Académique Documents
Professionnel Documents
Culture Documents
Technicien Spécialisé en
« Systèmes et réseaux informatiques »
2ère Année
Rapport de stage
Sous Thème :
DETECTER LES INCIDENTS DE SECURITE VIA
SANDBOXING
Présentation :
Une sandbox, que l'on peut traduire en français par "bac à sable", est un terme
qui désigne un mécanisme de sécurité dont l'objectif est de créer un environnement
temporaire et isolé pour exécuter un programme ou ouvrir un fichier.
Grâce à cette sandbox et à l'isolation, on élimine les risques d'infection du système principal.
En complément, les sandbox sont utiles aux développeurs pour tester un programme au fur et
à mesure de son développement.
Prenons un exemple, vous recevez par e-mail un fichier Word douteux : vous l'ouvrez dans un
environnement de bac à sable pour l'analyser et vérifier s'il est malveillant ou non.
Dans le cas où il est malveillant, la sandbox serait impactée, mais votre système quant à lui ne
serait pas altéré.
Le bac à sable permet d'éviter que l'infection se propage d'une zone du système à une autre :
il faut garder en tête que ce qu'il se passe dans la sandbox, reste dans la sandbox. C'est utile
également pour exécuter un logiciel douteux ou accéder à un site Web suspect.
Le sandboxing doit être un environnement virtuel sécurisé qui émule fidèlement le processeur
de vos serveurs de production.
Le sandboxing, qui est un composant clé d'Advanced Threat Protection, offre une couche de
protection supplémentaire permettant de tester tous les e-mails qui traversent les filtres de
messagerie avec des URL, des types de fichiers ou des expéditeurs suspects avant qu'ils
atteignent votre réseau ou votre serveur de messagerie.
Bien que le sandboxing constitue une technique de défense efficace et importante, elle
présente deux inconvénients majeurs.
2. Le sandboxing n'est pas infaillible. Depuis que le sandboxing est devenu plus courant,
les cybercriminels ont commencé à concevoir des menaces avec des fonctionnalités
qui les rendent plus difficiles à détecter. Par exemple, une menace peut être
programmée pour rester inactive jusqu'à une date ultérieure, afin de paraître
inoffensive pendant la procédure de sandboxing.
3. Une autre technique d'évasion efficace consiste à donner au programme malveillant la
capacité de détecter s'il se trouve dans un environnement Virtuel, et de rester inactif
jusqu'à ce qu'il atteigne un véritable ordinateur de bureau ou autre appareil.
Les cas d’utilisations des Sandbox sont multiples. En général, les objectifs
poursuivis avec cette technologie sont doubles : tester les logiciels et assurer la cybersécurité.
Test de logiciels : dans le développement de logiciel, les tests et les sandbox jouent un rôle
primordial. La simulation d’un système informatique permet aux programmeurs de
développer
Des applications fonctionnelles et de les tester dans différents environnements. Les tests en
sandbox sont également un outil qui permet d’indiquer au développeur quand ils doivent
reprogrammer leur code.
Parfois le sandboxing est utilisé pour isoler deux programmes qui sont lancés simultanément,
mais qui ne sont pas compatibles. Comme le code dans la sandbox est
Lancé en toute sécurité, les experts informatiques utilisent également ces technologies pour
analyser les logiciels malveillants et déterminer leur effet sur les systèmes d’exploitation.
Cybersécurité : même lorsqu’il s’agit de la sécurité des navigateurs, les outils sandbox sont
également une solution plébiscitée en plus d’un système de sécurité par pare-feu. Ils protègent
le système d’exploitation contre toute altération lors du lancement d’applications critiques.
Les autorités et entreprises qui travaillent avec des données sensibles doivent se protéger
contre les Advanced Persistent Threat (APT).
Ce terme regroupe les tentatives de piratage cachées et répétitives qui ont lieu sur une longue
période.
Même un utilisateur d’Internet lambda peut surfer en toute sécurité avec une Application
sandbox.
En fait, les navigateurs Web actuels, basés sur chrome, fonctionnent avec des processus de
sandbox distincts pour chaque page Web ou chaque plugin chargé afin d’empêcher le piratage
des navigateurs.
Le concept de sandbox n'est pas nouveau : il existe depuis les années 1970.
