C’est la fin des antivirus ?

Durée: 19m45s

Date de sortie: 25/01/2024

Le seul outil de cyber-sécurité dont vous avez besoin n’est pas un antivirus. C’est un outil bien plus puissant que ça. Jusqu’ici réservé aux entreprises, à des prix astronomiques, le youtuber John Hammond nous a fait découvrir une solution gratuite, à installer sur son ordinateur personnel. Et ses possibilités sont infinies.


Pensez à mettre 5 étoiles pour soutenir l’émission !


Écriture : Matthieu Lambda



Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

Ce que j'entends le plus souvent de la part des recruteurs c'est
« Mes pierres, il y a des millions de candidats potentiels sur LinkedIn, j'ai pas le temps, j'ai déjà des millions de réunions, des millions de mails »
Alors je leur réponds, avec LinkedIn Recruteurs c'est simple, vous formulez votre recherche avec vos propres mots
et l'IA trouve instantanément les candidats correspondants à vos critères
et grâce à ça, vous pouvez gagner jusqu'à 3 heures par semaine sur vos recrutements
et là, on me répond à chaque fois
« 3 heures par semaine, je vais pouvoir faire un million de choses »
Avec LinkedIn, recrutez des bons profils plus vite
Rendez-vous sur LinkedIn.com.
Recrutez mieux
La question que pas mal de gens se posent c'est « Avez-vous besoin d'un antivirus ? »
Éternel question à laquelle on répond souvent que nous, il n'y en a pas vraiment besoin
et en réalité, si vous pensez avoir besoin de rien, c'est que vous êtes un peu à côté de la plaque
mais si vous pensez que vous avez absolument besoin de payer, eh ben vous avez également tort en fait
Vous pourriez et vous pouvez oublier Avast ou Windows Defender
Ce n'est pas de ça dont on va parler aujourd'hui
Vous pouvez mettre tout ça à la poubelle
Ce n'est pas d'un antivirus dont on va vous parler mais d'une autre solution qui est gratuite
Et je suis tombé sur un outil absolument dingue
et c'est un outil de cyber vraiment très complet et je vais vous le présenter
Mais avant de répondre à cette question, pourquoi on en aurait besoin ?
Parce que de base, tout simplement, une erreur humaine, ça arrive
Cliquer sur un lien de phishing ou même introduire une clé USB qui contient un maloire
Bref, humain est faillible et c'est un truc de marketing, une phrase de marketing d'entreprises de la sécurité
qui dit que la question n'est pas de savoir quand on va être compromis
La question n'est pas de savoir si on va être compromis mais plutôt quand on va être compromis
Donc ça fait très argument marketing mais en réalité, ce n'est pas totalement faux
surtout en 2024 où c'est des choses qui peuvent arriver
Potentiellement nous allons tous être hackés un jour
Habituellement ce qu'on connaît dans ce marché, ce sont les antivirus
donc autodocyton, Avast, antivirus, Casperkai, Zet
Il y en a plein
Comment marcher en antivirus ?
En gros, un antivirus, ça détecte des virus ou des maloires qui s'attaquent à un ordinateur
et ça compare via une base de données de signature
la signature du logiciel que l'on a téléchargé ou du fichier pour détecter si ou non
C'est un fichier malveillant ou un programme valvillant
et si ça l'est, ça le met en quarantaine
C'est un principe qu'on connaît très bien
et en fait c'est le même principe que un virus biologique
C'est le virus biologique qui a été identifié grâce aux vaccins qu'on a eu des années avant
Les virus vont le mettre en quarantaine mais le fight
et du coup on va détruire le virus globalement pour faire tout
En fait ça n'a rien inventé
Ca marche, c'est chouette
mais globalement c'est un truc qui existe depuis la nuit d'internet
et des ordinateurs
et jusqu'ici tout va bien
Sauf qu'en fait il y a une autre option aux antivirus
et ça s'appelle les EDR
Les gens qui travaillent dans la Sétu ils savent évidemment ce que c'est
mais les autres, pas forcément
Un EDR ça veut dire Endpoint Detection and Response
donc le fait de détecter et apporter une réponse au fight endpoint on va pas traduire
Des mers, des vous
Globalement ça va détecter au-delà des logiciels malveillants
ou pourquoi ?
Parce que c'est capable d'identifier des schémats de comportement
et en fait ça c'est vachement plus vénère
Ca peut au lieu de détecter un malware, un logiciel malveillant
Ca peut détecter des activités suspectes
Alors c'est très large
mais du coup je vais vous prendre des exemples très très simples
Par exemple, quelqu'un qui ouvre Outlook
On est dans une entreprise
