Le phénomène Malware (spyware, troyen, virus, worm, …)

Si au début des années 2000 il était simple de définir les virus et les autres codes malicieux, force est de constater 10 ans plus tard que devant la complexité et les multiples fonctionnalités des codes malicieux, la frontière entre un virus, un Spyware ou un cheval de Troie devient de plus en plus floue. Ainsi l’ensemble des codes malicieux (Virus, Spyware, Trojans, Adware, Worm, Backdoor…) est désormais regroupé sous la dénomination de Malware. Un Malware est donc un code malicieux dont l’objectif est de corrompre l’ordinateur et son utilisateur à des fins malveillantes.

On assiste depuis quelques années à une mutation du phénomène : la majorité est maintenant disséminée sur le Web et non plus envoyée par e-mails, leur nombre a considérablement explosé ces dernières années, et enfin une partie importante consiste à compromettre des postes utilisateurs au profit des « botnets ». Un botnet est un ensemble de machines compromises (dites zombies), regroupées dans des réseaux et utilisées simultanément lors de certaines attaques. A partir d’une console de contrôle, un pirate peut demander à un groupe de machines distantes précédemment compromises, qui peuvent appartenir à n’importe quels individus ou entreprises, de lancer une attaque simultanée pour ainsi associer la puissance du nombre à la valeur technique de son attaque. Les botnets sont ainsi utilisés pour rendre inaccessible des sites Internet (DDoS), pour l’envoi massif de Spam ou  de Phishing, voire pour permettre des stockages et des téléchargements illicites.  On estime que 5 000 machines devraient suffire pour bloquer n'importe quel site « classique » dans le monde. En 2007, une étude IBM estimait que 5% à 11% des machines connectées à Internet étaient infectées soit entre 32 et 71 millions.

Ainsi un code malicieux peut présenter plusieurs fonctionnalités qui associées entre elles permettent l’émergence de véritables outils complexes pouvant attaquer un système d’exploitation, y résider, s’y cacher et l’utiliser pour rebondir vers d’autres machines. Parmi les fonctionnalités les plus courantes on inclut par exemple celle du virus qui détermine la capacité d’un code à s’auto-reproduire dans un système ou un réseau, de vers ou Worm qui caractérise la propagation de poste à poste à travers un réseau comme Internet, de cheval de Troie ou Troyen qui permet la prise en main à distance d’une machine compromise, de porte dérobée ou Backdoor qui définit une entrée non prévue dans une application connue et autorisée, de Rootkit qui désigne un ensemble d’outils permettant de modifier un système d’exploitation à l’insu de son propriétaire, de Spyware ou espiogiciel qui regroupe l’ensemble des fonctionnalités d’écoute et d’espionnage comme celle de Keylogger qui enregistre l’activité du clavier.

Pourquoi de telles technologies arrivent-elle à se développer aussi rapidement voire aussi facilement ? Il existe à mon sens deux facteurs de vulnérabilités évidents qui sont le facteur humain et l’ensemble des failles techniques présentes dans les systèmes et les composantes logicielles des postes utilisateurs. L’utilisateur est à l’origine de la propagation de nombreux virus au début des années 2000, il reste une cible facile favorisant l’émergence de la cybercriminalité non seulement par un manque évident de méfiance mais aussi parce qu’il est non sensibilisé et mal informé sur les risques et leurs conséquences. Par exemple, le personnel d’une l’entreprise doit être considéré comme un élément à sécuriser du système d’information au même titre que les moyens techniques.

Comment se défendre devant le phénomène malware

Comment se défendre devant le phénomène malware qui constitue pour l’internaute qu’il soit particulier ou professionnel, une menace quotidienne. Un ensemble de 6 règles à s’imposer, ou à imposer de ses collaborateurs, suffit en général pour s’éviter tout problème de type malware :

1 - Avoir un antivirus à jour. C’est la première des défenses. Non seulement il intercepte toutes codes malicieux arrivant sur le système (boîte mail, téléchargement, périphérique usb), mais de plus il peut détecter et bloquer tout code tentant de démarrer et de s’installer en profondeur dans le système d’exploitation.

2 - Avoir un système d’exploitation à jour. Concernant Windows cela implique que la fonctionnalité Windows Update soit programmée pour télécharger et installer automatiquement les mises à jour système. Une partie des malware exploite des failles système, en d’autres termes des petites vulnérabilités qui existent dans les méandres du code de votre système d’exploitation. En général, lorsqu’une telle vulnérabilité est trouvée, quelques malwares apparaissent pour tenter de l’exploiter, et en même temps l’éditeur concerné publie une mise à jour permettant son annihilation.

3 - Avoir des applicatifs à jour. De la même façon que pour les systèmes d’exploitation, les applicatifs de votre ordinateur peuvent présenter des failles. Qu’il s’agisse par exemple de la machine virtuelle Java, des suites bureautiques, des navigateurs, …, bref tout logiciel doit être systématiquement mis à jour que ce soit automatiquement ou lorsque le logiciel vous le demande.

4 - Utiliser de temps en temps un anti-malware. Les antivirus ne détectent pas tout. En effet devant la masse imposante et grandissante des malwares, les antivirus ne peuvent les connaître tous et donc n’arrivent pas à tout intercepter. Certains antimalware sont complémentaires aux antivirus car ils détectent bon nombre de codes malveillants non spécifiquement viraux. Un scan hebdomadaire avec Malwarebyte par exemple est une bonne solution.

