Page d'accueil » comment » Les bacs à sable expliquent comment ils vous protègent déjà et comment bacs à sable pour tout programme

    Les bacs à sable expliquent comment ils vous protègent déjà et comment bacs à sable pour tout programme

    Le sandboxing est une technique de sécurité importante qui isole les programmes, empêchant les programmes malveillants ou mal fonctionnels d’endommager ou d’espionner le reste de votre ordinateur. Le logiciel que vous utilisez utilise déjà une bonne partie du code que vous utilisez quotidiennement..

    Vous pouvez également créer vos propres bacs à sable pour tester ou analyser des logiciels dans un environnement protégé où ils ne pourront pas endommager le reste de votre système..

    Comment les bacs à sable sont essentiels pour la sécurité

    Un bac à sable est un environnement étroitement contrôlé dans lequel des programmes peuvent être exécutés. Les bacs à sable limitent ce qu'un code peut faire, en lui donnant autant d'autorisations que nécessaire sans ajouter d'autorisations supplémentaires susceptibles d'être utilisées de manière abusive..

    Par exemple, votre navigateur Web exécute essentiellement les pages Web que vous visitez dans un bac à sable. Ils sont limités à l'exécution dans votre navigateur et à l'accès à un ensemble limité de ressources. Ils ne peuvent pas afficher votre webcam sans autorisation ni lire les fichiers locaux de votre ordinateur. Si les sites Web que vous visitez ne sont pas séparés du système et ne sont pas isolés du reste de votre système, visiter un site Web malveillant serait aussi grave que d'installer un virus..

    Les autres programmes de votre ordinateur sont également traités en bac à sable. Par exemple, Google Chrome et Internet Explorer s'exécutent tous deux dans un sandbox. Ces navigateurs sont des programmes exécutés sur votre ordinateur, mais ils n’ont pas accès à l’ensemble de votre ordinateur. Ils s'exécutent en mode faible autorisation. Même si la page Web découvrait une faille de sécurité et parvenait à prendre le contrôle du navigateur, il faudrait alors qu'elle échappe au bac à sable du navigateur pour causer des dommages réels. En exécutant le navigateur Web avec moins d'autorisations, nous gagnons en sécurité. Malheureusement, Mozilla Firefox ne fonctionne toujours pas dans un bac à sable..

    Ce qui est déjà en train d'être bac à sable

    Une grande partie du code exécuté quotidiennement par vos appareils est déjà protégé par un sandbox:

    • Les pages Web: Votre navigateur contrôle essentiellement les pages Web qu’il charge. Les pages Web peuvent exécuter du code JavaScript, mais ce code ne peut rien faire. Si le code JavaScript tente d'accéder à un fichier local sur votre ordinateur, la demande échouera..
    • Contenu du plug-in de navigateur: Le contenu chargé par les plug-ins de navigateur, tels qu'Adobe Flash ou Microsoft Silverlight, est également exécuté dans un bac à sable. Il est préférable de jouer à un jeu flash sur une page Web que de télécharger un jeu et de l'exécuter comme un programme standard, car Flash isole le jeu du reste de votre système et restreint ses possibilités. Les plug-ins de navigateur, en particulier Java, sont fréquemment la cible d'attaques qui utilisent des vulnérabilités de sécurité pour échapper à ce bac à sable et causer des dommages..
    • PDF et autres documentsAdobe Reader exécute désormais les fichiers PDF dans un bac à sable, les empêchant ainsi d'échapper à la visionneuse PDF et d'altérer le reste de votre ordinateur. Microsoft Office propose également un mode bac à sable pour empêcher les macros dangereuses de nuire à votre système..
    • Navigateurs et autres applications potentiellement vulnérables: Les navigateurs Web s'exécutent en mode «sandbox» avec peu de permission pour s'assurer qu'ils ne peuvent pas faire beaucoup de dégâts s'ils sont compromis:
    • Application mobile: Les plates-formes mobiles exécutent leurs applications dans un bac à sable. Les applications pour iOS, Android et Windows 8 ne peuvent pas effectuer la plupart des tâches des applications de bureau standard. Ils doivent déclarer des autorisations s'ils veulent faire quelque chose comme accéder à votre emplacement. En contrepartie, nous gagnons en sécurité: le bac à sable isole également les applications les unes des autres, de sorte qu'elles ne peuvent pas se falsifier..
    • Programmes Windows: Le contrôle de compte d'utilisateur fonctionne comme un bac à sable, empêchant essentiellement les applications de bureau Windows de modifier les fichiers système sans vous demander l'autorisation au préalable. Notez qu’il s’agit d’une protection très minimale: tout programme de bureau Windows peut choisir de s’asseoir à l’arrière-plan et d’enregistrer toutes vos frappes au clavier, par exemple. Le contrôle de compte d'utilisateur limite uniquement l'accès aux fichiers système et aux paramètres système..

    Comment Sandbox N'importe quel programme

    Les programmes de bureau ne sont généralement pas en mode bac à sable par défaut. Bien sûr, il y a UAC - mais comme nous l'avons mentionné ci-dessus, il s'agit d'un sandboxing très minime. Si vous souhaitez tester un programme et l'exécuter sans qu'il puisse interférer avec le reste de votre système, vous pouvez exécuter n'importe quel programme dans un bac à sable..

    • Machines virtuelles: Un programme d'ordinateur virtuel tel que VirtualBox ou VMware crée des périphériques matériels virtuels qu'il utilise pour exécuter un système d'exploitation. L'autre système d'exploitation s'exécute dans une fenêtre de votre bureau. L'ensemble de ce système d'exploitation est essentiellement composé d'un bac à sable, car il n'a accès à rien en dehors de la machine virtuelle. Vous pouvez installer un logiciel sur le système d'exploitation virtualisé et l'exécuter comme s'il fonctionnait sur un ordinateur standard. Cela vous permettrait par exemple d’installer des logiciels malveillants et de les analyser - ou tout simplement d’installer un programme et de voir s’il fait quelque chose de mal. Les programmes de machines virtuelles contiennent également des fonctionnalités de capture instantanée, ce qui vous permet de «restaurer» votre système d'exploitation client dans l'état dans lequel il se trouvait avant l'installation du mauvais logiciel..

    • Sandboxie: Sandboxie est un programme Windows qui crée des sandbox pour les applications Windows. Il crée des environnements virtuels isolés pour les programmes, les empêchant d’apporter des modifications permanentes à votre ordinateur. Cela peut être utile pour tester un logiciel. Consultez notre introduction à Sandboxie pour plus de détails.


    Le sandboxing n'est pas quelque chose dont l'utilisateur moyen doit s'inquiéter. Les programmes que vous utilisez fonctionnent en arrière-plan pour assurer votre sécurité. Cependant, vous devez garder à l'esprit ce qui est sandbox et ce qui ne l'est pas - c'est pourquoi il est plus prudent de charger un site Web que de lancer un programme..

    Toutefois, si vous souhaitez utiliser un programme de bureau standard qui ne serait normalement pas mis en sandbox, vous pouvez le faire avec l'un des outils ci-dessus..