Techn'o'Matic

Comme vous avez déjà pu le voir dans la courte liste ci-dessus, il y a énormément de types de malwares différents.

- Les Spywares (ou logiciels espions, ou encore espiogiciels) : Ce type de virus s'occupe de récupérer de nombreuses informations sur l'utilisateur (mots de passe, données bancaires et tout un tas d'autres choses). Ils se chargeront ensuite d'envoyer toutes ces informations à un serveur distant par exemple. Ils sont conçus pour rester invisibles (certains n'apparaissent même pas dans le gestionnaire de tâches ou dans la table des processus). Les keyloggers (ou enregistreur de frappes en français) sont un type de spywares bien connu.

- Les Adwares (ou publiciels/logiciels publicitaires) : Il n'est pas forcément le logiciel malveillant le plus dangereux. Son but est "simplement" de modifier les pages web que vous consultez pour vous montrer de la publicité (ce qui permettra de rémunérer l'auteur de ce logiciel). Il peut aussi envoyer vos données de navigation à des fins marketing.

- Les chevaux de Troie (ou Trojan) : Un cheval de Troie est en apparence un logiciel légitime mais qui permet à un cybercriminel d'accéder à distance à votre ordinateur (système de backdoor/porte dérobée) notamment pour s'en servir pour réaliser des attaques de type déni de service. Il peut réaliser plusieurs actions : espionner - bloquer, modifier, supprimer, copier vos données. Votre ordinateur fera alors partie d'un réseau d'objets/ordinateurs connectés zombies appelé botnet. Ce type de réseau est contrôlé par un attaquant afin d'attaquer des entreprises dans le but de rendre des services indisponibles aux utilisateurs.

- Les vers (ou worms en anglais) : Ce type de virus se répand via le réseau, il a la capacité de se dupliquer pour infecter le plus de systèmes possibles. Il ne modifie aucune donnée d'un système mais a la particularité de ralentir le système et le réseau à cause de sa capacité à se répandre.

- Les Rootkits : Ils permettent de cacher la présence d'autres logiciels malveillants. Ils en dissimulent aussi les différentes actions. Ce genre de virus est assez complexe, ce qui leur permet parfois de démarrer avant le système d'exploitation (Bootkits).

- Les Ransomwares (ou rançon logiciels) : Le Ransomware (ou rançongiciel en français ou encore logiciel rançonneur) est un logiciel malveillant qui restreint l’accès aux données d’un système informatique. Il vous sera demander de payer une rançon pour récupérer l’accès aux données. Ce type de logiciel malveillant est détaillé dans une autre section. Mais en bref, ils permettent de rendre indisponible des données dans le but d'extorquer de l'argent.

Ceci est bien évidemment une liste non-exhaustive, il y en existe de nombreux autres. Selon le AV-Test, il y aurait plus de 844,35 millions logiciels malveillants en 2018 (le 25 novembre), ce qui représente 350 000 nouveaux virus par jour.

Un simple clic sur un URL peut conduire à une infection de votre machine. C’est pourquoi, il faut rester prudent en permanence quand nous surfons sur Internet. Par exemple, si vous recevez un mail reçu d’un inconnu vous promettant un logiciel gratuit avec de "superbes" fonctionnalités, restez prudent. Rien ne dit qu’il n’essaie pas de vous faire installer un logiciel malveillant pour prendre le contrôle de votre système à distance. Aussi, rien que le fait d’ouvrir un fichier PDF/DOC/XLS vérolé (que vous avez reçu via courriel par exemple), peut conduire à l’installation d’un logiciel à votre insu, sans même que vous vous rendiez compte de ce qui se passe réellement sur votre machine.

Voici une liste de différents canaux possibles :

- Via email (pièces jointes) : Les malwares peuvent être introduits via une pièce jointe contenue dans un mail. Le fait de télécharger et d'ouvrir le fichier conduira à l'installation d'un logiciel malveillant.

- Via périphériques amovibles : L'infection peut aussi venir des clés USB, des disques durs, etc. Il est désormais assez aisé de modifier le firmware de ces derniers pour y loger un logiciel malveillant qui s'exécutera dès que le périphérique sera branché à votre ordinateur.

