Dernières modifications le 12/04/06.
Sur le site de ZDNet, où une analyse de cet antivirus a été faite, on peut déjà lire des remarques sur la lourdeur du produit.
(1) Tout d'abord, F-Secure est très lourd sur les machinesFan de F-Prot, j'ai été vraiment surpris en trouvant la mouture F-Secure (pour Windows) sur les machines. Autant F-Prot est assez performant en ligne de commande et a désinfecté nombre de machines (dont les disques étaient acessible sous DOS en écriture), autant la version Win32 est bien différente. (Voir le reste de ce dossier pour plus de détails)
Mais si F-Secure a gardé la vestion DOS (donc F-Prot) c'est certainement qu'il y a une raison... Le scan à la demande sous Windows par exemple peut être tout à fait appréciable. Enfin, le scan depuis un CD de boot compatible NT 5.x (noyau XP sp1 ou 2) est sans nul doute très utile pour désinfecter une machine qui ne démarre plus ou dont la désinfection sous Windows est quasi impossible.
(2) F-Secure est vendu à diverses sauces, mais c'est toujours le même coeur :
Il suffit de comparer les interfaces et de lire les licences pour se rendre compte qu'on peut très bien acheter F-Secure en supermarché, mais que si l'on prend l'option sécurité chez LeNeuf, c'est F-Secure Internet Security qui fait office de Pack Sécurité (même si ce n'est pas vraiment marqué) et c'est la même chose chez Wanadoo avec Securitoo.
Derrière les belles interfaces modifiées selon les circonstances, c'est bel et bien le même moteur, les mêmes résidents, et donc la même efficacité.
(3) F-Secure via Securitoo et Pack Sécurité de LeNeuf intègre-t-il un spyware ?
C'est tout à fait exact. Le spyware en question est BackWeb Lite. Il est reconnu par Spybot Search And Destroy, et d'ailleurs il n'est pas coché pour la suppression par défaut après le scan, preuve qu'il est hélas tellement répandu que les mainteneurs des bases de définition de Spybot ont préféré ne pas proposer d'enlever ce bidule ...
Pourquoi ne pas l'enlever? tout simplement parce que si vous arrêtez les 3 modules de Backweb lancés avec FSecure (dont un dans le Menu Démarrer \ Démarrage), les mises à jour du produit ne sont plus possibles ! Or comme F-Secure est un AV à signatures, sans définitions à jour, il devient aveugle. (nota: c'est la même chose pour Securitoo)
Donc en gros on nous obligeà avoir un spwyare qui tourne en permanence sur la machine pour pouvoir mettre à jour notre antivirus qu'on a pourtant payé ! Je trouve cela scandaleux.
(4) F-Secure peut-il cohabiter avec d'autres antivirus / firewalls et protections diverses :
Il est assez hallucinant de constater que F-Secure (chez LeNeuf) demande à son installation de supprimer AdAware SE !! par contre il ne dit rien pour Spybot, SpywareBlaster, etc. Après avoir réinstallé AdAware (après F-Secure donc) le Pack Sécurité n'a rien dit... Pas de conflit signalé à l'horizon comme dit dans le bel avertissement affiché à l'utilisateur lors de l'installation du Pack Sécurité.
Si on ne supprime pas l'antispyware, l'installation ne se poursuit pas... Heureusement il est dit que le Pack Sécurité intègre lui aussi un antispy... enfin les résultats des scanners laissent sceptique. (un BackWeb est présent et bien sûr F-Secure ne le voit pas...)
F-Secure n'a pas détecté la présence de Viguard. Il serait donc possible de désactiver les modules résidents de F-Secure et de mettre Viguard en actif en permanence (F-Secure en scan à la demande donc). Il n'a pas vu non plus Antivir (qui était pourtant actif en permanence, ce qui a généré un conflit), ou A²... , ni même ClamWin, dont le ClamTray est toujours actif à l'heure où j'écris ces lignes.
