Dictionnaire des menaces Les menaces à la sécurité des systèmes et des données de A à Z En collaboration avec le "Center for Internet Security"
Le A à Z des menaces à la sécurité des systèmes et des données Ce livret s'adresse à vous, que vous soyez un professionnel de l'informatique, que vous utilisiez un ordinateur au travail ou que vous naviguiez simplement sur Internet. Nous y faisons le point sur les menaces qui pèsent sur vos ordinateurs et vos données dans un langage simple et facile à comprendre. Sophos facilite la tâche des responsables informatiques afin qu'ils puissent se concentrer sur l'essentiel. Nos solutions de chiffrement, de contrôle d'accès réseau et de protection complète des systèmes d'extrémité, des messageries et d'internet ont été conçues pour offrir une simplicité optimale en termes de déploiement, d'administration et d'utilisation. Plus de 100 millions d'utilisateurs à travers le monde nous font confiance et bénéficient de la meilleure protection contre les complexes menaces d aujourd hui, faisant de Sophos un leader sur le marché. Grâce à nos vingt années d'expérience et notre réseau international de centres d'analyse des menaces, nous pouvons répondre rapidement à toutes les menaces émergentes. Sophos dispose de sièges sociaux à Boston (Etats-Unis) et à Oxford (Royaume-Uni). Copyright 2013 Sophos Limited. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous avez le consentement préalable écrit du propriétaire du copyright. Sophos et Sophos Antivirus sont des marques déposées de Sophos Limited, une société immatriculée en Angleterre sous le numéro 2096520, The Pentagon, Abingdon Science Park, Abingdon, Oxfordshire, OX14 3YP, UK et de Sophos Group. Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs. Abonnez-vous à notre blog blogs.sophos.com, et suivez-nous sur Twitter @Sophos_News et Facebook facebook.com/securitybysophos. Le «Center for Internet Security, Inc.» est un organisme américain à but non lucratif qui a pour but d'améliorer la cybersécurité et la réponse des entités publiques et privées. Le CIS établit les meilleures pratiques basées sur le consensus général pour une configuration sécurisée et produit des processus d'automatisation de la sécurité. Il sert de ressource-clé de la cybersécurité pour le gouvernement et l'administration publique américaine en général et il fournit des ressources qui aident les partenaires à atteindre les objectifs de sécurité grâce à des conseils d'experts et des solutions rentables. Pour en savoir plus, rendez vous sur le site cisecurity.org ou @CISecurity. 1
Sommaire Introduction 3 A à Z des menaces 5 Logiciels et matériels de sécurité 53 Conseils de sécurité 73 Historique des malwares 91 2
Introduction Nous avons tous entendu parler des virus informatiques. Mais les connaissons-nous vraiment? Le premier virus pour PC (Elk Cloner) a fait son apparition il y a trente ans, et affichait un court poème lorsqu'un ordinateur était allumé pour la 50ème fois. Depuis, des millions de virus de toutes sortes ont été créés (virus de messagerie, chevaux de Troie, vers Internet, spywares, enregistreurs de touches), certains se propageant à échelle mondiale et faisant l'actualité. Nous avons tous entendu parler des virus qui submergent l'écran de parasites ou détruisent des fichiers. Dans l'imaginaire populaire, les programmes malveillants sont encore synonymes de farces ou de sabotage. Au début des années 90, le virus Michelangelo provoquait une panique mondiale. Dans les années 2000, les sociétés antivirus durent persuader d'urgence les fournisseurs de services Internet de fermer les serveurs pour éviter un scénario catastrophe. Et pour cause : le virus SoBig-F causait le téléchargement automatique de programmes inconnus à une heure déterminée. Des films comme Independence Day ont contribué à renforcer cette perception avec des attaques virales signalées par des écrans clignotants et des alarmes. Pourtant, les choses sont très différentes aujourd'hui. Les menaces ne sont pas moins réelles, mais elles adoptent un profil plus discret, elles sont mieux ciblées et leur objet est plus de rapporter de l'argent que de créer le chaos. Aujourd'hui, il est peu probable qu'un programme malveillant détruise votre disque dur, corrompe votre feuille de calcul ou affiche un message. Ce type de cybervandalisme a cédé la place à des manipulations plus lucratives. Le virus actuel peut chiffrer tous vos fichiers et exiger une rançon. Un pirate peut exercer un chantage sur une grande entreprise en menaçant de lancer une attaque par déni de service qui empêchera les clients d'accéder à son site Web. Toutefois en général, les virus ne causent aucun dommage apparent et sont imperceptibles. En effet, un virus peut installer subrepticement un enregistreur de touches qui attend que la victime visite le site Web d'une banque. Il enregistre ensuite les identifiants et le mot de passe du compte de l'utilisateur et les transfère à un pirate via Internet. 3
Celui-ci peut ensuite utiliser ces détails pour imiter des cartes de crédit ou vider des comptes bancaires. La victime ne sait même pas que son ordinateur a été infecté. Une fois que le virus a exécuté sa tâche, il se supprime pour éviter d être détecté. Une autre tendance consiste à contrôler l ordinateur à distance en l infectant avec des malwares spécifiques. Cette technique à but lucratif permet au cybercriminel d utiliser l ordinateur à l insu de son propriétaire pour distribuer des millions de messages de spam, ou pour lancer des attaques sur d autres utilisateurs, sans éveiller le moindre soupçon. D'autre part, à l'heure où les réseaux sociaux comme Facebook et Twitter connaissent une popularité de plus en plus importante, les pirates et les cybercriminels exploitent ces systèmes pour trouver de nouveaux moyens d'infecter les ordinateurs et de voler des identités. Les pirates ne ciblent d'ailleurs plus un grand nombre de victimes. En effet, cela éveille une attention non désirée et les éditeurs antivirus peuvent aussitôt neutraliser les programmes malveillants signalés. D'autre part, les opérations à grande échelle peuvent fournir aux pirates plus de données volées qu'ils ne peuvent en gérer. C'est pourquoi les menaces sont de plus en plus soigneusement ciblées. Le spearphishing en est un exemple. Au départ, le phishing consistait à envoyer en masse des messages électroniques dont le but était de détourner des informations personnelles. Ces messages semblaient provenir de banques qui demandait à leurs clients de confirmer leurs informations personnelles. Désormais, le spearphishing cible un nombre réduit de personnes, généralement au sein d'une même organisation. Semblant provenir de collègues faisant partie de services internes à l'entreprise, le courriel demande des informations relatives aux mots de passe. Le principe est identique mais l'attaque a plus de chances de réussir car la victime, croyant que le message est interne, est moins attentive. La tendance actuelle semble être de créer des attaques discrètes, de petite taille et bien ciblées. Mais qu'en est-il de l'avenir? Il est pratiquement impossible de prévoir l'évolution des menaces à la sécurité. Certains experts avaient estimé qu'il ne resterait à terme plus que quelques centaines de virus tandis que Bill Gates de Microsoft avait déclaré qu'en 2006, le spam ne poserait plus problème. La provenance ou la gravité des futures menaces est incertaine. Ce qui est clair, en revanche, c'est que tant qu'il y aura des possibilités de gains financiers, les pirates et les criminels tenteront d'accéder à des données et d'en faire une mauvaise utilisation. 4
A à Z des menaces 5
Adware Logiciel qui affiche des publicités sur votre ordinateur. L'adware affiche des bandeaux ou des fenêtres publicitaires sur votre ordinateur lorsque vous utilisez une application. Ce n'est pas forcément négatif. Ces publicités peuvent, en effet, financer le développement de logiciels utiles qui sont ensuite distribués gratuitement (comme par exemple les applications pour Android et les barres d'outils du navigateur, qui sont pour la plupart financées par des adwares). En revanche, l'adware devient problématique s'il : s'installe sur votre ordinateur sans votre consentement s'installe dans des applications autres que celle avec laquelle il est livré et affiche de la publicité lorsque vous utilisez ces applications pirate votre navigateur Internet pour afficher encore plus de publicités (voir pirates des navigateurs) rassemble sans votre consentement des données relatives à votre navigation Internet et les transmet à des tiers via Internet (voir Spywares) est conçu pour être difficile à désinstaller. L'adware peut ralentir votre PC. Il peut aussi ralentir votre connexion Internet en téléchargeant des publicités. Parfois, des défauts de programmation dans l'adware peuvent rendre votre ordinateur instable. Certains programmes antivirus détectent les adwares et les traitent comme des applications potentiellement indésirables. Ceci vous permet ensuite soit de les autoriser soit de les supprimer de votre ordinateur. Il existe aussi des programmes dédiés de détection des adwares. 6
Application potentiellement indésirable (PUA) Programmes qui ne sont pas malveillants mais dont l'usage n'est pas approprié dans un cadre professionnel. Certaines applications (adwares, composeurs, outils d'administration à distance, outils de piratage, etc.) ne sont pas malveillantes et peuvent même être utiles dans le bon contexte, mais n'ont pas leur place au sein de l'entreprise. Il s'agit par exemple des adwares, des outils pour administrer les ordinateurs à distance et des moteurs d'analyse qui identifient les vulnérabilités dans les systèmes informatiques. Certains antivirus et solutions de sécurité peuvent détecter et signaler les PUA. 7
Attaque de force brute Lors d'une attaque de force brute, les pirates tentent d'accéder à un système ou à un fichier en essayant un nombre élevé de combinaisons de mots clés ou mots de passe. Ces attaques sont souvent employées pour venir à bout d'un schéma cryptographique tels que ceux protégés par mot passe. Les pirates utilisent des programmes informatiques pour tenter un maximum de combinaisons et déchiffrer le message ou accéder au système. Pour se protéger contre les attaques de force brute, il est conseillé d'employer des mots de passe aussi fiables que possible. (voir Comment choisir des mots de passe sécurisés) 8
Attaque par déni de service Une attaque par déni de service (DoS) bloque l'accès à un ordinateur ou un site Web. Lors de ce genre d'attaque, le criminel tente de surcharger un service de manière à bloquer son accès aux utilisateurs légitimes. Le but des attaques par déni de service est d'immobiliser des sites Internet en ciblant les serveurs. Aucune donnée n'est volée ou compromise, mais l'interruption du service peut coûter cher à l'entreprise qui en est victime. Le type le plus commun consiste à surcharger un ordinateur, lui envoyant plus de données qu'il ne peut en gérer. Parmi les nombreuses méthodes employées, la plus simple et la plus commune est d'inonder un serveur au moyen d'un botnet. On appelle cette technique une attaque par déni de service distribué (DDoS). (voir Botnet, Command and Control Center, Réseau zombie) 9
Botnet (réseau zombie) Groupe d'ordinateurs infectés, contrôlés à distance par un cybercriminel. Une fois infecté par un logicel malveillant (bot), l'ordinateur peut être contrôlé à distance via Internet. Il devient alors un zombie, répondant aux ordres du cybercriminel à l'insu de son propriétaire. Un réseau d'ordinateurs zombies est appelé "botnet". Le cybercriminel peut partager ou vendre l'accès au botnet, permettant à d'autres d'en profiter à des fins malveillantes. Un spammeur peut utiliser un botnet pour envoyer des courriels de spam. La majorité du spam est distribué de cette manière. Ceci permet non seulement aux spammeurs de passer inaperçus et d'éviter que leurs propres serveurs soient placés sur liste noire, mais aussi de réduire leurs coûts car c'est le propriétaire de l'ordinateur qui paie l'abonnement Internet. Les pirates se servent également de réseaux zombies pour lancer des attaques par déni de service distribuées, ou DDoS. En orchestrant simultanément des milliers de demandes d'accès au même site Web, le serveur de celui-ci est incapable de gérer toutes les requêtes, et le site devient inaccessible. (voir Zombie, Attaque par déni de service, Spam, Cheval de Troie de portée dérobée, Command and control center) 10
Canular Les canulars sont des allégations fausses et mensongères, ayant pour but de piéger ou d'escroquer les utilisateurs. Un canular peut être par exemple une tentative pour solliciter de l'argent, pour installer des malwares ou consommer de la bande passante (lorsque l'utilisateur renvoie l'email canular). Le canular prend généralement la forme d un courriel qui : Vous informe d'un nouveau malware très dangereux et indétectable Vous demande d'éviter d'ouvrir les courriels contenant un certain intitulé, prétendant qu'il contient du malware Prétend que ces directives proviennent d'un grand éditeur de logiciels ou d'un organisme de l'état Prétend que le malware peut réaliser quelque chose d'improbable Vous incite à faire suivre le message Prétend que de d'"aimer" une publication sur Facebook peut vous faire gagner de l'argent ou d autres prix La plupart des utilisateurs qui font suivre les canulars contribuent à la surcharge du serveur de messagerie en provoquant un déluge de messages. Les canulars peuvent détourner l'attention vis-à-vis des menaces légitimes, La meilleure défense contre les canulars est de vous informer vous et vos utilisateurs. Vous pouvez également rechercher en ligne des informations sur les canulars suspectés. 11