Les développeurs utilisaient ce concept pour effectuer des tests et des simulations sur leur
programme. Aujourd'hui, il y a différents types de sandbox et les acteurs de la sécurité
l'utilisent pour de l'analyse de fichiers, parfois sans que vous vous en rendiez compte, car tout
se joue dans le Cloud.
Fichier, etc.). Bien que ce soit intégré au système, Windows Sandbox s'appuie sur de la
virtualisation pour créer un environnement étanche et isolé du système hôte.
Logiciels de sandbox
Avant que Microsoft développe Windows Sandbox, il était possible de créer un
environnement bac à sable sur Windows. Cela passait (et reste toujours possible) par
l'installation d'un logiciel
Tiers tel que Sandboxie, une solution gratuite. Sous Linux, il y a Firejail qui va permettre de
lancer facilement un programme en mode sandbox.
Machine virtuelle
La virtualisation est une bonne solution pour créer un environnement de type "sandbox" grâce
à l'isolation créée naturellement. Attention tout de même à ne pas connecter la VM au réseau.
Ce n'est pas forcément ce qu'il y a de plus pratique, ou alors il faut jouer avec les points de
contrôle pour revenir au point de départ après avoir effectué un test. Si vous êtes sur
Windows 10, je vous recommande plutôt d'utiliser Windows Sandbox directement, ce sera
plus efficient.
Sandbox Cloud
L'objectif est de détecter les menaces inconnues grâce à l'analyse dans le Cloud, en mode
Sandbox, des échantillons (fichiers).
Cela offre une protection à plusieurs niveaux et permet de détecter les failles Zero Day grâce
au machine learning et à de l'analyse comportementale.
Sur les pare-feux de type UTM (Unified Threat Management - Gestion unifiée des menaces),
l'intégration d'une solution de Sandbox au sein de l’Appliance ou en mode Cloud, est
désormais une pratique courante.
Le bac à sable désigne le fait qu’un programme soit mis de côté par
d’autres programmes dans un environnement séparé. Ainsi, en cas d’erreur ou de problème de
sécurité, ces problèmes ne se propagent pas dans d’autres zones de l’ordinateur.
Les programmes sont activés dans leur propre zone séquestrée, où ils peuvent être travaillés
sans poser de menace pour les autres programmes.
Les bacs à sable sont donc utilisés pour exécuter en toute sécurité un code suspect sans que le
périphérique hôte ou le réseau ne soit endommagé.
Les environnements créés par les Sandbox fournissent une couche proactive de protection de
la sécurité réseau contre les nouvelles menaces avancées et persistantes (APT). Les APT sont
des attaques ciblées, développées sur mesure et visant souvent à compromettre les
organisations et
À voler des données. Ils sont conçus pour échapper à la détection et passent souvent sous le
radar de méthodes de détection plus simples.
Le sandboxing est l'un des outils les plus éprouvés pour garder une longueur d’avance sur les
pirates informatiques.
Certaines solutions cloud de sandboxing peuvent vous fournir une protection efficace sans
dégrader les performances de votre réseau et sans laisser les pirates ingénieux échapper
facilement à leur détection.
FortiSandbox est un outil de détection particulièrement performant lorsqu’il est associé aux
capacités d’exécution des dispositifs de prévention des menaces en place, tels que les
systèmes de Firewall de Nouvelle Génération (NGFW) ou de gestion unifiée des menaces
(UTM), ainsi qu’à une passerelle de messagerie sécurisée ou une plateforme de protection des
terminaux.
Les solutions Fortinet couvrent les points d’inspection en entrée, en sortie et en interne. Elles
peuvent ainsi préfiltrer le trafic de façon proactive, de manière à intercepter le plus d’éléments
possible (sur la base des critères connus ou fortement suspectés) et à transférer en priorité le
Par exemple, La solution de Sandbox n’a pas besoin de consacrer du temps à traiter le trafic et
les menaces qui peuvent être d’abord bloqués par d’autres technologies.
Mais une composante cruciale joue un rôle majeur dans la prévention proactive des logiciels
malveillants avancés : la technologie brevetée Compact Pattern Recognition Language
(CPRL) développée par FortiGuard Labs pour exécuter une inspection approfondie sur les
codes.
Ce langage est capable d’identifier plus de 50 000 camouflages employés par les codes
malveillants connus. Si un code utilise une technique de contournement connue, CPRL peut la
détecter et FortiGate peut identifier le code sans l’envoyer dans l’environnement Sandbox.
