Logiciels malveillants (Malwares :
malicious software)
On appelle "logiciels malveillants" divers codes
nuisibles, dont le...
malwaresUn virus informatique est un programme qui peut se copier et d'infecter un ordinateur sans le consentement ou la
c...
malwares
Un logiciel espion(spyware) est un type de malware qui est installé sur un ordinateur pour recueillir des
renseig...
Identification des Malware
La première étape de supprimer les logiciels malveillants détecte que vous avez. Parfois , il e...
spamLe courrier indésirable: spam (Pourriel ou junkers mail)
Définition
Le spamming correspond à l'envoi intempestif de co...
hoax
Hoax
On appelle hoax ou canular un email propageant de fausses informations en les passant pour vraies. Généralement
...
Cookie
• Lorsque vous utilisez un navigateur pour accéder à Internet, vous
pouvez être révéler des informations personnell...
Pour se Protéger
• WINDOWS DEFENDER & MSE
• Windows Defender est un logiciel de Microsoft qui vise à prévenir,
d'éliminer,...
Wsus & SCCM
• Service Windows Server Update (WSUS) ou System Center Configuration Manager
(SCCM) pour garder vos systèmes ...
User Account Control & Applocker• UAC
empêcher des logiciels malveillants (programmes malveillants) et des applications no...
mbsa
• MBSA(Microsoft Baseline Security Analyzer)
Est un outil logiciel publié par Microsoft afin de
déterminer l'état d'u...
Virus :
virus: il cherche à infecter, à la manière d'un parasite, les fichiers et il sera propagé par l'échange de ces der...
virusTypes de virus
Les virus mutants
En réalité, la plupart des virus sont des clones, ou plus exactement des «virus muta...
virusTypes de virus
Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accéder à l'e...
Types et modes opératoiresTypes et modes opératoires
Les chevaux de Troie se répartissent en plusieurs sous-catégories, et...
une porte dérobée
Parmi les motivations amenant les pirates informatiques à installer une porte dérobée :
- La possibilité...
rootkitRootkit
On nomme rootkit un programme ou ensemble de programmes permettant à un tiers (un pirate informatique, par ...
antivirus
- L'analyse heuristique :
C'est la méthode la plus puissante car elle permet de détecter d'éventuels virus
incon...
3 malwares
Prochain SlideShare
Chargement dans…5
×

3 malwares

943 vues

Publié le

spacl

Publié dans : Formation
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
943
Sur SlideShare
0
Issues des intégrations
0
Intégrations
292
Actions
Partages
0
Téléchargements
0
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

3 malwares

  1. 1. Logiciels malveillants (Malwares : malicious software) On appelle "logiciels malveillants" divers codes nuisibles, dont les virus, les vers ou encore les chevaux de Troie. Les logiciels malveillants destructeurs se propagent au moyen des outils de communication courants : se transmettent par courrier électronique et messagerie instantanée; infiltrent les fichiers à télécharger sur Internet; infectent des fichiers transmis par le biais de connexions P2P. De plus, les logiciels malveillants cherchent à exploiter les vulnérabilités existantes des systèmes pour pénétrer discrètement dans ces derniers. Les logiciels malveillants restent discrets : ils évitent de se manifester, voire se cachent délibérément sur le système
  2. 2. malwaresUn virus informatique est un programme qui peut se copier et d'infecter un ordinateur sans le consentement ou la connaissance de l'utilisateur . Les premiers virus ont généralement une certaine forme de code exécutable qui était caché dans le secteur de boot d'un disque ou d'un fichier exécutable (par exemple , un nom de fichier avec une extension. Exe ou l'extension de com . ). Plus tard , en tant que langues macro ont commencé à être utilisés dans des applications de logiciels ( tels que traitement de texte et tableurs ) , les créateurs de virus ont saisi sur cette technologie , l'intégration de macros malveillants dans des documents de divers types. Malheureusement, à cause du code de macro qui s’exécute automatiquement lorsqu'un document est ouvert, ces documents peuvent infecter d'autres fichiers et causer un large problème sur les systèmes informatiques concernés . Aujourd'hui , les sites Web représentent également une menace de virus, car ils peuvent être écrits dans différents langages de script et de programmation et peuvent inclure des programmes exécutables. Par conséquent, chaque fois que vous accédez à Internet, votre système est sous la menace constante de l'infection . Un ver(worm) est un programme d' autoréplication qui se copie à d'autres ordinateurs sur un réseau sans aucune intervention de l' utilisateur. Contrairement à un virus , un ver ne corrompre ni modifier des fichiers sur l'ordinateur cible. Mais , il consomme des ressources de bande passante et de processeur et de mémoire, ralentit le système ou l'amener à être inutilisable. Les vers se propagent généralement par des failles de sécurité dans les systèmes d'exploitation ou des protocoles TCP/IP. Les chevaux de Troie(Trojan) tirent leur nom de l'histoire de cheval de Troie dans la mythologie grecque . En bref, un cheval de Troie est un programme exécutable qui apparaît comme un programme utile. Les utilisateurs sont trompés dans le chargement et l'exécution du programme sur leurs systèmes. Après que le programme est chargé, il peut rendre l'ordinateur inutilisable, ou il pourrait contourner le système de sécurité de l'utilisateur, ce qui permet l’envoi des informations privées (y compris les mots de passe , numéros de carte de crédit , et numéro de sécurité sociale ). Dans certains cas , un cheval de Troie peut même exécuter des logiciels publicitaires.
