nicM

Bonjour tout le monde, Juste une petite remarque : A l'inverse de PG et EQSecure, DSA contrôle les flux sortants . C'est même à mon avis le HIPS se rapprochant le plus d'un véritable firewall, puisque même le filtrage SPI de Private Firewall (le firewall de chez l'éditeur) est intégré à DSA . Autrement dit, il filtre silencieusement les flux entrants, et permet d'obtenir un résultat "stealth" à lui tout seul sur GRC. La seule raison pour laquelle il est déconseillé de l'utiliser comme seul firewall est la pauvreté des options de configuration : L'utilisateur n'a pas accès au paramétrage du filtrage entrant, de même qu'il est impossible de modifier/éditer les règles pour le traffic sortant. La raison est que DSA est en quelque sorte une version gratuite de Private Firewall... Si DSA avait tout, personne n'irait acheter le firewall complet . Cependant, il n'en reste pas moins que le filtrage entrant comme sortant de Private Firewall est intégré à DSA. Tel quel, il permet de donner un coup de fouet à n'importe quel firewall ayant des résultats entre Poor et None, dans cette liste ,auquel il serait associé. Sinon, merci pour le tuto horrus agressor . A vrai dire, j'avais commencé à faire un tuto détaillé sur EQSecure, après avoir fait une version française du fichier de langue. Mais j'ai laissé tomber, car difficulté de communication avec l'éditeur du programme pour l'intégration du fichier de langue , mon interlocuteur comprend à peine ce que je lui dis. On verra plus tard.

Salut michte, Et désolé pour le retard - petite virée d'une semaine . Pour l'histoire d'icône Kerio qui disparaît quelques instants du systray, il ne doit s'agir que des 2 processus gérant l'interface (et non du service), donc pas de quoi s'inquièter outre mesure. Pour le problème du module "System Anomaly Detection" pendant les scans Antivir : Plutôt que de désactiver entièrement DSA, tu ferais mieux de désactiver le seul module "System Anomaly Detection" , cela évitera de perturber les scans, tout en conservant le reste de la protection, le plus important. Personellement je n'utilise pas du tout ce module : Hop, désactivé dès le départ (pour désactiver, décocher "enable detection" pour ce module). Pour les changements de fichiers de programmes, il semble qu'il faille choisir "delete settings", en effet : Ca ne correspond pas à l'explication donnée par Privacyware dans le pdf servant d'user guide (eux suggèrent de choisir "keep settings"), mais en pratique c'est ce qui permet de modifier les paramètres lorsqu'un programme à été modifié après une mise à jour. Bizarre, peut-être y-a-t'il une erreur dans leur pdf . Sinon, pour les hooks, il n'y a rien à faire, ne touche à rien. Ceux qui sont communs avec DSA sont ceux de fwrdv.sys, et non khips.sys. De toute façon, tous les firewalls que tu pourra installer auront des hooks communs (en plus ou moins grande proportion) avec DSA, donc ça n'est pas la peine de chercher à réduire le nombre d'occurences communes en changeant de firewall . Je ne te conseille pas d'utiliser ZA pro avaec DSA d'ailleurs, sauf à désinstaller DSA. Jetico 1 marche très bien avec DSA, et il a peu de hooks communs avec celui-ci (tout du moins lorsque DSA est installé après Jetico), mais si tu es content avec Kerio, mieux vaut le garder, et éviter les bricolages tant que tout marche . Au fait, si tu es capable d'écrire en anglais, le support DSA de Privacyware répond très vite (contrairement à d'autres...), il ne faut pas hésiter à les contacter. nicM

Bonjour, Et bien si tu assures que le résultat est le même après désinstallation d'Avast!... Je ne vois pas. Surprenant, même, car c'est un problème classique avec Avast!. Peux tu nous donner la liste des autres programmes de sécurité que tu utilises, pour voir s'il n'y en a pas un qui utilise aussi un proxy local? (par ex WebWasher, Proxomitron, Spyblocker, etc)

