NOD32, l’un de nos meilleurs antivirus antimalware

NOD32 : l’antivirus de la Gendarmerie

Parmi les nombreux antivirus pour les ordinateurs PC et Mac que nous avons testés sur les postes de travail et les serveurs, utilisables aussi bien par les particuliers que dans les entreprises, notre choix s’est porté sur l’antivirus NOD32, de la société Eset.

Pourquoi NOD32 est-il l’un des meilleurs antivirus ?

Nous avons testés de nombreux antivirus gratuits, comme Avast et Avira. Lorsque nos clients nous contactent pour des lenteurs sur leur ordinateur, des fenêtres de publicité intempestives ou des publicités pornographiques, nous avons souvent constatés qu’Avast ou Avira étaient sur ces machines. Les fichiers d’historique de nos analyses sur les ordinateurs où ces antivirus étaient installés, démontrent qu’Avast et Avira sont donc très médiocres pour détecter et bloquer les attaques des virus, des programmes malveillants et des pages web infectées.

Nous avons également testé Kaspersky qui prend beaucoup de puissance sur les ordinateurs et les ralentit, notamment sur les ordinateurs portables.

BitDefender est efficace mais consomme, lui aussi, pas mal de puissance.

Quant à Norton Antivirus qui est fréquemment fourni lorsqu’on achète un ordinateur, il reste consommateur de puissance et a laissé passé des choses que NOD32 a décelé lors de nos interventions de désinfection.

Nos tests nous ont conduits à tester les logiciels antivirus et antimalware NOD32, Sophos et Dr Web dont nous parlerons dans des prochains articles.

Si nous avons élu NOD32 parmi l’un des rares antivirus et antimalwares efficaces, c’est parce qu’il offre plusieurs avantages que nous allons vous livrer ici, sachant que NOD32 équipe les ordinateurs de la Gendarmerie Nationale, y compris ceux qui fonctionnent avec Linux.

Les avantages et les qualités de NOD32

  • C’est un logiciel entièrement traduit en français
  • Il s’installe très simplement pour tout utilisateur non informaticien
  • NOD32 se met à jour et surveille votre ordinateur sans vous déranger
  • Les mises à jour sont rapides
  • Vous pouvez paramétrer ses fonctionnalités
  • Contrairement à la plupart des autres logiciels antivirus et antimalwares, il ne ralentit pas votre machine, que ce soit un ordinateur portable ou un ordinateur de bureau
  • Vous pouvez l’utiliser gratuitement pendant 30 jours. Ce n’est qu’ensuite qu’il vous faudra acheter la licence pour bénéficier des mises à jour

L’antivirus NOD32 a donc reçu plusieurs récompenses.

Les 3 axes de protection antivirus de NOD32

NOD32 travaille sur 3 axes de protection rassemblés dans la partie HIPS du logiciel dont voici les principaux modules et leurs domaines d’action :

  1. En premier lieu, NOD32 :
    – utilise son module de scan UEFI pour assurer la sécurité de votre environnement dans sa phase de pré-démarrage et vérifie l’intégrité du firmware de votre machine
    – protège votre machine contre l’infection de malwares, d’attaques réseau et de failles de sécurité qui ne sont pas encore corrigées
    – analyse et vérifie si des éléments malveillants qui sont connus de NOD32 sont présents
    – émule des composants matériels et logiciels avant d’exécuter les programmes suspects dans un environnement sécurisé, indépendant et isolé de votre système
    – analyse et surveille le comportement de vos logiciels car certains pirates utilisent des techniques d’obfuscation pour rendre difficile la détection de leurs malwares et de leurs virus dont les comportements et les actions sont détectés par NOD32 qui peut ainsi les bloquer
  2. En deuxième lieu :
    – analyse les scripts Javascript qui peuvent être rencontrés dans certaines pages web, et des scripts Powershell qui peuvent être exécutés sur des ordinateurs PC dôtés de Windows 7, Windows 8 ou Windows 10.
    – en analysant la mémoire système de l’ordinateur
    – en surveillant tous les logiciels lancés
    – en protégeant les logiciels qui sont particulièrement exposés, comme les navigateurs internet, les visualiseurs de documents (comme Acrobat Reader), les logiciels de courrier électronique, les composants Java et Flash, etc.
  3. En dernier lieu :
    – en surveillant, via la fonction LiveGrid de NOD32, les logiciels inconnus qui pourraient être malveillants
    – toutes les communications malveillantes détectées sont bloquées

Le blocage des virus grâce à la fonction HIPS de NOD32

C’est le processus HIPS, intégré à NOD32, qui permet de bloquer toutes les sources d’infection énoncées dans les 3 axes de protection de NOD32 cités plus haut.