  3. 3. malwares Un logiciel espion(spyware) est un type de malware qui est installé sur un ordinateur pour recueillir des renseignements personnels d'un utilisateur sur ses habitudes de navigation, souvent à l'insu de l'utilisateur. Les logiciels espions peuvent également installer des logiciels supplémentaires, rediriger votre navigateur vers d'autres sites, ou modifier votre page d'accueil. Un exemple de logiciel espion est le keylogger qui enregistre toutes les clés presses d'un utilisateur . L'adware est un logiciel qui joue automatiquement des publicités. Un rootkit(kit administrateur) est un logiciel conçu pour prendre le contrôle de niveau administrateur sur un système informatique sans être détecté. Les rootkits peuvent cibler le BIOS, hyperviseur, le chargeur de démarrage, le noyau, ou moins fréquemment, des bibliothèques ou des applications . Une porte dérobée (backdoor) est un programme qui donne à quelqu'un le contrôle à distance de façon non autorisé d'un système ou initie une tâche non autorisée. Certaines portes dérobées sont installés par des virus ou autres formes de malware. D'autres portes dérobées peuvent être créés par les programmes sur les applications commerciales ou avec une application personnalisée faite par une organisation. Les virus et les vers exploitent souvent ce qu'on appelle un dépassement de mémoire tampon . Dans tous les programmes d'application, y compris Windows lui-même, il y a des tampons qui contiennent des données. Ces tampons ont une taille fixe. Si trop de données sont envoyées à ces tampons, un buffer overflow se produit. Selon les données envoyées au débordement, un pirate peut être en mesure d'utiliser d'envoyer les mots de passe à lui- même; modifier les fichiers système ; installer des portes dérobées ou provoquer des erreurs sur un ordinateur.
  4. 4. Identification des Malware La première étape de supprimer les logiciels malveillants détecte que vous avez. Parfois , il est facile de voir que vous êtes infecté par des logiciels malveillants . D'autres fois, vous pouvez ne jamais savoir que vous l'avez. Certains symptômes les plus courants de logiciels malveillants sont les suivants : • les mauvaises performances du système • Les niveaux de mémoire disponible exceptionnellement bas •La mauvaise performance tout en étant connecté à Internet • Diminution des temps de réponses et démarrage • Les cas dans lesquels votre navigateur se ferme de façon inattendue ou cesse de répondre • Changements dans la page d’accueil ou moteur de recherche par défaut • apparition des fenêtres publicitaires inattendues ou des barres d'outils à votre navigateur • Démarrage programmes inattendus automatiquement • Impossibilité de démarrer un programme • Les dysfonctionnements dans les composants de Windows ou d'autres programmes • des programmes ou des fichiers manquants • des messages ou des écrans inhabituels sur votre moniteur • Création et / ou installation de programmes ou de fichiers inconnus • Les changements inattendus de la taille des fichiers Par exemple, quand votre machine Windows devient lent , vous pouvez lancer le Gestionnaire des tâches pour afficher l’utilisation du processeur et de la mémoire. Vous pouvez ensuite regarder les processus en cours pour voir quel processus est en utilisant la plus grande quantité de ressources de mémoire et de processeur.