La configuration de test est la même que celle pour Viguard. Vous pouvez la consulter ici
Le fichier qu'on récupère sur le site de LeNeuf n'est pas complet... quand on voit tout ce que télécharge l'assistant d'installation, on est content d'avoir une connexion très haut-débit, mais on se pose des questions ensuite pour le performances du PC... Première image
Puis, comme énoncé plus haut, le pack sécurité nous annonce gaillardement qu'il faut désinstaller AdAware SE... des choses à cacher ? F-Secure n'aime pas AdAware
Afin de voir et comprendre tout ce qui se tramait, Total Uninstall fut mon moniteur d'installation. Et là PAF, en pleine install, le module Pack Sécurité gèle... Première install plantée . Relançons donc l'installation à grand coup de "terminaison forcée" des processus qui restaient encore en mémoire.
Après avoir installé la bête, un petit tour dans Total Uninstall pour voir les modifications apportées au système : fin d'installation. Le résultat fait presque peur... Et là on commence à rire jaune : un dossier (carrément) BackWeb est présent dans le dossier parent du Pack Sécurité, et dans ce même dossier parent, un ... antispyware ! Et BackWeb alors ?
Liste des fichiers installés par F-Secure (Pack Sécurité) : liste de Total Uninstall
Une fois redémarré, un assistant de configuration se lance. Ce n'est pas une mauvaise idée dans la mesure où certainement peu de gens sauront directement paramétrer le firewall, le filtrage de connexion et la protection parentale.Un joli bug d'affichage en arrière plan ne gâche pourtant pas la chose. Assistant
Une fois l'assistant de démarrage lancé,. un panneau d'avetissement nous attend (en sus du module d'assistance).
Cet assitant de démarrage (qui règle 2 ou 3 paramètres de base la premières fois que vous le lancez, comme le Mot de passe pour la protection parentale) nous parle d'une connexion à Internet... très bien, à la limite, mais quand on lit l'alerte, on ne comprend pas très bien le message. Sous Windows, le numéro ADSL (pour les connexions via modem USB par exemple ) est 8,35,or ce n'estpasvraiment ce qui apparait à l'écran!? explorer se connecte ?
De plus l'alerte concerne le module de FSecure lui-même... en gros le mode d'installation n'a pas été complètement testé... Bippe pour assistant
Point positif pour ce même assistant de démarrage : il a détecté correctement que j'utilisais Firefox et non pas IE, et Thunderbird et non pas Outlook (et ce contrairement à NIS...). Détection auto
A la fin de cette assistant, la première chose qui se produit c'est ... tout simplement l'impossibilité de se connecter à Internet !! En effet F-Secure bloque le module de numérotation ADSL ! On a beau modifier les réglages, il faut aller dans le menu contextuel du Pack Sécurité et Décharger la protection réseau ! (donc exit la protection contre les failles dernière génération telle l'UPNP )
Pour un système vendu avec Leneuf, il est tout simplement ahurissant qu'une fois installé, la connexion internet ne marche plus... c'est un comble. ADSL HS .Sans de solides compétences en réseau et paramétrages de firewall, on se demande comment les utilisateurs lambda vont pouvoir s'en sortir... Seule solution: désactiver la protection (bonjour le risque), lancer la connexion ADSL (qui passe du premier coup!) puis réactiver la protection en répondant Oui aux messages concernant votre connexion ADSL.
Après avoir cherché le moyen de nous connecter à Internet avec notre nouvelle protection, allons maintenant faire un tour sur la Toile. Voir la section suivante pour l'outrepassage des protections: Bypass FSecure.
Ojectivement, après avoir installé un tel pack de sécurité, autant le tester pour voir ce qu'il donne : le test de Symantec est carrément refusé : ActiveX Symantec. Même en cliquant sur les bulles d'aide qui apparaissent pour signaler le blocage du téléchargement des ActiveX, c'est toujours refusé. Il faut aller dans les options avancées de la Protection internet et Désactiver le blocage des ActiveX. Donc ouvrir une nouvelle brèche dans la sécurité ! (un filtrage par site aurait été plus intelligent).
Une fois les options changées, on peut aller faire un scan de ports en ligne : et là surprise, le port 135 est ouvert !! Comme l'explique clairement Symantec (même si c'est en anglais :( ), ce port ne devrait pas être visible depuis Internet, vu qu'il renseigne sur les ports d'écoute de nombre de services Windows, qui eux mêmes sont sensibles à la foison de failles de sécurité découvertes sous Windows... Concrètement c'est à dire que le firewall devrait être verrouillé sur le port en question et intercepter toute donnée qui arrive dessus. Ici ce n'est visiblement pas le cas.
