La dernière build du canal rapide pour les testeurs du programme Insider réclame aux antivirus de passer en processus protégés s'ils veulent être reconnus comme tels.
Les « protected process » sont un mécanisme introduit dans Windows 8.1, avec les logiciels anti-malware en ligne de mire. L'idée était de leur fournir une protection supplémentaire, puisqu'ils étaient souvent la cible eux-mêmes d'attaques.
La prochaine version de Windows, attendue pour septembre/octobre, généralisera ces processus protégés. Si les éditeurs ne rendent pas leurs produits compatibles, l'interface Windows Sécurité ne les reconnaîtra pas et Defender continuera de fonctionner à leurs côtés.
Actuellement, il suffit qu'un antivirus se déclare auprès de Windows pour désactiver Defender et être reconnu comme solution de sécurité principale. Tant que le changement est testé, il peut être désactivé en créant une clé de registre :
HKLM\SOFTWARE\Microsoft\Security Center\Feature
DisableAvCheck (DWORD) = 1
Cette possibilité disparaîtra avec l'approche de la version finale.
Commentaires (30)
#1
Ce n’est pas un mythe que Windows Defender se désactive quand un autre anti-virus est présent ?
" />
Au boulot, j’ai cette bouse inter-sidéral de Sophos qui met littéralement à plat mon ordi dès qu’il y a un accès disque ; mais en plus dans le gestionnaire des tâches je vois que le processus de Windows Defender fait la course avec Sophos et ce malgré que Windows Defender est bien désactivé dans les Settings…
#2
Il me semble que quand on le désactive dans les Paramètres, il est marqué à côté que ça ne le fait que jusqu’au prochain reboot. En tout cas, depuis sa sortie ça a toujours été que ce temps là.
#3
Moi c’est pareil sur les machines win 10, j’ai l’antivirus webroot installé sur ces postes, mais j’ai toujours l’icône windows defender qui s’affiche dans la barre des tâches
#4
#5
Perso j’utilise Windows Defender, qui fait suffisamment bien le job pour ne pas avoir besoin de claquer des thunes dans un antivirus. De nos jour les antivirus ne sont plus vraiment utiles, pour peu qu’on ait une hygiène numérique correcte.
#6
Un argument pratiquement aussi ancien et aussi valide que, minimes altérations :
“De nos jour la vaccination n’est plus vraiment utile, pour peu qu’on ait une hygiène correcte.”
#7
Ok troll spotted. Qu’est-ce qu’il faut pas lire…
#8
#9
Tu remarqueras que je n’ai pas dit de se passer d’AV, mais que Defender est largement suffisant, nuance.
Et l’analogie avec les vaccins est juste mauvaise. On vaccine contre quelques maladies à très haut risque, mais pour tout le reste on laisse notre système immunitaire se débrouiller (ou alors on aimerait bien avoir un vaccin, mais on n’y arrive pas).
Le but de l’AV c’est d’être le système immunitaire, pas un vaccin, et franchement là dessus Defender suffit (oui je me répète). Avoir Kaspersky (ou autre) au lieu de Defender va peut-être améliorer la rapidité de déploiement de nouvelles signatures, mais on sera toujours vulnérable aux menaces 0-day, ou à toute autre menace dont la signature n’est pas dans la base de données de l’antivirus spécifique qu’on utilise. Tu as des kits clés en main en vente pour pas si cher que ça qui te permettent de générer ta propre charge virale indétectable (ça rempaquette le même virus à chaque fois, mais avec une signature différente). Bref même un script-kiddie peut passer outre ton AV.
Pour ma part, la sécurité informatique c’est mon boulot. Je connais et j’applique toutes les bonnes pratiques, et si jamais je veux ouvrir un truc douteux, j’ai des VM (ainsi qu’un PC) rien que pour ça. J’ai bien moins de risque de choper quoi que ce soit que quelqu’un qui dispose du meilleur AV mais fait n’importe quoi.
#10
Et le petit troll à la fin sur l’AV Linux pour ne pas contaminer les utilisateurs Windows
" />
Mais il existe des virus sous Linux également ;-)
#11
#12
Tu as lu correctement, mais tu as interprété bizarrement. “Pas vraiment utiles” ne veut pas dire “débarrassez-vous en tout de suite”.
Mais je dois reconnaître qu’en écrivant la phrase en question, je pensais “[…]les anti-virus autres que celui fourni avec le système ne sont plus vraiment utiles[…]”.
