La limite des listes noires dans la protection contre les virus

Sur internet, vous pouvez tomber sur des tutoriels pour sécuriser votre ordinateur qui vous proposent d’installer des protections contre les virus basées sur des listes noires.
Ces utilitaires recensent des adresses de sites malveillants et bloquent leurs accès afin de protéger l’ordinateur contre les logiciels malveillants ou possibilité d’intrusion.
Généralement ces solutions sont peuvent efficaces ou trouvent vites leurs limites.

Cet article vous explique pourquoi ces protections sont souvent peu utiles.

La limite des listes noires dans la protection contre les virus

Le fonctionnement des listes noires ou blacklist

Le fonctionnement des listes noires ou blacklist est assez simple.
Les sites ou adresses malveillants sont recensées dans une liste gérée par un éditeur de solution afin de bloquer sur votre ordinateur ou tout autre équipement l’accès à ces dernières.
Le but est donc de protéger votre ordinateur contre ces menaces en interdisant et bloquant la connexion à ces adresses connues pour être dangereuses.

Quelques exemples de solution de blocage

Sur Windows, il existe beaucoup de méthodes différentes pour bloquer l’accès à ces différentes sites.
Voici quelques unes de ces méthodes :

  • Le fichier HOSTS de Windows : la liste noire se retrouve dans le fichier HOSTS de Windows afin d’interdire toute résolution vers ces adresses malveillants et donc bloquer la connexion à ces derniers.
  • Serveur DNS : Certains DNS peuvent filtrer les requêtes DNS et bloquer les adresses malveillants connues.
  • Les antivirus : les antivirus possèdent des listes noires et bloquent toutes accès à ces derniers, soit sur votre navigateur internet durant le surf, soit tout autre processus légitime ou malveillant qui tenterait de se connecter à ces adresses dangereuses.
  • Des extensions sur les navigateurs WEB : il existe des extensions de filtrage qui permettent de bloquer l’accès à des adresses malveillants. Là aussi certains contrôles parentaux peuvent fonctionner de cette manière. Enfin les bloqueurs de publicités comme Adblock ou uBlock utilisent aussi ces méthodes en listant les adresses des régies publicitaires.
  • Google SafeBrowsing et SmartScreen : Ces deux solutions de Google et Microsoft reposent en partie sur des listes noires pour bloquer des adresses malveillantes.

Par exemple, dans le cas de Google SafeBrowsing, si vous vous connectez à une adresse malveillante connu, un message rouge de blocage s’affiche.

La limite des listes noires dans la protection contre les virus

Certains solutions vont plus loin en catégorisant les sites internet et proposer des solutions de contrôle parental, on parle alors de Web Reputation. Plus d’informations : le Web Reputation.

uBlock et le blocage d’adresse de malwares

Prenons le cas d’uBlock connu comme bloqueur de publicités.
En réalité, une partie du fonctionnement d’uBlock se base sur des listes noires d’adresses (ou de codes).
Il est tout à fait possible d’ajouter de nouvelles adresses pour bloquer des sites malveillants ou utiliser d’autres listes si elles sont formatées correctement pour uBlock.
C’est d’ailleurs le cas par défaut puisque l’on trouve les listes « Domaines malveillantes » avec :

  • Malware Domain List
  • Malware domains​

La limite des listes noires dans la protection contre les virus

 

Les limites des protections par liste noire

Ces listes noires ont très vite vu le jour et les cybercriminels ont vite cherché à les contourner pour infecter un maximum d’ordinateur.
La façon la plus efficace pour contourner ces listes noires est de mettre en ligne un maximum d’adresses.
A partir de là, les criminels mettent en place des structures automatisées pour changer l’URL régulièrement.
Ainsi, certaines campagnes de logiciels malveillants sophistiquées peuvent voire les adresses WEB changer plusieurs fois par heures.

A partir de là, les éditeurs de ces solutions ne vont pas pouvoir suivre ces changements incessantes.

Une question de réactivité

L’efficacité de ces protections résident dans la capacité de l’éditeur à être réactif pour mettre à jour la liste noire.
Il faut aussi que les solutions techniques puissent suivre ces changements incessantes et mettre à jour les clients pour les protéger.
Or dans les solutions citées toutes ne sont pas égales.

Il faut donc que l’éditeur soit capable de suivre ces changements et les reporter aux clients installés.
Du côté des antivirus, le client antivirus doit être capable de détecter ces adresses malveillants, les remonter sur le cloud pour que ce dernier soient mis à jour et que tous les autres clients antivirus bénéficient de la mise à jour de la liste noire.
Il y a aussi les ajouts liés aux samples envoyés aux laboratoires avec les analyses automatisées.
Cela demande donc des structures importantes et un investissement financier.

Les listes noires de Google et Microsotft fonctionne globalement de la même manière.

Si l’on prend le cas des solutions de fichiers HOSTS de Windows souvent maintenus par des bénévoles qui n’ont pas les capacités de suivre en temps réel tous les logiciels malveillants.
De plus, ces listes de fichiers HOSTS ne sont pas mis à jour en temps réel mais à intervalles réguliers car il faut interroger le serveur qui fournit les listes.
On comprend vite que ces solutions sont vite très limitées.

S’il est facile pour un client antivirus d’être mis à jour à travers les serveurs du Cloud, une liste noire sur uBlock ou fichiers HOSTS aura un délai de mise à jour sur les postes beaucoup plus importants.
Parfois, il n’y a qu’une ou deux mises à jour par jour.
En clair donc, contre des campagnes de logiciels malveillants rapides ou sophistiqués, ces solutions sont souvent inefficaces.

Si demain, vous recevez un mail de phishing d’une campagne qui débute, les solutions type uBlock, fichiers HOSTS ne seront pas à jour pour bloquer ces dernières.

La limite des listes noires dans la protection contre les virus

Autres limites

Quelques autres limites, prenons le cas des malwares distribués à travers des cracks sur Youtube : Arnaques et virus sur Youtube
Ces derniers sont hébergés par des sites tel que MediaFire… or il est assez difficile pour des protections comme le fichiers HOSTS t’interdit en totalié MediaFire.
Ainsi, ces protections ne seront d’aucun secours contre ces méthodes de distribution de malwares.

Redondance des listes noires

Il faut aussi savoir qu’il existe des redondances de liste noire.
Par exemple uBlock se base des listes de chez Malware Domain List et Malware domains​.
Si l’on regarde certaines autres solutions comme listes des fichiers HOSTS, ces mêmes listes sont aussi présentes.

La limite des listes noires dans la protection contre les virus

Il faut aussi savoir que les éditeurs d’antivirus ont des moulinettes qui peuvent aussi récupérer ces mêmes listes.
Au final, cumuler ces solutions de protection de liste noires ne sert en général à rien car elles sont redondantes.
Vous risquez au final de ralentir votre navigateur internet ou Windows à cumuler ces « protections » qui sont parfois lourdes.

Conclusion

Les solutions de listes noires sont souvent présentes dans votre protection sans que vous le sachiez.
D’un point de vue efficace, il est souvent inutile d’en ajouter car cela n’apporte pas grand chose tant les contournements sont faciles.

(Visité 310 fois, 2 visites ce jour)