6Sep
Sandboxing est une technique de sécurité importante qui isole les programmes, empêchant les programmes malveillants ou défectueux d'endommager ou d'espionner le reste de votre ordinateur. Le logiciel que vous utilisez contient déjà une grande partie du code que vous exécutez tous les jours.
Vous pouvez également créer vos propres sandbox pour tester ou analyser des logiciels dans un environnement protégé où ils ne pourront pas endommager le reste de votre système.
Comment les bacs à sable sont essentiels pour la sécurité
Un sandbox est un environnement étroitement contrôlé où les programmes peuvent être exécutés. Les bacs à sable restreignent ce qu'un morceau de code peut faire, en lui donnant autant d'autorisations que nécessaire sans ajouter d'autres permissions qui pourraient être abusées.
Par exemple, votre navigateur Web exécute essentiellement des pages Web que vous visitez dans un bac à sable. Ils sont limités à l'exécution dans votre navigateur et l'accès à un ensemble limité de ressources - ils ne peuvent pas afficher votre webcam sans autorisation ou lire les fichiers locaux de votre ordinateur. Si les sites Web que vous visitez ne sont pas en sandbox et isolés du reste de votre système, la visite d'un site Web malveillant serait aussi mauvaise que l'installation d'un virus.
D'autres programmes sur votre ordinateur sont également en sandbox. Par exemple, Google Chrome et Internet Explorer fonctionnent tous les deux dans un sandbox. Ces navigateurs sont des programmes qui s'exécutent sur votre ordinateur, mais ils n'ont pas accès à l'ensemble de votre ordinateur. Ils fonctionnent dans un mode d'autorisation faible. Même si la page Web a détecté une faille de sécurité et a réussi à prendre le contrôle du navigateur, elle devra alors échapper au sandbox du navigateur pour causer des dommages réels. En exécutant le navigateur Web avec moins d'autorisations, nous gagnons en sécurité.Malheureusement, Mozilla Firefox ne fonctionne toujours pas dans un bac à sable.
Ce qui est déjà en sandbox
Une grande partie du code que vos appareils exécutent chaque jour est déjà un bac à sable pour votre protection:
- Pages Web : Votre navigateur sable essentiellement les pages Web qu'il charge. Les pages Web peuvent exécuter du code JavaScript, mais ce code ne peut pas faire ce qu'il veut: si le code JavaScript tente d'accéder à un fichier local sur votre ordinateur, la requête échouera. Contenu du plug-in de navigateur
- : Le contenu chargé par les plug-ins de navigateur, tels qu'Adobe Flash ou Microsoft Silverlight, est également exécuté dans un sandbox. Jouer à un jeu flash sur une page Web est plus sûr que de télécharger un jeu et de l'exécuter comme un programme standard, car Flash isole le jeu du reste de votre système et limite ce qu'il peut faire. Les plug-ins de navigateur, en particulier Java, sont fréquemment la cible d'attaques qui utilisent des failles de sécurité pour échapper à ce bac à sable et causer des dommages.
- PDF et autres documents : Adobe Reader exécute désormais des fichiers PDF dans un bac à sable, ce qui évite qu'ils échappent à la visionneuse PDF et falsifient le reste de votre ordinateur. Microsoft Office dispose également d'un mode bac à sable pour empêcher les macros dangereuses d'endommager votre système.
- Navigateurs et autres applications potentiellement vulnérables : Les navigateurs Web s'exécutent en mode bac à sable avec autorisations restreintes pour garantir qu'ils ne peuvent pas faire beaucoup de dégâts s'ils sont compromis:
- Applications mobiles : Les plates-formes mobiles exécutent leurs applications dans un bac à sable. Les applications pour iOS, Android et Windows 8 ne peuvent pas faire beaucoup de choses que les applications de bureau standard peuvent faire. Ils doivent déclarer des autorisations s'ils veulent faire quelque chose comme accéder à votre emplacement. En retour, nous obtenons une certaine sécurité - le bac à sable isole également les applications les unes des autres, de sorte qu'elles ne peuvent pas se toucher les unes les autres.
- Programmes Windows : Contrôle de compte d'utilisateur fonctionne comme un peu d'un bac à sable, limitant essentiellement les applications de bureau Windows de modifier les fichiers système sans d'abord vous demander la permission. Notez que cette protection est très minime - n'importe quel programme de bureau Windows peut choisir de s'asseoir en arrière-plan et de consigner toutes vos frappes, par exemple. Le contrôle de compte d'utilisateur restreint simplement l'accès aux fichiers système et aux paramètres à l'échelle du système.
Comment faire pour Sandbox N'importe quel programme
Desktop programmes ne sont généralement pas sandboxed par défaut. Bien sûr, il ya UAC - mais comme nous l'avons mentionné ci-dessus, c'est très minime sandboxing. Si vous voulez tester un programme et l'exécuter sans qu'il puisse interférer avec le reste de votre système, vous pouvez exécuter n'importe quel programme dans un sandbox.
- Machines virtuelles : Un programme de machine virtuelle tel que VirtualBox ou VMware crée des périphériques matériels virtuels qu'il utilise pour exécuter un système d'exploitation. L'autre système d'exploitation s'exécute dans une fenêtre sur votre bureau. Tout ce système d'exploitation est essentiellement un bac à sable, car il n'a accès à rien à l'extérieur de la machine virtuelle. Vous pouvez installer un logiciel sur le système d'exploitation virtualisé et exécuter ce logiciel comme s'il était exécuté sur un ordinateur standard. Cela vous permettrait d'installer un logiciel malveillant et de l'analyser, par exemple - ou simplement d'installer un programme et de voir s'il fait quelque chose de mal. Les programmes de machines virtuelles contiennent également des fonctions de capture instantanée, ce qui vous permet de «restaurer» votre système d'exploitation invité dans l'état dans lequel il se trouvait avant d'installer le logiciel incorrect.
- Sandboxie : Sandboxie est un programme Windows qui crée des sandbox pour les applications Windows. Il crée des environnements virtuels isolés pour les programmes, les empêchant d'apporter des modifications permanentes à votre ordinateur. Cela peut être utile pour tester un logiciel. Consultez notre introduction à Sandboxie pour plus de détails.
Le sandbox n'est pas quelque chose dont l'utilisateur moyen a besoin. Les programmes que vous utilisez font le travail de sandbox en arrière-plan pour vous garder en sécurité.Cependant, vous devez garder à l'esprit ce qui est en sandbox et ce qui ne l'est pas - c'est pourquoi il est plus sûr de charger un site Web que d'exécuter un programme.
Cependant, si vous voulez bac à sable un programme de bureau standard qui normalement ne serait pas un bac à sable, vous pouvez le faire avec l'un des outils ci-dessus.