Installation simple, rapide et facile de NOD32

Inutile de passer de longues minutes devant votre ordinateur à attendre le téléchargement de l’antivirus NOD32 et d’avoir besoin de compétences en informatique pour l’installer et qu’il protège votre machine.

Comme nous l’avons indiqué, l’installation de l’antivirus NOD32 sur un ordinateur PC ou Macintosh, a été simplifiée au maximum pour que les utilisateurs les plus novices en informatique puissent installer l’antivirus NOD32.

La clef d’activation de l’antivirus NOD32 n’est pas obligatoire quand vous installez le logiciel mais, lorsqu’elle est saisie, elle permet d’avoir les mises à jour qui reconnaissent les nouveaux virus et les programmes malveillants récents que NOD32 pourra ainsi neutraliser.

Ces mises à jour sont appelées « mises à jour des signatures« . Elles se font automatiquement et, par défaut, toutes les heures. Mais il est bien sûr possible de changer cette périodicité en utilisant le planificateur de tâches intégré au logiciel.

Lorsque cette licence est expirée, l’antivirus continu de fonctionner mais sans bénéficier des mises à jour : les nouveaux virus et les nouveaux malwares ne seront donc pas nécessairement détectés.

L’analyse antivirus de NOD32 est immédiate

A la toute première installation de l’antivirus NOD32, une analyse complète et automatique du contenu de l’ordinateur sera effectué. Cette analyse est prévue pour se relancer automatiquement si elle venait à être interrompue.

Au cours de cette analyse, les éléments détectés par NOD32 sont signalés sur l’écran de l’utilisateur.

Comment installer l’antivirus NOD32

L’installation de l’antivirus NOD32 peut se faire de 2 manières :

  1. Soit en téléchargeant NOD32 depuis le site internet d’Eset le programme d’installation qui fait environ 4Mo. Le programme d’installation ira ensuite télécharger automatiquement tous les fichiers nécessaires sur le site d’Eset. Cette méthode d’installation permet d’avoir la version la plus récente des composants logiciels. C’est l’installation dite « live installer ».
  2. Soit en prenant l’installation qui intègre l’ensemble des composants, dans ce cas beaucoup plus volumineuse à télécharger et qui nécessitera une mise à jour après l’installation.

Quelle que soit la méthode d’installation choisie, une fois que le logiciel antivirus NOD32 est installé, son paramétrage par défaut convient à un usage standard mais il reste possible d’agir manuellement sur les réglages.

L’option LiveGrid de l’antivirus NOD32

L’antivirus NOD32 est fourni avec une option appelée LiveGrid, sans supplément de prix. Pour en bénéficier, il suffit juste de le préciser au moment de l’installation de NOD32.

La fonction LiveGrid de NOD32 permet de détecter les logiciels potentiellement indésirables ou que NOD32 a déjà dans sa liste de logiciels malveillants.

Les logiciels de protection NOD32, Internet Security et Smart Security Premium

La société Eset, qui développe et assure le suivi du logiciel NOD32, propose 3 gammes de logiciels de protection :

  1. La gamme NOD32 antivirus pour les ordinateurs personnels (Windows et Mac)
  2. La gamme Internet Security
  3. Et la gamme Smart Security Premium

Les gammes Internet Security et Smart Security Premium sont les seules qui intègrent un parefeu dédié et seule la gamme Smart Security Premium propose le chiffrement des données avec un gestionnaire de mots de passe.

La principale différence entre les versions pour les particuliers et pour les entreprises, est la gestion à distance qui n’est possible que pour les produits destinés aux entreprises.

Le logiciel antivirus NOD32 s’adresse principalement aux particuliers mais il est possible de l’installer sur des postes de travail fixes ou nomades à usage professionnel.