- Via le réseau : En effet, les virus peuvent se répandre sur le réseau (comme les vers informatiques par exemple). Il suffit qu'un système de votre réseau soit infecté pour que le virus vienne infecter votre ordinateur. C'est aussi le cas pour les ransomwares. C'est pourquoi, il est important de débrancher son ordinateur du réseau en cas d'infection pour éviter que l'infection ne se répande.

- Via les logiciels gratuits : Pour s'assurer une source de revenu, certains éditeurs de logiciels gratuits s'allient avec d'autres entreprises pour incorporer des logiciels supplémentaires, non voulus, au téléchargement. Ces logiciels supplémentaires peuvent intégrer différents logiciels malveillants comme des spywares ou des adwares (les conséquences sont souvent un ralentissement de l'ordinateur) qui assurent un certain revenu. N'oubliez pas cette phrase : "Quand c'est gratuit, c'est que vous êtes le produit".

- Via les faux logiciels de sécurité (les rogues ou scarewares) : Ce type de logiciel est proposé au téléchargement sur certaines pages web qui indiquent que votre ordinateur est infecté par un virus. Comme son nom l'indique, son but est de faire peur et donc de pousser l'utilisateur à télécharger le "logiciel de sécurité" sans réfléchir.

- Via des sites à haut risque ou via des partages de fichiers : En ce qui concerne les sites web à hauts risques, certaines failles de sécurité permettent d'infecter un ordinateur automatiquement. Pour ce qui est du partage de fichiers tel que BitTorrent, les fichiers que vous téléchargez peuvent passer par plusieurs ordinateurs qui ne sont peut-être pas tous à jour ou qui ne possèdent pas de logiciels de sécurité adéquats. De plus, des cybercriminels peuvent remplacer le fichier que vous voulez télécharger par un autre logiciel.

Comme vous l'aurez compris, de nombreux vecteurs d'infection découlent de l'ingénierie sociale (social engineering) qui consiste à manipuler l'utilisateur pour l'escroquer. Par exemple, inciter à cliquer sur un lien pour se faire rembourser ou pour ne pas avoir son compte en banque suspendu, un collègue qui demande de l'aide pour un projet ou encore une page web qui vous indique, à tort, que votre ordinateur encourt des risques.

Quelles seraient alors les moyens pour les éviter et protéger son ordinateur ?

Un bon moyen pour les éviter est d’installer un antivirus (qui intègre parfois la fonction de pare-feu ainsi que d'autres fonctionnalités. On parlera alors de suite de sécurité) qui scannera votre système à la recherche de logiciels malveillants. Si un logiciel malveillant est détecté il sera alors mis en quarantaine et supprimé. Cependant, ce type d’applications n’est pas toujours parfait et il est important de le garder à jour pour qu’il soit au courant des différentes nouvelles menaces qui pèseraient sur votre système. Les pares-feux (ou firewall) sont la première ligne de défense contre les menaces extérieures. En effet, ils permettent de filtrer le trafic réseau entrant et sortant de votre ordinateur.

Un autre moyen pour les éviter est de ne pas télécharger des exécutables sur Internet d’une source non sûre et donc de privilégier les sites des éditeurs de logiciels. Mais attention, même si la source vous semble sûre, il est possible qu’une personne malveillante ait modifié le code de celui ou l’ait remplacé par un logiciel malveillant. Par exemple, via une attaque Man in the Middle (MITM ou homme du milieu en français), un attaquant peut intercepter et modifier le trafic entre vous et le routeur. Ici, l'attaquant pourrait s'attaquer à l'intégrité des données. Cela est possible sur une connexion non sécurisée (HTTP), d'où l'importance de faire attention que le site soit sécurisé (HTTPS et présence d'un cadenas vert). De plus, lors de l'installation d'un logiciel, ne cliquez pas sans réfléchir sur OK ou suivant, regardez attentivement ce que vous êtes en train d'installer.