  5. 5. spamLe courrier indésirable: spam (Pourriel ou junkers mail) Définition Le spamming correspond à l'envoi intempestif de courriers électroniques, publicitaires ou non, vers une adresse mail. Le spamming est une pollution du courrier légitime par une énorme masse de courrier indésirable non sollicité. On peut ainsi qualifier de spam les actes suivants: • écrire à un inconnu pour l‘inviter à visiter un site, • inclure un individu dans une liste de diffusion sans son consentement, • diffuser sur un forum de discussion des messages sans rapport avec le thème de ce dernier, • envoyer du courrier publicitaire non sollicité, le plus souvent pour des produits ambigus et/ou illégaux, D'où vient le spam? Il provient en fait d'un peu tout le monde! Du simple particulier qui veut faire de la publicité pour son site, jusqu'à la PME qui veut promouvoir ses produits à moindre coût, en passant par des individus ou organisations mal intentionnés. Généralement les grandes entreprises, pour des questions d'image et d'efficacité préfèrent qualifier leurs courriers électronique d'e-mail marketing. Il n'en reste pas moins que si le courrier est envoyé sans la sollicitation explicite de l'internaute, il s'agit bien de spam! Pourquoi le spamming est il si répandu? Le spamming ne coûte presque rien! L'achat de fichiers d'adresses ou de logiciels collecteurs d'adresses mail se fait à un coût dérisoire (quelques dizaines d'euros). L'envoi de courriers électroniques ne coûte pas grand chose non plus! Enfin, les retours sont nombreux. Par exemple, via l'envoi d'un courrier publicitaire non sollicité, même avec un taux de consultation faible, un envoi massif à plusieurs millions d'adresses génère quelques milliers de visites! Le bénéfice pour l'envoyeur est non négligeable. Que faire pour lutter contre le spam ? Il existe deux approches que l'on peut conseiller de combiner pour obtenir une meilleur protection: • l'approche préventive, • l'approche curative. Dans l'approche préventive, le principal conseil est de prendre des précautions afin de communiquer son adresse électronique avec prudence. C'est ainsi que l'inscription de son adresse électronique dans un formulaire (sur Internet ou pas) doit rester un acte réfléchi. D'autre part, lors de la création de contenu pour un site Internet, il est important de faire en sorte qu'aucune adresse électronique ne soit encodée sans artifice (par exemple avec du javascript) dans la page publiée car il serait alors très simple pour un logiciel spécialisé de la recueillir. Toutefois, il est évidemment impossible d'éviter de communiquer son adresse électronique (sinon, elle ne servirait d'ailleurs à rien!). Dans cette optique, on peut faire un usage intelligent des alias. Un alias correspond à une adresse de courrier électronique alternative pour laquelle tout courrier envoyé aboutit au sein de la boîte électronique associée à l'adresse de courrier principale. Par une utilisation intelligente de la fonctionnalité des alias, il est possible de réduire considérablement le courrier indésirable. En effet, lorsque l'alias est considéré comme trop pollué, on le supprime pour arrêter la réception du spam lié à cette adresse tout en conservant sa boîte électronique. La seconde approche permet une lutte contre le spam par le biais du filtrage du courrier électronique dès son arrivée. Ce filtrage peut avoir lieu à deux moments différents: à la réception du courrier électronique par le serveur de courrier, à la réception du courrier électronique par le client de messagerie électronique (Outlook par exemple).
  6. 6. hoax Hoax On appelle hoax ou canular un email propageant de fausses informations en les passant pour vraies. Généralement le destinataire du courrier se voit incité à diffuser cette nouvelle à toutes ses connaissances. Le problème est que de plus en plus de personnes ne vérifient pas les informations que contiennent ces hoax. Ils les transmettent alors à leurs connaissances. Le but des hoax est de provoquer la satisfaction de la personne l'ayant envoyé d'avoir trompé des millions de personnes. Leurs conséquences sont nombreuses : Ils engorgent les réseaux en consommant inutilement de la bande passante et des ressources serveur. Ils encombrent les boîtes mail et donc nous font perdre du temps de téléchargement lors de la réception des mails Ils véhiculent de fausses informations en les faisant passer pour vraies. Certaines règles de bases sont ainsi applicables avant de poster un message sur internet : Indiquer un lien valide menant à l'information contenue dans le mail prouvant sa véracité. Laisser un mail de contact valide Pour éviter de se faire piéger par les hoaxs et distinguer les faux mails des vrais, voici quelques notions simples : Toute information reçue par mail qui ne contient pas de lien hypertexte ou de mail de contact doit être reléguée au rang de hoax. Tout mail insistant dans le message sur le fait qu'il est très important de donner l'information à toutes vos connaissances (ex : "n'oubliez pas d'avertir vos connaissances en leur envoyant une copie du message") sont à bannir. N'hésitez pas à vérifier l'information sur un site spécialisé ou d'actualités.