Pour un usage en entreprise, Eset propose les gammes de logiciels de protection Internet Security et Smart Security Premium.

Le parefeu intégré dans les gammes Internet Security et Smart Security Premium est un parefeu dit « intelligent » car il filtre les données qui le traverse, offrant ainsi une protection supplémentaire : un point important à ne pas négliger si vous utilisez les points d’accès wifi publics, comme c’est le cas dans les aéroports ou les hôtels où des pirates tentent souvent des actions.

Le parefeu des gammes Internet Security et Smart Security Premium peut nécessiter une adaptation manuelle dans sa configuration, notamment dans le cas ou vous utilisez des imprimantes et des scanners en réseau ou bien des applications spécifiques. Il est donc intéressant, dans ces cas là, de mettre le parefeu en mode interactif pour en affiner sa configuration.

Cet affinage s’effectue dans la partie « Activité réseau » => « Parefeu » => « Règles et zones » => « Configuration »

Une fois l’affinage de la configuration du parefeu terminé, il est conseillé de désactiver le mode interactif.

La gamme de protection Smart Security Premium

La gamme de protection Smart Security Premium est principalement destiné aux ordinateurs qui contiennent des données sensibles comme peuvent en avoir les professionnels du secteur juridique, les professionnels du monde médical ou de la recherche.

Le chiffrement des données n’est offert que dans la gamme de protection Smart Security.

Le planificateur de tâches des logiciels de protection antivirus

Le planificateur de tâches intégré dans les logiciels d’Eset, est destiné à en faciliter la gestion au travers de différents automatismes :

  • Lancer un logiciel tiers
  • Maintenir les journaux d’historique (logs)
  • Contrôler les fichiers de démarrage du système
  • Avoir un rapport sur l’ordinateur utilisé
  • Analyser l’ordinateur à la demander
  • Gérer les mises à jour du logiciel Eset

Les mises à jour des logiciels d’Eset se font, par défaut, automatiquement toutes les heures. Il est bien sûr possible de modifier cet intervalle.

Verrouillage du paramétrage des logiciels de protection

Pour protéger l’accès à la configuration des logiciels d’Eset, on peut définir un mot de passe. Si le mot de passe est perdu, plusieurs possibilités :

  • Cliquer sur « Restaurer le mot de passe » si cette option est proposée. Il faudra ensuite indiquer l’adresse mail qui est associée à la licence d’enregistrement du logiciel. Le code de vérification qui sera envoyé pour réinitialiser le mot de passe, est valable pendant 7 jours.
  • Ou encore, se connecter sur my.eset.com si la licence associée au logiciel est Eset Licence Manager.
    Si l’adresse mail associée est inconnue, cliquer sur « Je ne connais pas mon adresse électronique » qui renverra vers l’assistance clients d’Eset32
  • Générer un code pour le service Clients permet de créer un code qu’on donne au services Clients pour réinitialiser le mot de passe d’accès à la configuration du logiciel.

Le mot de passe de configuration du logiciel empêche d’y faire des modifications et sa désinstallation.

L’ensemble de la gamme des logiciels d’Eset, que ce soit celle destinée aux particuliers ou celle destinée aux professionnels, bénéficie de cette protection par mot de passe.

A noter que la protection par mot de passe des logiciels d’Eset destinés aux entreprises, peut se faire depuis leur console d’administration.

Les consoles d’administration des logiciels Eset

Les consoles d’administration des logiciels d’Eset ne sont disponibles que pour les logiciels destinés aux entreprises.

2 types de console d’administration sont possibles :

  1. Installation de la console d’administration sur un ordinateur de l’entreprise avec Eset Security Management Center (ESMC).
    Cette console peut cependant être installée sur internet via un hébergement spécifique et dédié qui est proposé par Eset
  2. Une gestion avec une console d’administration installée sur internet avec Eset Cloud Administrator (ECA) qui s’appuie sur des serveurs AWS

Les différences entre les 2 consoles d’administration

Hébergement :
Pour la console ECA, c’est dans le cloud d’Eset et sur des serveurs AWS.
Pour la console ESMC c’est sur un ordinateur au sein de l’entreprise

Nombre de postes gérés :
Pour la console ECA : jusqu’à 250 maximum
Pour la console ESMC : pas de limite