Centre de commande et de contrôle Le Centre de commande et de contrôle (C & C ou C2) est un ordinateur qui contrôle un botnet, ou réseau d'ordinateurs zombies. Certains botnets utilisent des systèmes de commande et de contrôle distribués, les rendant plus solides. Les pirates peuvent gérer leurs opérations depuis le centre de commande et de contrôle. En offrant la possibilité d'envoyer des commandes simultanées à une multitude d'ordinateurs, les C & C sont notamment utiles dans le lancement des attaques par déni de service. (voir Botnet, Réseau Zombie, Attaque par déni de service) 12
Cheval de Troie de porte dérobée Un cheval de Troie de porte dérobée permet à une personne de prendre le contrôle de l'ordinateur d'un autre utilisateur sans sa permission. A l'instar de n'importe quel cheval de Troie, le cheval de Troie de porte dérobée peut apparaître comme un logiciel légitime et ne provoque ainsi aucune méfiance. Aussi, et cela est de plus en plus fréquent, l'utilisateur permet, à son insu, l'installation du cheval de Troie en suivant un lien contenu dans un message de spam ou en visitant une page Web malveillante. Une fois que le cheval de Troie est exécuté, il s'ajoute au programme de lancement de l'ordinateur, et attend que l'utilisateur se connecte à Internet. Lorsque l'ordinateur est mis en ligne, l'auteur du piratage est libre de mener à bien ses opérations frauduleuses, notamment d'exécuter des programmes sur l'ordinateur infecté, d'accéder à des fichiers personnels, de modifier et de charger des fichiers, d'enregistrer les saisies clavier de l'utilisateur ou d'envoyer des messages de spam. Parmi les chevaux de Troie de porte dérobée les plus célèbres, l'on peut citer Netbus, OptixPro, Subseven, BackOrifice et, plus récemment, Zbot ou ZeuS. Pour échapper aux chevaux de Troie de porte dérobée, il est conseillé de rester à jour des correctifs les plus récents (afin de corriger les vulnérabilités du système d'exploitation) et d avoir un logiciel antispam et antivirus à jour. Il est également recommandé d'utiliser un pare-feu qui puisse empêcher les chevaux de Troie d'accéder à Internet dans le but d'entrer en contact avec le pirate. 13
Chevaux de Troie Programme se faisant passer pour un logiciel légitime mais qui dissimule des fonctions malveillantes. Ceux-ci donnent l'apparence de faire une chose alors qu'ils font en réalité une chose différente, généralement à votre insu. C'est le cas par exemple des codecs vidéo utilisés pour lire des vidéos sur certains sites Web. Quand un codec cheval de Troie est installé, il est susceptible d'installer aussi d'autres logiciels malveillants tels que des spywares. Les chevaux de Troie se propagent souvent au travers d'applications logicielles et de générateurs de clés qui créent des codes de licence illégaux pour les logiciels disponibles au téléchargement. (voir Chevaux de Troie de porte dérobée) Un autre exemple est celui du lien malveillant "Cool game". Lorsque l'utilisateur télécharge et installe le jeu, il s'avère être un cheval de Troie qui compromet l'ordinateur ou supprime toutes les données contenues sur le disque dur. 14
Cookie Fichier présent sur votre ordinateur qui permet aux sites Web de mémoriser vos informations. Lorsque vous fréquentez un site Web, celui-ci peut mettre un fichier ou "cookie" sur votre ordinateur. Ceci permet au site d'enregistrer vos informations et d'effectuer le suivi de vos visites. Les cookies peuvent être une menace pour votre vie privée, mais ils ne peuvent pas infecter votre ordinateur. Le but premier des cookies est d'être utile. Par exemple, lorsque vous visitez un site Web, le cookie peut enregistrer vos préférences ou vos données de connexion pour vous permettre de ne pas avoir à les ressaisir la fois suivante. Les cookies ont également des avantages pour les webmasters, car en enregistrant les pages les plus fréquentées, ils peuvent être utiles pour la restructuration future du site. Les cookies peuvent être enregistrés sur votre ordinateur comme de petits fichiers texte sans que vous ne le sachiez. Ils contiennent des informations sur votre activité sur ce site. Chaque fois que vous consultez ce site Web, cette information est transmise au serveur, toujours à votre insu. Ce suivi de votre comportement et de vos intérêts permet de construire votre profil, information qui peut être vendue ou partagée avec d'autres sites, et qui permet aux annonceurs de proposer des publicités ciblées, de faire apparaître des publicités consécutives sur plusieurs sites, et de suivre le nombre de fois que vous avez vu une annonce. Vous pouvez limiter l'utilisation des cookies pour suivre votre comportement en utilisant les paramètres de sécurité et de confidentialité dans votre navigateur Internet. 15
Correctifs Les correctifs sont des compléments de logiciels visant à corriger les failles (y compris de sécurité) dans les systèmes d'exploitation ou les applications. Il est essentiel d'installer des correctifs pour pallier aux nouvelles failles de sécurité et rester protégé contre les malwares. Bien des menaces de haut niveau exploitent les vulnérabilités du système. Si l'utilisateur n'installe pas les correctifs en temps voulu, il risque de laisser son ordinateur accessible aux pirates. De nouveax correctifs sont diffusés régulièrement par les éditeurs de logiciels. Microsoft met ses correctifs à disposition le deuxième mardi du mois et Adobe publie ceux d'adobe Reader et Acrobat le deuxième mardi du trimestre. Pour rester au courant des dernières failles et correctifs, il est conseillé de vous abonner à une liste de distribution dédiée, proposée par un éditeur sérieux. Vous pouvez par exemple, trouver toutes les informations concernant la sécurité des produits Microsoft à l'adresse suivante www. microsoft.com/technet/security/bulletin/notify. mspx. Les utilisateurs à domicile de Microsoft Windows peuvent utiliser Windows Update (Windows Vista/7) ou Security Center (Windows XP) pour activer la mise à jour automatique. Les utilisateurs de Apple OS X peuvent cliquer sur le logo Apple situé en haut à gauche du bureau et sélectionner Software Updates. Il est conseillé aux entreprises de s'assurer que tous les ordinateurs connectés au réseau respectent une politique de sécurité commune qui inclut l'installation obligatoire des correctifs les plus récents, y compris pour les systèmes d'exploitation et les applications. (voir Exploit, Vulnérabilité) 16
Dépassement de la mémoire tampon Un dépassement de la mémoire tampon a lieu lorsqu'un programme stocke des données supplémentaires en écrasant d'autres parties de la mémoire de l'ordinateur, occasionnant des erreurs et des pannes. Les attaques par dépassement de la mémoire tampon exploitent cette faiblesse en submergeant intentionnellement un programme de données. Il absorbe donc plus d'informations que ce qu'il ne peut stocker dans l'espace prévu, et écrase donc des parties de la mémoire réservées à d'autres usages par le système d'exploitation. Cela peut permettre à du code non autorisé de s'exécuter ou de planter le système. Contrairement à ce que l'on peut penser, ceci n'a pas uniquement lieu dans les services (tels que les systèmes d'exploitation Windows) ou les programmes de base. Ce genre d'attaque peut toucher n'importe quelle application. 17
Distribution de malware via email Malware distribué par courriel Certaines des familles de virus les plus prolifiques de l'histoire informatique, tels que Netsky ou SoBig, se sont propagés par courriel sous forme de pièce jointe. En double cliquant sur la pièce jointe, l'utilisateur causait l'exécution du code malveillant, l'infection de sa machine et la distribution du virus vers les contacts figurant dans son carnet d'adresses. De nos jours, les pirates ont changé de stratégie et utilisent surtout le Web pour distribuer leurs malwares. Les courriels, eux, servent surtout à distribuer des liens vers des sites malveillants. Il existe toutefois toujours des familles de malwares telles que Bredo qui distribuent du code malveillant par courriel. Pour vous défendre contre ce genre d'attaque, munissez-vous d'une technologie antispam solide, en plus de votre logiciel de sécurité pour systèmes d'extrémité et de votre système d'exploitation à jour. De plus, la formation des utilisateurs pourra les sensibiliser aux arnaques par email, incluant les pièces jointes ou liens légitimes. (voir Botnet, Exploit, Attaques de phishing, Spam) 18
Emails de phishing Le phishing désigne une tactique employée pour inciter le destinataire d'un courriel à partager ses informations personnelles avec un inconnu. Généralement, lors d'une attaque de phishing, vous recevez un email qui semble provenir d'un organisme fiable tel que : Banque Réseau social (Facebook, Twitter) Jeu Service disposant de vos informations personnelles (itunes, prêt étudiant, service de comptabilité) Service de l'entreprise où vous travaillez (support technique, administrateur système, etc.) Pour mieux se protéger contre le phishing, il est préférable de ne pas cliquer sur les liens reçus par courriel. Il est conseillé de saisir l'adresse du site soi-même et de se rendre sur la page adéquate, ou bien d'utiliser un lien sauvegardé dans vos Favoris. Les emails de phishing incluent également des pièces jointes, qui une fois ouvertes, peuvent infecter la machine. Un logiciel anti-phishing pourra bloquer un grand nombre d'emails de phishing. 19
Enregistrement de touches L'enregistrement de touches permet à des personnes tierces d'enregistrer les informations saisies par l'utilisateur à des fins frauduleuses. Couramment utilisée par les pirates, c'est une technique efficace pour détourner des identifiants de connexion, mots de passe, numéros de cartes de crédit et autres données sensibles. 20
Exploit Un exploit profite d'une faille dans le système de manière à gagner l'accès à un ordinateur ou l'infecter. Il profite généralement de vulnérabilités particulières et devient donc inutile lorsque la faille est corrigée. Les exploits du jour zéro sont ceux qui sont utilisés ou partagés entre pirates avant que l'éditeur du logiciel n'ait pris connaissance de la vulnérabilité en question, et avant donc qu'un correctif n'ait été mis au point. Pour vous protéger contre les exploits, veillez à activer votre antivirus et logiciel de sécurité pour systèmes d'extrémité et installer tous les correctifs mis à votre disposition, aussi bien ceux du système d'exploitation que des applications. (voir Vulnerabilité, Téléchargement passif, Dépassement de la mémoire tampon) 21
Faux antivirus Un faux antivirus signale des menaces qui en réalité n'existent pas dans le but d'effrayer l'utilisateur et de l'inciter à acheter un produit antivirus fictif en affichant à l'écran de fausses alertes au virus. Ce genre de malware est aussi connu sous le nom de scareware. Il est généralement installé via un site Web malveillant et prend l'apparence d'une analyse antivirus. Les cybercriminels attirent les utilisateurs vers ces sites au moyen de liens contenus dans des messages de spam ou en piratant des sites légitimes. Ils piratent aussi fréquemment les résultats des moteurs de recherche les plus populaires pour diriger les utilisateurs vers des sites malveillants. Cette arnaque est motivée par l'appât du gain et est extrêmement lucrative. Une partie des profits est réinjectée dans la création et la distribution d'autres arnaques du même style. Les bandes de pirates sont devenues expertes dans la création de faux sites Web se faisant passer pour des sites légitimes de fournisseurs en sécurité informatique. L'installation d'un vrai logiciel antivirus à jour et d'une solution de sécurité pour systèmes d'extrémité vous permettra de vous défendre contre ce genre d'arnaque. Une autre ligne de défense consiste à sensibiliser les utilisateurs sur les menaces qui peuvent surgir en cliquant sur les liens suspects. 22
Fichiers et comportements suspects Quand une solution de protection pour les systèmes d'extrémité effectue une analyse, les fichiers sont définis comme sains ou malveillants. Si un fichier comporte un certain nombre d'éléments douteux ou un comportement qui sort de l'ordinaire, il est considéré comme suspect C'est le cas de certains fichiers qui se copient par exemple dans le dossier des pilotes. La protection runtime aide à défendre l'ordinateur contre les fichiers suspects en analysant le comportement des programmes en cours d'exécution et en bloquant toute activité potentiellement malveillante. (voir Dépassement de la mémoire tampon) 23
Fuite de données La fuite de données est l'exposition non autorisée d'informations. Elle peut être intentionnelle (vol de données) ou accidentelle (perte de données). La prévention des fuites de données est l'une des préoccupations majeures des organisations. La fuite de données résulte d'une incapacité à protéger les données confidentielles telles que l'identité de leur personnel, de leur clientèle et du grand public. Les utilisateurs peuvent publier et partager des informations sans comprendre pleinement les risques et les conséquences en cas de fuite. Un certain nombre de techniques permettent d'éviter ces fuites de données, notamment les logiciels antivirus, le chiffrement, les pare-feu, le contrôle d'accès, les politiques écrites et la formation. (voir Perte de données, Vol de données, Comment sécuriser vos données) 24
