Dans les termes de protections contre les virus, on trouve souvent le mot sandbox pour bac à sable en français.
Mais savez ce qu’est un bac à sables ou sandbox en anglais ?
A quoi sert une sandbox et comment fonctionne le bac à sable ?
Cet article vous explique le principe de cette protection contre les intrusions, malwares et autres logiciels malveillants.
Table des matières
Qu’est-ce que qu’un bac à sable
Lorsque vous exécutez une application sur Windows, celle-ci a accès à l’ensemble de vos fichiers.
Si votre utilisateur est administrateur, cette application obtient aussi les droits administrateurs lorsque vous acceptez l’élévation de privilèges sur le contrôle des comptes utilisateurs (UAC).
En informatique, le bac à sable est un mécanisme qui vise à exécuter une application dans un environnement restreint et dissocié du système d’exploitation.
Le but est donc qu’une application tourne dans un conteneur fermé afin de protéger le système d’exploitation de toute contamination.
Ainsi, si vous exécutez un logiciel malveillant dans le bac à sable, ce dernier ne pourra pas infecter votre ordinateur.
Il faut aussi bien comprendre que si un processus tourne dans le bac à sable, ces processus enfant le seront aussi.
Par exemple, si votre client mail tourne dans un bac à sable et que vous cliquez sur un lien contaminant, le malware ne pourra pas infecter Windows.
Ce procédé est donc très utile pour éviter d’infecter Windows et plusieurs applications utilisent maintenant ces principes.
Par exemple, Google Chrome, Internet Explorer depuis la version 10 ou encore Microsoft Edge utilise le bac à sable.
Cela permet de limiter les attaques par Web Exploit.
De même pour Internet Explorer, les données utilisateurs ne sont pas accessibles à moins de lui en donner l’accès.
Par exemple en cliquant sur le bouton parcourir d’une page pour attacher un fichier, vous donnez accès à Internet Explorer à vos fichiers.
Enfin concernant les applications qui se chargent bas comme les antivirus, faire tourner une partie de l’antivirus peut limiter la porté vulnérabilités.
Quelques exemples de bac à sable
Initialement du temps de Windows XP, le logiciel Sandboxie existait et permettait de faire tourner des applications dans un bac à sable.
Avec l’arrivée de l’UAC, ce programme est un peu moins intéressant puisque l’application n’a pas par défaut les droits administrateurs.
Avec les attaques de WebExploit vers 2010, les navigateurs WEB ont aussi intégrés le bac à sable.
Dans les antivirus
Les antivirus peuvent aussi intégrer une sandbox.
Le but est de pré-exécuter un fichier exécutable potentiellement dangereux et étudier son comportement.
Si le fichier semble sain, l’exécution peut alors être autorisé à se lancer sur Windows.
Notez que les malwares peuvent détecter le bac à sable et se comporter “normalement” dans cet environnement.
Windows 10 et la sandbox
Microsoft travaille beaucoup sur la sécurité de Windows 10.
Ainsi des technologies de virtualisation et de bac à sable ont été mis en place.
Les éditions Windows 10 Pro et Entreprise inclut Windows Sandbox.
Avec ce dernier, vous lancez un environnement restreint et sécurisé.
Cela permet d’exécuter un fichier potentiellement dangereux sans aucun risque.
Mais d’autres technologie de sandbox existe.
Par exemple Windows 10 Pro apporte la navigation isolée avec la technologie Windows Defender Application Guard.
Cela permet de faire tourner le navigateur WEB dans un environnement sécurisé.
Plus d’informations : Windows Defender Application Guard pour Edge, Firefox et Chrome
L’isolation du noyau de Windows 10 se base aussi sur un bac à sable.
Cette technologie utilise la virtualisation matérielle pour l’isolation du noyau, qui s’appuie sur l’hyperviseur de Microsoft pour exécuter un noyau distinct qui isole Windows Sandbox de l’hôte
Enfin Windows Sandbox peut être utilisé par des applications pour fonctionner dans un environnement sécurisé.
Le sandbox Windows est un bac à sable en mode utilisateur uniquement. Il n’y a pas de pilotes spéciaux en mode noyau, et l’utilisateur n’a pas besoin d’être administrateur pour que le sandbox fonctionne correctement. Le bac à sable est conçu pour les processus 32 bits et 64 bits et a été testé sur toutes les versions du système d’exploitation Windows entre Windows 7 et Windows 10, 32 bits et 64 bits.
Sandbox fonctionne à la granularité au niveau du processus.
Tout ce qui doit être mis en bac à sable doit vivre sur un processus distinct. La configuration minimale du sandbox comporte deux processus :
- l’un qui est un contrôleur privilégié.
- un ou plusieurs processus en sandbox appelés cible.
Les navigateurs internet sont des composants très visés par les attaques de logiciels malveillants.
Les éditeurs cherchent donc à les sécuriser et les protéger au maximum.
Ainsi, Edge, Chrome et Firefox utilise aussi le bac à sable de Windows 10.
C’est en partie pour cela que vous avez plusieurs processus chrome, firefox ou Edge.
Car il y a le principal et les sous-processus dans le bac à sable.
Cela permet aussi une meilleur gestion de la mémoire.
On en parle dans la page : Pourquoi plusieurs processus chrome.exe, firefox.exe ou svchost.exe ?
Mais on peut aller plus loin avec Windows Defender Application Guard.
Windows Defender Device Guard
Enfin dernier mécanisme de Sandbox de Windows 10 Avec Windows Defender Device Guard.
Une partie du noyau et certains éléments sensibles du système s’exécute dans un environnement virtuel.
Il s’agit donc de faire tourner ces derniers dans un bac à sable.
Sandboxie
Sandboxie est une application gratuite qui permet d’exécuter une application dans un bac à sable.
Il s’agit d’un environnement sécurisé, restreint et dissocié du système d’exploitation.
Cela permet donc de rendre votre PC plus sûr et sécuriser Windows contre les logiciels malveillants et attaques par des pirates.
L’article suivant le présente :
Comment vérifier si un processus est exécuté dans un bac à sable ?
Pour vérifier si une application tourne dans un bac à sable, il faut utiliser Process Explorer.
Puis ajoutez l’affichage de la colonne Integrity.
Ci-dessous, on voit que Microsoft Edge a l’attribut AppContainer ce qui confirme bien qu’il tourne dans un containeur.
Le processus MsMpEng.exe de Windows Defender qui ne tourne pas dans le bac à sables.
La fonction Sandbox et le containeur peut-être activée pour MsMpEng.exe sans problème.
L’attribut AppContainer s’affiche alors pour confirmer la mise en place du bac à sable.
Il faut aussi regarder le niveau d’intégrité.
Il existe plusieurs niveau (élevée, moyen et faible) qui permette de réguler l’accès à certaines ressources du système d’exploitation.
Une application en intégrité faible aura beaucoup moins de permissions qu’une en élevée.
La page suivante décrit ce mécanisme : What is the Windows Integrity Mechanism?
Ci-dessous une capture d’écran des processus de Mozilla Firefox et Google Chrome.
On voit les multi-processus liés à l’architecture et que certains ont un niveau de permissions moyen et faible.
Si on exécute Chrome sans le bac à sable, tous les processus passent alors en intégrité moyenne.
Enfin on notera qu’Avast! lui tourne en maximale donc aucun bas à sable.