▼
Scroll to page 2
of
26
ESET Glossary Guide de l'utilisateur Cliquez ici pour consulter la version de l'aide en ligne de ce document Copyright ©2023 d'ESET, spol. s r.o. ESET Glossary a été développé par ESET, spol. s r.o. Pour plus d’informations, consultez le site https://www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de restitution ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique, photocopie, enregistrement, numérisation ou autre) sans l’autorisation écrite de l’auteur. ESET, spol. s r.o. se réserve le droit de modifier les logiciels décrits sans préavis. Assistance technique : https://support.eset.com RÉV. 19/04/2023 1 Présentation du glossaire ESET ......................................................................................................... 1 1.1 Logiciels publicitaires ................................................................................................................. 1 1.2 Botnet ....................................................................................................................................... 1 1.3 Faux positif (FP) ......................................................................................................................... 2 1.4 Installeur ................................................................................................................................... 2 1.5 Applications potentiellement dangereuses .................................................................................... 2 1.6 Applications potentiellement indésirables ..................................................................................... 2 1.7 Ransomware .............................................................................................................................. 7 1.8 Rootkit ...................................................................................................................................... 7 1.9 ROP (Return-oriented programming) ............................................................................................ 8 1.10 Spyware .................................................................................................................................. 8 1.11 Cheval de Troie ......................................................................................................................... 8 1.12 Virus ....................................................................................................................................... 9 1.13 Ver .......................................................................................................................................... 9 1.14 Credential stuffing (bourrage d'identifiants) .............................................................................. 10 1.15 Empoisonnement DNS ............................................................................................................. 10 1.16 Attaque DoS ........................................................................................................................... 10 1.17 Attaque par protocole ICMP ..................................................................................................... 10 1.18 Balayage de ports ................................................................................................................... 11 1.19 Relais SMB ............................................................................................................................. 11 1.20 Désynchronisation TCP ............................................................................................................ 12 1.21 Attaque de ver ....................................................................................................................... 12 1.22 Empoisonnement du cache ARP (ARP Cache Poisoning) ............................................................... 12 2 Menaces liées aux e-mails .............................................................................................................. 12 2.1 Publicités ................................................................................................................................ 13 2.2 Canulars .................................................................................................................................. 13 2.3 Hameçonnage .......................................................................................................................... 14 2.4 Reconnaissance du courrier indésirable ...................................................................................... 14 2.4 Règles ................................................................................................................................. 14 2.4 Liste blanche .......................................................................................................................... 15 2.4 Liste noire ............................................................................................................................. 15 2.4 Exception .............................................................................................................................. 16 2.4 Contrôle côté serveur ................................................................................................................. 16 2.5 Scanner de mémoire avancé ...................................................................................................... 16 2.6 Protection des transactions bancaires ........................................................................................ 