Sophos Clean - L'allié des antivirus
Sophos donne l’impression d’avoir déjà une bonne vingtaine de solutions antivirus différentes à son catalogue. Et voilà qu’un nouveau produit arrive encore. Avec Sophos Clean, Sophos lance une solution conçue avant tout pour compléter les antivirus existants, plutôt que pour leur ravir à elle seule la suprématie sur les endpoints.
Dans cet article de blog, je souhaite présenter Sophos Clean plus en détail et déterminer si ce produit a réellement une raison d’être.
Mise à jour : Sophos Clean a été intégré à Sophos Central Intercept X et ne peut plus être acheté comme produit autonome. Sophos Clean est officiellement en fin de commercialisation (End of Sale).
Brève histoire
Le 15/12/2015, Sophos a racheté l’entreprise néerlandaise SurfRight pour près de 32 millions de dollars. Avec son produit HitmanPro, SurfRight proposait l’une des solutions phares dans la lutte contre la « next-generation malware » (exploits zero‑day, rootkits, chevaux de Troie, spyware, etc.). Sophos a donc reconditionné HitmanPro et commercialise désormais le produit sous le nom de Sophos Clean.
Qu’est-ce que Sophos Clean ?
Comme déjà mentionné, Sophos Clean est conçu pour compléter les antivirus déjà installés et fournir un second avis professionnel sur les fichiers suspects. Sophos Clean aspire ainsi à devenir le meilleur allié, ou « sidekick », de votre antivirus actuel, et à l’assister dans son travail. Pour ce faire, Sophos Clean procède de manière très minutieuse et contrôle toutes les formes de code malveillant : virus, chevaux de Troie, rootkits, vers, spyware, rogue software et keyloggers.
Spécialiste des menaces zero‑day et des ransomwares
Pour une protection de nouvelle génération, il est essentiel de ne pas dépendre uniquement des signatures. Les menaces zero‑day et certains ransomwares comme CryptoLocker ne peuvent être détectés efficacement qu’au moyen de fonctions intégrées telles que la prévention des exploits, l’analyse comportementale ou l’heuristique.
C’est précisément là qu’intervient Sophos Clean. Ce petit « professeur des virus » fonctionne sans signatures et s’appuie sur des analyses comportementales avancées, la forensique et l’intelligence collective pour détecter et supprimer les exploits zero‑day, rootkits, chevaux de Troie, spyware et autres malwares polymorphes, ainsi que les cookies indésirables et l’adware. Cela permet de réduire le nombre de faux positifs, un problème courant avec d’autres outils anti‑malware de nouvelle génération sans signatures.
Le malware polymorphe désigne des virus disponibles en d’innombrables variantes, mais qui, en réalité, font tous la même chose. Ils modifient leur « apparence » afin de contourner les définitions virales actuelles. Cette technique est très largement utilisée dans les ransomwares récents.
Aucune installation nécessaire
Point intéressant : Sophos Clean peut être utilisé comme scanner à la demande et n’a pas nécessairement besoin d’être installé sur le système. Le fichier EXE de 11 Mo peut ainsi être copié sur une clé USB et exécuté sur un poste Windows infecté. Dans un scénario où un malware a manipulé l’antivirus installé et ses mises à jour, une telle clé USB devient particulièrement utile. En pratique, vous avez donc en permanence un antivirus de nouvelle génération performant dans la poche.
Configuration système requise
Sophos Clean fonctionne sans problème à côté de votre antivirus existant, qu’il s’agisse de McAfee, Kaspersky, Symantec, Avast ou d’une autre solution de protection des endpoints. Sophos Clean a un impact très limité sur les performances de la machine, et un scan rapide s’effectue en moins de 5 minutes.
Côté système d’exploitation, Windows 7, 8, 8.1 et 10 sont pris en charge (32 bits et 64 bits). La machine doit disposer d’au moins 1 Go de RAM et d’un accès à Internet, afin que les fichiers inconnus puissent être téléversés vers SophosLabs et analysés pendant un scan.
Sophos Clean à l’épreuve du terrain
Dans la vidéo ci‑dessous, vous découvrez Sophos Clean fonctionner en parallèle avec Avast Antivirus. L’objectif est de montrer qu’après un scan effectué avec Avast Antivirus, Sophos Clean détecte encore davantage de menaces qui seraient autrement passées inaperçues. Parmi les découvertes de Sophos Clean, on trouve notamment des chevaux de Troie…
Conclusion
Dans l’introduction de cet article, je me demandais si Sophos Clean avait réellement sa raison d’être. Après plusieurs tests et la rédaction de ce billet, je peux répondre très clairement par oui. Comme indiqué, Sophos Clean n’est pas conçu comme une alternative, mais bien comme un complément à une solution existante. Et Sophos Clean a parfaitement rempli ce rôle dans nos tests ; chez Avanet, nous ne pouvons que recommander ce produit.
Petite ombre au tableau
Ce qui manque un peu à Sophos Clean, à mon avis, c’est une console de gestion centralisée, à laquelle on est habitué avec Sophos Central Endpoint Protection. Pour déployer le logiciel sur plusieurs clients, il faut donc bricoler sa propre solution.
Sophos Clean en combinaison avec l’Endpoint Protection
Pour tous ceux qui utilisent déjà Sophos Central Endpoint Protection, nous avons encore une information - à prendre toutefois avec des pincettes. Un petit oiseau nous a confié que Sophos travaille, en plus des éditions Standard et Advanced, sur deux autres modèles baptisés Intercept et Ultimate. L’idée est que la technologie de Sophos Clean soit, à l’avenir, intégrée à l’Endpoint Protection.
Mise à jour : Avec Sophos Central Intercept X, Sophos a désormais intégré la technologie de Sophos Clean à sa protection Endpoint.
Mise à jour : La Sophos Central Endpoint Protection n’existe plus en éditions Standard ou Advanced. Sophos a un peu réorganisé son activité Endpoint.