On se dit alors : "je vais aller dans les options avancées du firewall et faire la règle moi-même à la main". Que nenni! on ne peut bloquer port par port... et RPC n'est pas présent dans la liste des services proposés (et bien sûr on ne peut pas en rajouter...). Même le firewall de Sophos en version Bêta est bien plus performant !
Pendant la navigation, je suis tombé sur un site qui proposait l'installation d'une barre d'outil du navigateur (BHO ou Brower Help Object), donc clairement un adware. L'installation et même en fait le téléchargement ont été bloqués de façon transparente et même en essayant volontairement de l'installer, cela n'a pas été possible. Un point donc pour la surveillance navigation/spywares. Voici la capture : blocage toolbar
Le Pack Sécurité inclue un système de surveillance des modules du registre. (tiens tiens, ça ressemble à un certain Viguard ;) ). Voilà un exemple d'une alerte suite à l'installation de Copernic Desktop Search : copernic au démarrage.
La protection des réglages principaux du navigateur semble efficace et bien expliquée (c'est assez rare).Exemple : je change moi-même ma page de démarrage (j'avais réellement oublié que FSecure était installé, ça surprend toujours un peu) : IE on ne touche pas.
Enfin, les messages d'alerte du firewall sont assez complets (à condition d'avoir la manie d'ouvrir l'onglet Détails). Voilà un exemple quand on ouvre Internet Explorer, une fois le Pack Sécurité fraîchement installé : connexion IE. Seul bémol : apparemment l'alerte ne se fait pas pour le tout premier site lancé avec le navigateur (bien regarder la capture)...
Points inexpliqués :
Après avoir activé le contrôle des applications (système d'alerte qui ressemble un peu à celui de System Safety Monitor au niveau du type d'alerte), quelques messages m'ont paru des plus étranges.
FSecure bippe pour lui-même : alerte résident. Il est amusant de voir que le comportement même du Pack Sécurité n'a pas été intégré dans ... le Pack Sécurité. Que ferait un internaute standard, qui ne prendrait pas forcément la peine d'afficher les détails pour voir que l'application ciblée est une application dite "sûre" et que la source est aussi "sûre"?
Si l'on refusela modification, il y a fort à parier que cela créera un ou plusieurs conflits dans les modules de protection.
Quand on va voir l'historique des alertes de sécurité, et ce dans le cas où l'on vient juste d'installer la protection, on peut voir qu'il y a déjà des alertes recensées... mais antérieures à l'installation de FSecure ! La liste remonte jsuqu'à fin 2004 (pourquoi, mystère) et de plus comporte certains manques quant à l'activité virale/sécuritaire de la période précédent l'installation de FSecure sur ma machine (en Octobre). Alertes de sécurité
Il y a aussi ce genre d'alertes plutôt incompréhensibles pour quelqu'un qui n'a pas de fortes notions de réseau, programmation ET architecture windows : Panda qui réveille le cœur du système... La réponse à la question est des plus évidentes pour la plupart des internautes, j'en suis sûr...
Les alertes firewall, c'est bien. Mais quand c'est un sous prcessus binaire, on s'y perd un peu... L'exemple est pris avec Ams. Ce dernier fait appel à Wish.exe qui est dans son répertoire /bin. Voici l'alerte donnée par FSecure, au moment où l'on ouvre Amsn : alerte connexion. Il faut alors penser à demander l'affichage des détails. Ces derniers montrent que l'application sujette à l'alerte est dans le répertoire ... de Amsn (encore faut-il le reconnaître rien qu'au nom du répertoire, ce n'est pas toujour évident). En outre, je ne comprends pas bien le "Nouvelle application de serveur"... késako ? Pour que Amsn se connecte, il faut l'autoriser en tant que serveur... J'ai du mal à le concevoir en ayant un petit bout de technicité, alors je n'imagine pas pour les internautes : autoriser wish à être "serveur internet"!!! (dixit la bulle d'aide)...