Hacktivisme L'hackitivisme est le terme utilisé pour décrire les activités de piratage, généralement à but politique et social, qui attaquent les entreprises, les administrations publiques et les particuliers. En infectant des pages web, en redirigeant le trafic, en lançant des attaques par déni de service et en dérobant des informations, ces groupes cherchent avant tout à se faire remarquer. Un groupe hacktiviste a dominé les médias au cours du premier semestre 2011 pour ses attaques contre entre autres Sony, PBS, le sénat américain, la CIA, et la filiale du FBI InfraGard. D'autres groupes hacktivistes se consacrent à ce qu'ils appellent de la désobéissance civile via des attaques par déni de service contre les sites des gouvernements, des banques et autres institutions. Un autre groupe a divulgué 90 000 adresses email du personnel militaire américain dans une attaque sur une entreprise soustraitante du gouvernement fédéral. La diversité des cibles porte à croire que n'importe quelle institution est susceptible d'être visée, bien qu'une proportion infime d'entre elles ait réellement subi des attaques d'hacktivistes. 25
Hijacking DNS Le système DNS (Domain Name System) est l'annuaire du Web. Il permet aux ordinateurs de convertir les adresses Web telles que www.sophos.fr en adresses IP, de manière à ce qu'ils puissent communiquer. Un hijacking DNS change les paramètres de l'ordinateur pour lui faire ignorer le système DNS ou utiliser un serveur DNS piraté. Les attaquants peuvent alors rediriger la communication vers les sites frauduleux. Le hijacking DNS est le plus souvent utilisé pour détourner des données personnelles en redirigeant les utilisateurs vers de fausses pages de connexion ou de faux services Web. Il peut aussi servir à empêcher les utilisateurs de mettre à jour leur logiciel de protection informatique en redirigeant les sites de sécurité vers des serveurs fictifs. 26
Ingénierie sociale L'ingénierie sociale est l'ensemble des méthodes utilisées par les pirates pour inciter leurs victimes à commettre l'action souhaitée, comme par exemple ouvrir une page malveillante ou exécuter un programme indésirable. Bien des tentatives d'ingénierie sociale cherchent à inciter l'utilisateur à révéler son identifiant de connexion ou son mot de passe, permettant ainsi au pirate d'envoyer des messages en interne et de développer l'escroquerie. En août 2013 par exemple, des pirates ont distribué des emails qui imitaient les messages que Facebook envoie lorsqu'un utilisateur est identifié dans une publication. Les messages contenaient des liens qui redirigeaient vers des sites où l'utilisateur était invité à installer un plugin pour pouvoir visualiser les vidéos soidisant publiées sur Facebook. Le plugin était en réalité du malware conçu pour dérober des mots de passe sauvegardés et pirater les comptes utilisateurs Facebook. 27
Injection SQL Exploit qui profite des faiblesses des logiciels de consultation de bases de données. Les cybercriminels utilisent l'injection SQL ainsi que le cross-site scripting (XSS) et les malwares pour s'infiltrer dans les sites Web dans le but de dérober des données ou d intégrer du code malveillant. L'injection SQL envoie des commandes à un serveur relié à une base de données SQL. Si le serveur n'est pas conçu et renforcé correctement, il est susceptible de traiter les données saisies dans un formulaire (par ex. un identifiant) comme une commande à exécuter sur le serveur de la base de données. Un pirate pourrait par exemple saisir une chaîne de commande destinée à vider le contenu entier d'une base de données contenant des dossiers de clients et des données bancaires. Pour se défendre contre l'injection SQL, il est conseillé de se munir d'un pare-feu pour les applications Web (WAF). Celui-ci est doté d'un système de modèles puissant capable de détecter des commandes SQL transmises au serveur Web. La protection de tout système basé sur les modèles a besoin d'être mise à jour régulièrement pour pouvoir contrer les nouvelles façons d'intégrer des commandes SQL. Les contrôles réguliers des applications Web peuvent aider à détecter les vulnérabilités SQL et fournir des recommandations sur comment les fixer. 28
Malware Terme général qui désigne les logiciels malveillants tels que les virus, vers, chevaux de Troie et spywares. Les termes virus et malware sont souvent utilisés dans le même contexte. Les logiciels antivirus détectent habituellement une plus grande variété de menaces que simplement les virus et peuvent être efficaces contre les vers, les chevaux de Troie et les spywares. 29
Malware de document Les malwares de documents profitent des vulnérabilités dans les applications qui vous permettent de lire ou de modifier des documents. En intégrant du contenu malveillant dans les fichiers, les pirates peuvent exploiter les failles des applications qui ouvrent les fichiers. Les exemples courants de malwares de documents incluent les documents Word, Excel et les PDF. La brèche de données qui a touché la conférence RSA Security en 2011 a commencé lorsqu'un employé a ouvert un tableau Excel contenant des malwares minutieusement camouflés. (voir Exploit) 30
Malware de secteur de démarrage Malware qui se propage en modifiant le programme de démarrage de l'ordinateur. Lorsqu'un ordinateur est mis en route, le matériel recherche et exécute le programme de secteur d'initialisation qui se trouve généralement sur le disque dur (mais qui peut également se trouver sur un CD/DVD ou sur une clé USB). Le programme charge ensuite le reste du logiciel d'exploitation dans la mémoire. Les malwares de secteur de démarrage remplacent le secteur de démarrage d'origine par une version modifiée, et cachent généralement l'original ailleurs sur le disque dur. La prochaine fois que l ordinateur est lancé, c'est le secteur de démarrage infecté qui est utilisé et le malware devient actif. Les secteurs d'initialisation sont maintenant utilisés par certains types de malwares qui dissimulent leur présence en se chargeant avant le système d'exploitation (par ex. le rootkit TDL). 31
Malware mobile Type de malware qui s'exécute sur les périphériques mobiles tels que les smartphones ou PDAs Depuis la première découverte de ce genre de malware fin 2010, des milliers de variantes ont été identifiées. Au jour d'aujourd'hui, beaucoup plus de malwares ont été découverts pour Android que pour ios. Ceci vient probablement du fait que les périphériques Android autorisent l'installation d'applications provenant de sources diverses. Les sites de partage de fichiers hébergent souvent des versions malveillantes de jeux et d'applications populaires. Comme dans le cas du malware pour PC, le malware mobile vise à rapporter de l'argent à son auteur. Et tout comme le malware pour Windows, il diffuse des faux antivirus et détourne des informations confidentielles. D'autres types de malwares mobiles diffusent des SMS ou composent des numéros à tarif majoré, si l'appareil ciblé fait partie d'un réseau de téléphones portables. Même des sources fiables peuvent héberger des applications qui mettent en danger la confidentialité de l'utilisateur. De nombreux organismes de publicité sont susceptibles de partager les informations personnelles de l'utilisateur, telles que son adresse ou son numéro de téléphone. Ces applications peuvent être considérées comme des applications potentiellement indésirables (PUA) Pour vous protéger contre les malwares mobiles, il suffit d'effectuer des mises à jour fréquentes de votre système d'exploitation et de veiller à télécharger et à installer des applications de sources sures telles que Google Play et Apple itunes. Les logiciels de sécurité mobile offrent une couche supplémentaire de protection. Pour en savoir plus sur la protection des appareils Android ou pour télécharger un outil gratuit, veuillez consulter la page : www.sophos.fr/androidsecurity. 32
Menace avancée persistante ("advanced persistent threat" ou APT) Une menace avancée persistante est un type d'attaque ciblée effectuée par un cybercriminel qui possède le temps et les ressources nécessaires pour planifier l'infiltration d'un réseau. Après infiltration, ces pirates, qui recherchent des données propriétaires ou économiques plutôt que de simples données financières, gèrent activement leur attaque. Les APT sont persistantes car elles demeurent un certain temps sur le réseau. Elles se distinguent des botnets ou réseaux zombies qui sont souvent opportunistes et qui s'attaquent à n'importe qui plutôt qu'à une victime précise. 33
Perte de données La perte de données est le résultat d'un déplacement accidentel de données plutôt que son vol délibéré. Elle est causée le plus fréquemment par la perte de systèmes tels que les ordinateurs portables, les tablettes, les CD/DVD, les téléphones portables et les clés USB. Quand ces systèmes sont perdus, les données qu'il contiennent courent le risque de tomber entre de mauvaises mains, à moins qu elles n aient été protégées de manière adéquate, par exemple avec le chiffrement. (voir Fuite de données, Vol de données, Comment sécuriser vos données) 34
Pirateur de navigateurs Les pirateurs de navigateurs changent la page d'accueil et le navigateur Internet sans votre permission. Une fois infecté, il est possible que vous ne puissiez pas changer la page d'accueil de votre navigateur. Certains pirates modifient le registre Windows pour que les paramètres piratés soient restaurés à chaque redémarrage. D'autres suppriment les options du menu Outils du navigateur pour empêcher la réinitialisation de la page d'accueil. Le piratage de navigateurs est utilisé pour augmenter les revenus publicitaires, comme dans le cas du blackhat SEO (Search Engine Optimization), et augmenter la popularité de sites Web dans les résultats de recherche. Les pirateurs de navigateurs peuvent être aussi tenaces que sournois. Ils utilisent le clickjacking, également appelé «UI redressing», en insérant des niveaux multiples transparents ou opaques sur une page Web. Cette technique peut piéger l'internaute en le faisant cliquer sur un lien autre que celui sur lequel il pensait cliquer. Ceci revient à dire que le pirate détourne les clics destinés à une page vers une autre, appartenant fort probablement soit à une autre application, à un autre domaine, ou aux deux. Bien que ces menaces ne résident pas sur votre PC, elles affectent votre expérience de navigation. 35
Pot de miel (Honey pot) Type de piège employé par les spécialistes de la sécurité pour détecter les attaques ou prélever des échantillons de malwares. Les pots de miel sont fréquemment utilisés par les spécialistes de la sécurité pour recueillir des informations sur les attaques et menaces du moment. Il y a différents types de pots de miel. Il peut s'agir d'un ordinateur connecté au réseau visant à capturer des malwares, ou d'un faux service de réseau (par ex. un serveur web) qui enregistre les attaques entrantes. 36
Proxy anonyme Le proxy anonyme permet à l'utilisateur de cacher ses activités de navigation Web. Il est souvent utilisé pour contourner les filtres de sécurité, par exemple pour accéder à des sites bloqués depuis un ordinateur professionnel. Les proxies anonymes représentent un risque considérable pour les entreprises : Sécurité Un proxy anonyme contourne la sécurité des accès Web et permet aux utilisateurs d'accéder à des pages Web infectées Responsabilité Une entreprise peut être tenue responsable au regard de la loi si ses systèmes sont utilisés pour visionner du contenu pornographique, incitant à la haine ou à des actes illégaux. Il existe aussi des ramifications si l'utilisateur enfreint les contrats de licence tiers en téléchargeant illégalement du MP3, des films et des logiciels. 37
Ransomware Logiciel qui bloque l'accès aux fichiers jusqu'à ce que l'utilisateur paie une rançon. Le logiciel malveillant peut prendre vos données en otage. Par exemple, le virus Archiveus Trojan copie le contenu du dossier Mes Documents dans un fichier protégé par mot de passe, puis supprime les fichiers d'origine. Il laisse un message disant que l'utilisateur requiert un mot de passe à 30 caractères pour accéder au fichier, et que celui-ci lui sera envoyé s'il fait un achat dans une pharmacie. Dans certains cas, le mot de passe ou la clé est dissimulée dans le code du cheval de Troie et peut être récupérée par les analystes de malwares. Mais certains auteurs de ransomwares utilisent la cryptographie asymétrique ou à clé publique (qui utilise une clé pour chiffrer et une autre pour déchiffrer) pour éviter que le mot de passe ne soit stocké sur l'ordinateur visé. 38
