Dictionnaire des menaces Les menaces à la sécurité des systèmes et des données de A à Z En collaboration avec le "Center for Internet Security"
Le A à Z des menaces à la sécurité des systèmes et des données Ce livret s'adresse à vous, que vous soyez un professionnel de l'informatique, que vous utilisiez un ordinateur au travail ou que vous naviguiez simplement sur Internet. Nous y faisons le point sur les menaces qui pèsent sur vos ordinateurs et vos données dans un langage simple et facile à comprendre. Sophos facilite la tâche des responsables informatiques afin qu'ils puissent se concentrer sur l'essentiel. Nos solutions de chiffrement, de contrôle d'accès réseau et de protection complète des systèmes d'extrémité, des messageries et d'internet ont été conçues pour offrir une simplicité optimale en termes de déploiement, d'administration et d'utilisation. Plus de 100 millions d'utilisateurs à travers le monde nous font confiance et bénéficient de la meilleure protection contre les complexes menaces d aujourd hui, faisant de Sophos un leader sur le marché. Grâce à nos vingt années d'expérience et notre réseau international de centres d'analyse des menaces, nous pouvons répondre rapidement à toutes les menaces émergentes. Sophos dispose de sièges sociaux à Boston (Etats-Unis) et à Oxford (Royaume-Uni). Copyright 2013 Sophos Limited. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous avez le consentement préalable écrit du propriétaire du copyright. Sophos et Sophos Antivirus sont des marques déposées de Sophos Limited, une société immatriculée en Angleterre sous le numéro 2096520, The Pentagon, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP, UK et de Sophos Group. Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs. Abonnez-vous à notre blog blogs.sophos.com, et suivez-nous sur Twitter @Sophos_News et Facebook facebook.com/securitybysophos. Le «Center for Internet Security, Inc.» est un organisme américain à but non lucratif qui a pour but d'améliorer la cybersécurité et la réponse des entités publiques et privées. Le CIS établit les meilleures pratiques basées sur le consensus général pour une configuration sécurisée et produit des processus d'automatisation de la sécurité. Il sert de ressource-clé de la cybersécurité pour le gouvernement et l'administration publique américaine en général et il fournit des ressources qui aident les partenaires à atteindre les objectifs de sécurité grâce à des conseils d'experts et des solutions rentables. Pour en savoir plus, rendez vous sur le site cisecurity.org ou @CISecurity. 1
Sommaire Introduction 3 A à Z des menaces 5 Logiciels et matériels de sécurité 53 Conseils de sécurité 73 Historique des malwares 91 2
Introduction Nous avons tous entendu parler des virus informatiques. Mais les connaissons-nous vraiment? Le premier virus pour PC (Elk Cloner) a fait son apparition il y a trente ans, et affichait un court poème lorsqu'un ordinateur était allumé pour la 50ème fois. Depuis, des millions de virus de toutes sortes ont été créés (virus de messagerie, chevaux de Troie, vers Internet, spywares, enregistreurs de touches), certains se propageant à échelle mondiale et faisant l'actualité. Nous avons tous entendu parler des virus qui submergent l'écran de parasites ou détruisent des fichiers. Dans l'imaginaire populaire, les programmes malveillants sont encore synonymes de farces ou de sabotage. Au début des années 90, le virus Michelangelo provoquait une panique mondiale. Dans les années 2000, les sociétés antivirus durent persuader d'urgence les fournisseurs de services Internet de fermer les serveurs pour éviter un scénario catastrophe. Et pour cause : le virus SoBig-F causait le téléchargement automatique de programmes inconnus à une heure déterminée. Des films comme Independence Day ont contribué à renforcer cette perception avec des attaques virales signalées par des écrans clignotants et des alarmes. Pourtant, les choses sont très différentes aujourd'hui. Les menaces ne sont pas moins réelles, mais elles adoptent un profil plus discret, elles sont mieux ciblées et leur objet est plus de rapporter de l'argent que de créer le chaos. Aujourd'hui, il est peu probable qu'un programme malveillant détruise votre disque dur, corrompe votre feuille de calcul ou affiche