5 - Se remettre en question en tant qu’utilisateur. Une bonne partie des malwares réussisse à s’exécuter sur une machine victime grâce à l’utilisateur. En effet, nombres d’infections proviennent du double-clic d’un utilisateur sur une pièce jointe infectée reçue par @mail sans connaître l'expéditeur, par MSN ou trouvée sur Internet. La méfiance doit en permanence être la règle. Une bonne rigueur dans l’utilisation d’Internet permet d’éviter les multiples pièges. Donc doit-on télécharger et installer la toute nouvelle barre d’outils ou le nouvel utilitaire quelconque qui vient de sortir ? S’imposer une veille technologique permanente sur les actualités de la sécurité est un très bon complément (indispensable pour les informaticiens). Enfin les sites de téléchargements illicites de musiques et de vidéos sont généralement assez infectés et permettent la diffusion de nombreux malware.

6 - Utiliser un compte utilisateur au quotidien. Sur la plupart des systèmes d’exploitation, il y a différents niveaux de droits pour les utilisateurs. On parle de compte d’administrateur pour les comptes ayant tous les droits comme celui d’installer des logiciels ou de configurer le système, et de compte d’utilisateurs pour ceux qui n’ont besoin que d’utiliser l’ordinateur et ses fonctionnalités. En utilisant Internet avec un compte administrateur, on prend un risque important. Si jamais un malware réussi à s’exécuter avec la session de d’administrateur, il aura accès à tous ses droits donc au système complet pour infecter le système, et dans certains cas il pourra s’attaquer aux autres machines présentes sur le réseau.

- utiliser Linux au lieu de Windows ? Si le fait d’utiliser un système Linux en lieu et place d’un système Windows présente plus de sécurité car la majorité des malwares ont été créés pour s’attaquer avant tout aux systèmes Windows, ce n’est pas une raison suffisante pour imposer un changement de système. Si changement il doit y avoir, il doit être à mon sens motivé par des raisons plus sérieuses comme le besoin ou l’envie de découvrir un nouveau système. Un système Windows se protège parfaitement en utilisant les règles énoncées ci-dessus.

Comment désinfecter un système d’exploitation type Windows ?

La tâche peut être difficile comme très simple, tout dépend du malware qui s’est permis de s’installer sur votre poste.
- Si vous n’avez pas d’antivirus, la première chose à faire est d’en trouver un, de l’installer, de le mettre à jour et de scanner votre ordinateur. Si dans une partie des cas cela peut s’avérer suffisant, le malware étant déjà installé, il est possible qu’il ne soit pas détectable, voire qu’il bloque l’antivirus à l’installation ou au démarrage. Essayez de scanner votre  système démarrant en mode sans échec (F8) souvent les malwares n’y sont pas démarrés.
- Si malgré votre antivirus, un malware s’est quand même installé, essayez la solution de l’anti-malware. Récupérez un logiciel comme Malwarebyte, démarrez en mode sans échec, installez-le, mettez-le à jour et scannez. Dans une grande partie des cas, cette opération est salutaire. Attention au faux anti-malware et au faux anti-virus. Plusieurs dizaines de malwares se présentes sous forme de solutions de sécurité et ne feront qu’infecter encore plus votre poste. N’utilisez que des sites de sécurité reconnus pour télécharger des solutions de sécurité.
- Si malgré tout cela, la bestiole est toujours là, essayez de l’identifier pour tenter une désinfection manuelle. De très bons forums sont disponibles, voire des encyclopédies virales. Tout bon éditeur d’antivirus publie la description des malwares récents, dans certains cas avec une procédure ou un utilitaire de désinfection. Enfin des forums comme www.2-spyware.com ou http://forums.malwarebytes.org/ vous permettent d’obtenir de l’aide avec souvent des procédures spécifiques testées par les participants.

Quelques anti-malware efficaces et gratuits :

Malware Byte Anti malware : http://www.malwarebytes.org/
Ad-aware Free :  http://www.lavasoft.com/
SpyBot : http://www.safer-networking.org/fr/ (en shareware)

Outils Microsoft pour la sécurité :

Depuis quelques années, Microsoft propose des outils réellement efficaces pour la sécurité de ses système :

Windows 8 et Windows RT : Windows Defender et Windows SmartScreen sont intégrés à Windows 8 et Windows RT et permettent de protéger votre PC contre les virus, les logiciels espions et autres programmes malveillants en temps réel.Tous les détails de fonctionnement sont détaillés cette page.

Windows 7 : Si vous utilisez Windows 7 ou Vista Microsoft propose maintenant un très bon antivirus avec Security Essentiel, à télécharger ici. Windows Defender peut aussi s'utiliser sous Windows 7. Allez voir sur cette page. Pour le lancer cliquez sur le bouton Démarrer, dans la zone de recherche, tapez Defender, puis, dans la liste des résultats, cliquez sur Windows Defender. Sous Windows 7, Microsoft propose aussi Outil de suppression de logiciel malveillant pour détecter et nettoyer les logiciels malveillants répandu (qui n'est pas une protection temps réel) que vous trouverez ici.

Si vous avez besoin de désinfecter un poste Microsoft propose Microsoft Safety Scanner qui vous permet de réaliser un scanne complet à partir d'Internet.

Enfin pour ceux qui sont encore sous Windows 2000, XP, 2003 et Vista, il peuvent utiliser l'ancien Malicious Software Removal Tool. Pour le lancer, il suffit d'aller dans Démarrer, Exécuter… et de taper la commande suivante MRT (ou %systemroot%/system32/MRT.exe). MRT reste une solution d'appoint pour éradiquer certains malwares et une protection complète nécessitera l'utilisation d'un antivirus.