16 2.7 Protection anti-botnet ............................................................................................................... 17 2.8 DNA Detections ........................................................................................................................ 17 2.9 ESET LiveGrid® ........................................................................................................................ 18 2.10 Bloqueur d'exploit ................................................................................................................... 19 2.11 Bloqueur d'exploit Java ............................................................................................................ 19 2.12 ESET LiveSense ...................................................................................................................... 19 2.13 Apprentissage machine ........................................................................................................... 20 2.14 Protection contre les attaques réseau ....................................................................................... 21 2.15 Bouclier anti-ransomwares ...................................................................................................... 21 2.16 Protection contre les attaques basées sur des scripts ................................................................. 21 2.17 Navigateur sécurisé ................................................................................................................ 21 2.18 Analyseur UEFI ....................................................................................................................... 22 2.19 Fichier Canary ........................................................................................................................ 22 2.20 Blocage ................................................................................................................................. 23 Présentation du glossaire ESET Le glossaire ESET donne un aperçu complet des menaces actuelles et des technologies ESET qui vous protègent contre celles-ci. Les thèmes abordés sont organisés en chapitres : • Détections : il s'agit notamment des virus informatiques, des vers, des chevaux de Troie, des applications potentiellement indésirables, etc. • Attaques distantes : il s'agit des menaces qui ont lieu sur des réseaux locaux ou Internet. • Menaces liées aux e-mails : il s'agit notamment des menaces suivantes : canulars, hameçonnage, scam, et ainsi de suite. • Technologies ESET : il s'agit des fonctionnalités de produit disponibles dans les solutions de sécurité ESET. Logiciels publicitaires Le terme anglais « adware » désigne les logiciels soutenus par la publicité. Les programmes qui affichent des publicités entrent donc dans cette catégorie. Les logiciels publicitaires ouvrent généralement une nouvelle fenêtre contextuelle automatiquement dans un navigateur Internet. Cette fenêtre contient de la publicité ou modifie la page de démarrage du navigateur. Ils sont généralement associés à des programmes gratuits et permettent aux développeurs de couvrir les frais de développement de leurs applications (souvent utiles). Les logiciels publicitaires en tant que tels ne sont pas dangereux ; ils dérangent simplement les utilisateurs en affichant des publicités. Le danger réside dans le fait qu'ils peuvent également avoir des fonctions d'espionnage (comme les logiciels espions). Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement attentif au programme d'installation. La plupart des programmes d'installation vous avertissent en effet qu'ils installent également un programme publicitaire. Dans la plupart des cas, vous pourrez désactiver cette installation supplémentaire et installer le programme sans logiciel publicitaire. Certains programmes refusent de s'installer sans leur logiciel publicitaire ou voient leurs fonctionnalités limitées. Cela signifie que les logiciels publicitaires accèdent souvent au système de manière « légale », dans la mesure où les utilisateurs l'ont accepté. Dans ce cas, il est préférable de procéder avec prudence. Si un logiciel publicitaire est détecté sur votre ordinateur, il est conseillé de le supprimer, car il est fort probable qu'il contienne du code malveillant. Botnet Un bot ou robot web est un programme malveillant automatisé qui analyse des blocs d'adresses réseau et infecte les ordinateurs vulnérables. Cela permet aux pirates de prendre le contrôle de nombreux ordinateurs simultanément et de les transformer en bots (également appelés zombies). Les pirates utilisent généralement des bots pour infecter un grand nombre d'ordinateurs, qui constituent un réseau ou botnet. Une fois que le botnet est dans votre ordinateur, il peut être utilisé dans des attaques par déni de service distribué (DDoS) ainsi qu'exploité pour exécuter des tâches automatiques sur Internet, à votre insu (par exemple l'envoi de courrier indésirables, de virus ou le vol d'informations personnelles et privées, telles que des informations d'identification 1 bancaires ou des numéros de carte de crédit). Faux positif (FP) De façon réaliste, rien ne garantit un taux de détection de 100 %, ni une chance de 0 % d'éviter une catégorisation incorrecte des objets non infectés en tant que détections. Un faux positif est une application ou un fichier non infecté qui est incorrectement classé comme logiciel malveillant ou application potentiellement indésirable. Installeur L'installateur est un fichier exécutable auto-extractible qui regroupe plusieurs genres de logiciels malveillants dans un seul package. Les