Bonjour, Une solution rapide serait de créér manuellement la valeur manquante pour Antivir. Procéder ainsi (après avoir préalablement créé un point de restauration, en cas de fausse manip' ) : Ouvrir Regedit, puis ouvrir HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (rappel : Utilisation de Regedit : http://support.microsoft.com/kb/310516 ) Une fois la clé Run ouverte, il suffit d'ajouter la valeur manquante : Créér valeur chaîne (clic droit dans la fenêtre de droite, Nouveau, Valeur chaîne), qui doit avoir pour nom avgnt. Une fois cette valeur créée, il faut cliquer sur Modifier (clic-droit dessus), et entrer l'emplacement suivant pour Données de la valeur : ...et OK, pour appliquer le changement. Ainsi, tu auras la valeur qui est normalement créée à l'installation d'Antivir, comme dans la capture suivante : Petite remarque : Il est étonnant que la valeur n'ait pas été créée à l'installation d'Antivir : Est-ce que tu ne l'aurais pas bloquée par erreur pendant son installation, avec un programme surveillant les entrées Autostart?

Bonjour michte, Il est normal d'avoir ces 2 drivers pour Kerio, et tu peux éventuellement désactiver le driver du HIPS s'il te pose des problèmes : Si tu désactives les fonctionnalités HIPS dans l'interface de Kerio, le service khips continuera de tourner (le driver sera toujours chargé, même inutilisé). Il faut alors le désactiver manuellement, ensuite. La manip est exposée dans ce sujet : http://forum.zebulon.fr/index.php?showtopic=102918 Sinon, il semble que Kerio interfère avec DSA, en voyant les hooks que tu as listé (certains de ceux qu'utilise normalement DSA sont ici utilisés par fwdrv.sys).

Bonjour, Juste un ajout : Un autre programme de protection contre les buffer overflow est sur le point de sortir, il s'agit de Memory Guardian, de Comodo. Il est encore en beta (v1), mais devrait sortir bientôt.

Bonjour, Comme tu l'as exprimé ici, la "prévention matérielle de l'exécution des données" (Hardware DEP) est une solution, liée à certaisn processeurs. Il existe dans XP sp2 la prévention logicielle (software DEP), qui est nettement moins efficace, ne protégeant que contre UN type de buffer overflow. Des solutions plus complètes existent : BufferShield (payant mais prix raisonnable, apparemment. Il semble y avoir une version gratuite, moins complète, également) : http://www.sys-manage.com/BufferShield/tabid/61/Default.aspx WhenTrust (gratuit pour utilisation personnelle) : http://www.wehnus.com/products.pl DefencePlus (payant) : http://www.softsphere.com/ Samurai dispose d'une protection de ce type (mais je ne suis plus sûr..) : http://turbotramp.fre3.com/ ...notamment: Il y en a d'autres, mais certains ont disparus, plus ou moins. Sinon, d'autres programmes plus généraux intègrent cette protection, parmi d'autres, comme Prevx. Généralement, la première protection contre les buffer overflow est d'avoir son OS parfaitement à jour, et les versions les plus récentes des programmes que tu utilises ...

Bonjour, Juste un rappel : N'oubliez pas d'installer la dernière version en date (4.25), si ce n'est déjà fait : http://forum.zebulon.fr/index.php?showtopic=127657

Bonjour, Sortie de BOClean 4.25, et l'upgrade est fortement recommandée aux utilisateurs des versions précédentes (4.22 comme 4.24), car il s'agit d'un correctif de sécurité, corrigeant une faille exploitable récemment découverte : http://www.comodo.com/boclean/supboc.html#bocupg --edit : L'upgrade est obligatoire-- Voir capture ci-dessous Les versions antérieures à la 4.25 ne recevront donc plus de mises à jour à compter de demain.

Bonjour, Toutatis, effectue donc un essai en désactivant temporairement le proxy d'Avast!, c'est-à-dire le bouclier web : Il y a de fortes chances que ce soit le responsable Si le contrôle des applications redevient fonctionnel, c'est que les firewalls que tu as utilisés ne sont pas configurés pour filtrer les connexions locales.