On aimera aussi les bulles d'aide qui souffrent de bugs de traduction.... mais bon il s'agit tout de même d'une alerte de sécurité, alors on est censé tout lire (et comprendre!)... démarrage nouvelle quoi ?
Pour terminer en beauté, <blague> dans le genre Big Brother est partout, on apprend que Mozilla abrite en fait des chevaux de Troie... (cela expliquerai-t-il pourquoi un projet Open Source fait trembler les leaders payants du domaine...? ) </blague>. Sérieusement, avec un code source ouvert, je me demande comment MozBackup pourrait abriter un cheval de Troie... Il aurait été question d'un projet "freeware" peu connu, j'aurais pu admettre le faux positif, mais là quand même, c'est preuve que les "tests" sur la protection sont assez "sélectifs". snif MozBackup...
Quasiment aucun filtrage sur les sites de warez... Or nombre d'adolescents (et pas qu'eux d'ailleurs, enfin bref...) sont friands que "cracks", films Divx et autres. Et là, site warez en accès libre, et c'est juste un exemple.
Plus grave encore, en moins de 10 minutes, j'ai réussi à trouver des sites non filtrés par le Pack Sécurité... on peut le voir ici : non seulement la navigation n'est pas bloquée,( capture site dangereux. ) mais le téléchargement est autorisé !
Une simple recherche google à "warez" nous sort bon nombre de sites dits "underground". Moins de 15 minutes après avoir commencé à naviguer sur ces sites (et FSecure aurait dû bipper!! ces sites sont très souvent à risques pour des internautes qui ne sont pas conscients du risque), j'ai une alerte de l'antivirus : alerte site warez
A priori on pourrait être content de la chose...sauf que ... La désinfection automatique est en fait impossible selon FSecure, du moins sans redémarrer désinfection impossible. Alors que faire ? un internaute moyen va certainement devoir redémarrer le PC comme lui suggère le Pack Sécurité. En espérant que ça marche. Personnellement j'ai tout simplement supprimé le fichier html présent dans le cache du navigateur... Mon ordinateur n'était donc plus infecté du tout.
Je passe sous silence le fait que l'une des 2 fois où j'ai été confronté à ce virus, j'ai eu un bug de l'interface de FSecure qui ne m'autorisait plus à faire quoique ce soit : si je choisissais Ne rien faire, Supprimer, ou Nettoyer, le bouton OK était grisé et donc je ne pouvais pas sortir de l'alerte (et bien évidemment "pendant c'temps là" le virus était toujours libre...).
Comme énoncé plus haut, les tests faits avec des scanners en ligne montrent bien que le firewall n'est pas vraiment "étanche"... surtout le port 135 !
Dans la série "je me fais un trou de sécurité moi-même parce que je le veux bien" je vous présente BackWeb intégré à F-Secure : des réglages concernant BackWeb sont bel et bien présents directement dans la configuration du firewall et ils sont verrouillés !! Backweb dans le firewall
La license d'utilisation du Pack Sécurité ne mentionne *pas* BackWeb ! c'est scandaleux ! Voici une copie de ladite license : F-Secure sans spyware Seule cette mention peut faire référence à BackWeb, mais il n'est pas nommé ! (je cite):
</citation> OCTROI DE DROIT D'UTILISATION
Vous accordez à F-Secure le droit d'utiliser et d'afficher des données statistiques relatives à la sécurité, ainsi que tout autre contenu ou matériel liés à la sécurité que Vous transmettez à F-Secure par le biais du Logiciel à des fins d'enregistrement des utilisateurs et de recherches de sécurité. </citation>
Je trouve cela tout simplement inadmissible. Déjà que très peu de gens lisent les licences, alors si en plus celles ci ne sont pas exactes ou mentent par omission, c'est presque abuser du manque de compétence technique de l'utilisateur windowsien standard.
Voici maintenant le détail des objets trouvés par Spybot : log. On voit clairement les fichiers de BackWeb.
Auteur : Philippe, alias Sphinx.
La plupart des logiciels évoqués ici sont freewares, sauf précision supplémentaire (notamment Viguard).
Vous pouvez reprendre des écrits publiés ici (sans les déformer) par simple demande par mail à sphinx@n0rt0n POINT com
Retour en Haut de Page | Compteur :