Réseaux sociaux Les sites de réseaux sociaux permettent à leurs utilisateurs de communiquer et de partager des informations. Ils facilitent également la diffusion de malwares et le vol de données personnelles. Les sites de réseaux sociaux, tels que Facebook et Twitter, continuent de devenir des vecteurs d'attaques de plus en plus prisés. Les individus sans scrupule peuvent utiliser des données que vous publiez en ligne pour récupérer des informations personnelles vous concernant pouvant être utiles pour l'ingénierie sociale ou pour deviner les réponses aux questions de sécurité sur d'autres sites Web. Les attaquants peuvent aussi compromettre le compte d'un ami et l'utiliser pour distribuer des malwares ou tout autre contenu malveillant. Faites preuve de prudence lorsque vous cliquez sur un lien. Assurez-vous que chaque ordinateur que vous utilisez pour vous connecter au site est protégé avec les derniers logiciels et correctifs de sécurité Utilisez des mots de passe forts et différents pour chaque compte. Si possible, utilisez deux facteurs d'authentification. Faites attention à ce que vous publiez en ligne et utilisez les paramètres de confidentialité pour limiter qui peut voir vos informations. (voir Comment être en sécurité sur Internet) 39
Rootkit Logiciel qui cache les programmes ou processus en cours d'exécution sur un ordinateur. Une grande proportion des malwares actuels installent un rootkit dès l'infection de manière à cacher leur activité. Le rootkit peut masquer les enregistreurs de touches ou les "renifleurs" de mots de passe qui capturent les données confidentielles et les expédient aux pirates via Internet. Il peut aussi permettre aux cybercriminels d'utiliser l'ordinateur à des fins illégales (par ex. pour lancer une attaque par déni de service ou diffuser du spam) à l'insu de l'utilisateur. Les logiciels de sécurité pour systèmes d'extrémité détectent et suppriment les rootkits au cours de leur contrôle de routine. Cependant, certains rootkits peuvent requérir une stratégie d'atténuation plus complète. 40
Spam Courriel non sollicité distribué en masse, l'équivalent électronique des prospectus qui remplissent nos boîtes aux lettres. Les spammeurs déguisent souvent leurs messages pour déjouer les logiciels antispam. De plus en plus de messages de spam proviennent d'adresses légitimes hébergées par Yahoo!, Hotmail ou AOL et dont les identifiants de connexion ont été compromis. Les escrocs cherchent aussi d'autres moyens de distribuer du spam en tentant aussi de compromettre les agents de transfert de courrier électronique (MTA) des grands fournisseurs de services de messagerie (ESP). Le spam est souvent lucratif car il est très peu coûteux d'expédier des millions de courriels en une seule campagne. De ce fait, il suffit qu'un seul destinataire tombe dans le piège pour que l'opération soit profitable. Ceci peut amener l'utilisateur à commettre des erreurs, comme de prendre des messages importants pour du spam et les supprimer. Le spam fait gaspiller du temps au personnel. Les utilisateurs qui ne sont pas équipés d'une protection antispam doivent faire un tri manuel et supprimer les messages frauduleux. Les spammeurs exploitent maintenant la hausse de popularité des messageries instantanées et des réseaux sociaux tels que Facebook et Twitter pour éviter les filtres antispam et inciter leurs utilisateurs à révéler leurs informations personnelles et données bancaires. Le spam a-t-il beaucoup d'importance? Le spam transporte fréquemment des malwares (voir distribution de malware via email). Les spammeurs utilisent rarement leurs propres ordinateurs pour diffuser du spam (voir Zombie). Tout comme les canulars et les virus, le spam gaspille de la bande passante et remplit les bases de données. 41
Spearphishing Type de phishing ciblé dont le but est de convaincre les employés d'une entreprise de révéler des données sensibles ou des identifiants par l'utilisation de faux courriels. Contrairement au phishing, qui implique la distribution massive de courriels, le spearphishing est une opération ciblée de petite envergure. Le pirate contacte le personnel d'une seule organisation. Les courriels envoyés semblent provenir d'un autre employé et demandent à l'utilisateur de confirmer son identifiant et son mot de passe. Ils semblent parfois provenir d'un service qui pourrait réellement avoir besoin de ces informations, tel que le service informatique ou celui des ressources humaines. Les liens contenus dans le courriel frauduleux renvoient vers une fausse version du site Web ou de l'intranet de l'entreprise, conçu pour détourner les identifiant de l'utilisateur. (voir distribution de malware via email) 42
Spoofing (Email) Terme qui fait référence au détournement d'adresses électroniques à des fins d'ingénierie sociale. L'usurpation est utilisée dans de nombreuses opérations frauduleuses. Les "phisheurs" (criminels qui incitent les utilisateurs à révéler leurs informations confidentielles) utilisent des adresses électroniques usurpées pour se faire passer pour un expéditeur connu ou fiable, tel qu'une banque. Le message peut rediriger l'utilisateur vers un faux site Web (par ex. l'imitation d'une banque ) servant à détourner ses détails bancaires et ses identifiants de connexion. Les phisheurs peuvent aussi envoyer des courriels qui semblent provenir de l'intérieur de l'entreprise (par ex. l'administrateur système) demandant à l'employé de changer son mot de passe et de confirmer ses détails. L'usurpation d'adresses électroniques permet également aux escrocs de couvrir leurs traces et éviter la détection. (voir Distribution de malware via email) 43
Spyware Logiciel qui permet aux annonceurs et pirates de recueillir des informations sensibles sur l'utilisateur sans son consentement Un spyware peut s'installer discrètement sur l'ordinateur lorsque l'utilisateur visite un certain site Web. Le téléchargement s'effectue soit subrepticement, soit suite à un message pop-up qui pousse l'utilisateur à télécharger un logiciel prétendument essentiel. Lorsqu'il s'exécute, le spyware peut enregistrer l'activité de l'utilisateur (par ex. les sites Web fréquemment visités), générer des rapports et les transmettre à des annonceurs ou autres tiers. Ce genre de malware utilise de la mémoire et de la capacité de traitement, ce qui peut ralentir la performance de l'ordinateur ou occasionner des pannes. Traités comme des chevaux de Troie, les programmes de spyware peuvent être détectés et supprimés par un bon antivirus accompagné d'une solution de protection des systèmes d'extrémité efficace. (voir Adwares) 44
Téléchargement passif Le téléchargement passif cause l'infection de l'ordinateur au moyen d'un malware provenant d'un site Web piraté. Il a lieu sans la connaissance de l'utilisateur. Il suffit parfois d'une seule visite sur la page Web piratée pour provoquer le téléchargement et l'exécution du malware. Celui-ci exploite les vulnérabilités et les plugins du navigateur de manière à infecter l'ordinateur. Les cybercriminels piratent constamment des pages Web légitimes au moyen de code malveillant. Il suffit ensuite que l'utilisateur visite cette page infectée pour que le code injecté se charge sur le navigateur et provoque le téléchargement passif. Cette technique permet au pirate d'infecter l'utilisateur sans avoir à le rediriger vers un site particulier. Pour se protéger contre ce genre d'attaque, il est conseillé de se munir d'un logiciel de sécurité pour systèmes d'extrémité et d'une solution de filtrage du Web. (voir Exploit) 45
Ver à exécution automatique Programme malveillant qui tire parti de la fonction d'exécution automatique de Windows. Il s exécute automatiquement lorsque le système sur lequel il est stocké est branché sur un ordinateur. Les vers à exécution automatique sont plus communément distribués via les périphériques USB, et infectent l'ordinateur dès son branchement. La lecture automatique est une technologie similaire à l'exécution automatique. Elle est lancée par un support amovible qui propose aux utilisateurs de choisir entre écouter de la musique avec le lecteur audio par défaut et ouvrir le disque dans l'explorateur Windows. Les créateurs de programmes malveillants ont exploité de la même façon la fonction de lecture automatique, le ver Conficker étant l'exemple le plus connu de ce type d'attaque. Sur les systèmes d'exploitation corrigés et plus récents, la fonction d'exécution automatique est désactivée par défaut. En principe donc, ce genre de menace posera moins de problèmes à l'avenir. 46
Ver Internet Forme de malware qui s'auto-reproduit sur Internet ou les réseaux locaux. Il se distingue des virus ordinaires car il peut se répandre sans l'aide d'un programme ou d'un fichier. Pour ce faire, il crée tout simplement des copies de lui-même et se propage par l'intermédiaire des communications entre ordinateurs. Certains vers ouvrent une porte dérobée sur l'ordinateur, permettant aux pirates de le contrôler. Ces machines sont ensuite utilisées pour distribuer du spam. (voir Zombie) Le ver Conficker par exemple, montre comment un ver Internet est en mesure d'exploiter la vulnérabilité d'un système pour infecter les machines du réseau. Ce genre de ver est capable de se propager rapidement, et d'infecter de nombreuses machines. 47
Virus Les virus sont des programmes malveillants qui peuvent infecter d'autres fichiers. Parmi leurs effets nuisibles l'on compte entre autres l'affichage de messages irritants et le détournement de données. Ils peuvent également permettre aux pirates de prendre le contrôle de l'ordinateur. Les virus peuvent se fixer sur des programmes sains ou se cacher dans du code qui s'exécute automatiquement lors de l'ouverture de certains types de fichiers. Ilspeuvent parfois s'exécuter et se répandre en exploitant les failles de sécurité du système d'exploitation de l'ordinateur. Le fichier infecté peut parvenir à l'utilisateur de manières différentes, notamment par courriel, par téléchargement ou par clé USB. (Voir Virus parasitaires, Distribution de malwares via email, Ver Internet, Malware) 48
Virus parasitaires Les virus parasitaires, ou virus de fichiers, se propagent en se fixant à un programme. Le code du virus s'exécute lors du démarrage d'un programme infecté de cette manière. Pour se dissimuler, le virus rend ensuite le contrôle au programme hôte. Le système d'exploitation traite le virus comme une partie du programme légitime et lui attribue les mêmes droits, permettant au virus de se copier, de s'installer dans la mémoire ou d'apporter des modifications à l'ordinateur. Les virus parasitaires sont apparus au début de l'histoire informatique mais sont devenus très rares par la suite. Ils bénéficient cependant d'un renouveau de popularité avec des exemples tels que Sality, Virut and Vetor. 49
Vol de données Le vol de données est le vol délibéré d'informations et ne résulte pas de la perte accidentelle. Il peut être orchestré de l'intérieur d'une organisation par un employé mécontent ou de l'extérieur par un criminel. Les criminels utilisent souvent des malwares pour accéder aux ordinateurs et détourner des données. Une approche courante consiste à installer un logiciel enregistreur de touches via un cheval de Troie. Celui dernier enregistre toutes les informations saisies par l'utilisateur, notamment son nom et mot de passe, et permet ainsi au pirate d'accéder facilement à son compte bancaire. En 2013, par exemple, les noms, numéros de sécurité sociale et autres données sensibles personnelles ont été volés de l'administrative Office of the Courts (AOC) de Washington aux États-Unis et font actuellement l'objet de poursuites en justice. Parmi les plus grandes fuites de données jamais enregistrées l'on peut citer : 2011 : La société de marketing électronique Epsilon perd les noms et adresses électroniques de millions de clients inscrits sur les bases de données de Best Buy, Marks & Spencer et Chase Bank. Les coûts initiaux furent estimés à $225 millions, mais pourraient atteindre $4 milliards à terme. 2011 : Sony Corp subit une fuite qui compromet 100 millions de comptes clients, coûtant plus de $2 milliards à l'entreprise 2011 : Les serveurs de Global Payments, une société de traitement de paiements VISA, sont compromis, exposant les informations de 7 millions de personnes 2012 : Plus de 6 millions de mots de passe LinkedIn faiblement chiffrés ont été publiés sur un site criminel souterrain. 2013 : Plus de 50 millions de noms, d'adresses email et de mots de passe chiffrés ont été volés de LivingSocial, un site populaire de remises en ligne au Royaume-Uni. Le vol de données peut également se produire lors du vol des périphériques les contenant (ordinateurs portables ou clés USB). (voir Fuite de données, Perte de données, Comment sécuriser vos données) 50
Vulnérabilité Faille dans un logiciel qui est exploité à des fins criminelles. Des vulnérabilités sont inévitablement présentes dans tous les logiciels, ce qui rend l'utilisateur vulnérable aux attaques. Beaucoup d'éditeurs mettent au point et distribuent des correctifs pour remédier aux failles, lorsqu'ils en prennent connaissance. Certains d'entre eux ont recours à la recherche pour découvrir les vulnérabilités de leurs logiciels. Par ailleurs, les nouvelles vulnérabilités découvertes par les cybercriminels sont parfois en vente au marché noir. Lorsqu'une attaque exploite une vulnérabilité avant qu'elle ne soit découverte ou neutralisée par un correctif de sécurité mis à disposition par l'éditeur, elle est connue sous le nom d'attaque du "jour zéro". Pour s'en protéger, il est essentiel d'installer les correctifs sur le système d'exploitation et les applications, dès qu'ils deviennent disponibles ou activer la fonction de mise à jour automatique. (voir Exploit, Correctifs) 51
