Bac à sables et sandbox : qu’est-ce que ces protections contre les virus et malwares ?

Dernièrement, des actualités concernant la possibilité de placer Windows Defender dans un bac à sables ont été publiées sur plusieurs sites.
Mais savez ce qu’est un bac à sables ou sandbox en anglais ?
Cet article vous explique le principe de cette protection contre les intrusions, malwares et autres logiciels malveillants.

Bac à sables et sandbox

Qu’est-ce que qu’un bac à sables

Lorsque vous exécutez une application sur Windows, celle-ci a accès à l’ensemble de vos fichiers.
Si votre utilisateur est administrateur, cette application obtient aussi les droits administrateurs lorsque vous acceptez l’élévation de privilèges sur le contrôle des comptes utilisateurs (UAC).

En informatique, le bac à sables est un mécanisme qui vise à faire exécuter une application dans un environnement restreint et dissocié du système d’exploitation.
Le but est donc qu’une application tourne dans un conteneur fermé afin de protéger le système d’exploitation de toute contamination.
Ainsi, si vous exécutez un logiciel malveillant dans le bac à sable, ce dernier ne pourra pas infecter votre ordinateur.
Il faut aussi bien comprendre que si un processus tourne dans le bac à sables, ces processus enfant le seront aussi.
Par exemple, si votre client mail tourne dans un bac à sables et que vous cliquez sur un lien contaminant, le malware ne pourra pas infecter Windows.

Ce procédé est donc très utile pour éviter d’infecter Windows et plusieurs applications utilisent maintenant ces principes.
Par exemple, Google Chrome, Internet Explorer depuis la version 10 ou encore Microsoft Edge utilise le bac à sables.
Cela permet de limiter les attaques par Web Exploit.
De même pour Internet Explorer, les données utilisateurs ne sont pas accessibles à moins de lui en donner l’accès.
Par exemple en cliquant sur le bouton parcourir d’une page pour attacher un fichier, vous donnez accès à Internet Explorer à vos fichiers.

Enfin concernant les applications qui se chargent bas comme les antivirus, faire tourner une partie de l’antivirus peut limiter la porté vulnérabilités.

A noter que Windows 10 Pro apporte la navigation isolée avec la technologie Windows Defender Application Guard.

Quelques exemples de bac à sables

Initialement du temps de Windows XP, le logiciel Sandboxie existait et permettait de faire tourner des applications dans un bac à sable.
Avec l’arrivée de l’UAC, ce programme est un peu moins intéressant puisque l’application n’a pas par défaut les droits administrateurs.
Avec les attaques de WebExploit vers 2010, les navigateurs WEB ont aussi intégrés le bac à sables.
Enfin les antivirus peuvent aussi intégrer une sandbox.
Le but est de pré-exécuter un fichier exécutable potentiellement dangereux et étudier son comportement.
Si le fichier semble sain, l’exécution peut alors être autorisé à se lancer sur Windows.
Notez que les malwares peuvent détecter le bac à sable et se comporter « normalement » dans cet environnement.

Comment vérifier si un processus est exécuté dans un bac à sables ?

Pour vérifier si une application tourne dans un bac à sables, il faut utiliser Process Explorer.
Ajoutez l’affichage de la colonne Integrity.
Ci-dessous, on voit que Microsoft Edge a l’attribut AppContainer ce qui confirme bien qu’il tourne dans un containeur.

Le processus MsMpEng.exe de Windows Defender qui ne tourne pas dans le bac à sables.

La fonction Sandbox et le containeur peut-être activée pour MsMpEng.exe sans problème.
L’attribut AppContainer s’affiche alors pour confirmer la mise en place du bac à sables.

Il faut aussi regarder le niveau d’intégrité.
Il existe plusieurs niveau (élevée, moyen et faible) qui permette de réguler l’accès à certaines ressources du système d’exploitation.
Une application en intégrité faible aura beaucoup moins de permissions qu’une en élevée.
La page suivante décrit ce mécanisme : https://msdn.microsoft.com/en-us/library/bb625957.aspx

Ci-dessous une capture d’écran des processus de Mozilla Firefox et Google Chrome.
On voit les multi-processus liés à l’architecture et que certains ont un niveau de permissions moyen et faible.

Si on exécute Chrome sans le bac à sable, tous les processus passent alors en intégrité moyenne.
Le fonctionnement des sandbox de Chrome et Firefonx sont décrits sur les pages suivantes : https://chromium.googlesource.com/chromium/src/+/master/docs/design/sandbox.md et https://wiki.mozilla.org/Security/Sandbox
Enfin on notera qu’Avast! lui tourne en maximale donc aucun bas à sable.

 

 

 

(Visité 473 fois, 2 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet