Antivirus vraiment efficace ?

On vient de se reprendre un crypto dans la face, un arena. Il faut que je vois un collègue qui était absent ces derniers jours mais présent au moment de l'attaque. D'après ce que j'ai pu lire, il n'y a pas de magie, c'est une action manuelle qui entraîne la contamination, ça ne vient pas tout seul.

Le prestataire nous propose une solution complète kaspersky sur l'ensemble de nos serveurs virtuels (2 ans pour obtenir un devis). Curieusement je me dis que ça ne servirait pas à grand chose à part peut être sur le serveur des profs.

Si un cryptovirus se déclenche sur un serveur, qu'on a un partage avec un autre serveur, est-ce que Kaspersky protège ?

Mon point de vue sur la question est plus brutal, virer l'intégralité des répertoires réseaux inutiles, couper les profs du reste du réseau, et bloquer certains sites comme les mails personnels, je pense que ce sera plus économique et peut être plus efficace qu'une protection antivirus. Des avis ?

Réponses

  • Mon avis : Tout ce qu'il est possible de faire + antivirus. Pas sur que faire l'impasse sur l'antivirus soit une bonne solution.
    En antivirus ESET semble apprécier.
    Au lycée nous tournons avec Trend Micro (accord académique). Il fait le boulot.
    Il y a pas l'équivalent de cet accord côté ministère de l'agriculture :
    https://personnels.ac-montpellier.fr/sections/personnelsen/messagerie/antivirus-academique
    http://eduscol.education.fr/cid92380/renouvellement-du-marche-national-antivirus-antispam.html
    http://eduscol.education.fr/primabord/un-antivirus-gratuit-pour-les-enseignants

  • octobre 2017 modifié

    Pas mieux. On a du Trend aussi et on avait du ESET avant. Pour moi aucun ne fait de miracles.
    @Mickael : Tu bosses à quel endroit ?

    Les mails persos tu pourras difficilement les interdire s'ils étaient autorisés jusqu'ici, les gens bossent avec ...

    Si des répertoires réseau sont inutiles, il est effectivement impératif de les dégager.

    Tu tournes avec quels navigateurs ? Ils ont le choix ? Tu mets des modules adblock/Ghostery/Blockalicious ou autres sur tes navigateurs ou ils font ce qu'ils veulent ?

    Après il est évident que les gros crypto ou ransomware se chopent "manuellement". Le meilleur antivirus c'est l'utilisateur, tu le sais aussi bien que moi, donc il faut faire un exemple et défoncer celui qui l'a déclenché.

  • et bien le problème c'est que justement, la session qui est à l'origine du crypto, personne n'était devant au moment où ça a démarré et ça me pose des questions.

  • Ya un poltergeist ou le saint-esprit qui bosse chez toi ...
    T'es sur ?
    Parce que bon c'est classique quand il y a une merde ya plus personne/c'est pas moi ...

  • Si le prof en question avait fait une connerie, je pense qu'il l'aurait dit. Le problème c'est que c'est quand même très mal foutu de base, c'est des couches successives qui se sont accumulées, c'est mal maîtrisé et il faudrait remettre à plat.

  • @cyrille a dit :
    je pense que ce sera plus économique et peut être plus efficace qu'une protection antivirus. Des avis ?

    Avast ? :smiley:

    bon ok je sors...

  • Virer windows? :-P
  • @Clem : Dans un lycée audois.

  • En entreprise pour nous les solutions ont été les suivantes:

    • acces internet uniquement via proxy (ca a un cout et faut s'en occuper). C'est probablement ce qui marche le mieux vu que ca va bloquer la plupart des sites ou tu peux récupérer le malware
    • pas d'acces internet direct pour les postes (tout est bloqué par nos firewalls)

    je pense que ce sont ces deux mesures qui ont arrêté le gros des menaces

    • antivirus (symantec en l'occurence)
    • restriction/rationalisation au maximum des partages réseau afin de diminuer les effets de propagation
    • backups journaliers pour permettre une restauration des postes infectés

    Dans les faits avec une population de 4000 utilisateurs, on a eu 0 infection (et nos utilisateurs sont vraiment pas des stars de la cybersécurité pour le dire gentillement)

  • donc on en revient toujours à la restriction des utilisateurs.

  • @cyrille a dit :
    On vient de se reprendre un crypto dans la face, un arena. Il faut que je vois un collègue qui était absent ces derniers jours mais présent au moment de l'attaque. D'après ce que j'ai pu lire, il n'y a pas de magie, c'est une action manuelle qui entraîne la contamination, ça ne vient pas tout seul.

    Le prestataire nous propose [url=http://www.baloune.com/guide-sante-chiens]assurance chien[/url] une solution complète kaspersky sur l'ensemble de nos serveurs virtuels (2 ans pour obtenir un devis). Curieusement je me dis que ça ne servirait pas à grand chose à part peut être sur le serveur des profs.