Zombie Ordinateur infecté, contrôlé à distance par un cybercriminel. Il fait partie d'un plus grand groupe d'ordinateurs contrôlés appelé botnet ou réseau zombie. L'ordinateur devient un zombie dès que le pirate en prend le contrôle via Internet.. Les réseaux zombies sont généralement utilisés pour envoyer du spam, lancer des attaques par déni de service et infecter d'autres systèmes. (voir Botnet) 52
Logiciels et matériels de sécurité 53
Antimalware Les logiciels antimalware peuvent vous protéger contre les virus et autres malwares tels que les chevaux de Troie, les vers et les spywares. Ils identifient les programmes malveillants ou suspects au moyen d'un moteur d'analyse antivirus. Ceux-ci peuvent détecter : Les malwares connus : le moteur d'analyse contrôle les fichiers en se rapportant à une bibliothèque d'identités de malwares connus. S'il trouve une correspondance, il émet une alerte et bloque l'accès au fichier. La détection de malwares connus repose sur des mises à jour régulières de la base de données des derniers virus, ou d'une base de données hébergée dans le cloud. Les malwares inconnus : le moteur d'analyse contrôle le comportement d'un programme. Si celui-ci présente le même comportement qu'un virus, l'accès est bloqué, même si le fichier ne correspond à aucun virus connu. Les fichiers suspects : le moteur d'analyse contrôle le comportement d'un programme. Si celui-ci est jugé indésirable, le moteur d'analyse avertit l'utilisateur que le fichier est potentiellement malveillant. La plupart des packages antimalware proposent des moteurs d'analyse sur accès et sur demande. Les moteurs d'analyse sur accès restent actifs tant que l'ordinateur est en marche. Ils contrôlent automatiquement les fichiers ouverts ou exécutés, ce qui évite que l'utilisateur n'accède à des fichiers infectés. Les moteurs d'analyse sur demande permettent à l'utilisateur d'effectuer ou de planifier l'analyse de fichiers ou de lecteurs spécifiques. 54
Antispam Les programmes antispam détectent les messages électroniques indésirables et leur bloquent l'accès à la boîte de réception. Ils fonctionnent grâce à une combinaison de méthodes permettant d'évaluer la légitimité d'un courriel. Ils peuvent : Bloquer les messages provenant d'ordinateurs figurant sur une liste noire. Cela peut être une liste grand public disponible à l'achat ou une liste propre à l'entreprise, sur laquelle figurent les adresses des courriels indésirables déjà rencontrés. Bloquer les messages contenant certaines adresses Web. Contrôler si le nom de domaine ou l'adresse Web du courriel est légitime. Les spammeurs utilisent souvent des fausses adresses pour essayer de déjouer les programmes antispam. Chercher des mots clés figurant souvent dans les messages de spam, tels que "perdez du poids" ou "carte de crédit". Chercher des modèles qui pourraient suggérer que l'expéditeur du message tente de déguiser ses mots (par ex "Ach*ter V1agra"). Chercher du code HTML (le code utilisé pour écrire les pages Web) qui n'a pas lieu d'être dans le message. Les spammeurs utilisent souvent ce langage pour dissimuler leurs messages et tromper les programmes antispam. Combiner toutes les informations recueillies pour évaluer la probabilité que le courriel soit du spam. Si celle-ci est suffisamment élevée, le programme bloque le courriel ou le supprime, selon les paramètres mis en place par l'utilisateur. Les logiciels antispam doivent être mis à jour souvent pour leur permettre de reconnaître les dernières techniques des spammeurs. 55
Appliances Solution tout-en-un qui comporte des éléments de sécurité logiciels et matériels. Ceci permet à l'utilisateur de les connecter directement plutôt que d'installer un logiciel séparé Les types d'appliances les plus répandues sont les appliances de messagerie, de gestion unifiée des menaces (UTM) et les appliances Web. Elles se positionnent à la passerelle entre les systèmes informatiques de l'entreprise et le Web, et bloquent les malwares, le spam et la perte de données en filtrant le trafic. Les appliances de messagerie bloquent le spam, le phishing, les virus, les spywares et autres malwares. Certains utilisent le filtrage de contenu et le chiffrement pour prévenir contre la perte de données sensibles via courriel. Les appliances Web bloquent les malwares, les spywares, les attaques de phishing, les proxies anonymes et autres applications indésirables à la passerelle. Certaines proposent aussi des outils visant à l'application de politiques d'utilisation du Web dans l'entreprise. Les appliances UTM sont des solutions tout-en-un qui évitent d'avoir à déployer et à administrer des produits multiples pour sécuriser l'entreprise contre les virus, le spam et les pirates. 56
Chiffrement Les solutions de chiffrement protègent les données en chiffrant les ordinateurs fixes et portables, les périphériques amovibles, les CD-ROM, la messagerie, les fichiers réseau, les services de stockage dans le Cloud et autres périphériques. L'accès aux données a lieu uniquement sur saisie d'un mot de passe permettant d'activer le déchiffrement. Certaines solutions de chiffrement peuvent être configurées de manière à ce que les données soient automatiquement déchiffrées pour certains utilisateurs, leur évitant ainsi d'avoir à saisir un mot de passe ou une clé de chiffrement. D'autres offrent une option de gestion des clés (qui facilite le stockage, l'échange et la récupération de clés de chiffrement), l'application des politiques de chiffrement, et l'administration et la génération de rapports intégrée. Il est important de chiffrer toutes les données stockées par un tiers. Par ailleurs, les employés itinérants peuvent accéder aux données chiffrées depuis leurs périphériques mobiles (smartphones, tablettes, etc.). Les solutions de chiffrement vous permettent de protéger les données sensibles et de rester conformes à la réglementation en vigueur en matière de sécurité des données. 57
Contrôle d'accès réseau (NAC) Une solution NAC protège le réseau et les données contre les menaces occasionnées par les utilisateurs et les périphériques se connectant au réseau. Les trois fonctions principales du NAC sont : L'authentification des utilisateurs et des périphériques pour vérifier qu'ils sont bien ceux qu'ils prétendent être. L'évaluation des ordinateurs tentant d'accéder au réseau pour s'assurer qu'ils sont sains et conformes à vos critères de sécurité. L'application des politiques basées sur le rôle de l'utilisateur pour que chaque personne puisse accéder aux informations adéquates, tout en évitant que les données confidentielles soient à la portée de tous. 58
Contrôle des applications Le contrôle des applications vous permet de contrôler l'installation d'applications qui ne sont pas appropriées dans un milieu professionnel. Le contrôle des applications permet à l'entreprise de n'autoriser que les applications à usage professionnel. Vous pouvez par exemple mettre en place une politique autorisant uniquement l'utilisation d'internet Explorer, et qui bloque tous les autres navigateurs. Le fait de contrôler quelles applications vos utilisateurs peuvent exécuter réduit les risques de malwares et de pertes de données. Certaines entreprises souhaitent peut-être contrôler l'usage d'applications telles que les logiciels de partage de fichiers peer-to-peer, les outils de gestion à distance et les clients de messagerie instantanée. De plus, les pare-feu nouvelle génération peuvent filtrer le trafic réseau au moyen de ports spécifiques, selon le type de trafic. 59
Contrôle des applications Web Le contrôle des applications bloque les applications susceptibles de vous causer des problèmes d'un point de vue juridique ou sécuritaire, telles que les logiciels de partage P2P ou les messageries instantanées. Il accélère les applications que l'entreprise juge essentielles en assurant qu'elles bénéficient d'une bande passante appropriée, tout en bloquant ou en limitant les applications indésirables et improductives. 60
Contrôle des périphériques Le contrôle des périphériques permet de contrôler l utilisation des périphériques de stockage amovibles, des lecteurs de supports optiques et des protocoles de réseaux sans fil Le contrôle des périphériques est un élément clé des stratégies de prévention de perte de données. Par exemple, le contrôle des périphériques aide à prévenir les malwares qui se propagent via les clés USB. Bien des entreprises se servent du contrôle des périphériques pour appliquer des politiques relatives à l'utilisation de périphériques de stockage amovibles. Certaines solutions de contrôle des périphériques peuvent vous aider à décider quels périphériques peuvent être utilisés grâce à une politique centrale. 61
Contrôle HTTPS Des malwares et autres menaces peuvent être dissimulés dans le trafic chiffré provenant de sites légitimes. Le contrôle HTTPS déchiffre, contrôle et re-chiffre ces données. Le contrôle HTTPS repère et supprime le contenu malveillant sans intervention humaine, ce qui préserve la confidentialité du trafic chiffré. 62
Filtrage du contenu Web ou des URL Le filtrage du contenu Web est la technologie qui permet aux entreprises de bloquer des sites spécifiques ou certaines catégories de sites Web. La plupart des malwares et des attaques de phishing s'effectuent via le Web. En limitant l'accès à certains sites Web, les entreprises peuvent réduire les risques pour leurs utilisateurs de devenir victimes. 63
Gestion unifiée des menaces (UTM) L UTM rassemble des fonctions multiples de sécurité dans une appliance réseau unique. L'administration unifiée des menaces permet aux entreprises de mettre en place plusieurs couches de protection sans la complexité associée à l'utilisation de plusieurs consoles d'administration indépendantes. Certaines fonctions pouvant être comprises dans les solutions UTM incluent un pare-feu de nouvelle génération, le filtrage du contenu Web, l'antivirus et l'antispam pour la messagerie, le pare-feu pour applications Web et la gestion de la sécurité des endpoints. 64
IPS Les systèmes de prévention des intrusions (IPS) parcourent le réseau et les systèmes à la recherche d'activité malveillante. Ils protègent contre les infections en enregistrant les informations, en bloquant l'activité malveillante et en alertant les administrateurs réseau. 65
IPsec IPsec authentifie et chiffre le paquet IP de chaque session de communication. Il inclut des protocoles visant à établir l'authentification entre agents en début de session et négocie les clés cryptographiques qui seront utilisées pendant la session. 66
Pare-feu Un pare-feu bloque l'accès non autorisé à un ordinateur ou à un réseau. Comme son nom l'indique, le pare-feu agit comme un bouclier entre plusieurs réseaux ou plusieurs parties d'un même réseau, les protégeant contre le piratage ou le trafic malveillant. Il est installé à la limite entre deux réseaux, généralement entre le réseau d'une entreprise et le Web. Le pare-feu est un élément logiciel ou matériel installé sur une machine qui fait office de passerelle pour le réseau de l'entreprise. Un pare-feu client est un logiciel qui protège uniquement l'ordinateur sur lequel il est installé. Dans les deux cas, le pare-feu analyse tout le trafic, entrant et sortant, pour vérifier qu'il respecte certains critères. S'il passe le contrôle, il est autorisé, sinon, le pare-feu le bloque. Un pare-feu client peut aussi alerter l'utilisateur chaque fois qu'un programme tente de se connecter, et le laisser décider si la communication doit être autorisée ou bloquée. Le filtrage du trafic est basé sur : Les adresses source et de destination et les numéros de port (filtrage d'adresses) Le type de trafic réseau (filtrage des protocoles HTTP ou FTP ) Les caractéristiques ou l'état des paquets d'informations en transit. 67
Pare-feu pour les applications Web (WAF) Un pare-feu pour les applications Web contrôle les activités frauduleuses des pirates et identifie les sondes et les attaques. En plus de fonctionner comme un parefeu standard, un WAF exerce des fonctions traditionnellement assurées par plusieurs systèmes telles que le filtrage de contenu et le filtrage antispam, la détection d'intrusion et l'antivirus. Les pare-feu des applications Web sont généralement utilisés pour protéger les serveurs Web qui sont accessibles depuis l'internet. 68
Protection runtime La protection runtime bloque les tentatives d'accès aux parties vulnérables de l'ordinateur. Elle analyse le comportement des programmes en cours d'exécution et bloque toute activité potentiellement malveillante. Elle contrôle par exemple toutes les modifications apportées au registre Windows. Celles-ci pourraient indiquer qu'un malware est en cours d'installation dans le but de démarrer automatiquement lors du prochain redémarrage de l'ordinateur. Les solutions de protection runtime incluent : Les systèmes de prévention des intrusions sur l'hôte (HIPS) contrôlent le comportement du code dans le but de bloquer les malwares avant la publication de la prochaine mise à jour. La majorité des solutions HIPS surveillent le code lors de son exécution et interviennent si le code est considéré suspect ou malveillant. Les systèmes de dépassement de la mémoire tampon (BOPS) identifient les attaques ciblant les failles de sécurité dans les systèmes d'exploitation et les applications. Les attaques sont signalées lors de toute tentative d'exploitation d'un processus en cours d'exécution à l'aide de techniques de saturation de la mémoire tampon. 69
