Notions de sécurité informatique.

Les logiciels malveillants

Un logiciel malveillant (ou maliciel ou encore pourriciel de l’anglais malware), est un programme développé dans le but de nuire à un ordinateur, sans le consentement de l’utilisateur de l’ordinateur infecté.

Ces programmes sont capables de subtiliser des informations confidentielles sur votre ordinateur, de ralentir progressivement son fonctionnement ou même d’envoyer, à votre insu, des e-mails falsifiés à partir de votre compte de messagerie.

Le terme « virus » est souvent employé à tort, pour désigner toutes sortes de logiciels malveillants.

Types de logiciels malveillants

Virus informatique : Un virus informatique se reproduit d’un fichier à un autre sur le même ordinateur. C’est le type de logiciel malveillant Internet le plus ancien et le plus répandu.

Ver informatique (worm) : Un ver informatique (worm en anglais) ne se reproduit pas d’un fichier à un autre mais d’un ordinateur à un autre, via un réseau local ou le réseau Internet.

Cheval de Troie (trojan) : Un cheval de Troie (trojan en anglais) cache un logiciel malveillant, appelé charge utile, dans un autre programme parfaitement sain. Souvent un cheval de Troie installe sur un ordinateur victime une porte dérobée (backdoor) ou
un keylogger. Le cheval de Troie est une catégorie de logiciel malveillant très discret. L’utilisateur victime ne s’apercevra jamais de rien sans un bon logiciel de protection.

Porte dérobée (backdoor) : Une porte dérobée permet d’accéder à un ordinateur distant sans que son utilisateur s’en aperçoive. Ce logiciel donne au pirate la possibilité de lire les fichiers de l’ordinateur distant, les modifier, les supprimer. Et d’installer n’importe quel programme malveillant.

Comme exemple de ce type de logiciel malveillant Internet, on trouve un serveur de spam. Ou un programme de saturation de site Web. L’ordinateur infecté devient nuisible à l’insu de son utilisateur : on appelle cela un zombie.

Keylogger (enregistreur de frappe) : Un keylogger enregistre toutes les touches frappées au clavier sur l’ordinateur infecté. Et les envoie au pirate sur Internet (par exemple par email). Souvent il a pour but d’intercepter les pseudonymes et mots de passe de la victime sur des sites Web. Ainsi le pirate peut usurper son « identité virtuelle », voire voler son argent sur des sites financiers (banque, enchères en ligne …).

Rootkit (programme invisible) : Un rootkit est un programme qui en cache un autre aux yeux de l’utilisateur de l’ordinateur. Même s’il n’est pas nuisible en tant que tel, il est souvent utilisé à des fins malveillantes. Cette catégorie de malware s’incruste profondément dans le système d’exploitation au point que les logiciels de protection ont souvent du mal à les détecter.

Spyware (logiciel espion ou mouchard) : Un spyware, ou logiciel espion, enregistre les habitudes de navigation sur le Web de l’utilisateur, si possible avec ses coordonnées, et les envoie au destinataire pirate.

Rogue (faux antivirus ou faux anti-spyware) : Un rogue est un faux antivirus ou un faux anti-spyware, qui se manifeste sous la forme d’une fenêtre publicitaire. En effet elle s’ouvre sans arrêt, prévenant d’une soi-disant infection, et propose à l’utilisateur de télécharger un programme payant pour « désinfecter » l’ordinateur. Ainsi la fenêtre publicitaire s’ouvre régulièrement jusqu’à ce que la victime achète le faux antivirus. Un rogue est tout simplement une arnaque.

Dialer (composeur de numéro de téléphone) : Un dialer (composeur de numéro de téléphone) cherche à composer un numéro de téléphone surtaxé sur votre modem téléphonique. Le pirate se rémunère par une commission sur le prix de l’appel surtaxé.

RansomWare : Un RansomWare ou rançongiciel est un logiciel rançonneur cryptant certains fichiers sur l’ordinateur de la victime. Ensuite le rançonneur propose la clé de décryptage contre de l’argent, autrement dit pour récupérer ses fichiers il faut payer une rançon.

Bombes logiques : Sont appelés bombes logiques les logiciels dont le déclenchement s’effectue à un moment déterminé en exploitant la date du système, le lancement d’une commande, ou n’importe quel appel au système.

Autres types d’attaques sur Internet

Spam : On appelle spam ou pollupostage (les termes pourriel, courrier indésirable ou junk mail sont parfois également utilisés) l’envoi massif de courrier électronique (souvent de nature publicitaire) à des destinataires ne l’ayant pas sollicité.

Attaques par déni de service : Une attaque par déni de service (DoS, Denial of Service) est un type d’attaque visant à rendre indisponible pendant un temps indéterminé les services ou ressources d’une organisation.

