Virus, arnaque à l'astuce (phishing), vers, spam, cheval de Troie, vandalisme et attaques de vouyous ou cyber-pirates, espionnage des communications, terrorisme, …

Ok. Il y a de quoi se faire peur quand on parle des dangers d'Internet. Allant dans ce sens, mon précédent billet présentait 11 raisons de ne pas se sentir en sécurité lorsqu'on navigue sur Internet.

Mais, alors qu'on comprends bien aujourd'hui la nécessité de se protéger contre ces nouvelles menaces, et qu'on s'équipe en conséquence pour se prévenir de leurs effets indésirables, on subit les premiers effets collatéraux de ces nouvelles protections trop sophistiquées, typiquement l'inconfort d'utilisation et la lourdeur des logiciels anti-virus.

Le danger est que les nuisances induites par l'installation et l'utilisation de ces logiciels de protection, deviennent à un moment donné trop pénibles. Car c'est lorsque notre anti-virus nous agace, que nous sommes est le plus enclins à prendre un risque au moment le moins opportun; par exemple en désactivant le logiciel de protection temporairement ou en autorisant trop rapidement et sans vraiement comprendre un message d'alerte, alors qu'une opération bloquée était potentiellement malveillante.

On peut avoir l'impression que certains éxagèrent le niveau de la menace (FUD) en vue de susciter l'achat de leur produit, par la terreur.

Pourtant les situations sont singulières et recquièrent une stratégie de défense adaptée. Un anti-virus n'est parfois pas approprié sur une machine de développement; non seulement pour éviter ces 5 triviales nuisances, mais aussi d'autres désagréments pénibles, par exemple le scan automatique des fichiers générés temporairement ou en masse par un programme en cours d'ajustement.

J'entends parfois argumenter qu'un Windows XP sain, avec le firewall Windows et un bon anti-virus gratuit, le tout derrière un routeur qui fait au moins de la translation d'adresse (NAT) est un environnement suffisant à la protection d'un PC domestique. Tout en abondant dans ce sens, et sans entrer dans les détails, je préfère quand même les produits commerciaux, pour certains de leurs avantages, souvent uniques, qu'ils apportent et qui les distinguent.

C'est l'histoire d'un événement géographiquement lointain qui en l'an 2001 eut, par une sorte d'effet papillon, des répercussions bien retentissantes et néfastes à mon petit niveau d'entreprise locale d'hébergement de sites Internet1).

Je me souviens. En 2001 un avion espion américain, EP-3 Aries II, heurte un avion militaire chinois lors d'une mission de reconnaissance. L'avion chinois s'écrase sur la côte, son pilote décède. L'avion américain est forcé d'atterrir en catastrophe sur l'ile chinoise de Hainan.

Les 24 membres d'équipage de l'avion américain sont retenus en Chine pendant 11 jours (qui aurait cru qu'y avait tant de monde là dedans ?). Les deux super-puissances y mettent chacune du leur pour arranger les choses. Ca fait peur. Mais surtout, ça énerve tout le monde et les esprits s'échauffent rapidement.

Du côté politique, Pékin se borne à exiger des excuses américaines officielles. Formellement pas d'excuses du côté des Etats-Unis d'Amérique, mais des regrets, exprimés par écrit dans la désormais fameuse “lettre des deux regrets”.

En Europe et probablement aussi dans le reste du monde, nous restons spectateurs. L'incident passe et la vie continue. L'épisode n'entraine pas les deux Titans dans un conflit inhabituel, au-delà de ce dénouement (ouf!).

A cette époque, j'héberge plus de 20 sites Internet sur un serveur dédié. La machine tournait sous Windows NT4 et était branchée directement sur le réseau Internet par une ligne à très haut débit, mais sans pare-feu intermédiaire (avec toutefois un anti-virus installé). J'effectuais une maintenance régulière du serveur et une surveillance quotidienne de la bande passante utilisée.

Parallèlement aux négociations politiques difficiles liés à cet évènement, c'est le monde des hackers qui s'est vite embrasé par le débat induit par cette affaire, et un conflit très virulent entre hackers américains et chinois a fini par éclater sur Internet.

Lorsque cet évènement est survenu loin de nos frontières, j'ai rudement compris que la portée de ce qui se passe sur Internet nous affecte en dehors de toute frontière géographique.

