Bonjour,

J'ai beau chercher partout, je ne trouve pas de description précise du rôle du "Filesystem scan" proposé avec Online Armor Free, ni de son mode de fonctionnement. cpasmafaute a donné quelques éléments de réponse dans son tutoriel, et je l'en remercie au passage, mais est-ce que l'équipe de Online Armor peut nous en dire plus ? Ou un utilisateur éclairé (et compatissant)?

J'en profite pour remercier chaleureusement l'équipe de mettre à disposition leur travail pour les particuliers, et me réjouis pour eux des récents résultats obtenus.

Enfin, histoire de me rendre utile aussi, j'aurais bien relevé quelques bugs mais le passage à la version 112 aujourd'hui les a tous corrigé (ils concernaient essentiellement le dimensionnement des fenêtres et la lecture des lignes).

Une suggestion d'amélioration peut-être, à destination des utilisateurs les plus novices: une option "reset", qui permettrait d'effacer toutes les règles et de redémarrer sur l'assistant, comme si l'on venait d'installer.

Bonne journée ou bonne soirée, c'est selon votre fuseau horaire, et à bientôt.

Bonsoir noisette et bienvenue à vous,

Cette fonction s'appuie sur une base de données des programmes de confiance et des programmes dangereux. Cette fonction va détecter sur votre ordinateur les programmes qu'elle reconnait comme dangereux et vous les signaler.
Ce scan ne remplace en aucun cas un antivirus ou/et un antispyware.

L'option reset peut être une suggestion intéressante mais l'accès à l'écran des programmes et/ou du parefeu permet de résoudre généralement une éventuelle erreur en modifiant les permissions en conséquence

Cordialement,

MaB

Bonjour MaB69,
et merci de votre réponse rapide.


Bien entendu, Online Armor Free côtoie chez moi Antivir et Spyware Terminator, sans d'ailleurs créer de problème, aucun bug à signaler.

Mais justement, si ce scan ne remplace ni un antivirus, ni un antispyware, quel est son rôle ?

Compte-tenu de la qualité du pare-feu, j'ai du mal à croire que cet ajout d'un scanner est purement superflu, voir trompeur (si certains s'en contentent).

Antivir et autres vérifient eux aussi les fichiers système, sur la base de signatures principalement, de façon heuristique parfois.

Que ne font-ils pas et que le scanner d'Online Armor Free arrive à faire ? J'imagine qu'un virus que je renommerais avec un nom sain, notepad.exe par exemple, serait reconnu du scanner, ou je me trompe ?


Merci d'avance :).


P.S: pour ce qui concerne le bouton reset, c'est surtout pour relancer l'assistant que je l'imaginais, même si le mode apprentissage permet quelque chose de similaire (en fait je pense au grands débutants, qui décident enfin à installer un vrai pare-feu ^^)

Bonjour noisette,

Je ne comprend pas pourquoi vous avez une réponse aussi tranchée car ce scan est un bonus ni plus ni moins. Cette fonction prend évidemment tout son sens dans la version AV+.
OA se base sur le hachis d'un fichier pour le reconnaitre

Cordialement,

MaB

Rebonjour,

et décidément merci de votre réactivité :)


par contre, je ne comprends pas de quelle réponse (tranchée) vous parlez: je ne pose que des questions. :confused:

Vous me dites que c'est un bonus: c'est donc qu'il apporte quelque chose en plus. Je ne prétends pas du tout que c'est un leurre, si c'est ce que vous craigniez. Par contre, la description que vous m'en faites ne laisse apparaitre aucune différence avec le fonctionnement attendu d'un antivirus, que vous préconisez d'ajouter par ailleurs, donc je ne saisis pas. Et j'ai tendance à conclure l'inverse de vous: fonction inutile dans la version avec AV+, ou dans la version Free installée conjointement à un antivirus (comme c'est mon cas).