Sécurité des appareils mobiles La sécurité des mobiles désigne l'ensemble des politiques, procédures et outils destinés à sécuriser les appareils mobiles. Les attaques visant les mobiles ont augmenté et continueront de le faire tant que nous continuerons de les intégrer à nos vies. La protection des mobiles et des données qu'ils contiennent doit donc être une haute priorité pour votre entreprise. Assurez-vous que les politiques et les procédures sont mises à jour pour couvrir aussi les mobiles. Les conseils pour maintenir les PC sécurisés s'appliquent également aux smartphones et aux tablettes : maintenez vos logiciels à jour, soyez prudent lorsque vous installez de nouvelles applications, utilisez des logiciels de sécurité à jour et examinez toute activité suspecte. Les systèmes d'administration des mobiles peuvent aider les organisations à centraliser un grand nombre de ces fonctions. 70
Sécurité des systèmes d'extrémité Les logiciels de sécurité des systèmes d'extrémité protègent les ordinateurs et les périphériques contre une multitude de menaces à la sécurité, la productivité et la conformité, le tout de manière centralisée. Les solutions de protection des systèmes d'extrémité vous permettent de répondre à un grand nombre de d'exigences de sécurité en un seul produit. Leur agent ou console unique facilite les tâches d'administration et de génération de rapports. Elles peuvent inclure : Logiciel antivirus Pare-feu Contrôle des périphériques Contrôle d'accès réseau Contrôle des applications Protection runtime Technologie de chiffrement Sécurité du Web Gestion des correctifs Prévention des pertes de données Nous conseillons d'utiliser un logiciel de protection des systèmes d'extrémité capable de contrôler le contenu Web. Comme les malwares proviennent souvent du Web, il est aussi conseillé d'activer les fonctionnalités de filtrage du Web de votre navigateur. Pour un essai gratuit de Sophos Enduser Protection, rendez-vous sur la page www.sophos.fr/endpoint. 71
VPN/SSL VPN Un réseau privé virtuel (VPN) est un moyen de connecter les ordinateurs ou sites distants au réseau central de l'entreprise. Cette méthode exige que les utilisateurs à distance s'authentifient en saisissant un mot de passe ou une clé. Un VPN permet aux utilisateurs de communiquer ou d'accéder aux serveurs de l'organisation en toute sécurité via Internet. 72
Conseils de sécurité 73
Comment éviter les virus, chevaux de Troie, vers et spywares Utilisez un logiciel antivirus ou de protection des systèmes d'extrémité Installez un logiciel antivirus ou de protection des systèmes d'extrémité sur tous vos ordinateurs et serveurs, et veillez à les garder à jour. Un nouveau malware peut se propager rapidement, c'est pourquoi il est important d'avoir en place une infrastructure capable de mettre à jour tous les ordinateurs du réseau fréquemment, rapidement et en toute transparence. Pour protéger votre entreprise contre les malwares de messagerie, spam et spywares, il suffit d'exécuter un logiciel de filtrage de la messagerie à la passerelle. Et pensez à protéger les ordinateurs portables, les postes de travail et les mobiles utilisés par les employés qui travaillent à distance. Pour un essai gratuit de Sophos Enduser Protection, rendez-vous sur la page www.sophos. fr/endpoint. Bloquez les types de fichiers qui sont souvent infectés Empêchez les types de fichiers exécutables d'être reçus par email ou téléchargés depuis Internet. Il est rare qu'une entreprise ait besoin de recevoir ces types de fichiers de l'extérieur. Souscrivez à un service d'alerte par courrier électronique Il peut être utile d'agrémenter votre site Web ou intranet d'un fil d'informations mis à jour en temps réel, et qui informe les utilisateurs des toutes dernières menaces. 74
Installez un pare-feu sur tous les ordinateurs Tous les ordinateurs connectés au réseau devraient être munis d'un pare-feu. Bien des vers peuvent pénétrer un réseau, même fermé, par le biais de périphériques USB, de CD-ROM et de périphériques amovibles. Les ordinateurs du personnel en déplacement ou à domicile doivent aussi être protégés par un pare-feu. Restez à jour des correctifs Nous vous conseillons d'utiliser un dispositif de correction automatique, particulièrement dans le cas des ordinateurs Windows. Les correctifs comblent souvent les failles qui rendent l'ordinateur vulnérable aux menaces. Sauvegardez vos données régulièrement Effectuez des sauvegardes régulières du travail et des données importantes, en veillant à ce qu'elles aient bien fonctionné. Ceci vous permettra de restaurer les programmes et données perdues en cas d'infection. Veillez à chiffrer et à protéger physiquement toutes les sauvegardes d'informations sensibles. Mettez en place un contrôle des périphériques Bloquez la connection de périphériques non autorisés sur les ordinateurs du réseau professionnel. Les périphériques USB, les lecteurs multimédias et les téléphones portables peuvent être porteurs de malwares et infecter la machine sur laquelle ils sont connectés. 75
Comment éviter les canulars Ayez une politique d'entreprise concernant les alertes virales Mettez en place une politique d'entreprise concernant les alertes virales. Par exemple : "Il est interdit de faire suivre des alertes virales à quiconque autre qu'au responsable des problèmes de sécurité. Que l'alerte ait été envoyée par un éditeur d'antivirus, confirmée par une société informatique ou par un ami, toute alerte doit être envoyée à [nom de l'employé concerné], qui se chargera ensuite de transmettre l'information au reste de l'entreprise. Toute autre alerte virale doit être ignorée." Ne faites pas suivre les chaînes de lettres Ne faites jamais suivre une chaîne de lettres, même si elle vous promet une récompense à la clé ou prétend distribuer des informations utiles. 76
Comment sécuriser vos données Chiffrez vos ordinateurs, courriels et autres périphériques En chiffrant vos données, vous réservez l'accès aux utilisateurs autorisés à les consulter et qui possèdent une clé de chiffrement ou un mot de passe. Les données restent ainsi protégées à tout moment, qu'elles soient stockées sur un ordinateur portable ou un CD-ROM perdu ou volé, ou contenues dans un courriel piraté. Contrôlez les applications et les périphériques Bloquez l'accès au partage de fichiers en P2P et aux périphériques USB, deux vecteurs communs de fuites des données. L'accès au réseau doit être accordé uniquement aux ordinateurs qui se conforment à la politique de sécurité de l'entreprise. Celle-ci pourrait inclure des règles concernant le chiffrement ou le contrôle des périphériques et des applications. Bloquez l'accès aux services de messagerie basés dans le Cloud Mettez en place des dispositifs visant à contrôler l'usage des services de stockage dans le Cloud tels que Dropbox. Ceux-ci devraient inclure le filtrage d'url, le contrôle des applications et le chiffrement des données. Vous pouvez interdire l'accès et le transfert d'informations confidentielles vers les services de stockage dans le nuage, qui sont généralement dotés d'un seuil de protection très bas. Mettez en place des contrôles du contenu sortant Identifiez tout d'abord les données que vous souhaitez contrôler (par ex. des fichiers contenant le terme "confidentiel" ou des détails bancaires) puis évaluez comment ces fichiers vont être utilisés. Vous déciderez peut-être d'avertir l'utilisateur des risques de perte potentielle des données ou d'empêcher la distribution de données par email, blogs ou forums. Une solution de chiffrement permet à l'utilisateur de choisir ses services de stockage dans le Cloud préférés car les fichiers sont toujours chiffrés et les clés toujours vôtres. En outre, comme le chiffrement a lieu sur le client avant que les données ne soient synchronisées, vous avez le contrôle intégral de la sécurité de vos données. Chiffrement sans fil Configurez vos réseaux sans fil afin d'utiliser un chiffrement fort, tel que celui offert par WPA2. Encouragez vos employés à faire la même chose sur leurs réseaux sans fil à la maison. 77
Comment éviter le spam Utilisez un logiciel de filtrage au niveau de votre passerelle de messagerie Protégez votre entreprise contre les menaces liées à la messagerie telles que le spam, les spywares, et les vers en installant une solution de filtrage de la messagerie à la passerelle. N'achetez aucun produit ou service proposé dans un courriel non sollicité. Ceci revient à financer de futures campagnes de spam. En effectuant cet achat, vous permettez aux spammeurs de vendre votre adresse électronique dans une liste d'adresses, entraînant encore plus de spam. Ou pire, vous pourriez être victime d'une escroquerie. Supprimez les courriels dont vous ne connaissez pas l'expéditeur Le spam peut parfois contenir des malwares qui endommagent ou infectent l'ordinateur dès l'ouverture du message. N'utilisez pas le mode aperçu dans votre boîte de réception Certains spammeurs peuvent savoir lorsqu'un courriel a été vu, même si l'utilisateur n'a pas cliqué sur le message en lui-même. Et pour cause : le mode aperçu ouvre automatiquement le courriel et envoie un accusé de réception au spammeur. En consultant vos messages, il est préférable d'essayer de décider si le message est légitime ou non en vous basant uniquement sur son intitulé. Ne surexposez pas votre adresse électronique. Le degré d'exposition de votre adresse électronique est directement proportionnel à la quantité de spam que vous recevez. Voici quelques mauvaises habitudes qui mettent votre adresse à la merci des spammeurs : L envoyer à des listes de diffusion archivées en ligne Souscrire à des services en ligne dotés de pratiques de confidentialité douteuses Publier votre adresse électronique sur les réseaux sociaux (Facebook, LinkedIn, etc.) Utiliser des adresses faciles à deviner sur le modèle prénom, nom et entreprise Combiner vos courriels personnels et professionnels 78
Utilisez le champ CCI dans les courriels circulaires Le champ CCI (ou copie carbone invisible) masque la liste de destinataires du message. Si vous saisissez toutes les adresses dans le champ destinataires, les spammeurs peuvent les recueillir et les ajouter à leurs listes de diffusion. Refusez les communications promotionnelles futures Si vous remplissez des formulaires en ligne, veillez à bien cocher la case qui vous permet de refuser les communications futures. Cochez ou décochez la case selon le cas. Utilisez une ou deux adresses secondaires Utilisez une adresse secondaire pour remplir des formulaires en ligne ou des enquêtes auxquelles vous ne souhaitez pas donner suite. Ceci protège votre adresse principale contre le spam. 79
Comment éviter le phishing Ne répondez jamais aux messages qui réclament vos données bancaires Méfiez-vous de tout courriel qui vous demande votre mot de passe ou les détails de votre compte bancaire, ou qui affichent des liens à cet effet. Les banques et les sociétés de commerce en ligne n'envoient généralement pas ce genre de message. Sachez reconnaître les caractéristiques d'un message douteux Les emails de phishing utilisent généralement des formules génériques telles que "Cher Client". Ils peuvent également inclure des affirmations alarmantes (par ex. vos coordonnées bancaires ont été volées), ont généralement une mauvaise grammaire ou orthographe, et/ou vous demandent de prendre une action telle que cliquer sur un lien ou envoyer des informations personnelles à une adresse inconnue. D'autres emails de phishing, plus ciblés, semblent vraiment crédibles. Soyez attentif à tout comportement inhabituel, tel une pièce jointe vide ou inappropriée (qui pourrait par exemple dissimuler des malwares), ou une invitation à cliquer sur un lien qui n'a aucun rapport avec le sujet ou l'expéditeur du message. Accédez au site Web de votre banque en saisissant l'adresse directement dans la barre d'adresse Ne suivez jamais les liens intégrés dans les courriels non sollicités. Les phisheurs les utilisent souvent pour rediriger la victime vers un site frauduleux. Il est donc préférable de taper l'adresse du site souhaité dans la barre d'adresse du navigateur. Vérifiez souvent vos comptes Connectez-vous régulièrement à vos comptes en ligne et consultez vos relevés bancaires. Signalez toute opération suspecte à votre banque ou fournisseur de carte de crédit. 80