Il est aussi important de garder son système d’exploitation (ainsi que ses différentes applications) à jour pour posséder les derniers patchs de sécurité. En effet, un système d’exploitation comporte plusieurs millions de lignes de codes et il n’est pas impossible que certaines vulnérabilités remontent. Une fois découvertes, ces failles peuvent être exploitées, ce qui rendra votre système vulnérable. Une mise à jour permettra de corriger cela et d'éventuellement vous protéger contre une nouvelle menace.

Un autre point important concerne les périphériques amovibles. Il ne faut jamais brancher une clé USB que l'on vous donnerait ou que vous trouveriez quelque part. Elle contient peut-être un code malveillant. Une bonne pratique pour se protéger en partie de cela est de désactiver la fonction d'exécution automatique du périphérique au branchement. Vous pouvez également lancer un scan des périphériques pour s'assurer qu'ils sont sains.

Le point le plus important reste les failles dues à l’humain. Personne n’est à l’abris d’une erreur d’inattention. Par exemple, ne cliquez pas sur un lien contenu dans un mail d’une source inconnue. La plupart des attaques ont comme source l'ingénierie sociale. C'est à dire que l'attaquant va essayer de vous mettre la pression, de vous faire peur ou encore de vous presser pour que vous ne réfléchissiez pas et donc de vous faire tomber dans son piège.
Dans le cadre d'un mail reçu, si vous ne connaissez pas l'expéditeur ou si quelque chose vous semble bizarre dans celui-ci, ne l'ouvrez tout simplement pas. Ou encore si le mail vous incite à mettre à jour vos données (bancaires, ...) via un formulaire à remplir, ne cliquez pas sur le lien, c'est sûrement du phishing (hameçonnage en français). Pour finir, le plus important, n'ouvrez pas les pièces jointes d'un mail que vous n'attendiez pas, encore plus s'il provient d'un expéditeur inconnu.
Et si lorsque vous visitez un site web, une page vous propose de télécharger un antivirus pour désinfecter votre ordinateur, fermez les différents onglets et ne cliquez pas sur les liens. C'est très probablement un scareware.

Voici une série de pistes qui pourrait vous aider en cas d'infection par un logiciel malveillant.

Tout d'abord, ne paniquez pas mais ne prenez pas trop votre temps. Plus vous réagissez vite, plus les dégâts seront faibles.

La première chose à faire est de se déconnecter du réseau pour éviter sa propagation sur le réseau. Pour ce faire, débranchez simplement le câble qui vous relie à votre box ou alors désactivez votre carte réseau. En plus d'empêcher sa propagation, cela coupera les éventuels liens qu'un attaquant aurait établit avec votre système via Internet.

Ensuite, vous pouvez réaliser une analyse de votre ordinateur par votre antivirus pour qu'il trouve la source du problème. S'il ne trouve pas, assurez-vous que sa base de données est à jour (vous pouvez éventuellement vous reconnecter au réseau mais seulement dans le cas où c'est nécessaire).

Si cela ne suffit toujours pas, allez faire un tour dans les dossiers de votre ordinateur. En effet, plusieurs types de virus ont besoin de démarrer en même temps que votre système. Pour ce faire, ils doivent créer un lien dans les fichiers de démarrage de Windows (rendez-vous dans C:\Users\nom_d'utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)

Si tout cela ne donne rien, rendez-vous sur Internet (via un autre périphérique si possible) pour rechercher plus d'informations (par exemple GMER - outil pour détecter et supprimer les rootkits ainsi que d'autres sites de fournisseurs antivirus).

Ci-dessus, une courte démonstration d'un malware ( trojan Un cheval de Troie est en apparence un logiciel légitime mais qui permet à un cybercriminel d'accéder à distance à votre ordinateur (système de backdoor/porte dérobée) notamment pour s'en servir pour réaliser des attaques de type déni de service. ) généré pour l'occasion et d'une "infection par ingénierie sociale". La simple exécution de ce malware permet à l'attaquant de prendre le contrôle de l'ordinateur de la victime (il peut ainsi y réaliser différentes commandes et même de regarder ce qu'il se passe devant l'ordinateur en activant la caméra. Heureusement, pas mal d'antivirus le détecte et le bloque lors du téléchargement ou lors de l'exécution. Ci-dessous, vous trouverez une liste de différentes solutions antivirus testées (grâce à un fichier contenant des caractères spécifiques (qui sont détectés comme un virus) et grâce au malware présenté dans la vidéo ci-dessus.