    Si un cryptovirus se déclenche sur un serveur, qu'on a un partage avec un autre serveur, est-ce que Kaspersky protège ?

    Mon point de vue sur la question est plus brutal, virer l'intégralité des répertoires réseaux inutiles, couper les profs du reste du réseau, et bloquer certains sites comme les mails personnels, je pense que ce sera plus économique et peut être plus efficace qu'une protection antivirus. Des avis ?

    Bonjour,
    En effet il n'y a vraiment pas de magie!
    C'est juste de l'expérience qui compte!

  • Sinon, avec un peu de retard, je lisais sur la présence caché du botnet Stantinko, une jolie petit bête qui peut faire beaucoup de dégats si quelqu'un de malveillant l'utilise. Sachant qu'il aime vivre caché... et qu'il continue d'évoluer. Après on peut discuter sur le fait que l'info vienne d'ESET...
    https://www.welivesecurity.com/2017/07/20/stantinko-massive-adware-campaign-operating-covertly-since-2012/ antivirus qui ne m'a pas évité d'être contaminé il y a quelques années. Personne n'est parfait.

  • Aucun AV n'est parfait, c'est un poil démagogique mais le meilleur antivirus c'est l'utilisateur.
    Si on rajoute à ça que la star Kaspersky depuis de nombreuses années est maintenant sous les feux de la rampe pour les backdoors aménagés volontairement pour les ruskofs, il devient difficile de s'y retrouver.

  • @cyrille a dit :
    donc on en revient toujours à la restriction des utilisateurs.

    Malheureusement oui, mais tu n'est pas obligé de brider ceux dont tu sais qu'ils ont un comportement adulte et responsable.

  • Mon expérience du jour : t'as beau être au courant, t'es pas à l'abri d'une connerie :(

    Bon, c'est arrivé en en jouant à des "jeux interdits" et à un clic trop rapide ...

  • Je ne pense pas qu'on puisse se passer d'antivirus, même si il ne protège pas de tout.
    Dans ma boîte on utilise Kaspersky, cela ne nous a pas empêché d'attraper un petit crypto non plus il y'a environ deux ans. Forcément c'est un gradé qui l'a choppé, donc avec beaucoup d'accès.

    La meilleure (et la seule) solution pour une reprise d'activité rapide, c'était la restore des partages. Donc vraiment avoir une bonne politique de sauvegarde sur les serveurs..

    J'ai lu plus haut, proxy. Oui ça aide également, quand c'est bloqué en amont, y'a quand même beaucoup moins de risque. (enfin je suppose que pour une école c'est plus ou moins obligatoire) Combien de fois j'ai vu un antivirus dire qu'il bloquait un virus, mais en réalité il ne bloquait que la moitié, et la machine était déjà infectée :smile:

  • c'est clair que t'es jamais à l'abri d'un clic trop rapide avec des utilisateurs lambda même prudent, surtout dans un boulot avec du contact, des interruptions de tâches...
    C'est arrivé à l'associée de ma femme il y a 2 ans, un petit crypto bien mignon, heureusement quand elle a eu un doute tout de suite, elle a appelé et on lui a fait eteindre la machine.
    Maintenant, on a sécurisé un poil en séparant l'activité metier et bureautique sur du TSE et l'activité internet sur les postes locaux, sans partages reseaux explicite ni monté sur les postes locaux.
    Plus une sauvegarde integrale avec versioning sur HUBIC (merci OVH, avec une connexion ADSL, on 2 comptes HUBIC de 10 To... ça laisse de la marge) et on a abandonné les bandes qui ne marchaient plus depuis un temps.

  • Hello, j'ai géré un parc de plus de 400 postes dans un lycée et malgré les antivirus, on était jamais à l'abri jusqu'à ce qu'on me fasse découvrir un outil miracle : Deep Freeze
    http://www.faronics.com/fr/products/deep-freeze

    Tu installes ça, et tu seras tranquille à vie ! En effet lors de chaque redémarrage de l'ordi, celui-ci revient à un été initial tout propre. Les élèves et les profs sauvegardaient sur Cloud (Dropbox, Google Drive, etc.) ou clé USB.

    En tant que professeur responsable de la maintenance info, je n'avais plus aucun travail à faire, à part changer des souris, claviers, cartouches et toners.

    Plus aucun problème logiciels, virus, etc.. une fois Deep Freeze installé, et un gain de temps et d’énergie qui me permettait de vraiment travailler au développement du réseau : wifi en salle des profs, création de salle exao, etc.

  • Bonsoir,

    En entreprise plusieurs solutions du type firewall Watchguard avec son module TDR, la démo :

    https://m.youtube.com/channel/UClx_asvZZCS7iAVX1InqChg

    Autrement en plus de son anti-virus, plus simple à gérer : webroot.

    Effectivement, ce ne sont pas des outils userfriendly ni grand public. On doit avoir en parc tous les anti-virus du marché et aucun n'arrête les crypto.

    Charles

Connectez-vous ou Inscrivez-vous pour répondre.