C'est donc qu'il y a quelque chose que je n'ai pas compris.:D


Ceci dit, dans mon raisonnement, je pars du principe qu'une redondance de fonctions de sécurité n'est pas souhaitable, et n'a donc rien d'un bonus: si deux fois la même fonction se retrouve, l'une est inutile, prend des ressources et peut créer des conflits avec l'autre.
Comme je sais par ailleurs qu'aucun antivirus n'est fiable à 100%, est-ce la raison pour laquelle ce filesystem scan a son intérêt ? dans le fait d'offrir des résultats croisés donc globalement améliorés ? Un peu comme quand quelqu'un scanne à la demande avec un antivirus un PC sur lequel un autre antivirus fonctionne (habituellement) en temps réel ? Est-ce le sens que vous donniez à "bonus" ?
Autre hypothèse de ma part: est-ce tout simplement l'HIDS associé à l'HIPS ? Pourrait-on en conclure dans ce cas que c'est plus un outil anti-rootkit (dans l'intérêt qu'il présente) et que ses fonctions antivirus, si elles ne sont pas nulles, sont accessoires ?

Bon, je vous harcèle, je vous harcèle, mais c'est pour la bonne cause ! :mrgreen:
Je prépare en effet un petit dossier qui a tout à gagner à ce que j'ai les idées claires sur cette fonction, qui je l'avoue, reste très floue pour moi.
C'est d'autant plus dommage que les fonctions de pare-feu sont simples à comprendre et présenter (par contre, chapeau aux concepteurs, ce ne doit pas être simple du tout à développer), que celle de l'HIPS aussi, que ces deux fonctions sont auréolées de réussite (on parle beaucoup des Leaktests, mais sa réussite au tests anti-rootkits est tout aussi impressionnante).



Bonne journée :).

Rebonjour noisette,


par contre, je ne comprends pas de quelle réponse (tranchée) vous parlez: je ne pose que des questions. :confused:

Je faisais référence à cette phrase :


Compte-tenu de la qualité du pare-feu, j'ai du mal à croire que cet ajout d'un scanner est purement superflu, voir trompeur (si certains s'en contentent).



Vous me dites que c'est un bonus: c'est donc qu'il apporte quelque chose en plus. Je ne prétends pas du tout que c'est un leurre, si c'est ce que vous craigniez. Par contre, la description que vous m'en faites ne laisse apparaitre aucune différence avec le fonctionnement attendu d'un antivirus, que vous préconisez d'ajouter par ailleurs, donc je ne saisis pas. Et j'ai tendance à conclure l'inverse de vous: fonction inutile dans la version avec AV+, ou dans la version Free installée conjointement à un antivirus (comme c'est mon cas).

Je vais essayer d'être plus clair : toutes les versions d'Online Armor inclut une base de données de programmes qui catalogue les programmes en 2 catégories : de confiance ou dangereux (le reste étant inconnu). Cette base de données est constituée conjointement par les utilisateurs ( option "send anonymous information about programs") et l'analyse qui en est faite par l'équipe de Tall Emu.
La version AV+ utilise les signatures de chez Kaspersky pour scanner dans un deuxième temps les programmes. la protection en temps réel ne va, elle, scanner que les programmes de type inconnu.

Pourquoi utilise t'on autant de scanner antivirus, antispyware etc... tout simplement pour augmenter les chances de détection d'un éventuel malware (ou pour faire plaisir à sa parano ;) ). ces produits étant basés sur des listes noires donc plus on multiplie ces blacklists et plus on a de chance de détecter une infection ( ou se manger un Faux positif). Voilà ce que j'appelle le bonus dans les versions free et personal d'Online Armor.

Autre hypothèse de ma part: est-ce tout simplement l'HIDS associé à l'HIPS ? Pourrait-on en conclure dans ce cas que c'est plus un outil anti-rootkit (dans l'intérêt qu'il présente) et que ses fonctions antivirus, si elles ne sont pas nulles, sont accessoires ?

