Dans ce cours sur les logiciels malveillants, les concepts de sécurité des systèmes d’information, nous allons voir en première partie les différents malwares qui existent, et dans une deuxième partie, les outils et méthodes pour :
prévenir et donc se protéger des menaces qu’ils représentent,
détecter et identifier si vous êtes infecté et si oui, par quel malware,
et enfin supprimer les logiciels malveillants et restaurer vos machines à leur état antérieur.
Les types de malwares
Virus
On commence avec les virus. Le type de malware que probablement tout le monde connaît et qui a pour caractéristique principale d’être capable de se reproduire par une ou plusieurs méthodes.
On parle alors d’infection, comme pour les virus du monde vivant.
Ils sont le plus souvent composés de trois parties:
Logiciel espion
Les spywares que l’on appelle en français logiciels espions ou mouchards sont des malwares ayant pour objectif de collecter des informations à l’insu de leurs victimes.
Les spywares peuvent espionner les habitudes d’un utilisateur, mais aussi ses données d’identification ou encore transmettre les images caméra ou les son micro d’un appareil portable.
Rançongiciel
Passons ensuite aux ransomwares ou rançongiciels qui sont des programmes malveillants ayant pour capacité de rendre des machines inutilisables.
Pour se faire, le ransomware chiffre une partie des données contenues sur un système. Le décryptage de ces données ne pouvant être effectué qu’en échange d’une rançon, le plus souvent sous forme de cryptomonnaie.
Généralement, les rançons servent à financer des organisations criminelles et c’est pour ça qu’il est conseillé de ne jamais payer une rançon!
Cheval de Troie
Par analogie au Cheval de Troie de la mythologie grecque, le trojan informatique vient introduire une application malveillante à l’insu de l’utilisateur. Pour se faire, le cybercriminel place en quelque sorte un morceau de code malveillant dans une application en laquelle la victime a confiance.
L’exécution de ce programme installe alors le logiciel malveillant, et le système est infecté sans que l’utilisateur ne s’en rende compte.
La charge utile, qui est la partie malveillante du cheval de Troie peut être un virus, un spyware, un keylogger etc…
Vers
Les worms, en français, vers informatiques, sont des logiciels malveillants ayant la capacité de se reproduire sur des réseaux par eux-mêmes, sans intervention d’un utilisateur.
On les différencie des virus qui eux nécessitent plus souvent d’une intervention humaine pour être installés, mais la frontière est souvent mince entre ces deux types de malwares.
Rootkit
Les rootkits font partie des menaces informatiques les plus difficiles à déceler.
Ils permettent à un cybercriminel de pouvoir avoir accès à un système sans le consentement de l’utilisateur par l’utilisation de backdoors.
Les rootkits peuvent résider dans le secteur d’amorçage du disque, dans des DLLs ou encore dans des logiciels existants, ils sont rarement détectables pour les antivirus et antimalware.
Botnet
Les bots, des robots en français, sont des logiciels malveillants permettant l’exécution d’instructions à distance.
Parfois plusieurs bots sont utilisés pour effectuer une attaque. On appelle ce groupe de robots un botnet, ou un réseau de robots.
L'usage courant des botnets concerne les attaques de type DDOS (qui signifie dénis de service) et qui ont pour but de nuire au bon fonctionnement d’un système, voire d'empêcher complètement son fonctionnement en envoyant une armée de robots pour saturer des serveurs par exemple.
Ils sont aussi utilisés pour relayer du SPAM ou des opérations de phishing.
Afin de contrôler la sécurité du réseau de bots, l'acteur malveillant utilise un système command & control en utilisant de canaux de la messagerie IRC. Le contrôle du botnet peut aussi s'effectuer via des canaux décentralisés tels que peer to peer, HTTP ou parfois même, des réseaux sociaux tels que Twitter.
Enregistreur de frappe
Et enfin, le keylogger soit, enregistreur de frappe en français, qui est une application qui enregistre les entrées d’un système dans le but de récupérer des informations personnelles, des identifiants, des mots de passe…
Ils existent sous la forme d'applications malveillantes, mais aussi sous forme physique tels que des clés USB ou des câbles USB.
Bien que nous les appelons enregistreur de frappe, beaucoup ont aussi la capacité de récupérer les informations sur la position du curseur de la souris, des clics, ou encore faire des captures d’écrans.
Outils et méthodes de prévention détection et suppression des malwares
Le meilleur moyen de ne pas être infecté par un malware c’est encore d'empêcher qu’il pénètre un de nos systèmes. Nous allons voir maintenant différentes méthodes pour prévenir, détecter et supprimer les malwares.
