protection antialtération
Produits et Services PRODUITS & SERVICES

Protection antialtération de Sophos : comment bloquer les potentielles activités malveillantes ?

Présentation détaillée de la protection antialtération de Sophos (Sophos Tamper Protection).
Texte écrit par ,
13 mai 2025
Products & Services

Une fois qu’un acteur malveillant a atteint un de vos systèmes endpoint, les solutions EDR sont souvent le seul obstacle entre lui et son objectif, qu’il s’agisse de déployer un ransomware, d’installer un malware, d’accéder à des données ou de lancer de nouvelles attaques.

Par conséquent, les acteurs malveillants recherchent régulièrement des moyens de désactiver les produits de sécurité : en augmentant les privilèges si nécessaire pour tenter de tuer les processus et les services, en exécutant des EDR Killers et une multitude d’autres techniques.

La protection antialtération, un mécanisme conçu pour empêcher les acteurs malveillants d’interférer avec les produits de sécurité, généralement appliqué par un pilote en mode noyau, est donc un élément essentiel de toute suite de sécurité, et de nombreux éditeurs, dont Sophos, en ont développé un, sous une forme ou bien une autre.

Conformément à nos précédents efforts visant à assurer la transparence autour de nos pilotes de noyau (kernel) et de notre architecture de mise à jour de contenu, et à notre engagement envers l’initiative Secure By Design de la CISA, nous souhaitions détailler brièvement notre fonctionnalité de protection antialtération et son fonctionnement.

Fonctionnement de la protection antialtération

Comme son nom l’indique, la protection antialtération de Sophos est conçue pour empêcher la manipulation des produits Sophos, par des utilisateurs non autorisés ou des malwares. Il s’agit d’une protection supplémentaire, mais essentielle, qui s’articule parfaitement autour de ce que nous considérons être notre mission principale : à savoir, défendre le système d’exploitation et ses applications, et, par extension, les utilisateurs.

La protection antialtération est activée par défaut ; Sophos se focalise en priorité sur des configurations sécurisées par défaut (secure-by-default) et la protection antialtération ne fait pas exception. Bien qu’elle puisse être désactivée par un utilisateur autorisé, nous encourageons les utilisateurs à ne le faire que lorsqu’ils doivent modifier la configuration Sophos locale ou désinstaller un produit Sophos existant. Les valeurs par défaut sécurisées constituent un principe de conception important, car toutes les organisations n’ont pas le temps ou l’expertise nécessaires pour verrouiller leurs environnements, ce qui crée des opportunités d’attaque pour les cybercriminels.

Il est crucial de noter que seul un administrateur Sophos Central peut désactiver la protection antialtération et il doit disposer du mot de passe nécessaire, qui est généré automatiquement par Central et n’est accessible qu’aux utilisateurs autorisés disposant de rôles de sécurité appropriés et d’une authentification multifacteur (MFA), comme une clé d’accès ou une application d’authentification. De par sa conception, aucun administrateur local ou de domaine ne peut outrepasser cette fonction ou désactiver la protection antialtération, à moins d’être également administrateur Sophos Central et de disposer du mot de passe unique de protection antialtération de l’appareil.

Notre philosophie ici est que les modifications apportées à la politique de protection antialtération et de protection contre les menaces ne doivent pas être effectuées par les mêmes comptes utilisés pour la gestion IT de routine. Au lieu de cela, nous prenons en charge l’administration basée sur les rôles, permettant de séparer les activités informatiques quotidiennes des contrôles de sécurité critiques.

La protection antialtération empêche les actions suivantes :

  • Modification des paramètres de protection contre les menaces sur l’appareil, notamment l’analyse de type on-access, la surveillance des comportements suspects, la protection Web et Sophos Live Protection.
  • Désactivation de la protection antialtération.
  • Désinstallation du logiciel de l’agent Sophos.
  • Réinstallation du logiciel de l’agent Sophos.
  • Arrêt des processus Sophos.
  • Arrêt des services Sophos.
  • Modification de la configuration du service Sophos.
  • Suppression ou modification des fichiers ou des dossiers Sophos.
  • Suppression ou modification des clés de registre Sophos.