Bonjour Falkra, J'utilise encore la 4.22, version pré-Comodo , pour ma part; il va falloir upgrader bientôt, cependant, car la 4.22 ne va plus recevoir les mises à jour, d'ici quelques jours... Pour le service, essaie plus simplement de le retirer du registre, non? Si le fichier n'est plus là, il n'y a pas de risque à effacer la clé devenue obsolète.

Bonjour, Parmi les programmes testés, sont disponibles en Français : ProSecurity, Online Armor, SSM. Et bientôt EQSecure ... (un poil plus tard que prévu, mais je pense que d'ici quelques jours, ce sera bon - La traduction est prête, il faut cependant que l'éditeur fasse un nouveau fichier d'installation). Sacles : Si vraiment tu trouves indispensable de scanner une seconde fois "on-demand" par le truchement de SSM (je dis une seconde, car tous les fichiers lus/écrits sont scannés par défaut, avec Antivir), tu devrais trouver ton bonheur ici (lien cliquable). Mais tu risques possiblement d'avoir une fenêtre de scan à fermer manuellement à chaque fois qu'un programme s'ouvrira, à moins que le paramètre -q marche aussi pour avscan (jamais essayé ).

Bonjour Sacles, Falkra, Juste une petite précision : C'est la version complète de SSM qui a servi pour ces test, et non la gratuite. Et de surcroît, c'est encore la version complète qui a bénéficié de modifications en vue de réussir l'ensemble de ces tests : Je ne saurai dire si la gratuite va bénéficier elle aussi de ces améliorations, étant donné le décalage de numéros de version entre les complète et gratuite (les gratuites sont toujours des versions moins récentes, en comparaison). Pour les autres différences de caractéristiques entre les complètes et gratuites, il y a notamment les protections spécifiques pour certains processus (façon Process Guard), réservées apparemment à la version complète, la détection des accès disque bas-niveau, des accès clavier bas-niveau, la gestion de groupes de programmes, le contrôle des connexions réseau, la surveillance registre peut être configurée plus finement, il y a aussi un détecteur de processus caché, etc... Enfin c'est difficile de lister avec exactitude les différences entre les 2 versions, car la comparaison sur leur site est un peu lapidaire (par ex Advanced/Basic, sans expliciter plus en avant). J'ai encore la version free qui tourne dans une snapshot, j'essaierai de lister plus précisémment les différences. Personnellement, je pense que la version free (comparé aux autres programmes gratuits concurrents) est correcte, mais sans pouvoir prétendre à la première place, parmi les HIPS gratuits. Pour la version complète, et bien là c'est différent, SSM est très complet, et on a pu voir que quand un problème critique est décelé dans le programme, il est corrigé très rapidemment : Le programme est donc excellent (par rapport à sa concurrence), est son support est actif - La qualité est là, et c'est ensuite pure affaire de goût pour le choix du programme.

Bonjour El_Bienheureux, Oui, bien sûr, il est plus prudent d'utiliser une session user qu'une session admin, dans l'absolu, en ce qui concerne les "tâches courantes" : Pour naviguer sur internet, lire ses mails, en principe pas besoin de droits admin. L'intérêt c'est que le système est beaucoup plus difficile à "infecter", sous une session user : La plupart des changements qu'ont besoin d'effectuer les malwares sur le système pour s'installer, et fonctionner (si on peut dire ), ne seront pas possible sous une session user. Les changements les plus importants requièrent en effet des droits admin. Cela étant, il ne faut pas non plus considérer la session user comme un remède absolu contre les diverses formes de malwares : Certains arriveront à fonctionner quand même (par ex les keyloggers), et si ma mémoire est bonne, les opérations sur le registre ne sont pas totalement interdites (par ex un malware peut s'ajouter au démarrage). De même les malwares peuvent modifier la mémoire de processus en cours, pour réaliser diverses besognes. Enfin cela ne change pas la donne, et il est nettement plus sûr d'utiliser un compte user quoi qu'il en soit . Maintenant, il me semble qu'un compte user n'est pas spécialement pratique à utiliser, certaines opérations étant rendues difficiles : Utilisation d'une imprimante, par ex. Ou mises à jour de programmes - là tu as vu par toi même. C'est pour cette raison qu'on conseille souvent des utilitaires de restriction partielle des privilèges : DropMyRights, par ex. Celui-ci tourne sous une session admin, mais lance ton navigateur (et d'autres programmes , selon ce que tu lui instruis de lancer) en mode user. Ca n'est pas aussi efficace qu'un veritable compte user, mais c'est un compromis intéressant entre sécurité et confort d'utilisation (la plupart des malwares arrivant sur le système par le biais d'un programme lancé en mode user s'y cassent les dents, étant incapables de s'installer, et donc de nuire - Attention, je dis bien la plupart, hein : Cette solution n'est pas fiable à 100 % ). Pour ce qui est du compte user, je te suggère de jetter un oeil aux 2 utilitaires mentionnés dans mon post précédent : Ils pourraient te rendre l'utilisation du PC plus facile lorsque tu es sous session user (RunasAdmin, particulièremment, si tu as déjà créé le compte user). Enfin voilà, si ta question était de savoir s'il y avait un intérêt à l'utilisation d'un compte user, en matière de sécurité, la réponse est clairement oui . Tu as bien moins de chances d'être infecté que sous une session admin - voire aucune chance, tout dépend de ton comportement sur internet . nicM

