Suite à ses récents tests approfondis sur le produit Stormshield Endpoint Security, le Dr. Götz Güttich, responsable du laboratoire d’essais de l’Institut d’analyse des composants informatiques (IAIT), vous présente les différentes fonctionnalités du produit et ses résultats obtenus.
Retrouvez la version originale complète de l'étude, en allemand.
Stormshield Endpoint Security, une protection pour les systèmes Windows
Avec Endpoint Security 7.212, Stormshield propose pour les systèmes Windows une solution de sécurité qui contrôle l’ensemble des actions exécutées sur les ordinateurs à protéger, en bloquant les activités potentiellement dangereuses. Pour ce faire, le logiciel n’utilise pas de base de signature de virus, vers, etc. Il analyse minutieusement les activités des programmes en cours pour repérer les menaces. La solution est ainsi également en mesure de bloquer les éventuelles attaques (par keylogger, ransomware, virus inconnu, etc.) sans devoir constamment être mise à jour. Nous avons étudié de près cet outil de sécurité en laboratoire.
Sécurisation du comportement du système
Si les paramètres du comportement du système sont correctement définis, Stormshield Endpoint Security v7.2 bloque 95 % des attaques, d’après les données du fabricant, sans autres mesures de configuration. Pour le test, nous avons utilisé une configuration recommandée par le fabricant en ne tenant compte que du seul comportement du système. Il n’y avait aucune règle concernant les différentes applications, etc. Cette configuration a donc été établie très rapidement.
Le domaine « Sécurité » inclut également la gestion des périphériques. Les responsables indiquent s’il faut autoriser ou non l’utilisation de modems, composants Bluetooth, IrDA, LPT, disques, dispositifs USB, etc. Les administrateurs peuvent travailler avec des droits collectifs, consigner quel fichier a été copié à quel moment sur quelle clé USB, en le chiffrant automatiquement, le cas échéant.
Les règles applicatives servent à dresser des listes noires, blanches et grises. Elles définissent ce qui est autorisé pour chaque application dans le système de fichiers, sur les sockets réseau, au niveau de l’accès au registre, etc. Les règles peuvent être testées avant la mise en service, puis activées ou désactivées à tout moment. Aucun problème n’est survenu lors du test.
Les règles d’extension déterminent, quant à elles, quels programmes peuvent utiliser quels types de fichiers. Les administrateurs veillent par exemple à ce qu’Outlook ne puisse ouvrir que des fichiers PST, ce qui accroît considérablement le niveau de sécurité dans nombre d’environnements. Les règles de sécurité sont de fait extrêmement performantes et s’accompagnent d’une multitude de fonctions.
Avec des « scripts », les responsables informatiques peuvent définir précisément les conditions de ce qui doit se passer, et quand. Les scripts servent par exemple à définir des actions uniquement activées lorsque la condition n° 1 est « vrai » et la condition n° 2 « faux». Il est par exemple possible d’attribuer à un utilisateur du groupe 1 d’autres règles qu’à un utilisateur du groupe 2. Ces scripts sont incontestablement très utiles dans de nombreux environnements. Lorsque les règles ont été définitivement établies, elles peuvent être reliées aux systèmes cible via l’élément « Environnement ».
Le test de l’agenda
Après avoir défini nos règles de test de manière à être protégés des ransomware et du code malveillant, nous avons commencé à installer l’agent sur nos clients sous Windows 7, Windows 8.1 et Windows 10 et à répartir notre configuration. Une fois les clients sécurisés, nous avons ouvert le programme de messagerie Thunderbird, installé sur les systèmes de test. Nous nous sommes créé un compte de messagerie où nous avons regroupé tous les spams reçus à nos adresses e-mail habituelles au cours des dernières semaines et contenant une pièce jointe ou des liens douteux. Pour le test, nous avons d’abord ouvert toutes les pièces jointes en exécutant les fichiers qu’elles contenaient. En parallèle, nous avons consulté les sites web potentiellement dangereux vers lesquels les spams nous redirigeaient. Ce faisant, nous avons reçu un grand nombre de messages de la solution attirant notre attention sur des débordements de pile, des tentatives pour mener des actions dangereuses, etc. Nous avons ensuite essayé de lancer différents virus et programmes de ransomware directement sur les clients test. L’agent Stormshield nous a à nouveau signalé qu’il avait bloqué les diverses actions indésirables. Enfin, nous avons continué à surfer pendant un certain temps avec les clients test sur Internet en nous concentrant sur les pages à mauvaise réputation (érotisme, téléchargement illégal, etc.). Nous cliquions surtout sur les publicités susceptibles de propager des logiciels malveillants auprès des visiteurs des différents sites. Notre système n’a jamais subi aucune atteinte, comme l’ont montré les scans antivirus complets effectués sur tous les clients à l’issue du test avec deux produits antivirus différents (Avira et Windows Defender). Il s’est avéré que ni la RAM ni le registre n’avaient été compromis de quelque manière que ce soit, les solutions antivirus ayant simplement détecté les fichiers du logiciel malveillant infectés sur le disque dur.
Conclusion
À travers le test, la solution Stormshield Endpoint Security v7.2 nous a pleinement convaincus. L’agent, extrêmement performant, a bloqué toutes les tentatives d’attaque des logiciels malveillants. L’accès web a, lui aussi, été suffisamment protégé pour éviter toute contamination. Toutefois, en raison du grand nombre de fonctions disponibles, le produit ne peut pas être considéré comme intuitif. Les administrateurs qui souhaitent l’utiliser doivent donc au préalable se familiariser avec la documentation et l’interface d’administration. Ils n’auront toutefois pas perdu leur temps puisqu’ils bénéficieront ensuite, dans la pratique, d’une configuration de sécurité répondant parfaitement aux exigences de leur environnement, avec un niveau de protection nettement meilleur.
L’auteur : Directeur de l’Institut d’analyse des composants informatiques (IAIT), M. Götz Güttich possède plus de quinze ans d’expérience dans le secteur où il a travaillé comme consultant informatique et rédacteur spécialisé ou rédacteur en chef pour des revues informatiques. Grâce aux tests qu’il a réalisés pendant de longues années pour des magazines allemands de renom spécialisés dans les réseaux, ses compétences sont bien loin de se limiter à la théorie de l’informatique.