un message. Ce type de cybervandalisme a cédé la place à des manipulations plus lucratives. Le virus actuel peut chiffrer tous vos fichiers et exiger une rançon. Un pirate peut exercer un chantage sur une grande entreprise en menaçant de lancer une attaque par déni de service qui empêchera les clients d'accéder à son site Web. Toutefois en général, les virus ne causent aucun dommage apparent et sont imperceptibles. En effet, un virus peut installer subrepticement un enregistreur de touches qui attend que la victime visite le site Web d'une banque. Il enregistre ensuite les identifiants et le mot de passe du compte de l'utilisateur et les transfère à un pirate via Internet. 3
Celui-ci peut ensuite utiliser ces détails pour imiter des cartes de crédit ou vider des comptes bancaires. La victime ne sait même pas que son ordinateur a été infecté. Une fois que le virus a exécuté sa tâche, il se supprime pour éviter d être détecté. Une autre tendance consiste à contrôler l ordinateur à distance en l infectant avec des malwares spécifiques. Cette technique à but lucratif permet au cybercriminel d utiliser l ordinateur à l insu de son propriétaire pour distribuer des millions de messages de spam, ou pour lancer des attaques sur d autres utilisateurs, sans éveiller le moindre soupçon. D'autre part, à l'heure où les réseaux sociaux comme Facebook et Twitter connaissent une popularité de plus en plus importante, les pirates et les cybercriminels exploitent ces systèmes pour trouver de nouveaux moyens d'infecter les ordinateurs et de voler des identités. Les pirates ne ciblent d'ailleurs plus un grand nombre de victimes. En effet, cela éveille une attention non désirée et les éditeurs antivirus peuvent aussitôt neutraliser les programmes malveillants signalés. D'autre part, les opérations à grande échelle peuvent fournir aux pirates plus de données volées qu'ils ne peuvent en gérer. C'est pourquoi les menaces sont de plus en plus soigneusement ciblées. Le spearphishing en est un exemple. Au départ, le phishing consistait à envoyer en masse des messages électroniques dont le but était de détourner des informations personnelles. Ces messages semblaient provenir de banques qui demandait à leurs clients de confirmer leurs informations personnelles. Désormais, le spearphishing cible un nombre réduit de personnes, généralement au sein d'une même organisation. Semblant provenir de collègues faisant partie de services internes à l'entreprise, le courriel demande des informations relatives aux mots de passe. Le principe est identique mais l'attaque a plus de chances de réussir car la victime, croyant que le message est interne, est moins attentive. La tendance actuelle semble être de créer des attaques discrètes, de petite taille et bien ciblées. Mais qu'en est-il de l'avenir? Il est pratiquement impossible de prévoir l'évolution des menaces à la sécurité. Certains experts avaient estimé qu'il ne resterait à terme plus que quelques centaines de virus tandis que Bill Gates de Microsoft avait déclaré qu'en 2006, le spam ne poserait plus problème. La provenance ou la gravité des futures menaces est incertaine. Ce qui est clair, en revanche, c'est que tant qu'il y aura des possibilités de gains financiers, les pirates et les criminels tenteront d'accéder à des données et d'en faire une mauvaise utilisation. 4
A à Z des menaces 5
Adware Logiciel qui affiche des publicités sur votre ordinateur. L'adware affiche des bandeaux ou des fenêtres publicitaires sur votre ordinateur lorsque vous utilisez une application. Ce n'est pas forcément négatif. Ces publicités peuvent, en effet, financer le développement de logiciels utiles qui sont ensuite distribués gratuitement (comme par exemple les applications pour Android et les barres d'outils du navigateur, qui sont pour la plupart financées par des adwares). En revanche, l'adware devient problématique s'il : s'installe sur votre ordinateur sans votre consentement s'installe dans des applications autres que celle avec laquelle il est livré et affiche de la publicité lorsque vous utilisez ces applications pirate votre navigateur Internet pour afficher encore plus de publicités (voir pirates des navigateurs) rassemble sans votre consentement des données relatives à votre navigation Internet et les transmet à des tiers via Internet (voir Spywares) est conçu pour être difficile à désinstaller. L'adware peut ralentir votre PC. Il peut aussi ralentir votre connexion Internet en téléchargeant des publicités. Parfois, des défauts de programmation dans l'adware peuvent rendre votre ordinateur instable. Certains programmes antivirus détectent les adwares et les traitent comme des applications potentiellement indésirables. Ceci vous permet ensuite soit de les autoriser soit de les supprimer de votre ordinateur. Il existe aussi des programmes dédiés de détection des adwares. 6
