Micro-virtualisation versus sandboxing
Isoler au lieu de détecter : seules des solutions telles que la micro-virtualisation permettent de contrer efficacement les cyber-menaces, comme l'écrit le fournisseur Bromium. Jochen Koehler explique dans une interview les différences entre le sandboxing et la micro-virtualisation.
Certaines entreprises ont aujourd'hui recours au sandboxing pour se défendre contre les cyberattaques. Pourquoi pensez-vous que cette approche est insuffisante ?
Jochen Koehler, directeur régional DACH chez BromiumLors de la Sandboxing une application est exécutée dans un environnement virtuel isolé. Pour protéger le système d'exploitation des logiciels malveillants, une sandbox doit limiter les possibilités d'accès aux appels système ou aux interfaces de service qui permettent une communication interprocessus. Une sandbox, qu'elle soit installée sur le client ou sur le réseau, doit donc être programmée de manière assez élaborée pour reproduire l'environnement système réel ; la sandbox de Google Chrome, par exemple, est composée de plus de 1,5 million de lignes de code. Une sandbox est donc elle-même très vulnérable. De plus, la complexité élevée entraîne une grande consommation de ressources, ce qui nécessite des ordinateurs extrêmement puissants.
Les problèmes de ressources peuvent être résolus, non ?
Le véritable problème est bien sûr beaucoup plus fondamental, car les architectures de sandboxing sont purement logicielles. Cela signifie qu'en cas de compromission du logiciel de sandboxing, le seul mécanisme de protection est la sécurité standard du système d'exploitation.
Il ne faut donc pas toucher au sandboxing ?
Par rapport à une application purement antivirus, le sandboxing est certes un progrès. Mais la protection n'est tout simplement plus suffisante aujourd'hui. Il existe désormais de nombreuses méthodes pour contourner une sandbox. Par exemple, le code malveillant contient un délai, de sorte qu'il ne peut pas être détecté immédiatement par la sandbox. De plus, les logiciels malveillants les plus récents sont capables de détecter des environnements isolés et simulés, de sorte qu'ils n'y exécutent tout simplement pas le code malveillant.
Comment les utilisateurs peuvent-ils alors résoudre le problème ?
Une alternative est le concept de micro-virtualisation. Ici, ce n'est pas la détection de codes malveillants qui est au premier plan, mais la protection contre les effets des logiciels malveillants. Cela est réalisé par l'isolation de toutes les activités potentiellement dangereuses. Il est ainsi possible de se protéger contre les logiciels malveillants sans devoir les reconnaître en tant que tels.
Cela ressemble tout de même à du sandboxing.
A première vue seulement. En principe, la micro-virtualisation reprend l'idée du sandboxing, c'est-à-dire l'exécution de codes malveillants potentiels dans un environnement virtualisé. Une différence essentielle entre la micro-virtualisation et le sandboxing est que ce dernier est une solution logicielle, alors que la micro-virtualisation se fait dans le processeur et donc dans le matériel. La protection contre les logiciels malveillants directement au niveau du point final est assurée par des micro-VM isolées du matériel, qui permettent d'encapsuler certaines activités de l'utilisateur - par exemple la consultation d'une page web, le téléchargement d'un document, l'ouverture d'une pièce jointe à un e-mail ou l'accès aux données d'un périphérique USB. Une compromission du point final via l'une de ces voies d'attaque est ainsi exclue.
Comment cela se présente-t-il concrètement ?
Dans le cas de la micro-virtualisation, des micro-vm isolées du matériel sont réalisées grâce à un hyperviseur axé sur la sécurité et aux fonctions de virtualisation intégrées des générations actuelles de CPU pour toutes les activités de l'utilisateur avec des données provenant de sources inconnues. Chaque tâche s'exécute dans sa propre micro-VM. Elle est strictement séparée des autres tâches, du système d'exploitation proprement dit et du réseau connecté. Cela signifie que, contrairement aux solutions de sandboxing, la micro-virtualisation isole toutes les activités individuelles les unes des autres, par exemple les différentes pages consultées dans un navigateur ou l'ouverture de différents documents avec Word. Cela permet d'éviter de manière fiable la propagation de programmes malveillants.
Est-ce là l'avenir de la cyberdéfense ?
Je suis convaincu que la technologie des micro-hyperviseurs remplacera bientôt le sandboxing traditionnel. Elle offre une protection des points finaux beaucoup plus fiable en isolant les activités des utilisateurs. L'approche innovante consiste à ne pas viser en premier lieu la détection de codes malveillants, mais plutôt la protection contre les effets d'un logiciel malveillant, même non identifié. Et c'est effectivement un changement de paradigme pour la sécurité informatique. L'avance dont les attaquants ont toujours pu profiter jusqu'à présent a ainsi disparu.
Entretien avec : PR-COM Beratungsgesellschaft für strategische Kommunikation mbH (société de conseil en communication stratégique)