installateurs les plus courants sont UPX, PE_Compact, PKLite et ASPack. Le même logiciel malveillant peut être détecté différemment lorsqu'il est compressé à l'aide d'un installateur différent. Les installateurs sont capables de faire muter leur « signature » au fil du temps, les logiciels malveillants deviennent ainsi plus difficiles à détecter et à éliminer. Applications potentiellement dangereuses Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des fins malveillantes. ESET permet de détecter ces applications. Applications potentiellement dangereuses est la classification utilisée pour les logiciels commerciaux légitimes. Cette classification comprend les programmes d'accès à distance, les applications de résolution de mot de passe ou les keyloggers (programmes qui enregistrent chaque frappe au clavier de l'utilisateur). Si vous découvrez qu'une application potentiellement dangereuse est présente et fonctionne sur votre ordinateur (sans que vous ne l'ayez installée), consultez l'administrateur réseau ou supprimez l'application. Applications potentiellement indésirables Un grayware (ou application potentiellement indésirable) est un type de logiciel dont l'objectif n'est pas nécessairement malveillant, contrairement à d'autres types de logiciels malveillants comme les virus et les chevaux de Troie. Il peut toutefois installer d'autres logiciels non souhaités, modifier le comportement de l'appareil numérique, ou effectuer des activités non approuvées ou non attendues par l'utilisateur. Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de téléchargement, diverses barres d'outils de navigateur, logiciels avec un comportement trompeur, bundleware, trackware, proxyware (applications de partage Internet) crypto-miners, nettoyeurs de registre (systèmes d'exploitation Windows uniquement) ou tout autre logiciel limite ou logiciel qui utilise des pratiques commerciales illicites ou contraires à l'éthique (bien qu'il apparaisse légitime) et peut être considéré comme indésirable par un utilisateur final. Une application potentiellement dangereuse peut être légitime (application commerciale), mais elle peut être mal utilisée par un attaquant. La détection de ces types d'applications peut être activée ou désactivée par les 2 utilisateurs des logiciels ESET. Dans certains cas, un utilisateur peut estimer que les avantages offerts par une application potentiellement indésirable dépassent de loin les risques. Pour cette raison, ESET classe les applications de ce type dans une catégorie à faible risque par rapport aux autres types de logiciels malveillants (chevaux de Troie ou vers, par exemple). • Avertissement : détection d'applications potentiellement indésirables • Paramètres • Wrappers logiciels • Nettoyeurs de registre • Contenu potentiellement indésirable Instructions illustrées Pour rechercher des applications potentiellement indésirables et les supprimer dans les produits ESET Windows pour les particuliers, consultez cet article de la base de connaissances ESET. Avertissement : détection d'applications potentiellement indésirables Lorsqu'une application potentiellement indésirable est détectée, vous pouvez choisir l'action à exécuter : 1.Nettoyer/Déconnecter : cette option met fin à l'action et empêche l'application potentiellement indésirable de pénétrer dans le système. L'option Déconnecter s'affiche pour les notifications d'applications potentiellement indésirables lors du téléchargement depuis un site Web. L'option Nettoyer apparaît pour les notifications d'un fichier sur le disque. 2.Ignorer : cette option permet à une application potentiellement indésirable de pénétrer dans le système. 3.Exclure de la détection : pour permettre l'exécution sans interruption du fichier détecté se trouvant déjà sur l'ordinateur, cliquez sur Options avancées, puis cochez la case en regard de l'option Exclure de la détection et cliquez sur Ignorer. 4.Exclure la signature de la détection : pour permettre à l'avenir l'exécution sans interruption sur votre ordinateur de tous les fichiers identifiés par un nom de détection spécifique (signature) (fichiers existants ou téléchargement Web), cliquez sur Options avancées, cochez la case en regard de l'option Exclure la signature de la détection et cliquez sur Ignorer. Si des fenêtres de détection supplémentaires avec un nom de détection identique sont affichées immédiatement après, cliquez sur Ignorer pour les fermer (toute fenêtre supplémentaire est liée à une détection survenue avant que vous ayez exclu la signature de la détection). 3 Paramètres Lorsque vous installez votre produit ESET, vous pouvez choisir d'activer ou non la détection des applications potentiellement indésirables, comme illustré ci-dessous: Avertissement Les applications potentiellement indésirables peuvent installer des logiciels publicitaires et des barres d'outils ou contenir d'autres fonctionnalités indésirables ou dangereuses. Ces paramètres peuvent être modifiés à tout moment dans les paramètres du programme. Pour activer ou 4 désactiver la détection des applications potentiellement indésirables, dangereuses ou suspectes, procédez comme suit : 1. Ouvrez votre produit ESET. 2. Appuyez sur la touche F5 pour accéder à Configuration avancée. 