Application potentiellement indésirable (PUA) Programmes qui ne sont pas malveillants mais dont l'usage n'est pas approprié dans un cadre professionnel. Certaines applications (adwares, composeurs, outils d'administration à distance, outils de piratage, etc.) ne sont pas malveillantes et peuvent même être utiles dans le bon contexte, mais n'ont pas leur place au sein de l'entreprise. Il s'agit par exemple des adwares, des outils pour administrer les ordinateurs à distance et des moteurs d'analyse qui identifient les vulnérabilités dans les systèmes informatiques. Certains antivirus et solutions de sécurité peuvent détecter et signaler les PUA. 7
Attaque de force brute Lors d'une attaque de force brute, les pirates tentent d'accéder à un système ou à un fichier en essayant un nombre élevé de combinaisons de mots clés ou mots de passe. Ces attaques sont souvent employées pour venir à bout d'un schéma cryptographique tels que ceux protégés par mot passe. Les pirates utilisent des programmes informatiques pour tenter un maximum de combinaisons et déchiffrer le message ou accéder au système. Pour se protéger contre les attaques de force brute, il est conseillé d'employer des mots de passe aussi fiables que possible. (voir Comment choisir des mots de passe sécurisés) 8
Attaque par déni de service Une attaque par déni de service (DoS) bloque l'accès à un ordinateur ou un site Web. Lors de ce genre d'attaque, le criminel tente de surcharger un service de manière à bloquer son accès aux utilisateurs légitimes. Le but des attaques par déni de service est d'immobiliser des sites Internet en ciblant les serveurs. Aucune donnée n'est volée ou compromise, mais l'interruption du service peut coûter cher à l'entreprise qui en est victime. Le type le plus commun consiste à surcharger un ordinateur, lui envoyant plus de données qu'il ne peut en gérer. Parmi les nombreuses méthodes employées, la plus simple et la plus commune est d'inonder un serveur au moyen d'un botnet. On appelle cette technique une attaque par déni de service distribué (DDoS). (voir Botnet, Command and Control Center, Réseau zombie) 9
Botnet (réseau zombie) Groupe d'ordinateurs infectés, contrôlés à distance par un cybercriminel. Une fois infecté par un logicel malveillant (bot), l'ordinateur peut être contrôlé à distance via Internet. Il devient alors un zombie, répondant aux ordres du cybercriminel à l'insu de son propriétaire. Un réseau d'ordinateurs zombies est appelé "botnet". Le cybercriminel peut partager ou vendre l'accès au botnet, permettant à d'autres d'en profiter à des fins malveillantes. Un spammeur peut utiliser un botnet pour envoyer des courriels de spam. La majorité du spam est distribué de cette manière. Ceci permet non seulement aux spammeurs de passer inaperçus et d'éviter que leurs propres serveurs soient placés sur liste noire, mais aussi de réduire leurs coûts car c'est le propriétaire de l'ordinateur qui paie l'abonnement Internet. Les pirates se servent également de réseaux zombies pour lancer des attaques par déni de service distribuées, ou DDoS. En orchestrant simultanément des milliers de demandes d'accès au même site Web, le serveur de celui-ci est incapable de gérer toutes les requêtes, et le site devient inaccessible. (voir Zombie, Attaque par déni de service, Spam, Cheval de Troie de portée dérobée, Command and control center) 10