Sans prévenir, et originant de l'Est comme de l'Ouest, des vagues d'attaque d'une magnitude exceptionnelles sont la conséquence de ces affrontements. Mais les cibles ou victimes des ces attaques ne sont pas forcément les installations appartenant à l'une ou l'autre partie des deux belligérants. Tout le monde est potentiellement visé car Internet est global et réussir à contrôler un serveur s'est enrôler une recrue de plus de son côté.

Certainement comme beaucoup d'autres (petits) hébergeurs, je subi donc le flot incessant de ces attaques, qui causent d'importantes perturbations de service. 11 jours, et nuits, de cauchemar.

Un évènement politique à l'étranger auquel je n'aurais jamais prêté plus d'attention qu'à un autre, a de fâcheuses conséquences sur mon activité. Dans la tourmente, je réalise que le pire peut arriver très vite et que la menace est omni-présente, 24h/24. Et tout ça arrive dans la même année que les premières frappes conjuguées et rapprochées des puissants et destructeurs vers Code_Red et Nimda. Pheeew! Bon, l'anti-virus a été d'une utilité stratégique extrême dans ce cas, et ce, malgré la mise-à-jour un peu trop tardive des définitions virales. Malgré la protection active, quelques dégâts réversibles sont quand même à déplorer.

Beaucoup d'offre et de formules, beaucoup de mauvaises expériences et beaucoup de questions à se poser, par exemple:

• Dois-je utiliser une logiciel anti-virus gratuit (AVG, AVAST, …), OU
• Commercial (Kasperky, Norton, McAfee, …) ?
• Pour quelle formule de produit opter ?
  • Anti-virus minimal, OU
  • Suite complète (Kaspersky Internet Security, Norton 360), OU
  • Entreprise
    • Produits radicalement différents et administrés
      • Kasperky Workstation Security w/Admin Kit
      • Norton Corporate
    • Protection Hardware ou Software ?
    • Boitiers parefeu, anti-virus ou UTM externes, OU
    • Logiciel anti-virus

Un anti-virus utilise votre processeur pour faire son travail et vole des cycles de calcul et des accès disques à vos autres applications et il peut s'en ressentir un ralentissement général, en particulier lors de ces quelques phases de travail importantes de l'anti-virus:

• Analyse au démarrage de Windows. Le programme anti-viral exécute une phase d'analyse des objets de démarrage du PC et de Windows afin de s'assurer que le système ne soit pas compromis par un virus.
• Analyse anti-virale périodique (généralement programmable).
  • Le programme anti-virus parcours et examine les fichiers présents sur le disque dur un à un.
    • performances améliorable par configuration (par exemple, ne pas scanner les fichiers ayant une certaine extension), élimination (purge des fichiers temporaires) et maintenance régulière du PC (défragmentationdu disque).
    • Utilisation de technologies d'optimisation propriétaires comme iSwift ou le un mode automatique (mise-à-jour seulement si update disponible) de Kaspersky.
• Ralentissement advenant lors de la mise-à-jour des définitions anti-virales
• ralentissement du disque
• ralentissement traffic Internet

Ou quand l'anti-virus croit qu'un virus est présent mais ce n'est pas le cas; un programme est considéré comme dangereux à tort par le logiciel.

• Arrive plus souvent avec les anti-virus les moins fréquemment mis-à-jour,
• Avantage des anti-virus commerciaux sur ce terrain.

La plus éléminatoire des nuisances. Elle peut conduire facilement au changement de programme anti-viral, en particulier si il est incompatible avec une application critique;

• Incompatibilités entre l'anti-virus et un driver matériel ou une application propriétaire,
• dysfonctionnements aléatoire et syndrome du “MessageBox flood” ou flot intempestif de message d'alerte, où encore quand on a l'impression que l'anti-virus, bloqué dans une boucle sans fin, n'arrête plus d'envoyer des messages redondants;
• Les pire cas: BSOD (Blue Screen Of Death, soit l'écran bleu de plantée magistrale de Windows) ou échec du système ou d'un de ses composants au redémarrage.

Chaque année, ou à une périodicité donnée, mais toujours par surprise, il faut renouveller son abonnement aux mises-à-jour anti-virales. Symantec avec sa solution Norton, propose désormais un renouvellement automatique 2)

Voilà, après tout ça et quoi qu'il en soit, ne vous laissez pas décourager par les lourdeurs d'un anti-virus et, dans le doute, placez-vous sous sa bienveillante protection ou celle d'un produit de sécurité Internet plus conséquent.

…Surfez couverts !