Le monde de la sécurité semble avoir une relation d’amour vache avec les HIPS (Host-based IPS). D’un côté, leur technologie de détection générique (heuristique, comportementale, voire sandboxing) est louée comme la seule parade efficace à la croissance sans fin des bases de signatures des antivirus. Et, accessoirement, comme le seul rempart face aux parasites utilisés lors d’attaques ciblées qui, par définition, ne sont répertoriés que trop tard.

De l’autre côté, les HIPS sont considérés comme une source d’ennuis sans fin, essentiellement à cause des fausses alarmes auxquels ils sont sujets (et, accessoirement encore, à la responsabilité qu’ils font peser sur l’utilisateur, obligé de décider si tel ou tel comportement est légitime dans tel ou tel contexte). Dans l’entreprise, enfin, ils obligent également à déployer et à administrer un nouveau client sur les postes de travail, une tâche que peu d’administrateurs acceptent à la légère.

Dans ce contexte, les éditeurs spécialistes du seul HIPS se font rares, leur destin étant le plus souvent d’être avalé par un grand éditeur d’antivirus. En France, nous avons tout de même Skyrecon et son Stormshield. Et moins connu par chez nous, l’anglais PrevX annonçait le mois dernier PrevX Edge, un outil hybride de sécurisation du poste travail.

PrevX Edge combine plusieurs approches de la sécurité du client Windows. Au delà de la seule analyse comportementale, il s’appuie également sur une paire de listes blanche et noire (applications, librairies, processus), et, surtout, sur une approche communautaire originale.

Face à un binaire inconnu, et sans présumer du résultat de l’analyse comportementale, le client Edge peut être configuré pour prendre une décision automatique en fonction de deux critères : depuis combien de temps le programme en question est-il connu de la communauté et quelle est sa diffusion parmi les utilisateurs du produit. Il est ainsi possible de n’autoriser l’exécution que des programmes (sains !) connus depuis au moins une semaine et largement diffusés. Ou, bien entendu, toute autre combinaison de ces critères. Les exceptions, quant à elles, seront traitées en liste blanche.

Cette approche communautaire permet accessoirement à PrevX de bâtir une base de données de fichiers malveillants en circulation, un peu à l’image de ce qu’un Websense fait en explorant le web. Le « [Malware Center | http://www.prevx.com/malwarecenter.asp] » de PrevX se révèle ainsi une source d’information intéressante pour comprendre le fonctionnement de l’outil. Il y présente en temps réel les comportements sur le poste de travail et la diffusion des derniers fichiers malveillants répertoriés par la communauté.

Selon son éditeur, PrevX Edge a été développé pour être associé a un autre outil de sécurité, tel un antivirus, sans provoquer de conflit. Mais nous n’avons testé cela. L’outil est en tout cas léger et n’a eu aucun impact sur les performances lorsque nous l’avons installé sur un PC de test (Windows XP SP3). L’éditeur indique que le programme ne nécessite qu’un exécutable (800ko) et un service en mémoire. Il n’exige aucune clé de registre à définir durant l’installation, ni aucune librairie de support.

Seule limitation : les clients doivent disposer d’une connexion à Internet afin de bénéficier de l’approche communautaire. La version entreprise devrait, selon l’éditeur, permettre la connexion à un serveur local unique, mais cela n’est pas encore le cas.