sont disponibles : une gratuite, une payante. Pour protéger les processus, la version gratuite est suffisante. La version payante apporte des fonctionnalités supplémentaires. Un tableau comparatif se trouve sur la page de téléchargement, je me suis permis de le traduire en français :
| Version gratuite | Version complète | Fonctionnalité |
|---|---|---|
| Oui | Oui | Contrôler les éxécutions d'applications |
| Oui | Oui | Protéger les processus d'être lus, modifiés, terminés |
| Non | Oui | Bloquer les programmes corrompus |
| Non | Oui | Protéger la mémoire physique |
| Non | Oui | Empêcher à des applications de surveiller vos actions |
| Non | Oui | Bloque l'installation de tout rootkit/pilote/service non désiré |
| Non | Oui | Bloque l'injection de librairies dll |
| Non | Oui | Gérer l'affichage des avertissements |
| Non | Oui | Blocage de l'interface - Interdire de modifier les préférences |
| Non | Oui | Asssitance technique gratuite |
La version complète offre donc une sécurité supérieure. A vous de juger si elle vous paraît nécessaire ou pas, je pense que la version gratuite suffit dans la plupart des cas. Après, pour ceux qui veulent quelque chose de très poussé...
Comment utiliser Process Guard ?
Justement, nous allons faire un petit tour d'horizon de la version gratuite :-) Tout d'abord, la fenêtre principale, appelée "Main" :
C'est sur cette fenêtre que l'on peut vérifier que la protection est bien active. On peut aussi modifier les paramètres de protection :
- Protection enabled : Activer / désactiver toutes les protections.
- Execution protection : Vérifie les nouveaux programmes et demande l'autorisation à l'utilisateur pour les éxécuter. Si cette option est activée, aucun éxécutable ne peut se lancer sans votre autorisation. C'est un énorme gain de sécurité, mais cela devient parfois gênant.
- Learning mode : Ce mode permet de lancer les nouveaux programmes sans poser de questions, il les enregistre tous comme valides. Ce mode est déconseillé pour une utilisation normale, mais peut se montrer pratique parfois si vous effectuez certaines tâches et ne souhaitez pas être dérangé par les questions (installation de logiciels, tests, programmation... ).
La fenêtre des alertes, appelée "Alerts" :
Cette fenêtre montre toutes les actions autorisées ou bloquées depuis le démarrage de la session. Ici, par exemple, mon gestionnaire de tâches a voulu terminer mon programme de connexion internet mais a échoué. Si vous avez parfois du mal à installer un logiciel, ou à effectuer toute tâche administrative, consultez cette fenêtre pour voir si c'est Process Guard qui est en cause.
La fenêtre de protection des processus, appelée "Protection" :
Ici vous pouvez configurer la protection des processus (et oui, c'est tout de même le but de cet article :-P ). Prenons un exemple avec mon navigateur firefox. Il est configuré pour :
- Ne pas être terminé, modifié ou lu par d'autres applications. Il est donc complètement protégé.
- Ne pas être autorisé à terminer les autres processus protégés, mais il peut les modifier et les lire (nécessaire pour un navigateur).
Le bouton "add application" permet d'ajouter une application dans la liste et de configurer sa protection.
Eh, comment vais-je savoir quelles protections apporter à quelles applications ?
Il existe un petit tutoriel de megataupe sur zebulon.fr qui vous guide dans les paramètres de protection à appliquer, vous n'avez qu'à le suivre ;-)
Et la fenêtre de contrôle des programmes, appelée "Security" :
C'est là que vous retrouvez les paramètres d'éxécution de chaque programme. Lorsque vous autorisez une éxécution et que vous choisissez "ne plus me demander", cette autorisation est enregistrée ici. Donc si vous voulez corriger une bêtise ou choisir de bloquer / autoriser l'éxécution d'un programme, vous n'avez qu'à rechercher l'application en question dans la liste, faire un clic droit dessus et choisir "change last action".
Retenter l'expérience
Une fois Process Guard installé et la configuration effectuée, essayons à nouveau l'expérience de tout à l'heure. Lançons le gestionnaire des tâches et tentons de terminer un processus :
Le gestionnaire des tâches m'avertit que je n'ai pas le droit de terminer ce processus. Bingo !
Eh, attend, c'est tellement bien protégé que je ne vais plus pouvoir terminer le processus en question si une de mes applications plante !
En effet, il faudrait pour cela autoriser le gestionnaire de tâches à terminer les applications protégées. Cependant ce n'est pas une méthode très sûre, et je vous recommande plutôt d'utiliser un programme indépendant pour gérer les programmes qui plantent.
Le petit programme Ykill répond tout à fait à ce besoin, téléchargez-le gratuitement ici : http://www.goblineye.com/ykill.php. Une fois installé, il faut donner le droit à ce programme de terminer les applications protégées :
Ajoutez-le dans la liste avec "Add application", et autorisez-le avec "Terminate protected applications".
Ykill est très simple d'utilisation, vous le lancez à partir du programme lui même ou de son raccourci, et vous obtenez une fenêtre listant les programmes en cours d'utilisation. Imaginons ici que firefox soit planté, je n'ai qu'à faire un clic droit dessus et à faire "kill process" ("tuer" le processus) :
Pour que Ykill soit disponible n'importe quand, vous pouvez chosir de le lancer au démarrage : faites File / Start with Windows. Il sera désormais accessible par la combinaison de touches ctrl + alt + y.
Quelques dernières infos à propos des processus relatifs à Process Guard :
- pgaccount.exe et DCUserProt.exe sont deux processus indispensables au fonctionnement de la protection. Ils doivent démarrer avec votre session Windows.
- procguard.exe est le processus relatif au programme permettant de configurer la protection, de la modifier, de la stopper... si vous avez déjà configuré Process Guard vous n'êtes pas obligé de lancer cette application au démarrage : vous économiserez des ressources et vous n'aurez pas les publicités pour la version complète qui s'affichent à l'écran toutes les 50 attaques bloquées environ.
Retourner en haut de la page
Besoin d'aide ? Passez donc sur le forum
Site conçu par odSen en 2005 // Dernière MàJ : 9 novembre 2006 // e-mail : benoit[point]auneau[chez]gmail[point]com