Canular Les canulars sont des allégations fausses et mensongères, ayant pour but de piéger ou d'escroquer les utilisateurs. Un canular peut être par exemple une tentative pour solliciter de l'argent, pour installer des malwares ou consommer de la bande passante (lorsque l'utilisateur renvoie l'email canular). Le canular prend généralement la forme d un courriel qui : Vous informe d'un nouveau malware très dangereux et indétectable Vous demande d'éviter d'ouvrir les courriels contenant un certain intitulé, prétendant qu'il contient du malware Prétend que ces directives proviennent d'un grand éditeur de logiciels ou d'un organisme de l'état Prétend que le malware peut réaliser quelque chose d'improbable Vous incite à faire suivre le message Prétend que de d'"aimer" une publication sur Facebook peut vous faire gagner de l'argent ou d autres prix La plupart des utilisateurs qui font suivre les canulars contribuent à la surcharge du serveur de messagerie en provoquant un déluge de messages. Les canulars peuvent détourner l'attention vis-à-vis des menaces légitimes, La meilleure défense contre les canulars est de vous informer vous et vos utilisateurs. Vous pouvez également rechercher en ligne des informations sur les canulars suspectés. 11
Centre de commande et de contrôle Le Centre de commande et de contrôle (C & C ou C2) est un ordinateur qui contrôle un botnet, ou réseau d'ordinateurs zombies. Certains botnets utilisent des systèmes de commande et de contrôle distribués, les rendant plus solides. Les pirates peuvent gérer leurs opérations depuis le centre de commande et de contrôle. En offrant la possibilité d'envoyer des commandes simultanées à une multitude d'ordinateurs, les C & C sont notamment utiles dans le lancement des attaques par déni de service. (voir Botnet, Réseau Zombie, Attaque par déni de service) 12
Cheval de Troie de porte dérobée Un cheval de Troie de porte dérobée permet à une personne de prendre le contrôle de l'ordinateur d'un autre utilisateur sans sa permission. A l'instar de n'importe quel cheval de Troie, le cheval de Troie de porte dérobée peut apparaître comme un logiciel légitime et ne provoque ainsi aucune méfiance. Aussi, et cela est de plus en plus fréquent, l'utilisateur permet, à son insu, l'installation du cheval de Troie en suivant un lien contenu dans un message de spam ou en visitant une page Web malveillante. Une fois que le cheval de Troie est exécuté, il s'ajoute au programme de lancement de l'ordinateur, et attend que l'utilisateur se connecte à Internet. Lorsque l'ordinateur est mis en ligne, l'auteur du piratage est libre de mener à bien ses opérations frauduleuses, notamment d'exécuter des programmes sur l'ordinateur infecté, d'accéder à des fichiers personnels, de modifier et de charger des fichiers, d'enregistrer les saisies clavier de l'utilisateur ou d'envoyer des messages de spam. Parmi les chevaux de Troie de porte dérobée les plus célèbres, l'on peut citer Netbus, OptixPro, Subseven, BackOrifice et, plus récemment, Zbot ou ZeuS. Pour échapper aux chevaux de Troie de porte dérobée, il est conseillé de rester à jour des correctifs les plus récents (afin de corriger les vulnérabilités du système d'exploitation) et d avoir un logiciel antispam et antivirus à jour. Il est également recommandé d'utiliser un pare-feu qui puisse empêcher les chevaux de Troie d'accéder à Internet dans le but d'entrer en contact avec le pirate. 13
Chevaux de Troie Programme se faisant passer pour un logiciel légitime mais qui dissimule des fonctions malveillantes. Ceux-ci donnent l'apparence de faire une chose alors qu'ils font en réalité une chose différente, généralement à votre insu. C'est le cas par exemple des codecs vidéo utilisés pour lire des vidéos sur certains sites Web. Quand un codec cheval de Troie est installé, il est susceptible d'installer aussi d'autres logiciels malveillants tels que des spywares. Les chevaux de Troie se propagent souvent au travers d'applications logicielles et de générateurs de clés qui créent des codes de licence illégaux pour les logiciels disponibles au téléchargement. (voir Chevaux de Troie de porte dérobée) Un autre exemple est celui du lien malveillant "Cool game". Lorsque l'utilisateur télécharge et installe le jeu, il s'avère être un cheval de Troie qui compromet l'ordinateur ou supprime toutes les données contenues sur le disque dur. 14