  7. 7. Cookie • Lorsque vous utilisez un navigateur pour accéder à Internet, vous pouvez être révéler des informations personnelles et beaucoup sur votre personnalité. Par conséquent, vous devez prendre des mesures pour veiller à ce que cette information ne peut pas être lu ou utilisé à votre insu. • Un cookie est un morceau de texte stocké par le navigateur Web d'un utilisateur. Ce fichier peut être utilisé pour différents fins, y compris l'identification de l'utilisateur, l'authentification et préférences de stockage du site et le panier d’achat. Bien que les cookies peuvent donner au site beaucoup plus de capacité, ils peuvent également être utilisés par les programmes et les sites de logiciels espions pour suivre les personnes. Malheureusement, certains sites ne fonctionneront pas sans cookies, • Envoi des cookies au serveur Lorsqu'un client se connecte à un site (donc au serveur), les cookies pour le domaine et le chemin spécifié sont automatiquement envoyés dans les en-têtes de la requête HTTP.
  8. 8. Pour se Protéger • WINDOWS DEFENDER & MSE • Windows Defender est un logiciel de Microsoft qui vise à prévenir, d'éliminer, et la mise en quarantaine des logiciels espions dans Microsoft Windows. Ce programme aidera à protéger votre ordinateur contre les pop-ups, un ralentissement des performances et les menaces engendrées par les logiciels espions et autres logiciels indésirables en détectant et en supprimant les logiciels espions connus partir de votre ordinateur. Defender offre une protection en temps réel, un système de surveillance qui recommande des actions contre logiciels espions dès qu'il est détecté, et un minimum d'interruptions pour vous aider à rester productif. Bien sûr, comme avec n'importe quel paquet d'antivirus, vous devez garder Windows Defender à jour • Microsoft propose Microsoft Security Essentials (MSE), un logiciel antivirus gratuit qui offre une protection contre les logiciels malveillants, y compris les virus, les rootkits, les logiciels espions et chevaux de Troie.
  9. 9. Wsus & SCCM • Service Windows Server Update (WSUS) ou System Center Configuration Manager (SCCM) pour garder vos systèmes à jour. L'avantage d'utiliser l'un de ces deux systèmes est qu'il vous permet de tester le patch, de planifier les mises à jour, et de hiérarchiser les mises à jour des clients. Une fois que vous déterminez un patch est sûr, vous pouvez l'activer pour le déploiement. • Microsoft publie régulièrement des mises à jour de sécurité le deuxième mardi de chaque mois, communément connu comme la plupart des autres mises à jour sont publiées au besoin "Patch Tuesday".; ceux-ci sont connus comme "hors bande" mises à jour. Parce que les ordinateurs sont souvent utilisés comme systèmes de production, vous devez tester les mises à jour afin de s'assurer qu'ils ne causent pas de problèmes pour vous. Bien que Microsoft effectue des tests intensifs, de temps en temps des problèmes surviennent, que ce soit un bug ou un problème de compatibilité avec des logiciels tiers. Par conséquent, assurez-vous toujours que vous avez une bonne sauvegarde de votre système et les fichiers de données avant d'installer les correctifs afin que vous ayez un plan de secours si nécessaire. • WSUS (Windows Server Update Services) est un service permettant de distribuer les mises à jour de Windows et d'autres applications Microsoft sur les différentes machines Windows d'un parc informatique. WSUS est un serveur de mises à jour local (ou proxy de mises à jour) qui se synchronise avec le site public Microsoft Update et permet de contrôler la diffusion des mises à jour dans le parc.
  10. 10. User Account Control & Applocker• UAC empêcher des logiciels malveillants (programmes malveillants) et des applications non prises en charge d'affecter les ordinateurs dans votre environnement; empêcher des utilisateurs d'installer et d'utiliser des applications non autorisées ; implémenter une stratégie de contrôle des applications pour respecter les exigences en matière de stratégie de sécurité ou de conformité dans votre organisation. • Stratégies de restriction logicielle Les administrateurs peuvent utiliser des stratégies de restriction logicielle pour permettre l'exécution du logiciel. À l'aide d'une stratégie de restriction logicielle, un administrateur peut empêcher les programmes indésirables de s'exécuter. Cela inclut les virus et les chevaux de Troie ou d'autres logiciels qui sont connue pour provoquer des problèmes. • AppLocker AppLocker est une nouvelle fonctionnalité dans Windows 7 et Windows Server 2008 R2 qui remplace les stratégies de restriction logicielle. AppLocker contient de nouvelles fonctions et extensions qui réduisent la charge administrative, et qui permettent aux administrateurs de contrôler la façon dont les utilisateurs accèdent aux fichiers (notamment les fichiers exécutables, les scripts, les fichiers Windows Installer et les DLL) et les utilisent. AppLocker vous permet d’effectuer les tâches suivantes : Définir des règles basées sur des attributs de fichier dérivés de la signature numérique, y compris l’éditeur, le nom du produit, le nom du fichier et la version du fichier. Par exemple, vous pouvez créer des règles basées sur l’attribut d’éditeur qui est persistant après des mises à jour, ou vous pouvez créer des règles pour une version spécifique d’un fichier. Affecter une règle à un groupe de sécurité ou à un utilisateur individuel. Créer des exceptions aux règles. Par exemple, vous pouvez créer une règle qui autorise l’exécution de tous les processus Windows, à l’exception de l’Éditeur du Registre (Regedit.exe). Utiliser le mode d’audit uniquement pour déployer la stratégie et comprendre son impact avant de l’appliquer. Importer et exporter des règles. L’importation et l’exportation affectent la stratégie dans son intégralité. Par exemple, si vous exportez une stratégie, toutes les règles de l’ensemble des regroupements de règles sont exportées, y compris les paramètres d’application pour les regroupements de règles. Si vous importez une stratégie, la stratégie existante est remplacée. Simplifier la création et la gestion de règles AppLocker à l’aide d’applets de commande PowerShell AppLocker.