Un employé ouvre Outlook
Et juste après avoir ouvert Outlook
Il télécharge un point exet
Et bien ce comportement
qui peut être tout à fait à dedans
La loi de télécharger un point exet d'Outlook
On peut faire remonter ce comportement précis
à l'EDR et avoir une petite notification
au service de sécurité
Tiens, un tel il a téléchargé un point exet
Potentiellement il est fouillé ce que c'était
voire si c'était pas quelque chose de malveillant
Je prends un second exemple si vous n'avez pas encore compris
On peut mettre en place un système de détection
ou quand quelqu'un plug une nouvelle KUSB
qui n'a jamais été plug sur un ordinateur
et que dans les 5 secondes
il a tapé sur son clavier
et il a téléchargé quelque chose depuis Internet
par exemple il a fait un curl
sur son terminal
et bien hop, ça remonte une alerte à l'EDR
Donc c'est beaucoup beaucoup plus fin
que un antivirus
ou vraiment c'est des bases de signature
Là c'est vraiment une analyse comportementale
de ce qui se passe
sur un ordinateur
En fait le but c'est pas de mettre en quarantaine
une infection qui est déjà arrivée
sur l'ordinateur
mais en gros de rester alerte sur
qu'est-ce qui se passe à n'importe quel moment
sur mon ordinateur
Potentiellement en tâche de fond
Et tu peux cumuler des conditions
et éviter d'être submergé
d'alerte, parce qu'en général
le problème c'est rarement de
pas détecter qu'il y a un problème
c'est plutôt de détecter beaucoup trop de choses
en même temps
et là du coup avec cette finesse là
tu peux avoir vraiment du conditionnel
sur beaucoup beaucoup de facteurs
avec des délais
à partir de quels ça se déclenche
et du coup en gros
très concrètement pour savoir
comment ça se passera à l'entreprise
parce que je n'ai jamais vraiment été dans des boîtes
mais en gros
il torait ta console, ton dashboard
ou ta notification
apparaît très c'est ça ?
Oui exactement et sauf que dans une entreprise
ça remonte à un service
c'est pas l'utilisateur, il y a une pop-up
il y a quelque chose qui a été téléchargé
ça remonte au service sécurité de la boîte
et en fait c'est une solution
qui est connue depuis 2013
dans les boîtes
mais en fait
certes ce n'est pas nouveau
donc je disais ça existe depuis 2013
mais ce que je disais c'est que jusqu'ici
c'était réservé aux entreprises
en tout cas moi je le pensais
c'est des solutions qui coûtent des milliers
voire des dizaines de milliers par an
il faut savoir qu'il y a des équipes
dont c'est le travail d'analyser
tout ce qui se passe sur internet et sur les ordinateurs
pour mettre à jour les règles
qui sont dans un EDR
c'est ce qu'on appelle des gens qui travaillent dans des socs
par exemple
et parfois on externalise le soc
donc par exemple Microsoft
à sa solution qui s'appelle Defender for Endpoint
je dis Microsoft mais il y en a plein
tous ces grands
grandes la sécurité ont des solutions
et ça coûte des milliers
des dizaines de milliers par an
et c'est vraiment la destination des entreprises
et même tous des grandes entreprises
typiquement nous quand on est 7
on n'a pas de dert
mais en fait
et c'est ça qui est incroyable
j'ai découvert grâce à une vidéo de John Hammond
qui est un youtubeur
cyber
américain je crois
un petit doute sur le canadien américain
randolphoam
mais je crois qu'il est américain
et en fait j'ai découvert un outil
qui est gratuit et qu'on peut installer sur son pc
et que du coup on va avoir la petite motif
sur son propre pc
pour savoir ce qui se passe sur son ordinateur
ça s'appelle Aurora light
de nextron system
et en fait comment ça marche
ça marche grâce à des règles
sigma
en gros les règles sigma
c'est un mec très réputé
en sécurité qui s'appelle florian rot
et vraiment un ponte
suivée le sur twitter si ça vous intéresse
il s'est dit on va essayer de normaliser
comment on fait une règle dans un edr
parce que au début c'est toujours un peu le bordel
et donc en gros grâce à
un data set de règle open source
qu'on peut trouver sur github
que vous pouvez charger n'importe où et qui a inclus dans aurora light
ça permet d'avoir
tout un tas de règles déjà faites
qui va flagre par exemple
le nom d'un process
par exemple
si il y a un river shell
qui est lancé potentiellement
il peut le détecter
et vous pouvez créer vos propres règles
alors vous pouvez créer des règles absolument connes
par exemple si tu lances la calculatrice
ça t'affiche
une pop-up
ce que tu expliquais c'est que
l'exemple que tu as donné tout à l'heure
il y a une version en sigma