Cookie Fichier présent sur votre ordinateur qui permet aux sites Web de mémoriser vos informations. Lorsque vous fréquentez un site Web, celui-ci peut mettre un fichier ou "cookie" sur votre ordinateur. Ceci permet au site d'enregistrer vos informations et d'effectuer le suivi de vos visites. Les cookies peuvent être une menace pour votre vie privée, mais ils ne peuvent pas infecter votre ordinateur. Le but premier des cookies est d'être utile. Par exemple, lorsque vous visitez un site Web, le cookie peut enregistrer vos préférences ou vos données de connexion pour vous permettre de ne pas avoir à les ressaisir la fois suivante. Les cookies ont également des avantages pour les webmasters, car en enregistrant les pages les plus fréquentées, ils peuvent être utiles pour la restructuration future du site. Les cookies peuvent être enregistrés sur votre ordinateur comme de petits fichiers texte sans que vous ne le sachiez. Ils contiennent des informations sur votre activité sur ce site. Chaque fois que vous consultez ce site Web, cette information est transmise au serveur, toujours à votre insu. Ce suivi de votre comportement et de vos intérêts permet de construire votre profil, information qui peut être vendue ou partagée avec d'autres sites, et qui permet aux annonceurs de proposer des publicités ciblées, de faire apparaître des publicités consécutives sur plusieurs sites, et de suivre le nombre de fois que vous avez vu une annonce. Vous pouvez limiter l'utilisation des cookies pour suivre votre comportement en utilisant les paramètres de sécurité et de confidentialité dans votre navigateur Internet. 15
Correctifs Les correctifs sont des compléments de logiciels visant à corriger les failles (y compris de sécurité) dans les systèmes d'exploitation ou les applications. Il est essentiel d'installer des correctifs pour pallier aux nouvelles failles de sécurité et rester protégé contre les malwares. Bien des menaces de haut niveau exploitent les vulnérabilités du système. Si l'utilisateur n'installe pas les correctifs en temps voulu, il risque de laisser son ordinateur accessible aux pirates. De nouveax correctifs sont diffusés régulièrement par les éditeurs de logiciels. Microsoft met ses correctifs à disposition le deuxième mardi du mois et Adobe publie ceux d'adobe Reader et Acrobat le deuxième mardi du trimestre. Pour rester au courant des dernières failles et correctifs, il est conseillé de vous abonner à une liste de distribution dédiée, proposée par un éditeur sérieux. Vous pouvez par exemple, trouver toutes les informations concernant la sécurité des produits Microsoft à l'adresse suivante www. microsoft.com/technet/security/bulletin/notify. mspx. Les utilisateurs à domicile de Microsoft Windows peuvent utiliser Windows Update (Windows Vista/7) ou Security Center (Windows XP) pour activer la mise à jour automatique. Les utilisateurs de Apple OS X peuvent cliquer sur le logo Apple situé en haut à gauche du bureau et sélectionner Software Updates. Il est conseillé aux entreprises de s'assurer que tous les ordinateurs connectés au réseau respectent une politique de sécurité commune qui inclut l'installation obligatoire des correctifs les plus récents, y compris pour les systèmes d'exploitation et les applications. (voir Exploit, Vulnérabilité) 16
Dépassement de la mémoire tampon Un dépassement de la mémoire tampon a lieu lorsqu'un programme stocke des données supplémentaires en écrasant d'autres parties de la mémoire de l'ordinateur, occasionnant des erreurs et des pannes. Les attaques par dépassement de la mémoire tampon exploitent cette faiblesse en submergeant intentionnellement un programme de données. Il absorbe donc plus d'informations que ce qu'il ne peut stocker dans l'espace prévu, et écrase donc des parties de la mémoire réservées à d'autres usages par le système d'exploitation. Cela peut permettre à du code non autorisé de s'exécuter ou de planter le système. Contrairement à ce que l'on peut penser, ceci n'a pas uniquement lieu dans les services (tels que les systèmes d'exploitation Windows) ou les programmes de base. Ce genre d'attaque peut toucher n'importe quelle application. 17