Systèmes d’exploitation des postes :
Pour la console ECA : seulement Windows et MacOS
Pour la console ESMC : Windows, MacOS, Linux, Androïd et MacOS

Agents possibles :
Pour la console ECA : Agent, RD Sensor et outils de déploiement
Pour la console ESMC : Agent, RD Sensor, outils de déploiement et RDM (en cas d’hébergement de la console ESMC chez Eset, le module RDM n’est pas inclus)

Virtualisation :
Pour la console ECA : installation classique
Pour la console ESMC : optimisation possibles

Interaction avec Active Directory :
Pour la console ECA: pas de synchronisation possible
Pour la console ESMC : synchronisation possible si la console est hébergée sur un ordinateur du domaine et non pas sur l’hébergement proposé par Eset

Groupes dynamiques :
Pour la console ECA : les groupes sont préconfigurés. On ne peut pas en créer de nouveaux.
Pour la console ESMC : ils sont personnalisables et leur nombre n’est pas limité

Notifications :
Pour la console ECA : les notifications sont préconfigurées
Pour la console ESMC : elles sont personnalisables

Certificats :
Pour la console ECA : ils sont gérés par Eset
Pour la console ESMC : on peut les créer, les personnaliser, les importer et les exporter
Ces certificats ne concernent pas les connexions HTTPS mais seulement la communication, qui est donc chiffrée, entre l’agent et la console d’administration.
Les certificats sont créés lors de l’installation de la console ESMC.

Droits d’accès :
Pour la console ECA : accès simplifiés. On ne peut gérer qu’un seul domaine.
Pour la console ESMC : les accès et les droits sont paramétrables pour des groupes et par utilisateur. On peut gérer plusieurs domaines.

Déploiement :
Pour la console ECA : live installer, GPO et scripts
Pour la console ESMC : synchronisation avec Active Directory, GPO, scripts, RD Sensor Reports, agent

Note : pour que RD Sensor puisse fonctionner, il faut qu’il ait été déployé sur les ordinateurs.

L’installation de la console ESMC

La console d’administration ESMC peut s’installer sur Windows, Linux et MacOS.
Pour Windows, on peut installer tout les modules en une seule fois ou préférer l’installation module par module.

Pour Linux et MacOS, on installe module par module.

Pour Linux, la console d’administration est disponible sous la forme d’une image d’appliance VMWare, HyperV et VirtualBox.

A noter qu’il est fortement recommandé d’utiliser l’image de l’appliance VirtualBox à des fins de tests et non pas en production.

L’installation par module permet de choisir sur quel serveur installer tel module. Par exemple, on décider d’installer le module SQL sur un serveur spécifique et les autres modules sur un autre serveur.
Il reste possible, par la suite, de désinstaller un module pour l’installer sur un autre serveur.

L’installation de la console ESMC sous Windows

Au lancement de l’installation, l’écran présente les options suivantes :

Le choix d’installer Eset Security Management Center server permet d’installer :

A noter que l’installation va créer un site web qui s’appuiera sur Apache Tomcat et ne fonctionnera pas avec un serveur web IIS.

Les pré-requis avant de pouvoir installer ESMC sur Windows sont d’avoir déjà en service :

RD Sensor

RD Sensor permet de remonter les informations prises par les agents vers la console ESMC. On installe RD Sensor dans le cas où il n’y a pas de synchronisation avec l’Active Directory qui soit possible ou dans le cas où les postes de travail utilisent un groupe de travail et ne sont donc pas intégrés dans un domaine.

Proxy HTTP Apache

Le proxy HTTP Apache n’est à installer que dans le cas où il n’y a pas déjà de proxy existant qui fasse de la mise en cache et de la translation de ports.

Il est recommandé de n’installer que les modules qui soient nécessaires dans l’environnement de travail et de ne pas valider les modules qui sont cochés par défaut s’ils ne sont pas nécessaires.

L’ensemble de ces informations de la console d’administration ESMC, concerne la version 7.

Installation de la console d’administration comme appliance

Pour vSphère, l’image d’appliance est disponible sur le site internet d’Eset sous la forme d’un fichier à l’extension .OVA téléchargeable. Pour installer sur HyperV, le fichier sera un .zip qu’il faudra décompresser avant de se rendre sur la page web qui permettra de faire la configuration.

