C’est probablement l’un des premiers outils de protection reposant sur une approche « cloud computing » : Exploit Shield, actuellement au stade de la « préversion publique », est une sorte de firewall capable de filtrer les attaques Zero Day. Ou plus exactement prétendant les filtrer. Comment fonctionne-t-il ? En stockant des « signatures d’attaque » relatives à un exploit répertorié dans la base CVE. La signature en question est détectée par le réseau de Honeypot/Honeymonkey (automates de recherche d’exploits singeant le comportement d’un internaute imprudent). Dès qu’un exploit nouveau est découvert par ce réseau mondial, les chercheurs du labo F-Secure analysent son fonctionnement, en extraient une signature et propagent cette marque de reconnaissance à l’ensemble des « clients » dispersés dans le nuage internet. C’est donc du « quasi temps réel » que nous promettent les chasseurs de virus Finlandais. Parallèlement à cette action de protection, chaque copie d’Exploit Shield serait également capable de renvoyer vers les laboratoires d’Helsinki une URL qui paraîtrait suspecte aux mécanismes de protection heuristique embarqués.
Après l’antirootkit BlackLight, un programme d’inventaire de failles en ligne et un « traceroute » graphique indiquant la géolocalisation des adresses IP dialoguant avec le poste protégé, c’est le troisième outil gratuit que propose F-Secure. A cheval donné, on ne regarde pas la dent.
1 commentaire