qui dit exactement quand une clue sb branchée
et que dans les 5 secondes il y a un binaire
exécuté depuis internet
ça détecte
ce comportement
il en existe une version sigma standard
que tu peux charger dans ce logiciel gratuit
oui et si il y a des comportements qui n'existent pas
en fait vous pouvez créer vos propres règles
et c'est pas très compliqué
alors c'est pas votre grand-mère qui va le faire
mais en vrai si vous êtes intéressé par la cq
c'est un peu comme du
j'allais comparer ça à du gizon mais là je pense que je vais me faire démonter
non mais tu vois c'est un
c'est un phallé d'eau fait quoi
je suis en train de bosser sur une vidéo sur les ad blocker
et ça ressemble beaucoup
à la syntaxe pour écrire des filtres d'ad blocker
en vrai ça ressemble trop à la syntaxe
d'un filtre ad blocker
et par exemple
ça peut détecter le fait que
imaginons il y a quelqu'un qui a réussi à avoir un accès
à votre ordinateur il a lancé un river shell
donc explique un river shell c'est
tu peux
lancer des commandes dans un terminal de ton ordinateur
sans que tu le vois c'est à dire qu'ils tournent
en tâches de fond
et par exemple souvent un attaquant
c'est l'exemple très typique quand il a accès
une machine il va faire un voyam c'est à dire
où est-ce que je suis
sur l'ordinateur pour savoir il se trouve quel privilège
est-ce que je possède en gros exactement parce que lui
il a pas accès à l'interface graphique etc
il veut savoir un peu ce qu'il en est
où est-ce que je suis tombé à quel point il va pouvoir vous défoncer
et bien tu peux
déclencher une règle
qui te fait une pop-up dès que
il y a un voyam qui est fait sur ton ordinateur
alors si tu le fais toi-même ça sera
aussi déclenché potentiellement sauf si tu l'associe
à ça a été lancé via un river shell etc
mais du coup en fait tu peux
de ouf t'amuser avec plein de règles
et en plus avec les règles
qui a déjà de base ça t'apporte
une sécurité
ou ça te prévient
de 60 70% des risques
d'infection et d'attaque
et donc en vrai c'est pas mal pour un outil
totalement gratuit
Salut si vous appréciez un orscore vous pouvez nous aider
de ouf en mettant 5 étoiles sur Apple podcast
en mettant une idée d'invité que vous aimeriez qu'on reçoive
ça permet de faire remonter un orscore
voilà telle une fusée
c'est vraiment intéressant je trouve parce que
le reproche qu'on peut faire à beaucoup d'antivirus
c'est que c'est des énormes machines de guerre
où tu charges
plus tôt de fonctionnalité dont t'as
potentiellement pas besoin
et là ce que j'aime beaucoup avec un
système avec autant de finesse
c'est que si toi t'es au courant
en gros dans la communauté et au courant que pour
des attaques relativement avancées
ce comportement
existe à savoir l'attaquant
utiliser souvent la même commande
le who a my et bien ça veut dire qu'on
peut nous-mêmes utiliser notre connaissance
pour créer des alertes
hyper spécifiques
pour nous défendre et donc j'aime beaucoup
cette idée en gros que tu peux avoir très peu d'alerte
donc un truc très léger sur ton système
mais qui est
super affûté quoi ouais c'est ça
et ce qui est cool c'est qu'il y a toute une communauté
qui s'est créée autour de ces
de ces règles figmas, sigma rules
qui s'est créée pour alimenter la chose
alors évidemment un extra system
il vende aussi une solution mais en fait
souvent c'est des trucs qui deviennent beaucoup plus complexes
avec de l'intelligence artificielle qui va analyser
les tendances etc avec tout
c'est très chouette pour des entreprises
mais en fait comme tu dis ça a lourdiré
un système pour juste
une machine ou pour
une petite PME
et en vrai
il y a un autre truc très marrant
à faire alors ce que j'ai pas dit pardon
j'ai oublié un petit truc
il y a un dashboard et en vrai c'est pas évident
pour ce genre de trucs ça peut souvent être
des lignes de commande et tout machin et là il y a
un dashboard qui s'appelle le Aurora à jeune dashboard
où en fait tu vas pouvoir
déjà paramétrer
ton système pour justement est-ce que tu vas avoir
une note tout et tout et ça va être trop chiant
ou justement l'affiner de fou et mettre à jour
tes règles dessus
ou potentiellement pas forcément
en édite un fichier de Sigma
ou en tout cas en étant aidé par le dashboard
donc ça c'est trop chouette et alors il y a un truc
trop marrant à faire ouais tu voulais dire
c'est que vous pouvez par exemple les charger
un LOL Binz ou un malware
quoi gros alors t'expliques
ben en vrai comment expliquer LOL Binz