L’intérêt d’utiliser la console d’administration ESMC en tant qu’appliance est qu’il n’est pas nécessaire d’acquérir une licence Windows, ne nécessite pas un serveur dédié et permet de gagner du temps lors du déploiement des agents Eset.

L’installation d’une image d’appliance de la console d’administration dure en moyenne une dizaine de minutes pour une personne maîtrisant VMWare / vSphère.

Une fois le fichier .OVA téléchargé, il faudra :

  1. Indiquer un nom pour le modèle déployé et désigner l’emplacement des fichiers de la machine virtuelle
  2. Choisir l’hôte ou le cluster où exécuter le modèle
  3. Choisir le pool de ressources dans lequel déployer le modèle
  4. Choisir le format de disque utilisé
  5. Connecter la machine virtuelle au réseau informatique

Installation de la console d’administration ECA

Pour obtenir une console d’administration ECA, il faut d’abord créer un compte sur le site internet eba.eset.com qui amène ensuite sur la page « Eset Business Account » où on peut y rattacher la licence.
Cette page web ne permet pas la gestion des licences des logiciels achetés chez Eset.

L’activation de la console d’administration ECA se fait ensuite à partir de la page web « Eset Business Account » en cliquant sur « Eset Cloud Administrator »

Après quelques minutes, la console sera disponible et prête à l’emploi.

Les fonctionnalités de l’agent Eset

L’agent doit être installé sur tous les postes de travail qu’on souhaite administrer avec une console d’administration ECA ou ESMC.

C’est la première chose à faire avant de déployer n’importe quel logiciel Eset sur un parc d’ordinateurs.
C’est grâce à cet agent qu’ensuite il sera possible de désinstaller un antivirus concurrent avant d’installer un logiciel de protection d’Eset.

P que les utilisateurs ne soient pas dérangés par des messages d’installation de l’agent, il est conseillé de faire l’installation des agents par GPO qui est la méthode la plus fiable, mais il est aussi possible de le faire via une tâche ou un outil de déploiement.

Les tâches et les politiques

Une tâche est un ordre qu’on donne à l’agent depuis la console d’administration, pour qu’il fasse quelque chose :

  • analyser un poste,
  • arrêter l’ordinateur,
  • etc.

Une politique est une configuration d’un logiciel Eset. Elle peut être exportée depuis un logiciel Eset pour être réintégrée ensuite dans la console d’adminitration et faire en sorte, qu’ensuite, cette politique soit appliquée à l’ensemble d’un parc d’ordinateurs.

Par défaut, un certain de nombre de politiques sont installées. Elles répondent généralement à la plupart des besoins mais peuvent être remaniées. On peut les définir soit à partir de la console d’administration soit à partir du logiciel Eset installé sur un poste de travail.

Les politiques sont utilisables avec tous les logiciels d’Eset et sont exportables.

Les astuces techniques

Pourquoi installer le proxy HTTP de la console d’administration ?
Il est possible d’utiliser le proxy HTTPS proposé par Eset pour permettre l’accès à la console d’administration depuis l’extérieur, pour mettre en cache les packages d’Eset mais ce proxy est inadapté pour gérer les mises à jour. Ce proxy est surtout destiné aux entreprises multisites.

Perte du mot de passe d’accès à la console ESMC
En cas de perte du mot de passe d’accès à la console d’administration ESMC d’Eset, commencer par réparer l’application ESMC et cela devrait entraîner la demande d’un nouveau mot de passe à la prochaine tentative de connexion.

Résoudre l’erreur « Echec de la connexion / Etat non connecté »
Si on rencontre un échec de connexion, commencer par vérifier si les services ESMC et SQL Server sont bien en cours de fonctionnement sinon les redémarrer et actualiser l’affichage de la console.

L’agent ne donne pas d’infos dans la console d’administration
Si on constate que les agents ne sont pas visibles dans la console, il faut vérifier que le port 2222 soit bien ouvert sur le parefeu et vérifier avec la commande « netstat » que ce port est bien en écoute. A défaut, regarder dans les logs pour connaître l’origine du problème.