Assurez-vous de la fiabilité du site que vous fréquentez Regardez l'adresse du site Web. Si le site que vous fréquentez est sur un serveur sécurisé, celle-ci devrait commencer par https:// (le s signifie "secure") plutôt que http://. Cherchez un petit cadenas affiché sur la barre de statuts du navigateur. Ces signes vous indiquent que le site est chiffré. Toutefois, même sécurisé, un site n'est jamais sûr à 100% car les cybercriminels peuvent créer des sites chiffrés conçus pour détourner les informations personnelles. Soyez attentif à l'utilisation de vos courriels et données personnelles Ayez le réflexe sécurité dans toutes vos transactions. Ne communiquez vos identifiants et mots de passe à personne, ne les notez pas par écrit et utilisez un mot de passe différent pour tous vos comptes en ligne. N'ouvrez pas et ne répondez pas aux messages de spam : ceci confirme à l'expéditeur que votre adresse est valide, ce qui vous expose à d'autres messages du même type. Sécurisez votre ordinateur Installez un logiciel antispam pour bloquer la plupart du spam. Installez un pare-feu pour sécuriser vos informations personnelles et bloquer les communications non autorisées. Il est également conseillé d'installer un logiciel antivirus pour détecter et désactiver les programmes malveillants tels que les spywares ou les chevaux de Troie de porte dérobée qui pourraient être inclus dans les messages de phishing. Installez les correctifs les plus récents pour maintenir votre navigateur à jour. Signalez toute activité suspecte Si vous recevezun courriel qui ne vous paraît pas légitime, faites-le suivre à l'entreprise usurpée. De nombreuses sociétés ont une adresse électronique dédiée. 81
Comment se protéger sur Internet Cette section fournit des conseils généraux pour une utilisation plus sure du Web. Vous pouvez également consulter nos conseils sur Comment éviter d'être victime de phishing et Comment éviter les virus, chevaux de Troie, vers et spywares. Restez à jour des correctifs Les pirates exploitent fréquemment les vulnérabilités des systèmes d'exploitation et des programmes dans le but d'infecter les ordinateurs. Méfiez-vous des mises à jour de sécurité pour le système d'exploitation, le navigateur, les plug-ins, en bref, de tout code qui pourrait être ciblé par les pirates. Si possible, il est préférable de configurer l'ordinateur de manière à télécharger automatiquement les correctifs de sécurité. Utilisez un pare-feu Le pare-feu réseau est installé aux frontières de l'entreprise et bloque tout type de trafic non autorisé. Le pare-feu client est installé sur chaque ordinateur du réseau et ne laisse passer que le trafic autorisé, lui permettant de bloquer les pirates et les vers Internet. De plus, il empêche l'ordinateur de communiquer avec le Web par le biais de programmes non autorisés. Ne cliquez pas sur les liens contenus dans les courriels inattendus Ceux-ci peuvent vous diriger vers des sites frauduleux susceptibles de détourner toutes les informations confidentielles que vous saisissez. Les pirates tentent souvent de vous diriger vers des pages Web malveillantes par le biais de campagnes de spam. Créez un mot de passe différent pour chaque site Web Il est conseillé de créer un mot de passe différent pour chaque site sur lequel vous êtes enregistré. De cette manière, si l'un de vos mots de passe est compromis, les autres comptes resteront protégés. De plus, veillez à créer des mots de passe difficiles à deviner, et n'utilisez jamais un mot du dictionnaire. 82
Pensez à bloquer l'accès à certains sites Web et types de contenu Il est conseillé de bloquer les sites Web qui ne sont pas appropriés dans le contexte de l'entreprise, car leur utilisation est susceptible de poser des problèmes de sécurité (par ex. en installant un spyware). Ceci peut être fait grâce à un logiciel de filtrage du Web ou une appliance matérielle. Même si vous autorisez une navigation "libre", il est tout de même préférable d'appliquer un contrôle antimalware sur les pages fréquentées. Ne cliquez pas sur les messages pop-up Ne cliquez pas sur les messages pop-up qui s'affichent sans être sollicités (par ex. un faux message d'avertissement que votre ordinateur est infecté et qui propose un antivirus). Ceci pourrait entraîner le téléchargement d'un faux antivirus ou autre code malveillant. Utilisez un routeur Un routeur limite les connexions entre le Web et les ordinateurs individuels. Beaucoup d'entre eux sont dotés d'un pare-feu intégré. Effectuez des contrôles antimalwares et antispam sur votre messagerie Les programmes antispam peuvent non seulement détecter les courriels indésirables et les bloquer avant qu'ils n'atteignent la boîte de réception, mais aussi analyser le contenu du message à la recherche de malwares. 83
Comment choisir des mots de passe sophistiqués Les mots de passe vous protègent contre la fraude et les fuites de données. Malheureusement, peu de personnes choisissent des mots de passe vraiment fiables. Créez un mot de passe aussi long que possible Plus le mot de passe est long, plus il est difficile à deviner ou à trouver en essayant toutes les combinaisons possibles (attaque de force brute). Les mots de passe de 14 caractères ou plus sont beaucoup plus complexes à déchiffrer. Utilisez différents types de caractères Un bon mot de passe inclut des numéros, des signes de ponctuation et des lettres majuscules et minuscules. Sur les périphériques qui ne permettent pas d'insérer des caractères spéciaux, utilisez un mot de passe plus long avec des caractères différents. N'utilisez pas de termes du dictionnaire. N'utilisez pas de mots, de noms de personnes ou de lieux que l'on trouve dans le dictionnaire, faciles à déchiffrer grâce à une attaque d'annuaire (par le biais d'un programme qui tente tous les mots du dictionnaire). N'utilisez pas d'informations personnelles D'autres connaissent probablement votre date d'anniversaire, le nom de votre conjoint ou de votre enfant, ou votre numéro de téléphone. Ceci pourrait les aider à deviner votre mot de passe. N'utilisez pas votre identifiant N'utilisez pas votre identifiant ou numéro de compte comme mot de passe. Utilisez des mots de passe difficiles à identifier pendant la saisie Veillez à ne pas utiliser des caractères répétés ou des touches rapprochées sur le clavier. Pensez à utiliser une phrase secrète Une phrase secrète est composée d'un ensemble de mots, à contrario du mot de passe classique. Il est très difficile de deviner une combinaison de mots n'ayant aucun rapport les uns avec les autres. 84
Essayez de mémoriser votre mot de passe Retenez votre mot de passe de mémoire plutôt que par écrit. Utilisez une chaîne de caractères qui ont une signification personnelle, ou servezvous d'un logiciel mnémonique pour vous aider à vous rappeler du mot de passe. Il existe plusieurs programmes gratuits de bonne qualité, tels que KeePass, RoboForm et 1Password, qui peuvent vous aider à gérer vos mots de passe. Ils aident l'utilisateur à choisir des mots de passe uniques, les chiffrer et les stocker en toute sécurité sur son ordinateur. Par exemple KeePass, RoboForm et 1Password. Créez autant de mots de passe que de comptes De cette manière, si un pirate réussit à déchiffrer l'un de vos mots de passe, vos autres comptes restent protégés. Ne révélez pas votre mot de passe à qui que ce soit Si vous recevez une demande de confirmation de votre mot de passe, ne le révélez pas, même si la demande vous semble provenir d'une source légitime (Voir les emails de phishing ). N'utilisez pas votre mot de passe sur un ordinateur public Ne saisissez pas votre mot de passe sur un ordinateur public (par ex. situé dans un hotel ou un cybercafé). Ces ordinateurs peuvent être mal protégés et ont peut-être été équipés d'un enregistreur de touches. Changez régulièrement vos mots de passe Plus votre mot de passe est simple, plus il faut le remplacer souvent. 85
Comment utiliser les périphériques amovibles en toute sécurité Sensibiliser les utilisateurs Beaucoup d'utilisateurs ne sont pas conscients des dangers potentiels des périphériques amovibles tels que les clés USB et les CD/DVD, qui propagent des malwares et provoquent des fuites de données. La sensibilisation des utilisateurs réduit considérablement ces risques. Identifiez les types de périphériques Les ordinateurs rencontrent un nombre croissant de médias amovibles tels que les lecteurs USB, les lecteurs MP3 et les smartphones. Une bonne visibilité des médias tentant de se connecter au réseau vous permet de mettre en place les restrictions et autorisations appropriées. Mettez en place un contrôle des périphériques Dans toute stratégie de sécurité du réseau, il est essentiel de déterminer quels types de médias amovibles sont autorisés et quelles types de données peuvent être échangées. Choisissez des solutions capables de gérer les périphériques de manière individuelle ou encore de configurer des catégories de périphériques. Chiffrez vos données Le chiffrement des données protège contre la fuites des données. Assurant la confidentialité intégrale des données, c'est une solution particulièrement utile pour les médias amovibles, qui peuvent facilement être perdus ou volés. 86
Comment faire des achats en ligne en toute sécurité Pouvez-vous faire confiance à votre bon sens et à votre intuition? Il est malheureusement impossible de reconnaître un site Web piraté à l'œil nu. Bien que le piratage soit invisible, l'on sait que les pirates ciblent fréquemment les sites légitimes qui ne sont pas suffisamment protégés. La taille de l'entreprise ne garantit pas la sécurité de son site Web. Effectuer des achats en ligne depuis un ordinateur protégé ou depuis un périphérique doté d'un logiciel antivirus à jour, d'un pare-feu et des correctifs disponibles, augmente vos chances de vous prémunir contre les attaques de pirates. Ne suivez jamais les liens rencontrés dans les communications en ligne non sollicitées, telles que les courriels, les messages instantanés ou les publications sur les réseaux sociaux. Les spammeurs et pirates utilisent des techniques d'ingénierie sociale pour tromper les utilisateurs et les diriger vers des sites frauduleux ou infectés. Ne communiquez vos données personnelles ou sensibles que si vous êtes certain de la légitimité de l'entreprise. Familiarisez-vous avec les Modalités d'utilisation et la Politique de Protection des Données du commerçant Lisez les passages en petits caractères. Certaines clauses peuvent parfois cacher des coûts ou des obligations supplémentaires. N'effectuez jamais d chats sur un site non chiffré Les URL qui commencent par https:// plutôt que http:// (le s signifie "secure") chiffrent les informations durant le transfert. Un autre signe qui permet de reconnaître un site sécurisé est le petit cadenas affiché sur le navigateur. Malgré ceci, ces sites ne sont jamais sûrs à 100% car les cybercriminels créent parfois des sites chiffrés conçus pour détourner les informations personnelles. 87
Fournissez le minimum d'informations personnelles Ne remplissez pas les champs non obligatoires. De nombreux commerces électroniques demandent des informations optionnelles au client en fin de transaction. Les champs obligatoires sont souvent indiqués par un astérisque. Ne partagez jamais votre mot de passe Même si quelqu'un d'autre effectue un achat à votre place, c'est à vous de saisir votre mot de passe. Ne le divulguez jamais. Pour empêcher les autres utilisateurs d'un ordinateur partagé d'accéder à votre compte sans votre autorisation, ne cochez jamais l'option "Se souvenir du mot de passe". Favorisez les achats locaux Il peut être beaucoup plus difficile et coûteux de résoudre des problèmes et faire appliquer les droits du consommateur avec un vendeur situé à l'étranger. Consultez vos relevés bancaires Vérifiez régulièrement vos transactions bancaires, particulièrement après avoir effectué un achat en ligne. Signalez tout paiement non identifiable à votre banque. Conservez vos récépissés de commande Gardez toujours les informations importantes concernant votre achat, en format papier ou électronique. Ces informations sont très utiles pour résoudre un éventuel contentieux. 88
Comment protéger les appareils itinérants Sensibilisez les utilisateurs Ne sous estimez pas les risques de fuites des données contenues sur les ordinateurs portables ou les périphériques amovibles. Il est conseillé aux entreprises de développer un ensemble de politiques claires se rapportant à l'utilisation des appareils mobiles. Utilisez des mots de passe sécurisés Un mot de passe est la première ligne de défense. Il est donc important qu'ils soient les plus forts possibles. (Voir Comment choisir des mots de passe sécurisés) Mettez en place des contrôles de sécurité supplémentaires Les cartes à puce ou les jetons d'authentification demandent des informations supplémentaires à l'utilisateur (par ex. un code de jeton en plus du mot de passe classique) avant de lui donner accès à l'ordinateur. Les lecteurs d'empreintes digitales vérifient physiquement l'identité de l'utilisateur avant d'autoriser le démarrage ou la connexion. Chiffrez toutes les informations importantes Les données chiffrées restent protégées en cas de vol ou de perte de l'ordinateur portable ou du périphérique amovible. Si vous ne souhaitez 89 pas chiffrer l'intégralité du disque dur, vous pouvez créer un disque virtuel pour stocker les informations confidentielles. Limitez le Plug and Play Le Plug and Play facilite la copie des données en permettant aux lecteurs USB, MP3 ou les disques durs externes de se connecter directement aux ordinateurs portables. Il est donc conseillé de verrouiller l'ordinateur pour que seuls les périphériques autorisés soient autorisés à s'y connecter. Sécuriser les connexions distantes Les individus curieux peuvent facilement espionner sur les réseaux sans fil dans les aéroports, les cafés, les hôtels et autres lieux publics. Sécurisez vos communications avec les serveurs de votre entreprise en utilisant un VPN configuré sur chaque ordinateur portable ou mobile. Quelques applications et sites Web peuvent également être sécurisés grâce à l'utilisation de SSL pour chiffrer les communications.