Bonsoir, Mise à jour : Cette fois-ci, même le lien de téléchargement direct posté dans le 1er message (http://www.activevirusshield.com/antivirus/freeav/get_started.adp) a été désactivé . Cependant... pour ceux qui seraient intéressés, il est encore possible d'activer le programme lors de l'installation, et les mises à jour sont toujours possible. Possibilité "ultime" pour l'obtenir : Utiliser la mise en cache Google de la page de téléchargement : LIEN De cette manière, il est encore possible d'obtenir une clé . Le fichier d'installation, lui, peut être téléchargé sur CE LIEN, par exemple.

douds, je comprends mieux mantenant : Tu parlais à la fois de la réception et de l'envoi des mails ! Donc aucun problème ici, car DSA ne surveille QUE l'utilisation smtp : Il ne surveille que les mails sortants Je pensais que tu avais envoyé des mails qui n'apparaissaient pas dans le décompte effectué par DSA, d'où ma question dans le message précédent. Le paramètre "recipients" ne tient compte que des destinataires (signification du terme anglais) des messages envoyés à partir de ton PC. En conclusion, DSA marche normalement sur ton PC, aucun problème. Il est tout-à-fait normal qu'il ne surveille pas les mails entrants, car cela n'aurait aucun intérêt en matière de protection : Ici, la protection "Mail Anomaly" est destinée à prévenir l'utilisation du PC comme Bot, robot spammeur (donc mails envoyés). Au fait, je te conseille de cocher les cases "require user approval for each alert", qui permettent une bien meilleure gestion des alertes : Quand cette cases n'est pas cochée, tu reçois simplement une petite notification dans le coin droit de l'écran, qui ne précise pas les modalités de l'action ayant déclenché l'alerte, et en plus, créée une règle selon la décision qui est prise (allow/deny). Sans parler du délai limité pour répondre à l'alerte. Avec la case cochée, tu reçois une alerte détaillée, et est plus à même de prendre une décision, temporaire seulement, ou sous forme de règle (là encore, tu as le choix). Ces alertes "complètes" sont les même que celles qui s'affichent quand on clique sur "Details/Options", dans les notifications réduites.

Bonjour douds, C'est une question bête, mais avais-tu envoyé plus d'un email, au moment de l'ouverture de la fenêtre "statistics" de la capture d'écran? DSA ne raisonne pas "par programme", concernant l'envoi de mail, il détecte l'envoi aussi bien par un moteur smtp autonome, comme par ex ceux que certains vers/malwares utilisent pour se répandre, ou envoyer du spam. Peu importe alors qu'il ne s'agisse pas d'Outlook ou autre. C'est une des raisons pour lesquelles les différents compte mails sont indifférents, pour DSA : Il ne distingue pas entre tes 3 comptes utilisés à travers un seul programme. Maintenant, peut-être que la boîte que tu utilise le plus est cryptée, ce qui expliquerait une différence entre le compteur de DSA et le nombre réel de mails envoyés?