#13
Et franchement su un comm’ de 2 phrases n’en citer qu’une (la seconde) parce qu’elle t’arrange alors que la première montre clairement que je suis cohérent dans mes propos, c’est légèrement malhonnête ;)
#14
#15
Euh t’es iddiot ou tu le fais exprès. Encore une fois, tu choisis une phrase sur deux, enlevant de ce fait tout sens à mon commentaire. Bien sûr que je connais ClamAV, je l’utilise même (sur mon serveur mail notamment). Lis la deuxième phrase du commentaire avant de dire des inepties.
Bref, merci d’arrêter le troll ;)
#16
#17
Ok vu que t’es con je vais t’expliquer mon commentaire : dans ton propre commentaire tu sous-entendais que la seule utilité de l’antivirus sous Linux est de protéger les postes qui auraient la malchance d’être sous Windows. (je sais bien que tu ne l’as pas écris directement en ces termes, mais relis toi et tu verras que c’est ce qu’on en retire). Ce à que je te réponds que tu es un troll et qu’il existe aussi des virus sous Linux, et non que l’antivirus Linux ne peut pas servir à protéger les contacts sous Windows.
Bref, apprend à réfléchir avant de répondre (et de réfléchir en lisant les comm’ des autre aussi, ça peut servir).
#18
#19
#20
Rappelle moi qui a commencé avec les attaques ad hominem ? Merci de bien mettre en avant que tu n’as aucun argument depuis le début
#21
L’idée était de leur fournir une protection supplémentaire, puisqu’ils étaient souvent la cible eux-mêmes d’attaques.
Windows ferait mieux de travailler sur l’isolation des applications/fichiers de l’utilisateurs plutôt que sur l’isolation des processus des vendeurs d’antivirus.
Les attaques actuelles sont majoritairement des ransomware/spyware qui s’exécutent avec les droits de l’utilisateur et accèdent à des données de l’utilisateur. Ce sont donc des opérations totalement “légales” vu par un antivirus classique (sauf a avoir des fonctions HIPS/HIDS). D’ailleurs j’ai pas souvenir que les derniers ransomware qui ont défrayé la chronique s’attaquaient aux antivirus.
#22
#23
#24
C’est ce que j’ai fini par faire. Franchement un gros blaireau qui ne sait rien faire d’autre que déformer les propos des gens pour créer du conflit… Bref un troll de base.
Heureusement que ça ne représente qu’une faible partie des commentaires.
#25
Il y a quand même eu un certain nombre de cas de vulnérabilités dans des antivirus (notamment des RCE), ce qui est plutôt ironique, donc ça vaut le coup de s’en préoccuper. Bon en même temps il faudrait faire ça pour tous les logiciels avec accès réseau et tournant avec des privilèges élevés.
Il y a également eu des cas de virus bloquant les mises à jours des protections antivirales (ou même l’installation de nouveaux AV).
#26
Hey les gars, y’a un système de blacklist sur ce site, perso’ Patch était déjà dans ma liste. ;-) (et j’y rajoute Sabinoo)
#27
Aujourd’hui, un antivirus qui ne se base que sur un système de signatures est largement dépassé par les menaces 0-day. Les grands développeurs d’antivirus se basent actuellement sur les analyses heuristiques et comportementales des menaces. Kaspersky ou bitdefender peuvent actuellement bloquer un ransomware sans qu’il soit détecté dans leur base. Simplement en analysant son comportement.
Test de Kaspersky :
https://www.youtube.com/watch?v=hjyZDS6uIGg
Test de Bitdefender :
https://www.youtube.com/watch?v=zeVqVk_4TAs
#28
Oui les antivirus les plus aboutis font de l’analyse heuristique, mais c’est loin d’être parfait, et ça mange pas mal de ressources.
#29
Note à l’auteur, Les “protected process” sont apparus sous Vista( c’est cité dans ton lien). C’est son utilisation pour le module antimalware qui date de Windows 8.1.
Ils étaient utilisés à l’époque dans le système DRM de Vista et j’en avais parlé dans le dossier sur Vista de NXI à l’époque. Ces processus obtiennent des droits bridés qui empêche la lecture/écriture du processus mais aussi l’injection. La signature est aussi obligatoire.
#30
+1
Microsoft se soucierait de la sécurité de son OS, il interdirait la création de compte utilisateurs avec des droits d’administration.