  11. 11. mbsa • MBSA(Microsoft Baseline Security Analyzer) Est un outil logiciel publié par Microsoft afin de déterminer l'état d'un système de sécurité en évaluant des mises à jour manquantes et les paramètres de sécurité dans les composants Microsoft Windows tels que Internet Explorer, le serveur Web IIS, et des produits tels que Microsoft SQL Server et les paramètres macro Microsoft Office.
  12. 12. Virus : virus: il cherche à infecter, à la manière d'un parasite, les fichiers et il sera propagé par l'échange de ces derniers, worm (ver): il utilise la station informatique infectée pour tenter de pénétrer dans d'autres stations informatiques. Il se suffit à lui-même et n'a donc pas besoin d’un programme hôte pour se reproduire. Les virus Au sens strict, un virus informatique est un programme informatique écrit dans le but de se propager à d'autres ordinateurs en s'insérant dans des programmes légitimes appelés « hôtes ». Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'Internet, mais aussi les disquettes, les cédéroms, les clefs USB, etc. Les virus informatiques ne doivent pas être confondus avec les vers qui sont des programmes capables de se propager et de se dupliquer par leurs propres moyens sans contaminer de programme hôte. Les vers (worm) Ils se répandent dans le courrier électronique en profitant des failles des différents logiciels de messagerie. Dès qu'ils ont infecté un ordinateur, ils s'envoient eux-mêmes à des adresses contenues dans tout le carnet d'adresses, ce qui fait que l'on reçoit ce virus de personnes connues. Au début, les virus, traditionnellement contractés par échange de disquettes, visaient essentiellement à détruire des fichiers, voire à rendre un ordinateur inutilisable, obligeant son propriétaire à tout réinstaller. Aujourd'hui, la menace virale est toute autre: la plupart des virus et worms actuels utilisent Internet et le courrier électronique pour se propager sous la forme de pièces jointes et infecter ainsi un grand nombre d'ordinateurs. Pour cela, ils utilisent souvent le ou les répertoire(s) d'adresses électroniques (e-mails) disponibles sur l'ordinateur infecté. Dans d'autres cas, ils utilisent les pages en mémoire dans le browser et y cherchent des adresses e-mails. Certains joignent même à leur missive fatale un document pris au hasard sur un ordinateur.
  13. 13. virusTypes de virus Les virus mutants En réalité, la plupart des virus sont des clones, ou plus exactement des «virus mutants», c'est-à-dire des virus ayant été réécrits par d'autres utilisateurs afin d'en modifier leur comportement ou leur signature. Le fait qu'il existe plusieurs versions (on parle de variantes) d'un même virus le rend d'autant plus difficile à repérer dans la mesure où les éditeurs d'antivirus doivent ajouter ces nouvelles signatures à leurs bases de données. Les virus polymorphes Dans la mesure où les antivirus détectent notamment les virus grâce à leur signature (la succession de bits qui les identifie), certains créateurs de virus ont pensé à leur donner la possibilité de modifier automatiquement leur apparence, tel un caméléon, en dotant les virus de fonction de chiffrement et de déchiffrement de leur signature, de façon à ce que seuls ces virus soient capables de reconnaître leur propre signature. Ce type de virus est appelé «virus polymorphe» (mot provenant du grec signifiant «qui peut prendre plusieurs formes»). Les rétrovirus On appelle « rétrovirus » ou « virus flibustier » (en anglais bounty hunter) un virus ayant la capacité de modifier les signatures des antivirus afin de les rendre inopérants. Les virus de secteur d'amorçage On appelle « virus de secteur d'amorçage » (ou virus de boot), un virus capable d'infecter le secteur de démarrage d'un disque dur (MBR, soit master boot record), c'est-à-dire un secteur du disque copié dans la mémoire au démarrage de l'ordinateur, puis exécuté afin d'amorcer le démarrage du système d'exploitation. Les virus trans-applicatifs (virus macros) Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de script commun pouvant être inséré dans la plupart des documents pouvant contenir des macros, il s'agit de VBScript, un sous-ensemble de Visual Basic. Ces virus arrivent actuellement à infecter les macros des documents Microsoft Office, c'est-à-dire qu'un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows). Or, de plus en plus d'applications supportent Visual Basic, ces virus peuvent donc être imaginables sur de nombreuses autres applications supportant le VBScript. Le début du troisième millénaire a été marqué par l'apparition à grande fréquence de scripts Visual Basic diffusés par mail en fichier attaché (repérables grâce à leur extension .VBS) avec un titre de mail poussant à ouvrir le cadeau empoisonné. Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accéder à l'ensemble du carnet d'adresse et de s'auto- diffuser par le réseau. Ce type de virus est appelé ver (ou worm en anglais).