Anti-virus et anti-malware
Et on commence avec les Anti-Virus et les Anti-Malware.
Encore une fois, vous devez avoir un anti-virus. Il doit être toujours activé et configuré de sorte que la mise à jour des signatures soit régulière et fréquente.
Il y a encore quelque temps, les anti-virus et les anti-malwares étaient des logiciels différents, mais il n’est pas rare aujourd’hui de voir les antivirus s’occuper aussi des malwares.
Les anti-virus et anti-malware scannent constamment et en temps réel les fichiers qui transitent sur les ordinateurs, cela leur permet d’identifier instantanément si un logiciel malveillant est en train d’infecter votre système.
Une autre utilisation possible avec les anti-virus est de réaliser un scan complet. Ce type de scan vient vérifier l’intégralité des fichiers sur tous les disques afin d’identifier des menaces qui seraient passées au travers des filets de la surveillance en temps réel.
Enfin il est de bonne pratique de toujours avoir la base de données des signatures de virus et logiciels malveillants à jour. En effet, un logiciel malveillant exploitant une nouvelle faille de sécurité peut se propager extrêmement rapidement et le premier moyen d’identifier ces nouveaux virus sera le plus souvent au travers d’une mise à jour de la base de données de l’antivirus.
Firewalls logiciels
Les firewalls logiciels sont un très bon moyen de renforcer la sécurité en empêchant et en détectant un trafic qui pourrait être à risque.
En effet, le firewall vous protège des malwares et autres attaques en bloquant ou autorisant le trafic sur les ports, et si malgré tout, votre système est infecté, le firewall logiciel peut aussi permettre de bloquer les communications qu’il peut avoir avec l'extérieur. Eh oui, le malware installé sur votre machine peut avoir un système destiné à exfiltrer des documents, récupérer des identifiants mots de passe, ou encore avoir besoin de télécharger d'autres logiciels malveillants.
Le firewall vous permet donc d'empêcher le logiciel malveillant de communiquer avec des systèmes extérieurs à l’entreprise.
Vous connaissez déjà Windows Defender, le firewall logiciel installé par défaut sur Windows et assurent sa sécurité.
DNS sécurisé
Le DNS vous vous en souvenez, c’est un peu comme le répertoire téléphonique d’internet qui vous permet de taper des URL comme “www.google.fr” qui sont bien plus faciles à retenir qu’une adresse IP telle que “216.58.213.131” par exemple.
Et bien, un DNS sécurisé c’est globalement le même répertoire sauf qu’il dispose d’une liste noire de sites qui sont identifiés comme de sites à risque tels que:
Formation des utilisateurs
Nous allons maintenant aborder le sujet de la formation des utilisateurs.
En effet, le plus souvent, le point d’entrée pour un logiciel malveillant le plus facile à exploiter et bien, c’est l’utilisateur. Il peut être victime d’hameçonnage et communiquer des identifiants, ou bien cliquer sur un lien à risque ou encore télécharger une pièce jointe contenant un virus, et ce le plus souvent, sans s’en rendre compte.
Il est donc important de former les utilisateurs aux bonnes pratiques de sécurité, car le plus souvent ils sont juste inconscients des risques. Et leur présenter les différentes techniques d’ingénierie sociale et les différents types de malwares vous faciliteront la vie dans la gestion des risques de cybersécurité.
Console de récupération
Voyons ensuite la console de récupération de Windows, que l’on appelle Recovery Console en Anglais.
La console de récupération et bien c’est tout simplement un démarrage sur l’invite de commande. C’est un peu un mode sans échec, mais sans l’interface graphique.
Cela permet à l’administrateur système d’effectuer:
des opérations d’identification et de suppression des malwares,
éventuellement de backup
éventuellement de backup
de planifier des restaurations de disque ou de réparation de secteur de démarrage
En effet, en lançant uniquement l’invite de commande, on minimise le risque de lancer des logiciels potentiellement infectés.
Backup et restauration système
Le problème lors d’une infection avec un virus ou un vers ou tout autre logiciel malveillant, c’est qu’on n’est jamais sûr de pouvoir nettoyer un système à 100%.
La seule solution de la sécurité est alors de restaurer l'intégralité du système à partir d’un backup fiable. Sur Windows cette fonctionnalité s’appelle Backup and Restore et permet de créer des images système et de restaurer un système complet.
De plus, de nos jours, les attaques de rançongiciels sont très courantes. Si vous disposez de backups et d’images système que vous effectuez régulièrement, et bien, vous craindrez moins ces attaques, car vous serez en mesure de restaurer le système sans avoir à payer de rançon.
Plus de cours CompTIA A+