Distribution de malware via email Malware distribué par courriel Certaines des familles de virus les plus prolifiques de l'histoire informatique, tels que Netsky ou SoBig, se sont propagés par courriel sous forme de pièce jointe. En double cliquant sur la pièce jointe, l'utilisateur causait l'exécution du code malveillant, l'infection de sa machine et la distribution du virus vers les contacts figurant dans son carnet d'adresses. De nos jours, les pirates ont changé de stratégie et utilisent surtout le Web pour distribuer leurs malwares. Les courriels, eux, servent surtout à distribuer des liens vers des sites malveillants. Il existe toutefois toujours des familles de malwares telles que Bredo qui distribuent du code malveillant par courriel. Pour vous défendre contre ce genre d'attaque, munissez-vous d'une technologie antispam solide, en plus de votre logiciel de sécurité pour systèmes d'extrémité et de votre système d'exploitation à jour. De plus, la formation des utilisateurs pourra les sensibiliser aux arnaques par email, incluant les pièces jointes ou liens légitimes. (voir Botnet, Exploit, Attaques de phishing, Spam) 18
Emails de phishing Le phishing désigne une tactique employée pour inciter le destinataire d'un courriel à partager ses informations personnelles avec un inconnu. Généralement, lors d'une attaque de phishing, vous recevez un email qui semble provenir d'un organisme fiable tel que : Banque Réseau social (Facebook, Twitter) Jeu Service disposant de vos informations personnelles (itunes, prêt étudiant, service de comptabilité) Service de l'entreprise où vous travaillez (support technique, administrateur système, etc.) Pour mieux se protéger contre le phishing, il est préférable de ne pas cliquer sur les liens reçus par courriel. Il est conseillé de saisir l'adresse du site soi-même et de se rendre sur la page adéquate, ou bien d'utiliser un lien sauvegardé dans vos Favoris. Les emails de phishing incluent également des pièces jointes, qui une fois ouvertes, peuvent infecter la machine. Un logiciel anti-phishing pourra bloquer un grand nombre d'emails de phishing. 19
Enregistrement de touches L'enregistrement de touches permet à des personnes tierces d'enregistrer les informations saisies par l'utilisateur à des fins frauduleuses. Couramment utilisée par les pirates, c'est une technique efficace pour détourner des identifiants de connexion, mots de passe, numéros de cartes de crédit et autres données sensibles. 20
Exploit Un exploit profite d'une faille dans le système de manière à gagner l'accès à un ordinateur ou l'infecter. Il profite généralement de vulnérabilités particulières et devient donc inutile lorsque la faille est corrigée. Les exploits du jour zéro sont ceux qui sont utilisés ou partagés entre pirates avant que l'éditeur du logiciel n'ait pris connaissance de la vulnérabilité en question, et avant donc qu'un correctif n'ait été mis au point. Pour vous protéger contre les exploits, veillez à activer votre antivirus et logiciel de sécurité pour systèmes d'extrémité et installer tous les correctifs mis à votre disposition, aussi bien ceux du système d'exploitation que des applications. (voir Vulnerabilité, Téléchargement passif, Dépassement de la mémoire tampon) 21
Faux antivirus Un faux antivirus signale des menaces qui en réalité n'existent pas dans le but d'effrayer l'utilisateur et de l'inciter à acheter un produit antivirus fictif en affichant à l'écran de fausses alertes au virus. Ce genre de malware est aussi connu sous le nom de scareware. Il est généralement installé via un site Web malveillant et prend l'apparence d'une analyse antivirus. Les cybercriminels attirent les utilisateurs vers ces sites au moyen de liens contenus dans des messages de spam ou en piratant des sites légitimes. Ils piratent aussi fréquemment les résultats des moteurs de recherche les plus populaires pour diriger les utilisateurs vers des sites malveillants. Cette arnaque est motivée par l'appât du gain et est extrêmement lucrative. Une partie des profits est réinjectée dans la création et la distribution d'autres arnaques du même style. Les bandes de pirates sont devenues expertes dans la création de faux sites Web se faisant passer pour des sites légitimes de fournisseurs en sécurité informatique. L'installation d'un vrai logiciel antivirus à jour et d'une solution de sécurité pour systèmes d'extrémité vous permettra de vous défendre contre ce genre d'arnaque. Une autre ligne de défense consiste à sensibiliser les utilisateurs sur les menaces qui peuvent surgir en cliquant sur les liens suspects. 22