Cette étape précieuse améliore considérablement les performances,
Car les ressources de Sandbox sont ainsi réservées au traitement du code inconnu. Cette
technologie est une composante essentielle de notre solution phare FortiGate ainsi que des
offres FortiMail et FortiClient.
C’est la raison pour laquelle ces solutions figurent régulièrement en tête des classements
établis par des organismes de tests tiers tels que Virus Bulletin, AV Comparatives, etc.
Pour améliorer la détection des menaces les plus sophistiquées, Fortinet a intégré les
techniques d’analyse avancées de FortiGuard Labs dans la solution FortiSandbox.
Selon le rapport NSS Labs 2014 Breach Detection Systems, le taux de détection des failles est
de 99 %, avec une identification de la majorité des brèches de sécurité en moins d’une minute.
Avantages Inconvénients
Environnement de test contrôlé pour les nouveaux Les utilisateurs se sentent en sécurité et baissent
logiciels leur garde
Avantages Inconvénients
Protection du matériel/du système d’exploitation/des Les sandbox, en particulier les plus anciennes,
bases de registre présentent des failles de sécurité
Pas d’accès non autorisé aux données sur le système Les outils sandbox complets nécessitent beaucoup
hôte de ressources et sont onéreux
Quelles sont les différences entre les sandboxes basées sur le cloud et basées sur le
matériel ?
De ce fait, les solutions matérielles physiques sur site sont de moins en moins utilisées, car les
logiciels cloud offrent des avantages pour le travail à distance, la sauvegarde et la
restauration, et réduisent les coûts matériels en interne.
Alors que les logiciels de sandboxing basés sur le cloud et sur le matériel peuvent améliorer la
protection contre les menaces zero-day, le sandboxing cloud offre un certain nombre
d’avantages pour les effectifs modernes à croissance rapide en termes de capacités
d’inspection de malwares sur le Web, d’évolutivité et de facilité d’utilisation.
Premièrement, le sandboxing cloud élimine le besoin de serveurs localisés et permet aux
URL, aux téléchargements ou au code d’être facilement testés à la demande dans une sandbox
virtuelle, complètement séparée de l’ordinateur ou de tout périphérique réseau.
Contrairement au sandboxing sur site qui s’exécute sur du matériel physique et ne peut pas
protéger les travailleurs distants ou en déplacement, la possibilité de tester dans un
environnement virtuel peut protéger les utilisateurs sur et hors du réseau de l’entreprise.
Le sandboxing cloud présente également un avantage sur le sandboxing basé sur le matériel
en ce qui concerne les capacités d’inspection car il offre la possibilité d’inspecter le trafic
SSL, une cachette fréquente pour les logiciels malveillants.
Si votre logiciel sandbox n’a pas la capacité d’inspecter tout le trafic SSL, des menaces Web
malveillantes pourraient passer au travers des mailles du filet.
Utiliser le sandboxing sur le cloud élimine le besoin d’un matériel onéreux de test qui
nécessiterait de la maintenance, des mises à jour et qui finirait par se déprécier et devenir
coûteux.
Chapitre 3 : la sécurité Sandboxing
En général, en tant qu’utilisateur de sandbox, vous ne devez pas vous bercer d’un faux
sentiment de sécurité.
Car les méthodes des pirates se développent en même temps que les mécanismes de sécurité.
C’est pourquoi les experts préconisent non seulement un système en silos indépendant, mais
aussi l’utilisation de plusieurs technologies de sandbox à la fois.
Par exemple, la gamme de technologies de sandbox multiples permet d’utiliser plusieurs
bacs à sable dans le même Cloud.
En général, aujourd’hui cinq minutes suffisent pour tester profondément le fichier qui permet
ensuite de prendre une décision pour le délivrer ou non.
Un laps de temps très court qui protège les actifs de l'entreprise, parfaitement acceptable pour
des flux d’emails ou du téléchargement de fichiers sur le Web.
Les pirates commencent à connaitre le principe de ces sandbox, et imaginons qu'un pirate
intègre un retardateur dans son fichier d’attaque.
Son action malveillante est alors programmée pour ne s'exécuter par exemple qu’une heure
après l'ouverture du fichier.
Au sein des sandbox, ces techniques d’évitement sont connues, et elles savent « accélérer le
temps » virtuellement pour parer à toutes ces astuces.
En cybersécurité, le sandboxing est employé en guise de ressource pour tester les logiciels qui
pourraient être catégorisés comme « sûrs » ou « dangereux ».