  14. 14. virusTypes de virus Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accéder à l'ensemble du carnet d'adresse et de s'auto- diffuser par le réseau. Ce type de virus est appelé ver (ou worm en anglais). Les adwares (logiciels publicitaires), pop-ups et quelques cookies, sont parfois considérés comme des spywares car ils peuvent fonctionner sans le consentement de l’utilisateur. À la différence des spywares purs, certains adwares ne transmettent pas de données personnelles à leurs créateurs, ils ne font qu’afficher des bannières publicitaires, tout de même incommodes. Ils sont utilisés, le plus souvent, comme source de financement pour les éditeurs de freewares (logiciels gratuits), dans lesquels ils sont incorporés. Cependant, due à leur nature « envahissante » et au fait qu’ils utilisent très souvent les données collectées pour choisir le type de publicité à afficher, les adwares sont classés par certaines personnes comme des spywares. Les foistwares, sont quant à eux des logiciels qui installent des applications supplémentaires au logiciel principal, en faisant croire à l’utilisateur qu’elles sont nécessaires au bon fonctionnement de celui-ci. Les hijackers sont des logiciels qui « détournent » les réglages systèmes, le plus souvent ceux du navigateur. Ils modifient, entre autres, les pages d’accueil et de recherche. Une backdoor(porte dérobée) est un programme donnant accès à un ordinateur sans tenir compte des règles de sécurité imposées. Les chevaux de Troie (Trojan horses) Ces programmes prétendent être légitimes (souvent de petits jeux ou utilitaires), mais comportent des routines nuisibles exécutées sans l'autorisation de l'utilisateur. On confond souvent les chevaux de Troie avec les backdoors. Ces derniers sont en effet une catégorie de chevaux de Troie, mais pas la seule. Les backdoors prennent le contrôle de l'ordinateur et permettent à quelqu'un de l'extérieur de le contrôler par le biais d'Internet. Les chevaux de Troie ne sont pas des virus car ils leur manquent la fonction de reproduction, essentielle pour qu'un programme puisse être considéré comme un virus.
  15. 15. Types et modes opératoiresTypes et modes opératoires Les chevaux de Troie se répartissent en plusieurs sous-catégories, et ont chacune leur mode de fonctionnement : Les portes dérobées voir au-dessous. Les chevaux de Troie PSW recherchent les fichiers système qui contiennent des informations confidentielles (comme les mots de passe, les détails du système, les adresses IP, les mots de passe pour les jeux en ligne, etc.) puis envoient les données recueillies à la personne mal- intentionnée par mail. Les chevaux de Troie cliqueurs redirigent les utilisateurs vers des sites Web ou d'autres ressources Internet. Pour cela, ils peuvent notamment détourner le fichier hosts (sous Windows). Ils ont pour but d'augmenter le trafic sur un site Web, à des fins publicitaires ; d'organiser une attaque par déni de service ; ou de conduire le navigateur web vers une ressource infectée (par des virus, chevaux de Troie, etc.). Les chevaux de Troie droppers installent d'autres logiciels malveillants à l'insu de l'utilisateur. Le dropper contient un code permettant l'installation et l'exécution de tous les fichiers qui constituent la charge utile. Il l'installe sans afficher d'avertissement ou de message d'erreur (dans un fichier archivé ou dans le système d'exploitation). Cette charge utile renferme généralement d'autres chevaux de Troie et un canular (blagues, jeux, images, etc.), qui lui, a pour but de détourner l'attention de l'utilisateur ou à lui faire croire que l'activité du dropper est inoffensive. Les chevaux de Troie proxy servent de serveur proxy. Ils sont particulièrement utilisées pour diffuser massivement des messages électroniques de spam. Les chevaux de Troie espions sont des logiciels espions et des d'enregistrement des frappes, qui surveillent et enregistrent les activités de l'utilisateur sur l'ordinateur, puis transmettent les informations