Septembre 2015 Depuis quelques mois, les entreprises françaises sont la cible d attaques informatiques utilisant des logiciels malveillants 1 (ou malwares), dont le but est de réaliser des opérations bancaires à l insu des utilisateurs de l entreprise. Les pages qui suivent proposent une démarche simple pour vérifier si un ordinateur de l entreprise est compromis et le cas échéant, pour le nettoyer (en particulier face au malware DRIDEX qui sévit très largement actuellement). En effet, les systèmes de protection informatique mis en place par LCL sur ses sites Internet ne peuvent être optimaux que si le client, de son côté, se protège également contre les risques informatiques. AVERTISSEMENT : Compte-tenu de l évolution permanente des menaces, LCL ne peut pas garantir que ce document, même s il est entièrement respecté, assure une protection totale et globale vis-à-vis de ces menaces. Les liens et logiciels de sécurité tels que mentionnés dans ce document sont utilisés sous le contrôle et la responsabilité exclusive du client et ne peuvent en aucun cas engager la responsabilité de LCL. En considération de l aspect technique du contenu de ce document, LCL préconise fortement de s adresser à des professionnels spécialisés dans la sécurité informatique (cf chapitre 3) 1 Un logiciel malveillant (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur dont l'ordinateur est infecté.
1 Comment confirmer la compromission d un ordinateur? 1.1 Comprendre le déroulement d une compromission L infection d un ordinateur peut se faire en une ou plusieurs étapes. Dans le cas du malware DRIDEX, l infection se déroule en 3 étapes : un programme malveillant, contenu dans une macro d un document Microsoft Office, s active et télécharge un nouveau script qui lui-même télécharge le malware en tant que tel. un collaborateur de l'entreprise reçoit un courriel inhabituel avec une pièce jointe un collaborateur de l entreprise navigue sur un site infecté Il ouvre la pièce jointe A son insu, un code malveillant se télécharge sur son ordinateur le code malveillant s'exécute et se connecte sur Internet un nouveau script est exécuté et va télécharger et exécuter le malware Le malware s'installe sur l'ordinateur 1.2 Les indices comportementaux Lorsque le malware s installe sur un ordinateur, il se fait discret. Cependant, certaines anomalies peuvent conduire à soupçonner une activité malveillante : si les date et heure de dernière connexion affichées sur le site de banque en ligne 2 ou tout autre site sensible (Webmail par exemple) ne correspondent pas à la dernière connexion, il y a sans doute eu une connexion à l insu de l utilisateur légitime, peut-être un vol de données voire des opérations frauduleuses ; la consultation des comptes bancaires de l entreprise fait apparaître des opérations dont l entreprise n est pas à l origine : virement sur un IBAN inconnu, paiement de prestations sur des sites en ligne, ; l antivirus détecte une attaque et la bloque, mais celle-ci revient systématiquement ; l antivirus détecte une partie de l attaque sans parvenir à la bloquer ; l ordinateur devient anormalement lent ; certaines applications ne peuvent pas être lancées, notamment le gestionnaire de tâches, l invite de commande Windows, l interface de l antivirus ; l ordinateur affiche une fenêtre de l UAC (User Account Control ou «contrôle du compte de l'utilisateur») afin d autoriser une opération avec des privilèges élevés alors que l utilisateur de l ordinateur n est pas à l initiative de ladite opération ; une fenêtre ou un pop-up fugitif 3 s affiche lorsqu une application est lancée ou lorsque certains documents ou fichiers sont ouverts ; l antivirus ne se met plus à jour ; les mises à jour du système de l ordinateur ne s installent plus ; la page d accueil du navigateur Web est modifiée et il devient impossible de la changer ; certains sites (notamment ceux liés à la sécurité) ne sont pas accessibles ; 2 Sur LCL Entreprises et LCL EspacePro, cette information se trouve dans la partie droite de la page restituée immédiatement après l authentification sur le site 3 Une fenêtre fugitive est une fenêtre qui apparaît puis disparaît immédiatement
