Il existe depuis plusieurs années des systèmes de prévention d'exploitation générique pour les environnements Linux et OpenBSD : OpenWall, PaX, W^X, ExecShield... C'est beaucoup plus récemment que les grands éditeurs de produits de sécurité pour Windows ont commencé à s'intéresser à ce type de problématique. Leur approche est cependant bien différente de ce qui existe dans l'univers du Logiciel libre, car les Host Intrusion Prevention Systems sont une surcouche de sécurité qui vient s'ajouter au système d'exploitation existant, en essayant de ne pas trop en modifier le fonctionnement interne. Les équipes de Redmond sont également sensibles à ce problème, ce qui a notamment abouti à la parution des service pack 2 pour Windows XP et service pack 1 pour Windows server 2003.
1. Objectifs
Un HIPS est un logiciel destiné à être déployé sur chaque poste de travail d'un parc informatique. Il a pour double objectif :
- d'empêcher l'entrée d'un attaquant sur la machine, en supprimant les vecteurs d'exploitation de failles de programmation ;
- et de maintenir l'intégrité du système d'exploitation dans le cas où l'attaquant réussirait à entrer sur l'ordinateur : par l'application d'une politique de contrôle d'accès sur les ressources clés du système, il veut interdire l'installation de logiciels malveillants.
Regardons comment les HIPS essaient d'atteindre chacun de ces objectifs.
2. Détection d'exploitation
En environnement open source, le système de protection générique PaX a une approche formelle quant à la prise de contrôle d'un processus par un attaquant. PaX opère certaines modifications importantes dans le gestionnaire de mémoire du noyau du système d'exploitation, afin de :
1. Rendre impossible l'injection...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première