Fichiers et comportements suspects Quand une solution de protection pour les systèmes d'extrémité effectue une analyse, les fichiers sont définis comme sains ou malveillants. Si un fichier comporte un certain nombre d'éléments douteux ou un comportement qui sort de l'ordinaire, il est considéré comme suspect C'est le cas de certains fichiers qui se copient par exemple dans le dossier des pilotes. La protection runtime aide à défendre l'ordinateur contre les fichiers suspects en analysant le comportement des programmes en cours d'exécution et en bloquant toute activité potentiellement malveillante. (voir Dépassement de la mémoire tampon) 23
Fuite de données La fuite de données est l'exposition non autorisée d'informations. Elle peut être intentionnelle (vol de données) ou accidentelle (perte de données). La prévention des fuites de données est l'une des préoccupations majeures des organisations. La fuite de données résulte d'une incapacité à protéger les données confidentielles telles que l'identité de leur personnel, de leur clientèle et du grand public. Les utilisateurs peuvent publier et partager des informations sans comprendre pleinement les risques et les conséquences en cas de fuite. Un certain nombre de techniques permettent d'éviter ces fuites de données, notamment les logiciels antivirus, le chiffrement, les pare-feu, le contrôle d'accès, les politiques écrites et la formation. (voir Perte de données, Vol de données, Comment sécuriser vos données) 24
Hacktivisme L'hackitivisme est le terme utilisé pour décrire les activités de piratage, généralement à but politique et social, qui attaquent les entreprises, les administrations publiques et les particuliers. En infectant des pages web, en redirigeant le trafic, en lançant des attaques par déni de service et en dérobant des informations, ces groupes cherchent avant tout à se faire remarquer. Un groupe hacktiviste a dominé les médias au cours du premier semestre 2011 pour ses attaques contre entre autres Sony, PBS, le sénat américain, la CIA, et la filiale du FBI InfraGard. D'autres groupes hacktivistes se consacrent à ce qu'ils appellent de la désobéissance civile via des attaques par déni de service contre les sites des gouvernements, des banques et autres institutions. Un autre groupe a divulgué 90 000 adresses email du personnel militaire américain dans une attaque sur une entreprise soustraitante du gouvernement fédéral. La diversité des cibles porte à croire que n'importe quelle institution est susceptible d'être visée, bien qu'une proportion infime d'entre elles ait réellement subi des attaques d'hacktivistes. 25
Hijacking DNS Le système DNS (Domain Name System) est l'annuaire du Web. Il permet aux ordinateurs de convertir les adresses Web telles que www.sophos.fr en adresses IP, de manière à ce qu'ils puissent communiquer. Un hijacking DNS change les paramètres de l'ordinateur pour lui faire ignorer le système DNS ou utiliser un serveur DNS piraté. Les attaquants peuvent alors rediriger la communication vers les sites frauduleux. Le hijacking DNS est le plus souvent utilisé pour détourner des données personnelles en redirigeant les utilisateurs vers de fausses pages de connexion ou de faux services Web. Il peut aussi servir à empêcher les utilisateurs de mettre à jour leur logiciel de protection informatique en redirigeant les sites de sécurité vers des serveurs fictifs. 26
Ingénierie sociale L'ingénierie sociale est l'ensemble des méthodes utilisées par les pirates pour inciter leurs victimes à commettre l'action souhaitée, comme par exemple ouvrir une page malveillante ou exécuter un programme indésirable. Bien des tentatives d'ingénierie sociale cherchent à inciter l'utilisateur à révéler son identifiant de connexion ou son mot de passe, permettant ainsi au pirate d'envoyer des messages en interne et de développer l'escroquerie. En août 2013 par exemple, des pirates ont distribué des emails qui imitaient les messages que Facebook envoie lorsqu'un utilisateur est identifié dans une publication. Les messages contenaient des liens qui redirigeaient vers des sites où l'utilisateur était invité à installer un plugin pour pouvoir visualiser les vidéos soidisant publiées sur Facebook. Le plugin était en réalité du malware conçu pour dérober des mots de passe sauvegardés et pirater les comptes utilisateurs Facebook. 27