obtenues (frappes du clavier, captures d'écran, journal des applications actives, etc.) à l'attaquant. Les chevaux de Troie notificateurs sont inclus dans la plupart des chevaux de Troie. Ils confirment à leurs auteurs la réussite d'une infection et leur envoient (par mail ou ICQ) des informations dérobées (adresse IP, ports ouverts, adresses de courrier électronique, etc.) sur l'ordinateur attaqué. Les bombes d'archives sont des fichiers archivés infectés, codés pour saboter l'utilitaire de décompression (par exemple, Winrar ou Winzip) qui tente de l'ouvrir. Son explosion entraîne le ralentissement ou le plantage de l'ordinateur, et peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs. Les Man in the Browser (en) infectent les navigateurs web. Les portes dérobées (backdoor) Une porte dérobée peut être introduite soit par le développeur du logiciel, soit par un tiers, typiquement un pirate informatique. La personne connaissant la porte dérobée peut l'utiliser pour surveiller les activités du logiciel, voire en prendre le contrôle (par contournement de l'authentification). Parmi les motivations amenant les développeurs de logiciel à créer des portes dérobées, il y a : - L'intérêt pratique d'un accès facile et toujours ouvert au logiciel pour pouvoir mener efficacement les actions de maintenance. - La possibilité de désactiver subrepticement le logiciel en cas de désaccord avec son client (non-paiement de licence). Parmi les motivations amenant les pirates informatiques à installer une porte dérobée : - La possibilité de surveiller ce que fait l'utilisateur légitime et de copier ou détruire des données ayant une valeur (mots de passe, clé privée pour déchiffrer des messages privés, coordonnées bancaires, secrets commerciaux).
  16. 16. une porte dérobée Parmi les motivations amenant les pirates informatiques à installer une porte dérobée : - La possibilité de surveiller ce que fait l'utilisateur légitime et de copier ou détruire des données ayant une valeur (mots de passe, clé privée pour déchiffrer des messages privés, coordonnées bancaires, secrets commerciaux). - La possibilité de prendre le contrôle d'un ordinateur et de pouvoir l'utiliser pour mener des actions malfaisantes (envoi de pourriels notamment pour l'hameçonnage, de virus informatiques, déni de service). - Le contrôle d'un vaste réseau d'ordinateurs (voir botnet), qui peut être utilisé pour du chantage au déni de service distribué (DDoS), ou revendu à des criminels. spyware (spyware) Terme général utilisé pour les programmes qui surveillent secrètement les activités que vous réalisez sur votre ordinateur. Les programmes de spyware recueillent des données personnelles comme des mots de passe, des noms d'utilisateur, des numéros de compte, etc. Certains spywares se concentrent sur la surveillance du comportement d'une personne sur Internet. Ce type de spyware suit souvent les sites que vous visitez et vos activités sur le Web. Le spyware transmet ensuite les informations à un autre ordinateur, généralement à des fins de publicité. Tandis qu'un pare-feu peut bloquer les transactions en ligne d'un programme de spyware, un programme antivirus peut identifier et supprimer cette menace. Les symptômes La présence d’un spyware sur une machine infectée ne passe pas inaperçue à l’utilisateur. Les différents symptômes pouvant survenir sont : • Diminution des performances de la machine • Affichage de messages d’erreur aléatoires • Apparition d’icônes inconnus sur le bureau • Modification des paramètres du navigateur (page d’accueil, page de recherche, …) • Ajout de nouvelles barres d’outils (dans le navigateur ou sur le bureau) • Redirection vers des sites non souhaités • Affichage de fenêtres publicitaires Si l’un de ces symptômes est vérifié sur votre machine, il se pourrait bien qu’elle soit infectée. A l’instar des virus, les spywares ne cherchent pas à se reproduire, ce qui est à l’origine de leur pseudo légalité. Ils utilisent, donc, d’autres méthodes d’infection.