en gros
en fait la question que j'avais posé juste avant c'est
est-ce que ce dashboard est joli
c'est très important on peut montrer
une image sur la je dirais pas qu'il est joli
c'est bien facile à utiliser
j'ai vu une préjou et je le trouve quand même pas
trop mal c'est à dire que
pour des outils pour un outil
pour un outil à cq
qui est quand même relativement avancé de cq etc
et ben en vrai je me voyais bien
utiliser un truc
non mais pour un outil cq il est pas mal
après c'est pas
montrer interface situaire 2024
bref
effectivement un truc que
t'allais expliquer je crois c'est que
dans la vidéo de John Hammond
il fait une démonstration où il utilise
des malwares
donc des payloads qui sont
relativement avancés c'est à dire qu'il fait pas
le test de base avec
le cheval de 3 qui a traîné
partout dans les endroits les plus sombres
d'internet et où un antivirus aurait la signature
en fait voilà c'est trop simple trop facile
il fait des démonstrations avec des
des malwares un peu plus avancés
typiquement de type live off the ground
donc ça veut dire que
c'est des binaires qui ne touchent jamais
le disc c'est à dire qu'il s'exécute
entièrement en mémoire
si je dis pas de conneries et donc
concrètement pour le antivirus
pour la solution de sécurité c'est beaucoup
plus compliqué de s'en rendre compte
de détecter quelque chose
il a pas de petites alertes
de hooc sur le fait que t'as
un fichier bizarre qui vient d'apparaître
à tel ou tel endroit donc c'est du live off the ground
et vous me collez si je dis de la merde
s'il vous plaît et vous avez cette
démonstration justement avec
sur l'olbins comme tu dis
et il récupérerait une
détection
de voir si ça détecte pas
parfois ça détecte pas en avant
mais ce qui est marrant aussi à faire
et c'est un concept qui a été beaucoup fait sur youtube
c'est que par exemple vous pouvez si vous êtes à l'aise avec
ce genre de trucs lancer une machine virtuelle
télécharger plein de malwares et de l'olbins etc
et de voir comment Aurora va
se comporter et voir
si il arrive un peu à mitiger la chose ou pas du tout
on a vu en terface
non non
l'interface est cool et du coup
vous l'avez testé
alors
nous on a testé
le concept
on l'a pas testé
encore
moi ça donne envie
ça donne envie d'essayer
moi je trouve super intéressant
il y a plusieurs cas d'usage à installer un système
comme ça c'est déjà par exemple si vous avez
une petite PM et que
vous avez pas du tout
de budget à louer à ça
mais que vous êtes un peu conscient que potentiellement
en vrai aujourd'hui il y a plein de PME
qui se font poudre par des choses
mais en fait ça coûte pas
peut-être une journée le temps d'apprendre un peu
à comment faire, à l'installer
mais en fait vous pouvez mettre ça sur une PME
c'est gratuit et en fait c'est mieux que rien
vous avez un EDR qui est en place
et même sans faire des paramétrages
de fou
ça peut faire la blague
et moi je trouve qu'il y a un truc qui est trop bien
et c'est ça qui m'encourage à le faire
c'est que pour te former à la SQ
si jamais potentiellement tu as envie de travailler
dans la SQ je sais qu'il y en a plein qui nous regarde
dont c'est une envie
mais en fait ça te permet de savoir un peu
ce que fait quelqu'un qui travaille par exemple
dans un socle, dans une vraie grande entreprise
et qui managent un EDR et qui créent des règles
et en fait ce qui me disait
et j'en discutais d'ailleurs avec Rémi
notre collègue qui a travaillé
avec des EDR
parfois tu es dans une boîte
et il y a une vulnérabilité qui sort sur un logiciel
et en fait elle est pas patchée tout de suite
et bien en fait il y a un truc c'est que tu peux
mettre en place une règle
pour faire en sorte au moins d'être alerté
et faire en sorte que
la faille ne soit pas activée
enfin ne soit pas...
tu peux préemptivement
voilà exactement
genre c'est la grosse panique mais au moins
en fait tu crées un pré patch
et au moins tu es alerté et tu peux agir directement
avant que l'éditeur par exemple
qui n'est pas toi et doit pas tcher
et en fait ça met 2 jours ou 3 jours
mais en fait c'est des outils tellement
performants et tellement précis
qu'on peut faire
ce genre de choses
ce qui est difficile quand même c'est qu'il faut savoir
quoi mettre comme condition
c'est pour ça que tu as les communautés
et que tu peux te baser sur les trucs
mais je suis d'accord que ça va mettre dans la catégorie
si vous savez un peu ce que vous faites avec votre machine
et que