les publicités qui s affichent sont anormales (vente de produits pharmaceutiques, sites pornographiques, ) ; 1.3 Les autres indices Il peut arriver également que l alerte vienne de l extérieur : de relations professionnelles ou amicales qui s étonnent de recevoir des messages inhabituels de la part d un collaborateur ; de l équipe ou du service informatique de l entreprise qui a repéré des comportements suspects de l ordinateur d un collaborateur sur le réseau local ou sur Internet. 2 Comment réagir en cas de compromission? Si l ordinateur donne des signes de compromission ou s il y a simplement suspicion de compromission, dérouler les points de 2.1 à 2.4. Ces 4 premières étapes génèrent des fichiers de logs ou informations. Il est possible de les fournir au service ou prestataire informatique de l entreprise pour analyse ou de faire appel à une société spécialisée (cf chapitre 3) 2.1 Détecter le malware DRIDEX DRIDEX est un malware très actif depuis juin 2015. Il est diffusé notamment par courriel avec pièce jointe. Il cible les clients des banques et particulièrement les ordinateurs des entreprises. Attention, ce type de malware est en capacité de tenter la réalisation de transactions frauduleuses à l insu de l entreprise. Une recherche sur Internet permet de trouver des outils capables de le détecter. 2.2 Exécuter un ou plusieurs scanners antimalwares distincts de l antivirus L antivirus habituel n a rien détecté (s assurer qu il est bien à jour et lancer un scan complet de l ordinateur concerné). Aux fins d augmenter les chances de détecter l intrus, utiliser un second antivirus (dit «en ligne», c est-à-dire téléchargeable et qui peut être installé pour un essai gratuit). Ci-dessous quelques liens suggérés, étant précisé que LCL n assure pas d assistance sur la mise en œuvre et l utilisation des produits suggérés. L utilisation de ces produits est réalisée sous la seule responsabilité de l entreprise. L objectif est de réaliser un scan complet de l ordinateur concerné. Pour Windows Malwarebytes Anti-Malware (FR) https://fr.malwarebytes.org/mwb-download Sophos (FR) : http://www.sophos.com/fr-fr/products/free-tools/virus-removal-tool.aspx Sophos (EN) : http://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx Kaspersky (FR) : http://support.kaspersky.com/fr/viruses/rescuedisk?level=2 Kaspersky (EN) : http://support.kaspersky.com/viruses/rescuedisk?level=2#downloads Microsoft (FR) : http://www.microsoft.com/security/scanner/fr-fr/default.aspx Symantec (FR) : http://security.symantec.com/sscv6/home.asp?langid=fr Symantec (EN) : http://security.symantec.com/sscv6/home.asp?langid=en Trend Micro : http://esupport.trendmicro.com/solution/en-us/1038437.aspx
Dr Web (FR) : http://www.freedrweb.com/cureit/?lng=fr Dr Web (EN) : http://www.freedrweb.com/cureit/?lng=en Il y a aussi le MSRT (Malicious Software Removal Tool) de Microsoft. Microsoft publie tous les mois une nouvelle version de l outil MSRT destiné à détecter une liste de malwares définie et limitée, ce qui le rend très ciblé et efficace. Il est fortement préconisé de l utiliser à chacune de ses mises à jour: https://www.microsoft.com/fr-fr/download/malicious-softwareremoval-tool-details.aspx Pour MacOS Sophos (FR) : http://www.sophos.com/fr-fr/products/free-tools/sophos-antivirus-for-machome-edition.aspx Sophos (EN) : http://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-machome-edition.aspx Malwarebytes Anti-Malware for Mac (FR) https://fr.malwarebytes.org/mac-download/ Pour Android : Sophos (FR) : http://www.sophos.com/fr-fr/products/free-tools/sophos-mobile-securityfree-edition.aspx Sophos (EN) : http://www.sophos.com/en-us/products/free-tools/sophos-mobile-securityfree-edition.aspx Malwarebytes Anti-Malware mobile (FR) https://fr.malwarebytes.org/mobile/ Si malgré ces opérations, l ordinateur concerné reste infecté (c est-à-dire ayant toujours un comportement anormal comme décrit précédemment), il est fortement recommandé de réinstaller totalement l ordinateur. 2.3 Changer les mots de passe Le malware qui a infecté l ordinateur concerné est le plus souvent en capacité de voler de nombreuses informations, par exemple : la liste de contacts de messagerie (qui sera peut être exploitée pour une prochaine campagne de spam) ; les identifiants/mots de passe de banque en ligne ; les identifiants/mots de passe de comptes de messagerie, de comptes Facebook, LinkedIn, Twitter, Skype ; les identifiants/mots de passe de sites de e-commerce ; le portefeuille Bitcoin et autres crypto-monnaies (ex : PayPal ) ; les clés privées PGP ; Il convient de changer le plus rapidement possible tous les mots de passe (à partir d un autre ordinateur, non infecté) et de prévenir les proches, partenaires, fournisseurs, clients qu ils pourraient être à leur tour victimes d une cyber-attaque.
2.4 Surveiller les comptes de l entreprise Surveiller attentivement les comptes en ligne de l entreprise, aux fins de réagir immédiatement si une nouvelle anomalie était repérée. En particulier, vérifier que les numéros de téléphone et adresses courriels qui sont référencés dans le profil de banque en ligne de l entreprise sont corrects. 3 Liens utiles de l ANSSI (Agence Nationale de la Sécurité des Systèmes d'information) Les sociétés qualifiées par l ANSSI qui pourront apporter de l assistance http://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiancequalifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/ Les logiciels de sécurité recommandés par l ANSSI http://www.ssi.gouv.fr/particulier/logiciels-preconises-par-lanssi-2/