Comme présenté ci-avant, l'utilisation d'un antivirus (ou d'une suite de sécurité) permet de détecter et de supprimer la plupart des logiciels malveillants qui pourraient infecter votre ordinateur (s'il est à jour bien évidemment). Pour illustrer leur fonctionnement (bien qu'il soit beaucoup plus complexe que détecter/supprimer un virus), nous avons testé une série de suites de sécurité avec un logiciel malveillant généré pour l'occasion (trojan) et avec un fichier de test fourni par EICAR (le fichier contient des simples caractères mais sont une sorte de "code" pour tester les antivirus). Les différentes solutions testées sont Bitdefender, Norton, Avast, AVG, Kaspersky. Et via le site VirusTotal.

- Bitdefender : Pour ce qui est de Bitdefender, le fichier test de l'eicar est détecté et supprimé directement. En ce qui concerne le téléchargement du programme malveillant, Bitdefender bloque totalement le téléchargement. Il est tout de fois possible de cliquer sur "je comprends les risques" pour le télécharger. Cependant, Bitdefender le supprime instantanément, ce qui rend son exécution impossible.

- Norton : En ce qui concerne Norton, le fichier de test est découvert après une simple analyse du système et est déplacé en quarantaine. Pour la deuxième partie du test de cet antivirus, nous pouvons voir que Norton autorise le téléchargement et l'exécution du programme. Il va quand même nous inviter à prendre une action car il détecte l'activité suspecte du malware. Comme nous voulions pousser le test jusqu'au bout, nous avons choisis l'option "exécuter quand même". On peut voir que l'attaquant voit quelque chose bouger dans sa console mais Norton détecte qu'une attaque est en cours et fini par la bloquer.

- Kaspersky : À peine activer, Kaspersky avait déjà détecter le fichier de test et le déplaçait en quarantaine. Pour ce qui est du logiciel à télécharger, il bloque directement le téléchargement (impossible de le télécharger) et fournit des informations sur le type de malware.

- Avast : Avast quant à lui, détecte le fichier de test lors d'une analyse du système et le déplace donc en quarantaine. Ensuite, dès que l'on clique sur le lien de téléchargement Avast va détecter le malware et va ainsi bloquer son téléchargement.

- AVG : Et pour finir, AVG, comme la plupart des antivirus testé, détecte le fichier de test lors d'une analyse système. En ce qui concerne le téléchargement du logiciel malveillant, il a le même comportement qu'Avast.

Comme vous pouvez le voir, tous les antivirus testés ont détecté le logiciel malveillant et le fichier de test de l'EICAR. C'est à dire que tous ont permis d'éviter une infection (et dans ce cas-ci une attaque à distance par la suite).
On peut donc conclure que l'utilisation d'un logiciel de sécurité permet déjà un bon filtrage des différentes menaces qui pèseraient sur votre système.
Les résultats du scan du malware avec l'outil en ligne VirusTotal sont les suivants : Résultats en détails du scan (VirusTotal)

Quelques sources pour en savoir plus :

- Le bon antivirus : Tout ce qu'il faut savoir

- Virus Total : Outil de scan gratuit pour la détection de logiciels malveillants

- AV-Test : Recensement

- Kaspersky : Les différents types de malwares

- Kaspersky : Les chevaux de Troie

- Le Blog du Hacker : Les vers informatique

- Avast : Les Spywares

- Sécurité Info : Les différents types de malwares

- Symantec : Quels sont les malwares, les virus, les spywares et les cookies ?

- Norton : Les malwares pour les débutants

- Microsoft : How malware can infect your PC

- Chantal11 : Prévention et Sécurité – Comment éviter les infections – Lutte AntiMalware

- 01net : Comment les hackers russes arrivent à plomber les PC Windows... pour toujours