Bonsoir El_Bienheureux, En effet, tu as fait l'expérience des petits problèmes du compte limité . Il y a deux petits utilitaires qui permettent de ne pas perdre trop de fonctionnalités en passant en mode utilisateur : RunasAdmin et SuDown . Je ne les ai pas essayé, mais SuDown a l'air très pratique, il se charge tout seul de "réduire" un compte admin en user, et permet à tout moment de lancer un programme en mode admin, par un clic droit. Cela devrait te simplifier un peu la tâche .

Bonjour Sacles, Et merci. En effet, contrairement aux autres programmes testés, il n'y a pas de correctif à attendre de Diamondcs : La compagnie est aux abonnés absents. Etant donné que le site n'est plus en ligne, je ne leur ai même pas envoyé les samples. J'ai bien l'adresse de Wayne Langlois, mais n'ai reçu aucune réponse à des mails envoyés il y a 3 mois. Si la page de Process Guard est encore en ligne, il suffit de cliquer sur n'importe quel lien (par ex. Support) pour arriver sur une page type 404, déclarant : Concernant Process Guard, le programme peut encore rendre de bons services, mais il faut être conscient qu'il est complètement dépassé, aujourd'hui : Même des freewares comme Dynamic Security Agent, ou EQSecure 3.4 font bien mieux. Et ont l'immense avantage d'être en développement actif, supportés. Pour ce qui est des "concurrents" traditionnels de Process Guard, comme SSM, AntiHook ou Online Armor, ils le dépassent de la même manière (voir la correction très rapide de SSM suite à ses mauvais résultats dans ce comparatif). Donc étant donné cette propension à être littéralement tué par des malwares comme ceux utilisés pour ce comparatif, il faut se rendre à l'évidence, et considérer Process Guard comme un programme "faillible" : Bien sûr, il peut bloquer tout type de malware tant que leur exécution n'est pas autorisée, mais la "seconde ligne de défense" (après exécution), elle, est manifestement défectueuse ...

Bonjour, Une mauvaise nouvelle, AOL arrête de fournir AVS, qui était pourtant bien pratique (Moteur Kaspersky, gratuit)... http://www.activevirusshield.com/antivirus/freeav/index.adp? En lieu et place, donc, une version spéciale de McAfee Viruscan Plus, mais cette fois pour les seuls clients AOL. Petite précision : En se rendant directement sur cette page, encore en ligne, on peut néanmoins toujours obtenir une licence, et le téléchargement : http://www.activevirusshield.com/antivirus...get_started.adp Il reste toutefois à confirmer que l'activation du programme marche, une fois celui-ci installé. Ce qui n'est pas sûr.

Sortie d'une nouvelle version de System Safety Monitor, la 'build 619', qui passe maintenant tous les tests. Idem pour la version 3.4 d'EQsecure, fraîchement disponible en anglais. Ces 2 programmes obtiennent maintenant 7 sur 7, passant les tests contre lesquels leurs versions précédentes échouaient. J'ai rajouté une page Update, sur la page principale, pour présenter comment ces 2 nouvelles versions bloquaient ces 4 tests manqués. nicM

Salut michte, Et bien si Jetico ne t'effraie pas, je peux te confirmer qu'il cohabite à la perfection avec DSA : J'ai deux ordinateurs différents où ils tournent ensemble, aucun problème. Je parle de Jetico 1, le gratuit (jamais essayé le 2). Comodo, jamais essayé avec DSA par contre. Il me semble que DSA ne cohabite pas très bien avec certains autres programmes (notamment McAfee Viruscan plus, suremment à cause de son SystemGuards, sorte de HIPS aussi). Au fait, je vois dans un post précédent que tu dis regretter ne pas avoir une bonne solution d'image disque, pour pouvoir essayer des programmes sans risquer d'avoir à réinstaller Windows toutes les 3 semaines : Je ne sais si c'est toujours possible (l'offre devait expirer il y a déjà longtemps), mais comme le lien pour l'enregistrement est toujours en ligne, ça ne coûte rien d'essayer : Regarde ici : http://www.computeractive.co.uk/hdmanager8/index Dans le bas, il y a un lien 'download now' pour télécharger Paragon Hard-Drive Manager 8 se. Et - sous réserve, voir au-dessus - tu peux obtenir une licence par Paragon, pour ce programme. Comme la page d'enregistrement est encore en ligne, il y a une chance pour que ça marche encore : Comme ça, tu auras HD Manager 8 gratuitemment, il rassemble leur utilitaire de partitionnement, et surtout drive-backup, l'utilitaire d'image disque (prix normal de HD Manager 8, 80 € en principe). Enregistrement ici : http://kb.paragon-software.com/paragon/scr...product_id=2745 Ca devrait te permetre d'envisager de futurs essais plus sereinement .