Les malwares devenant de plus en plus répandus et dangereux, les applications, liens, et
téléchargements malveillants pourraient potentiellement accéder aux données d’un réseau s’ils
ne sont pas préalablement testés par un logiciel de sandbox.
Le sandboxing peut être utilisé comme outil de détection des attaques de malwares et les
bloquer avant qu’elles ne percent les défenses du réseau.
Cela donne aux équipes informatiques du recul pour pouvoir agir dans des situations
similaires.
En tant que mesure clé des stratégies de sécurité réseau et Web, le sandboxing fournit une
couche de sécurité supplémentaire pour analyser les menaces, en les séparant du réseau pour
garantir que les menaces en ligne ne compromettent pas les opérations.
Une application ou un fichier peut être exécuté si nécessaire, et toutes les modifications seront
ignorées dès la fermeture du sandbox pour éliminer les risques de corruption des appareils.
Les logiciels de sandbox sont disponibles en tant que solution cloud ou basés sur du matériel,
et offrent différents avantages en fonction des besoins de votre entreprise.
L’avantage le plus notable du sandboxing cloud, par opposition au sandboxing basé sur le
matériel, est la capacité de protéger vos employés à distance.
Par exemple, si les mesures de travail à distance sécurisées ne sont pas mises en place, il
existe un risque que les employés distants utilisent diverses connexions Internet et Web à
partir de réseaux invités qui peuvent être facilement détournées ou utilisées à des fins de
cybercriminalité en raison du grand nombre de personnes utilisant ces connexions
potentiellement dangereuses.
En réalité, une fois qu’un utilisateur quitte le réseau, il est susceptible d’être exposé aux
menaces puisqu’il ne peut bénéficier de la protection du matériel local.
Le sandboxing sur le cloud offre la possibilité de protéger l’ensemble du réseau, peu importe
l’emplacement.
Pour plus de conseils supplémentaires sur la sécurité du travail à distance, consultez le blog
Avast Business.
L’un des plus grands défis de cybersécurité auxquels les petites et moyennes entreprises
(PME) sont confrontées est de sécuriser les opérations à mesure que leur dépendance à
Internet et aux services cloud augmente.
La réalité est qu’avec plus de 4,5 milliards d’internautes actifs aujourd’hui, Internet est
rapidement devenu une plateforme majeure d’attaques.
Une étude récente du rapport d’enquête 2020 sur les compromissions de données de Verizon
révèle également que 43 % des violations en 2019 étaient des attaques contre des applications
Web.
Il existe de nombreuses façons de tenter de dérober des données. Les cybercriminels peuvent
chercher à accéder au réseau d’une entreprise ou d’un particulier en intégrant de fausses URL,
des pièces jointes et des fichiers dans les e-mails de phishing ou en envoyant des liens
trompeurs.
La bonne nouvelle est que les mesures de sécurité Web modernes telles que le sandboxing
dans le cloud et les passerelles Web sécurisées sont conçues pour suivre le rythme des
menaces sur le Web et dans les messageries en constante évolution.
Par exemple, des passerelles Web Sécurisées inspectent chaque octet du trafic Web, même le
trafic chiffré, et utilisent un logiciel de sandbox cloud pour tester le contenu Web suspect à la
recherche d’une intention malveillante.
Le sandboxing cloud est idéal pour les entreprises disposant d’un grand
réseau et de nombreux employés en télétravail car il garantit la protection des employés en
déplacement.
Conclusion sandboxing :
RÉFÉRENCE
https://www.it-connect.fr/informatique-quest-ce-quune-sandbox/
https://www.pandasecurity.com/fr/mediacenter/technologie/sandbox-ou-bac-a-
sable/#:~:text=Une%20sandbox%20(bac%20%C3%A0%20sable,'ex%C3%A9cution
%20d'un%20logiciel.
https://fr.barracuda.com/glossary/sandboxing
https://www.avast.com/fr-fr/business/resources/what-is-sandboxing#pc
https://www.ionos.fr/digitalguide/sites-internet/developpement-web/quest-ce-quune-
sandbox/
https://www.sfrbusiness.fr/room/securite/sandboxing-securite-contre-attaques-
informatiques.html
https://www.journaldunet.com/solutions/dsi/1194037-en-quoi-une-sandbox-est-elle-
essentielle-pour-la-securisation-de-votre-reseau/