Comblez les failles

Nous sommes conscients que les acteurs malveillants recherchent constamment de nouvelles façons d’interférer avec les produits de sécurité. Par exemple, les mises à jour ou les réinstallations peuvent entraîner la désactivation temporaire des protections, offrant ainsi aux attaquants une vulnérabilité pour mettre un pied dans la porte et tenter de désactiver les systèmes de protection antialtération. Grâce à notre approche intégrée de la protection endpoint, des moteurs de menaces et des services MDR, nous maintenons une vue unique, de bout en bout, des attaques modernes, en intégrant directement les informations cruciales au développement.

De plus, pour tout ce que nous développons, notre objectif est la sécurité dès la conception, notamment les mécanismes de mise à jour et la protection antialtération. Donc, par exemple,

  • Nous n’utilisons délibérément pas MSI pour l’installation ou les mises à jour des systèmes endpoint. Au lieu de cela, Sophos Endpoint optimisé par Intercept X utilise un système de mise à jour propriétaire conçu pour empêcher l’interruption de la protection.
  • Comme indiqué ci-dessus, la protection antialtération est activée par défaut et reste active pendant les mises à jour, les mises à niveau et les rétrogradations. Sa protection s’étend aux processus, services, composants logiciels, fichiers de configuration, clés de registre et désinstallation et réinstallation non autorisées.
  • Les mises à jour des composants se produisent en parallèle, les composants existants gérant les opérations jusqu’à ce que le transfert soit terminé, ce qui n’entraîne aucun temps d’arrêt de la protection tout au long de la mise à jour. Les pilotes et services principaux ne sont mis à niveau que via le redémarrage, éliminant ainsi les risques d’altération à l’exécution (runtime).

protection antialtération

Figure 1 : La protection antialtération Sophos empêche les mises à niveau/rétrogradations non autorisées, même à partir d’autres programmes d’installation Sophos.

Cependant, nous ne partons jamais du principe que nos défenses sont parfaites. Nous participons à un programme externe bug bounty depuis décembre 2017 et nous testons régulièrement notre protection antialtération par le biais d’analyses en matière d’ingénierie interne, de red-teaming externe et de véritables renseignements sur les menaces (Threat-Intelligence). Cette approche fait partie de notre investissement en termes de sécurité : améliorer en permanence les parties de nos systèmes que de véritables attaquants pourraient tenter d’exploiter.

Conclusion

Notre objectif est de garantir que l’ensemble de la surface de protection et de mise à jour résiste à toute altération, même de la part d’attaquants disposant d’un accès complet au système.

Une protection antialtération efficace doit supposer que les attaquants disposent de droits administratifs, comprennent le fonctionnement de vos produits de sécurité et exploiteront toute faille prévisible. Sophos Endpoint est conçu pour résister à de telles tentatives sans s’appuyer sur des exceptions temporaires ou une récupération après échec (post-failure recovery). La protection reste active pendant toutes les opérations, notamment durant les mises à jour. Cette manière de procéder illustre très bien notre approche ‘Secure by Design’ plus large, où l’intégrité du système prime sur la praticité du déploiement.

Billet inspiré de Putting the dampener on tamperers, sur le Blog Sophos.

À propos de l’auteur

Mark Loman, vice-president of software development and threat research at Sophos, is a ransomware expert and a good-guy hacker who really cares about keeping information safe. He leads a team of experienced developers whose main job is to create practical defenses that can spot and stop threats without needing to know about past attacks or specific signatures. With over 15 years of experience, Loman and his team really understand modern computer systems and applications. Their goal is simple: To make it difficult for the bad guys who want to sneak into computers, mess with how apps work, or lock up your files. They achieve this with security measures that safeguard documents and secrets, and by making swift adjustments to the computer's inner workings, which significantly increases the difficulty for anyone trying to cause trouble. Among his many other Sophos projects, he is the co-creator of CryptoGuard.

À propos de l’auteur

Ross McKerchar is the CISO of Sophos. Ross has a BSc in Computer Science from Edinburgh University and joined Sophos in 2007. During his 17 years at Sophos, Ross established and built Sophos’ cybersecurity program through periods of high company growth, including multiple acquisitions and an IPO on the LSE.

At Sophos, the CISO team runs all aspect of Sophos' own security including Security Architecture, Trust and Compliance, Product Security, Red Teaming and Security Operations. Sitting in the Sophos technology group alongside Sophos Labs and our customer-facing MDR team, we are part of Sophos X-Ops joint task force.

Out of work Ross has a passion for the outdoors and, when he’s not spending time with his young family, loves to travel around the world rock climbing, trail running or surfing.

Lire des articles similaires