Comment sécuriser vos données Les smartphones deviennent progressivement des outils standards utilisés par les professionnels pour archiver des informations professionnelles sensibles et pour envoyer des courriels où qu'ils se trouvent. Ceci les rend donc vulnérables aux attaques des auteurs de malwares qui recherchent constamment de nouvelles méthodes pour abuser l'utilisateur et dérober les données confidentielles de l'entreprise. Les virus mobiles et les spywares demeurent un problème de relativement petite taille par rapport à l'ampleur des menaces ciblant les ordinateurs Windows. En revanche, les risques en matière de réputation de l'entreprise, de communication et de productivité deviennent de plus en plus importants. Ces risques englobent le vol de données, la perturbation des réseaux de téléphones mobiles et le piratage des téléphones pour envoyer des messages SMS non autorisés, une opération très lucrative. Il existe plusieurs méthodes d'infection des appareils mobiles : courriel, MMS, cartes mémoire externes, synchronisation du PC ou encore via Bluetooth. Assurez-vous que votre stratégie de sécurité inclut une stratégie pour les appareils mobiles englobant : Gestion des menaces identification et suppression des virus, spywares et du spam. Contrôle d'accès et gestion des appareils mobiles application d'une politique de mots de passe et de gestion des applications. Protection des données chiffrage des données sensibles sur les appareils et suppression des données distantes. Contrôle d'accès réseau contrôle des connexions VPN sur les réseaux publics, validation des appareils lorsqu'ils se connectent au réseau de l'entreprise. Pour un essai gratuit de Sophos Mobile Control, rendez-vous sur la page www.sophos.fr/mobilecontrol. 90
Historique des malwares 91
Quand est-ce que les virus, chevaux de Troie et vers sont devenus dangereux? La plupart des chronologies commencent par le virus Brain, créé en 1986. Néanmoins, ce dernier n'était que le premier virus pour PC. Il existe des programmes beaucoup plus anciens qui comportaient toutes les caractéristiques d'un virus. Notre chronologie recense les dates clés de l'histoire des virus. 1949 "Automates cellulaires" autoreproducteurs John von Neumann, le père de la cybernétique, a publié un article dans lequel il suggérait que les programmes informatiques pouvaient se reproduire. 1959 Core Wars H Douglas McIlroy, Victor Vysottsky, et Robert P Morris des Bell Labs ont développé un jeu vidéo nommé Core Wars, dans lequel des programmes, ou "organismes", se disputaient le temps de traitement informatique. 1960 Programmes lapin" Les programmeurs informatiques ont commencé à inclure de l'espace réservé dans les ordinateurs centraux. S'il n'y avait aucune tâche en file d'attente, ces programmes ajoutaient une copie d'eux-mêmes en fin de queue. Surnommés "lapins" car ils se multipliaient, ils causaient une surcharge des ressources du système. 1971 Le premier ver Bob Thomas, l'un des développeurs du précurseur d'internet ARPANET, a écrit un programme nommé Creeper qui affichait un message en passant d'ordinateur à ordinateur. 92
1975 Code reproductif A K Dewdney a écrit Pervade, un sousprogramme pour un jeu exécuté sous le système UNIVAC 1100. Lorsque l'utilisateur jouait, Pervade copiait la dernière version de lui-même dans chaque répertoire disponible, y compris les répertoires partagés, se propageant ainsi dans tout le réseau. 1978 Le ver vampire John Shoch et Jon Hupp de Xerox PARC ont été les premiers à effectuer des essais avec des vers, dont le but était de leur faire accomplir des tâches utiles. Le ver vampire était latent pendant la journée et la nuit, assignait des tâches aux ordinateurs sous-utilisés. 1981 Virus Apple Joe Dellinger, un étudiant de l'université Texas A&M, a modifié les disquettes du système d'exploitation Apple II pour que celui-ci se comporte comme un virus. Il n'a jamais été distribué pour cause d'effets secondaires imprévus, mais d'autres versions se sont propagées par la suite. 1982 Virus Apple avec effets secondaires Rich Skrenta, un garçon de 15 ans, a écrit Elk Cloner pour le système d'exploitation Apple II. Elk Cloner s'exécutait lorsque l'on démarrait l'ordinateur au moyen d'une disquette infectée, puis infectait toutes les autres disquettes insérées dans le lecteur par la suite. Un message s'affichait tous les 50 démarrages de l'ordinateur. 1985 Cheval de Troie de messagerie Le cheval de Troie EGABTR était diffusé par courriel, se faisant passer pour un programme conçu pour améliorer l'affichage graphique. En revanche, une fois exécuté il supprimait tous les fichiers présents sur le disque dur et affichait un message. 1986 Le premier virus pour PC L'on dit que Brain, le premier virus pour les PC IBM, a été créé par deux frères pakistanais qui se sont aperçus que les utilisateurs copiaient leur logiciel. Le virus inscrivait une copie de lui-même et un message de copyright sur les disquettes sur lesquelles le logiciel était copié. 93
1987 Le ver sapin de Noël Ce ver adoptait la forme d'une carte de vœux électronique avec du code programme inclus. Si l'utilisateur ouvrait la carte, le programme faisait apparaitre un sapin de Noël comme promis, mais se transmettait également à toutes les adresses figurant dans la liste de contacts. Le trafic généré à cette occasion a paralysé le réseau IBM mondial. 1988 Le ver Internet Robert Morris, un étudiant de 23 ans, a distribué un ver sur le réseau internet américain DARPA. Celui-ci s'est propagé à grande échelle, et suite à une erreur a réinfecté les mêmes ordinateurs plusieurs fois, causant des pannes à répétition. 1989 Le cheval de Troie demande une rançon Le cheval de Troie AIDS était transmis par le biais d'une disquette qui offrait des informations sur le SIDA et le VIH. Celui-ci chiffrait le disque dur et demandait une rançon en échange du mot de passe. 1991 Le premier virus polymorphe Le premier virus polymorphe de grande ampleur s'appelait Tequila. Ce genre de virus complique la tâche de détection en changeant d'apparence à chaque nouvelle infection. 1992 La panique Michelangelo Le virus Michelangelo était conçu pour effacer le contenu des disques durs tous les 6 mars (anniversaire du peintre Michel-Ange). Une panique mondiale s'installa après que deux sociétés aient accidentellement distribué des disques et PC infectés, mais très peu d'ordinateurs furent touchés. 1994 Le premier virus canular Le premier courriel contenant un canular alertait ses destinataires de l'existence d'un virus très malfaisant qui pouvait effacer le contenu entier du disque dur, juste en ouvrant un message intitulé "Good Times". 94
1995 Le premier virus de document Apparition de Concept, le premier virus de document, ou virus de "macro". Il se répandait en exploitant les macros dans Microsoft Word. 1998 Le premier virus à toucher le matériel CIH ou Chernobyl est devenu le premier virus à paralyser le matériel informatique. Il attaquait le BIOS, nécessaire pour démarrer l'ordinateur. 1999 Virus de messagerie Melissa, un virus se transmettant lui-même par courriel, s'est répandu dans le monde entier. Apparition de Bubbleboy, le tout premier virus à infecter l'ordinateur lors de l'ouverture d'un message. 2000 Attaques par déni de service Les attaques par déni de service distribuées ont mis Yahoo!, ebay, Amazon et d'autres sites Web de grande envergure hors service pendant quelques heures. Love Bug est devenu le virus de messagerie le plus performant de tous les temps. 2000 Virus Palm Apparition du premier virus pour le système d'exploitation Palm, qui n'a fait aucune victime. 2001 Les virus se propagent par le biais de sites Web ou de réseaux partagés Les programmes malveillants ont commencé à exploiter les failles logicielles, dans le but de se propager sans intervention de la part des utilisateurs. Nimda infectait les utilisateurs qui fréquentaient simplement un site Web. Sircam se diffusait par le biais de son propre programme de messagerie, et via le partage de réseaux. 95
2003 Zombie, Phishing Le ver Sobig donnait le contrôle du PC aux pirates. Celui-ci devenait effectivement un zombie servant à envoyer du spam. Le ver Mimail se faisait passer pour un courriel de PayPal, et demandait aux utilisateurs de confirmer leurs détails de carte bancaire. 2004 Bots IRC Développement des bots malveillants IRC (Internet Relay Chat). Le bot était installé sur l'ordinateur par un cheval de Troie, puis il se connectait à un canal IRC à l'insu de l'utilisateur. Ceci donnait le contrôle de l'ordinateur aux pirates. 2005 Rootkits DRM de Sony était un système de protection contre les copies qui figurait sur les CD de musique. Celui-ci installait un rootkit sur l'ordinateur qui empêchait que les fichiers soient dupliqués en les masquant. Dans le but d'exploiter cette faiblesse, les pirates ont créé des chevaux de Troie qui installaient une porte dérobée camouflée. 2006 Arnaques boursières Banalisation des messages de spam de manipulation des marchés financiers (spam "pump-and-dump") 2006 Ransomware Parmi les exemples les plus anciens de ransomware, l'on peut citer les chevaux de Troie Zippo et Archiveus, qui chiffraient les fichiers et demandaient un paiement en échange du mot de passe. 2006 Identification de la première Menace Avancée Persistante (APT) Expression inventée en 2006 par l'armée de l'air américaine et définie en 2008 par la société Mandiant basée à Alexandrie dans l'état de Virginie, celle-ci se rapporte à un groupe d'attaquants sophistiqués, déterminés et organisés. Ceux-ci ont à la fois les compétences et la détermination de mener à bien des attaques efficaces et persistantes sur l'entité ciblée. Ils privilégient des vecteurs d'attaque tels que l'infection de médias et de la chaîne d'approvisionnement, et l'ingénierie sociale. 96
2008 Les faux logiciels antivirus Des propos alarmistes poussent les gens à révéler leurs détails des cartes de crédit pour acheter des faux antivirus tels que AntiVirus 2008. 2008 Premiers malwares sur iphone L'équipe d'intervention informatique d'urgence américaine (US-CERT) informe les utilisateurs d'iphone de la circulation sur Internet d'une mise à niveau frauduleuse iphone firmware 1.1.3 prep,. Elle demande aux utilisateurs de ne pas l'installer, et pour cause : le programme installe un cheval de Troie qui modifie d'autres applications. La suppression du cheval de Troie peut également causer la désinstallation des applications touchées. 2009 Conficker fait l'actualité Le ver Conficker, qui infecte le réseau par le biais de machines non corrigées, fait la une des médias du monde entier. 2009 Le retour des virus polymorphes Les virus complexes sont de retour. C'est le cas de Scribble, un virus qui change d'apparence à chaque infection et qui utilise une multitude de vecteurs d'attaque différents. 2009 Premiers malwares sur Android Android FakePlayerAndroid/FakePlayer.A est un cheval de Troie qui envoie des SMS à des numéros à tarif majoré. Il pénètre les smartphones Android sous forme d'une application classique. L'utilisateur est invité à installer un petit fichier d'environ 13 Ko, doté de l'extension normale d'android,.apk. Malheureusement, une fois l'application installée sur le périphérique, le cheval de Troie se met à envoyer des SMS à des numéros à tarif majoré. Comme ces numéros sont gérés par les pirates, le coût des appels leur revient. 97
2010 Stuxnet Découvert en 2010, le ver Stuxnet se propage initialement sans distinction. Il contient toutefois une charge virale hautement spécialisée, conçue pour cibler uniquement les systèmes de supervision et d'acquisition de données Siemens (SCADA) configurés pour contrôler des processus industriels spécifiques. Tout porte à croire que la cible la plus importante de Stuxnet serait l'infrastructure d'enrichissement de l'uranium en Iran. 2013 Les ransomwares sont de retour Les ransomwares émergent comme l'une des principales menaces de malwares. Avec certaines variantes qui utilisent le chiffrement avancé rendant la récupération des fichiers verrouillés quasi impossible, le ransomware remplace le faux antivirus comme la menace de prédilection des pirates en quête d'argent. 2012 Premiers malwares de téléchargement passif sur Android Découverte du premier malware de téléchargement passif sur Android, un cheval de Troie nommé NotCompatible qui se fait passer pour une mise à jour système mais qui agit comme un proxy. Le site vérifie la chaîne User-Agent du navigateur de la victime pour confirmer son statut Android, puis installe automatiquement le cheval de Troie. Un périphérique infecté par NotCompatible pouvait potentiellement être utilisé pour accéder à des informations normalement protégées, telles que celles maintenues par une entreprise ou un gouvernement. 98
Oxford, Royaume-Uni Boston, États-Unis www.sophos.fr Copyright 2013. Sophos Ltd. Tous droits réservés. Immatriculée en Angleterre et au Pays de Galles No. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, United Kingdom. Tous les autres noms de produits et de sociétés mentionnés sont des marques ou des marques déposées appartenant à leurs propriétaires respectifs. 1090-10DD.fr.simple