Bonjour michte, Hmm, ça complique les choses, dans ce cas... Il n'y a pas de raison que DSA ait gardé ces paramètres, s'il a été correctement désinstallé la première fois. Mais ce qui a pu se passer, c'est que des programmes "légitimes" aient été bloqué par erreur, et qu'un dysfonctionnement en ait résulté pour eux. Sinon, pour Kerio, il faut savoir que ce programme est un peu spécial : Il fait tourner 2 instances de son interface, et c'est ce point qui cause souvent problèmes avec d'autres programmes, cela m'est déjà arrivé aussi. Cependant, il y a de fortes chances pour que ce que tu décris comme un chargement "anarchique" de Kerio ne soit lié qu'au problème de kpfgui.exe, c'est-à-dire cantonné aux chargement des 2 interfaces graphiques : Il n'y a pas d'incidences sur la protection, si c'est le cas .

Bonjour, tim burtonzzzz, la stabilité avec ce type de programme, c'est parfois aléatoire : A plus forte raison après désinstallation d'autre programmes similaires, qui peuvent laisser des débris ici et là. J'avais eu le même problème que toi, en essayant Viguard, il y a un an ou deux. Par contre, jamais eu de problèmes avec Process Guard. On doit avoir plus de chances de succès sur un système propre, de préférence fraîchement installé, c'est certain. Michte, ton problème peut avoir plusieurs causes. D'une part, est tu sûr qu'il n'y a pas conflit entre Kerio et Spyblocker? (il me semble que celui-ci installe un proxy local?) Sinon, as-tu vérifié le contenu des fenêtres de quarantaine, dans DSA? Histoire de vérifier que des programmes légitimes ne s'y trouvent pas, suite à une fausse manip' Normalemment, lorsque le driver d'un firewall est déjà installé au moment de l'installation de DSA, et que ce driver est incompatible avec celui de DSA, ce dernier est supposé ne pas installer son propre firewall. As-tu déjà eu des alertes de DSA relatives à des connexions? Sinon, je te conseille de cocher les cases "Require User approval for each alert", dans l'interface de DSA : De cette manière, tu as des alertes détaillées (au milieu de l'écran), et non les alertes réduites (dans le coin à droite) qui ne précisent pas ce qui est bloqué (pas pratique du tout, ça, en fait, voire dangereux ). D'autant plus que lorsque quelque chose est bloqué par le biais de ces alertes réduites, une règle de blocage est créée. C'est pour cela que tu devrais vérifier le contenu des quarantaines, pour Process Detection, et Application Detection. Peut-être qu'un composant légitime a été bloqué, par erreur, et provoque les problèlmes?