  17. 17. rootkitRootkit On nomme rootkit un programme ou ensemble de programmes permettant à un tiers (un pirate informatique, par exemple, mais pas nécessairement) de maintenir - dans le temps - un accès frauduleux à un système informatique. Principe d'un rootkit Un rootkit s'utilise après une intrusion et l'installation d'une porte dérobée afin de camoufler tous les changements effectués lors de l'intrusion. C'est comme cela que l'on peut préserver l'accès à la machine un maximum de temps. Les rootkits sont ainsi difficilement détectables et seule une analyse forensique approfondie peut en révéler la présence. Rôle du rootkit La fonction principale du « rootkit » est de camoufler la mise en place d’une ou plusieurs « portes dérobées ». Ces portes dérobées (utilisables en local ou à distance) permettent au pirate de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille avec laquelle il a pu obtenir l’accès frauduleux initial, qui serait tôt ou tard comblée. Les « rootkit » opèrent une suite de modifications, notamment au niveau des commandes système, voire du noyau (kernel). À la différence d'un virus informatique ou un ver de nouvelle génération, un « rootkit » ne se réplique pas. L’installation d’un « rootkit » nécessite des droits administrateur sur la machine, notamment à cause des modifications profondes du système qu’il engendre. Cela signifie que le pirate doit initialement disposer d’un accès frauduleux, avec les droits du « root » sous Linux par exemple, afin de mettre en place son « rootkit ». Un « rootkit » ne permet pas en tant que tel de s’introduire de manière frauduleuse sur une machine saine. En revanche, certains « rootkit » permettent la collecte des mots de passe qui transitent par la machine « corrompue ». Ainsi, un « rootkit » peut indirectement donner l’accès à d’autres machines. Certains « rootkit » sont également livrés avec des collections d’« exploits », ces petits bouts de code dédiés à l’exploitation d’une faille bien déterminée. Le but est d’aider les pirates dans leur conquête de machines encore vierges. Un «rootkit» a pour but principal la furtivité, il permet par exemple de cacher certains processus, certains fichiers et clefs de registre, etc. Il opère au niveau du noyau (la plupart du temps chargé en tant que driver) et peut donc tromper à sa guise les programmes qui sont exécutés en mode utilisateur (antivirus, firewalls). Le rootkit est souvent couplé à d'autres programmes tel qu'un sniffeur de frappe, de paquets... Le « rootkit » n’a de raison d’être que si une faille est présente, si les conditions sont réunies pour que son exploitation soit réussie et si elle permet un accès avec les droits administrateur. Donc pas de faille, pas de rootkit. Le meilleur moyen de se protéger des rootkit est de se prémunir contre les failles. Si jamais vous avez attrapé un de ces “rootkits” il ne vous reste rien d’autre à faire que de réinstaller votre système d’exploitation Comment fonctionne un antivirus ? Un antivirus est un logiciel qui a pour but de détecter et éventuellement d'éradiquer les virus présents dans un ordinateur, et de prendre des mesures pour les empêcher de nuire. Il vérifie les fichiers et les courriers électroniques. Pour détecter un virus, il se sert de plusieurs techniques : - La signature : Cette méthode consiste à analyser le disque dur à la recherche de la signature du virus, qui est présente dans la base de données du logiciel, si celui ci est à jour et si il connaît ce virus. La signature est un morceau de code du virus qui permet de l'identifier. Cette méthode est la plus utilisée. Exemple : X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Si vous copiez ces lignes dans un fichier texte et vous l'enregistrez en tant qu'exécutable avec une extension .com, votre antivirus le détectera comme un virus, car ces codes sont enregistrés dans sa base.
  18. 18. antivirus - L'analyse heuristique : C'est la méthode la plus puissante car elle permet de détecter d'éventuels virus inconnus par votre antivirus. Elle cherche à détecter la présence d'un virus en analysant le code d'un programme inconnu (en simulant son fonctionnement ). Elle provoque parfois de fausses alertes. - Le comportement : L'antivirus surveille en permanence le comportement des logiciels actifs (si il est en fonctionnement et que la protection automatique est activée). Il analyse tous les fichiers modifiés et crées. En cas d'anomalie, il avertit l'utilisateur par un message explicite. Cette méthode n'est jamais utilisée seule et vient en complément de l'une des deux premières. Cette protection est indispensable lorsque vous surfez sur internet. Lorsque l'antivirus à détecté un virus, il offre trois possibilités à l'utilisateur. Réparer le fichier : L'antivirus doit être capable de réparer un fichier atteint. Mais ce n'est pas toujours possible. Supprimer le fichier : Si l'antivirus n'est pas capable de supprimer le fichier, vous pouvez le supprimer. Je vous conseille cette option si le fichier n'est pas important, sinon, mettez le en quarantaine. La mise en quarantaine : C'est une solution d'attente. L'antivirus place le fichier dans un dossier sûr du disque dur. Lorsque l'antivirus sera capable de réparer le fichier, vous pourrez extraire le fichier du dossier et le réparer.

×