Attaque par ingénierie sociale (social engineering en anglais) :L’ingénierie sociale regroupe des technique utilisées par les cybercriminels pour inciter des utilisateurs peu méfiants à leur envoyer leurs données confidentielles, infectant ainsi leurs ordinateurs avec des programmes malveillants ou ouvrant des liens vers des sites infectés. Par ailleurs, les pirates informatiques peuvent tenter d’exploiter le manque de connaissances d’un utilisateur.

Types de virus

Virus mutants : Ce sont des clones, c’est-à-dire des virus ayant été réécrits par d’autres utilisateurs afin d’en modifier leur comportement ou leur signature.

Virus polymorphes : Dans la mesure où les antivirus détectent notamment les virus grâce à leur signature (la succession de bits qui les identifie), certains créateurs de virus ont pensé à leur donner la possibilité de modifier automatiquement leur apparence, tel un caméléon.

Rétrovirus : On appelle rétrovirus ou virus flibustier (bounty hunter) un virus ayant la capacité de modifier les signatures des antivirus afin de les rendre inopérants.

Virus de secteur d’amorçage : On appelle virus de secteur d’amorçage (ou virus de boot), un virus capable d’infecter le
secteur de démarrage d’un disque dur (MBR, Master Boot Record).

Virus trans-applicatifs (virus de macros) : Ces virus ont connu leurs heures de « gloire » avec notamment, les anciennes versions de la suite bureautique de Microsoft. De tel virus pouvaient être situé à l’intérieur d’un banal document Word ou Excel, et exécuter une portion de code à l’ouverture de celui-ci lui permettant d’une part de se propager dans les fichiers, mais aussi d’accéder au système
d’exploitation (généralement Windows).

Les dispositifs de sécurité

1) Antivirus

L’antivirus est un programme capable de détecter la présence de malware (logiciels malveillants) sur un ordinateur et, dans la mesure du possible, de désinfecter ce dernier. On parle ainsi d’éradication de virus pour désigner la procédure de nettoyage de l’ordinateur.
Détection des malwares

La Recherche de signature virale: Les antivirus s’appuient ainsi sur la signature propre à chaque malware pour les détecter. Il s’agit de la méthode de recherche de signature (scanning), la plus ancienne méthode utilisée par les anti-virus. Cette méthode n’est fiable que si l’antivirus est à jour.

Contrôle d’intégrité : Certains antivirus utilisent un contrôleur d’intégrité pour vérifier si les fichiers ont été modifiés. Ainsi, lorsqu’un fichier exécutable change de caractéristiques, l’antivirus prévient l’utilisateur de la machine.

Identification des fichiers sains : Certains antivirus utilisent aussi une base de données de signatures (hash) de fichiers sains. Ainsi, le moteur de l’antivirus n’est plus obligé de suivre les activités de programmes connues comme faisant parti du système ou d’une application courante.

Analyse des comportements : La méthode heuristique consiste à analyser le comportement des applications afin de détecter une activité proche de celle d’un malware connu.

Éradication: 

Il existe plusieurs méthodes d’éradication :

  • la suppression du code correspondant au virus dans le fichier infecté ;
  • la suppression du fichier infecté ;
  • la mise en quarantaine du fichier infecté, consistant à le déplacer dans un emplacement où il ne pourra pas être exécuté.

2) Système pare-feu (firewall)

Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall), est un système permettant de protéger un ordinateur, ou un réseau d’ordinateurs, des intrusions provenant d’un réseau tiers (notamment Internet).
 

3) Serveurs mandataires (proxy)

Un serveur proxy (traduction française de proxy server, appelé aussi serveur mandataire) est à l’origine une machine faisant fonction d’intermédiaire entre les ordinateurs d’un réseau local (utilisant parfois des protocoles autres que le protocole TCP/IP) et Internet. Il permet de filtrer les donnés échangées entre Internet et les utilisateurs. Il permet aussi aux utilisateurs de s’identifier (login) à l’aide d’un nom d’utilisateur et mot de passe.

4) Systèmes de détection d’intrusions

On appelle IDS (Intrusion Detection System) un mécanisme écoutant le trafic réseau de manière furtive afin de repérer des activités anormales ou suspectes et permettant ainsi d’avoir une action de prévention sur les risques d’intrusion.

5) Réseaux privés virtuels

En informatique, un réseau privé virtuel, abrégé VPN – Virtual Private Network ), est un système permettant de créer un lien direct entre des ordinateurs distants, qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics.

Patrick Tshiama Mulomba
Les derniers articles par Patrick Tshiama Mulomba (tout voir)
error: Contenu protégé