Vous pourriez m'expliquer ce que vous entendez par IDS associé à un HIPS ?
Merci
La "tendance actuelle" serait d'abandonner les blacklisteurs (AV, AS etc...) pour utiliser les combinaisons HIPS + Sandbox/virtualisation car en cas d'infection 0days ou de variantes de malware existant, le temps de réaction des éditeurs de solution basée sur des listes noires est loin d'être négligeable : de quelques heures à plusieurs semaines.

Cordialement,

MaB

re-bonjour

et re-merci pour vos explications,


je crois que cette fois-ci j'ai compris: bravo à vous, je ne suis pas toujours le plus prompt à la détente ^^'.



Concernant mon expression "HIDS associé à un HIPS", j'imaginais la même fonction que la protection HIPS, mais pas en surveillance en temps réel: en scan systématique des fichiers.
Utile en cas d'installation sur un système dont on ignore s'il est tout à fait sain, ou quand la surveillance HIPS a été coupée un temps, ce genre de cas de figure.
(en me disant qu'un HIPS peut très bien déceler une tentative d'infection, tout en étant incapable parfois de déceler la même infection si le malware est déjà installé).


En tout cas, je prendrais soin de préciser dans mon dossier l'importance de laisser active l'option "send anonymous information about programs" pour contribuer à l'efficacité du filesystem scan.


A titre personnel, j'ajoute que je suis bien content de vous voir conseiller une Sandbox (nous avons publié deux dossiers sur SandboxIE, et nous sommes assez enthousiastes aussi).



Je vais éditer mon titre pour indiquer que ma question a trouvé réponse.

Bonne journée.

Bonjour noisette,

IDS est une détection d'intrusion basée sur l'analyse du traffic réseau ( certaines anomalies ou comportement )
Les HIPS se basent sur des règles qui peuvent se compléter (d'un HIPS à un autre) mais cela n'implique pas une compatibilité entre eux

A titre d'exemple voici ma conf (sur le PC que j'utilise le +)

Antivir Premium : blacklisteur + heuristique
Online Armor Personal : HIPS + Firewall
GeSWall Pro: Sandbox (basée sur les restrictions et un peu de virtualisation)
Mamutu : HIPS combinant les règles classiques + du comportemental

Pour finir : vous n'évoquez pas l'adresse de votre site, est-ce un secret ? :p ;-)

Cordialement,

MaB

PS : merci pour la modif du titre

Bonjour MaB69

J'ai laissé quelques indices, vous trouverez facilement ;)

Je pense que vous y trouverez bientôt quelques compléments aux tutos de Malekal et de cpasmafaute :).

Bonne fin de journée.

Bonjour MaB69

J'ai laissé quelques indices, vous trouverez facilement ;)

Je pense que vous y trouverez bientôt quelques compléments aux tutos de Malekal et de cpasmafaute :).

Bonne fin de journée.

Un astucien ? :wink:

MaB

PS : Malekal a son propre forum aussi

J'aimerais bien que mon site soit aussi riche que celui de Malekal, voire aussi populaire que pcastuces, deux références en leur genre,

mais non http://infomars.fr/forum/style_emoticons/default/transpi.gif

notre genre, nous, c'est plutôt le site récent et modeste http://infomars.fr/forum/style_emoticons/default/transpi.gif

mais avec des smileys sympas http://infomars.fr/forum/style_emoticons/default/transpi.gif.


noisette.

J'aimerais bien que mon site soit aussi riche que celui de Malekal, voire aussi populaire que pcastuces, deux références en leur genre,

mais non http://infomars.fr/forum/style_emoticons/default/transpi.gif

notre genre, nous, c'est plutôt le site récent et modeste http://infomars.fr/forum/style_emoticons/default/transpi.gif

mais avec des smileys sympas http://infomars.fr/forum/style_emoticons/default/transpi.gif.


noisette.

Re noisette,

Je dois être dans le gaz mais vous pourriez svp m'envoyer le lien par PM

En attendant je clos le post

Merci

Bonne journée à tous

MaB