Vérification de l'intégrité des composants d'application

L'application Kaspersky Endpoint Security contient une multitude de modules binaires variés sous forme de bibliothèques de liens dynamiques, de fichiers exécutables, de fichiers de configuration et de fichiers d'interface. Un pirate peut remplacer un ou plusieurs modules ou fichiers exécutables d'application par d'autres fichiers contenant du code malveillant. Pour empêcher le remplacement des modules et des fichiers, l'application Kaspersky Endpoint Security peut vérifier l'intégrité des composants de l'application. L'application recherche la présence de modifications non autorisées ou de dommages dans les modules et les fichiers. Si la somme de contrôle du module ou du fichier de l'application est incorrecte, celui-ci est considéré comme endommagé.

Un contrôle d'intégrité est effectué sur les modules d'application suivants, s'ils sont installés sur l'appareil :

• paquet de l'application ;
• paquet de l'interface utilisateur graphique ;
• paquet de l'Agent d'administration de Kaspersky Security Center ;
• plug-in d'administration de l'application Kaspersky Endpoint Security.

L'application vérifie l'intégrité des fichiers repris dans des listes spéciales appelées fichiers de manifeste. Chaque module de l'application possède son propre fichier de manifeste. Celui reprend la liste des fichiers de l'application dont l'intégrité est importante au fonctionnement correct de ce module. Le nom du fichier de manifeste de chaque module est le même. Le contenu, quant à lui, diffère. Les fichiers de manifeste possèdent une signature numérique. Leur intégrité est vérifiée également.

C'est à l'utilitaire de vérification de l'intégrité integrity_checker qu'il convient de vérifier l'intégrité des composants de l'application.

L'utilitaire de vérification de l'intégrité doit être exécuté sous un compte utilisateur doté des autorisations root.

Dans le cadre de la vérification de l'intégrité, vous pouvez utiliser l'utilitaire installé avec l'application ou un utilitaire fourni sur le CD certifié.

Afin de garantir l'intégrité de l'utilitaire de vérification, il est conseillé d'opter pour la version reprise sur le disque certifié. Lors de lancement de l'utilitaire à partir du CD, il faut renseigner le chemin d'accès complet au fichier de manifeste.

L'utilitaire de vérification de l'intégrité installé avec l'application se trouve à l'emplacement suivant :

• pour la vérification du paquet de l'application, du paquet de l'interface utilisateur graphique et de l'Agent d'administration : /opt/kaspersky/kesl/bin/integrity_checker ;
• pour la vérification du plug-in d'administration Kaspersky Endpoint Security : dans le répertoire contenant les modules exécutables (DDL) du plug-in d'administration :
  • C:\Program Files\Kaspersky Lab\Kaspersky Security Center\Plugins\<version du plug-in>.linux.plg\integrity_checker.exe (pour systèmes d'exploitation 32 bits) ;
  • C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\Plugins\<version du plug-in>.linux.plg\integrity_checker.exe (pour systèmes d'exploitation 64 bits).

Les fichiers de manifeste se trouvent dans les emplacements suivants :

• /opt/kaspersky/kesl/bin/integrity_check.xml (pour la vérification de l'intégrité du paquet de l'application) ;
• /opt/kaspersky/kesl/bin/gui_integrity_check.xml (pour la vérification de l'intégrité du paquet de l'interface utilisateur graphique) ;
• /opt/kaspersky/klnagent/bin/kl_file_integrity_manifest.xml (pour l'analyse de l'Agent d'administration des systèmes d'exploitation 32 bits) ;
• /opt/kaspersky/klnagent64/bin/kl_file_integrity_manifest.xml (pour l'analyse de l'Agent d'administration des systèmes d'exploitation 64 bits).

Pour vérifier l'intégrité des composants d'application, exécutez la commande suivante :

• Pour vérifier l'intégrité du paquet de l'application et du paquet de l'interface utilisateur graphique :

  integrity_checker [<chemin vers le fichier de manifeste>] --signature-type kds-with-filename

• Pour vérifier le plug-in d'administration de Kaspersky Endpoint Security et de l'Agent d'administration :

  integrity_checker [<chemin vers le fichier de manifeste>]

Par défaut, le chemin d'accès utilisé est celui du fichier de manifeste situé dans le répertoire où se trouve l'utilitaire de vérification de l'intégrité.

Vous pouvez démarrer l'utilitaire avec les paramètres facultatifs suivants :

• --crl <répertoire> : chemin d'accès au répertoire contenant la liste des certificats révoqués (Certificate Revocation List).
• --version : affiche la version de l'utilitaire.
• --verbose : affichage détaillé des actions effectuées et des résultats. Si vous ne spécifiez pas ce paramètre, seules les erreurs, les objets qui n'ont pas réussi la vérification et les statistiques d'analyse récapitulative seront fournis.
• --trace <nom de fichier>, où <nom de fichier> est le nom du fichier dans lequel les événements avec le niveau de détail DEBUG qui se sont produits pendant l'analyse seront enregistrés.
• --signature-type kds-with-filename : type de signature à vérifier (ce paramètre est indispensable pour vérifier le paquet d'application, le paquet d'interface utilisateur graphique et l'Agent d'administration).
• --single-file <fichier> : vérifie un seul fichier inclus dans le manifeste ; les autres objets du manifeste sont ignorés.

Vous pouvez consulter la description de tous les paramètres disponibles pour l'utilitaire de vérification de l'intégrité en exécutant la commande integrity_checker --help.

Le résultat de la vérification du fichier de manifeste s'affiche de la manière suivante :

• SUCCEEDED : l'intégrité des fichiers est confirmée (code retour 0).
• FAILED : l'intégrité des fichiers n'est pas confirmée (le code retour n'est pas 0).

En cas de violation de l'intégrité de l'application ou de l'Agent d'administration lors du lancement de l'application, l'application Kaspersky Endpoint Security génère l'événement IntegrityCheckFailed dans le journal des événements et dans Kaspersky Security Center.