Bonjour, Comme annoncé dans le titre, un comparatif vient d'être achevé, portant sur le test de 10 HIPS contre 7 samples très particuliers : Des malwares qui cherchent à bypasser ces HIPS, pour ensuite les désactiver en pratique (d'où l'expression "tueurs de HIPS"). http://membres.lycos.fr/nicmtests/Unhooker...oking_tests.htm Une fois de plus, c'est en anglais (désolé ), mais n'ayant pas le temps de faire les pages du site en français, je vais faire un petit résumé pour les anglophobes : En principe, les HIPS fonctionnant en "kernel-mode" utilisent des "hooks" dans la SSDT (system services dispatch table) qui leurs servent de "capteurs", pour faire en sorte de pouvoir intercepter et suspendre les "api-calls" (appels système par les programmes), et soumettre le changement requis par le programme ayant déclenché l'alerte à autorisation par l'utilisateur. Cela peut être pour la création d'un clé Autostart dans le registre, la création d'un nouveau service, la tentative de modification de la mémoire d'un autre processus, etc. Ces hooks servent donc de "capteurs" aux HIPS, et il est établi que les hooks en kernel-mode sont bien plus "solides" que les hooks en mode utilisateur, disposant de moins de privilèges. Par exemple, lorsqu'un HIPS "kernel-mode" surveille la création de services, il est capable de bloquer un rootkit "kernel-mode" en empêchant la création du service requis par le rootkit pour s'installer dans le noyau. * Cependant, quelques malwares commencent à "changer les règles", en essayant de contourner cette protection : Puisque ces HIPS "kernel-mode" (de même que certains firewalls) sont capables d'empêcher leur installation, et/ou leur fonctionnement, il semble que certains auteurs de malwares aient décidés d'employer les grands moyens, en crééant des malwares capables de briser ces "capteurs" évoqués plus haut, ce qui a pour effet de rendre le HIPS, le firewall, aveugles. En effet, sans leurs "capteurs", le HIPS ou le firewall sont totalement aveuglés, et ne fonctionnent plus : Ils ne sont plus capables ni de détecter l'activité au niveau du système, ni d'empêcher ces changements - qu'ils ne décelent plus de toute façon ... On aboutit donc à un résultat où le HIPS tourne encore, son/ses processus sont toujours en cours, et même son interface signale un état normal, mais en pratique, le programme a été tué : Il ne peut plus rien voir, ni rien faire; exactement comme s'il avait été désinstallé. En fait, à défaut d'arriver à coutourner le "mur" que représente le HIPS sur le système (en contournant sa détection), ces malwares choisissent la solution de détruire ce mur, pour utiliser une image. C'est ce qu'ils font en restaurant les hooks utilisés par les HIPS, dans leur état d'origine : C'est-à-dire dans l'état où les adresses Nt étaient AVANT l'installation du HIPS. Dans les tests, vous remarquerez que certains malwares testés procèdent ainsi : Ils rendent d'abord aveugle le HIPS testé, puis sont ensuite libres d'installer un rootkit, de lancer des connections utilisant des processus systèmes, de lancer d'autre processus, etc Autant d'évènements que tous les HIPS testés ici sont normalement capables de détecter, et d'empêcher, mais ceux qui échouent aux tests ne détectent strictement rien, étant rendus aveugles et muet. * En conclusion, c'est là le double danger de ce type de malware : D'une part, ils sont capables de bypasser des programmes qui sont normalement supposés les bloquer, et d'autre part, toute la perfidie est que l'utilisateur n'a aucune raison de s'inquièter, puisqu'il se sait protégé par un programme apte à bloquer les malwares traditionnels - Le programme s'affichant comme tournant normalement (statut OK dans l'interface, par ex), il en résulte un faux sentiment de sécurité extrêmemment préjudiciable... Heureusemment, tous les malwares ne se comportent pas comme cela, et c'est pour cette raison que ces tests ne sont pas représentatif de la protection globale offerte par chaque programme testé : Il ne s'agit que de tests sur un type très particulier de malwares. Mais ces malwares existent cependant, et doivent représenter une petite proportion de l'ensemble des malwares en activité. Il est donc important de pouvoir faire face. Voilà, je pense que l'essentiel est là. Pour les tests proprement dit, des captures d'écrans illustrent chaque propos, donc je pense que c'est accessible. ______________________________________ Chaque programme a sa propre page de tests, et une page de conclusion générale dresse un comparatif. Les résultats des test (dernière page) sont...mitigés , mais je vous laisse découvrir par vous même. Certains programmes très connus, et très réputés, ne s'y montrent pas sous leur meilleur jour, c'est le moins que l'on puisse dire... Cela étant, certains ont déjà commencés à améliorer leur programme, c'est bon signe nicM