l'option antivirus vous casse les pieds
mais en même temps vous n'êtes pas suffisamment
naïf pour vous dire que vous êtes totalement hors d'atteinte
et bah je trouve
que c'est une solution
un entre deux qui est quand même intéressant
et en fait tu as quand même un contrôle important
sur qu'est-ce qui se passe sur ta machine
et en fait tu changes un peu de paradigme
par rapport à un antivirus où tu parles vraiment
dans la détection
la détection engineering comme ils appellent ça
et en fait tu peux détecter tout et n'importe quoi
y compris pas forcément des choses de sécu
si t'as envie
mais en fait là cette solution là
si t'as des besoins comme ça
ça devient honnêtement une solution facile et accessible
et moi je connaissais le concept de DRM
bien que j'en ai jamais manipulé
mais je n'avais pas la moindre idée
de me dire qu'un outil gratuit
aussi puissant était disponible
grâce à John Ammon
donc vous pouvez regarder le tuto si vous allez voir un peu plus en
franchement lui là il lui a carrément fait un tuto
où il vous montre comment il fait quoi
donc c'est un peu un pas à pas
et ça permet de se faire la main
mais du coup juste
pour la question en fait
donc si j'ai bien compris là on fait que
détecter mais après ça te
parce que les antivirus en général quand ils détectent
ils réglent le problème
ou alors ils te font 15 notifications
pour te dire qu'ils ont réglé
un problème qui n'est pas vraiment sûr
d'avoir existé
effectivement mais il y a quand même
de la rémediation qui est un peu
intégrée à l'outil
là c'est pas la carré
c'est le air de response
et là ça devient un peu plus complexe
associé à un autre système
qui s'appelle un SIEM
en français
et donc en fait les boîtes ils interconnectent
tout leur outil de management
de contrôle et ils voient ça
mais bon là je voulais pas parler d'ESUM
parce que c'est un peu plus complexe
ça pourra être un prochain épisode
et je me suis trompé c'est live off
the land pas live off the ground
ou ça ça peut pareil
ouais je l'avais pas noté donc
le sens est là
c'est transparent
très intéressant
c'est cool mais franchement
j'ai juste vu passer le truc et là
tu as confirmé mon envie de
découvrir celui-ci
évidemment c'est sur Windows
non je crois que en fait
c'est l'interface c'est en localhost
oui c'est un interface web
mais c'est un outil fait pour Windows à la base
mais je crois que non
attend faut qu'on le fact check
on fact check mais je crois que c'est Windows
News et Mac
les fact checkers de l'espace peuvent nous dire
ce que ça faut
vraiment la question en fait c'est non la zone commentaire
d'être envahie de la question
donc comme ça on peut pré-shot y répondre des mains non
et en fait il faut juste par contre
quand tu t'inscries il faut laisser un mail pour tes charges
je suis le fact checker du futur
et je viens vous annoncer que c'est
uniquement sur Windows
et au dessus
moi ça m'étonne qu'à moitié
franchement c'est tellement spécifique
ben ouais mais je sais pas pourquoi
je lui confond avec un autre outil
c'est uniquement le fait de chopper les notifications
quand certaines commandes power shell et tout
c'est tellement spécial que ça m'étonne pas
délire
dommage pour nous
parce qu'on est sur Mac ?
je voulais chopper le Windows
on a les deux dans la boîte
on a un Windows où on fait ce genre de bêtises
c'est un bêtise

Les infos glanées

Je suis une fonctionnalité encore en dévelopement

Signaler une erreur

Underscore_

IA, Hacking, Robotique — Des conversations de terrain avec ceux qui construisent. 🥨


Partenariats: underscore@micorp.fr


---


Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

Tags
Card title

Lien du podcast

[{'term': 'IA', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Investissement', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Nouvelles Technologies', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Tech', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Actu tech', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Cybersécurité', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Développement', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Dev', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Entreprenariat tech', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'IT', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Robotique', 'label': None, 'scheme': 'http://www.itunes.com/'}, {'term': 'Technology', 'label': None, 'scheme': 'http://www.itunes.com/'}]

Go somewhere