3. Cliquez sur Moteur de détection (Antivirus ou Ordinateur dans les versions précédentes), puis activez ou désactivez les options Activer la détection des applications potentiellement indésirables, Activer la détection d'applications potentiellement dangereuses et Activer la détection d'applications suspectes, selon vos préférences. Cliquez ensuite sur OK pour confirmer. Instructions illustrées Pour obtenir des instructions plus détaillées pour configurer des produits afin de détecter ou ignorer les applications potentiellement indésirables, consultez les articles de la base de connaissances ESET suivants : • ESET NOD32 Antivirus / ESET Internet Security / ESET Smart Security Premium • ESET Cyber Security pour macOS / ESET Cyber Security Pro pour macOS • ESET Endpoint Security / ESET Endpoint Antivirus for Windows • ESET Mobile Security pour Android Wrappers logiciels Un wrapper logiciel est un type spécial de modification d'application qui est utilisé par certains sites web d'hébergement de fichiers. Il s'agit d'un outil tiers qui installe le programme que vous avez téléchargé tout en ajoutant d'autres logiciels comme des barres d'outils ou des logiciels publicitaires. Les autres logiciels peuvent également apporter des modifications à la page d'accueil de votre navigateur web et aux paramètres de 5 recherche. De plus, les sites web d'hébergement de fichiers n'avertissent pas l'éditeur ou le destinataire du téléchargement que des modifications ont été apportées et masquent souvent les options d'annulation. Pour ces raisons, ESET classe les wrappers logiciels comme un type d'application potentiellement indésirable afin que les utilisateurs puissent accepter ou non de les télécharger. Nettoyeurs de registre Les nettoyeurs de registre sont des programmes pouvant suggérer que la base de données de registre de Windows requiert une maintenance ou un nettoyage régulier. L'utilisation d'un nettoyeur de registre peut introduire des risques au sein du système de votre ordinateur. De plus, certains nettoyeurs de registre font des déclarations non confirmées impossibles à vérifier quant à leurs avantages et/ou génèrent des rapports concernant le système d'un ordinateur reposant sur les résultats d'une « analyse gratuite ». Ces déclarations et rapports trompeurs sont destinés à vous convaincre d'acheter la version complète ou un abonnement, généralement sans vous permettre d'évaluer le nettoyeur de registre avant paiement. C'est pour ces raisons qu'ESET classe de tels programmes comme des programmes potentiellement indésirables et propose de les autoriser ou de les bloquer. Contenu potentiellement indésirable Si la détection des programmes potentiellement indésirables est activée dans votre produit ESET, les sites Web ayant la réputation de faire la promotion de programmes potentiellement indésirables ou de tromper les utilisateurs en les incitant à réaliser des actions susceptibles d'avoir une incidence négative sur leur système ou leur expérience de navigation seront bloqués en tant que contenu potentiellement indésirable. Si vous recevez une notification indiquant qu'un site Web que vous essayez de visiter est catégorisé comme un contenu potentiellement indésirable, vous pouvez cliquer sur Retour pour quitter la page Web bloquée ou sur Ignorer et continuer pour autoriser le site à se charger. 6 Vous trouverez des informations supplémentaires sur ce sujet dans cet article de la base de connaissances ESET. Ransomware Un ransomware (également appelé filecoder) est un type de logiciel malveillant qui verrouille votre appareil ou chiffre le contenu de celui-ci et vous extorque de l'argent pour restaurer l'accès à votre contenu. Ce type de logiciel malveillant peut également comporter un minuteur intégré avec un délai de paiement préprogrammé à respecter. Si le délai n'est pas respecté, le montant augmente ou l'appareil devient inaccessible. Lorsque l'appareil est infecté, le filecoder peut tenter de chiffrer les lecteurs partagés sur l'appareil. Ce processus peut donner l'impression que le logiciel malveillant se propage sur le réseau, mais ce n'est pas le cas. Cette situation se produit lorsque le lecteur partagé sur un serveur de fichiers est chiffré, mais que le serveur ne contient pas de logiciel malveillant (sauf s'il s'agit d'un serveur Terminal Server). Les créateurs d'un ransomware génèrent une paire de clés, publique et privée, et insèrent la clé publique dans le logiciel malveillant. Le ransomware peut faire partie d'un cheval de Troie ou peut sembler être un fichier ou une image que vous pourriez recevoir par e-mail, via des réseaux sociaux ou par messagerie instantanée. Après avoir infiltré votre ordinateur, le logiciel malveillant génère une clé symétrique aléatoire et chiffre les données sur l'appareil. Il utilise la clé publique contenue dans le logiciel malveillant pour chiffrer la clé symétrique. Le ransomware demande alors de verser une somme d'argent pour déchiffrer les données. Le message de demande de paiement affiché sur l'appareil peut constituer un faux avertissement selon lequel votre système a été utilisé pour des activités illégales ou contient un contenu illégal. Il est demandé à la victime du ransomware de payer la rançon à l'aide de diverses méthodes de paiement. Les options sont généralement celles qui sont difficiles à détecter, telles que les monnaies numériques (crypto), les SMS à tarif majoré ou les bons prépayés. Après avoir reçu le paiement, le créateur du ransomware doit déverouiller l'appareil ou utiliser sa clé privée pour déchiffrer la clé symétrique et les données de la victime. Cette opération n'est toutefois pas garantie. Informations supplémentaires sur la protection contre les ransomwares Les produits ESET utilisent plusieurs technologies multicouches qui protègent les appareils contre les ransomwares. Pour connaître les meilleures pratiques afin de protéger votre système contre les ransomwares, consultez cet article de la base de connaissances ESET. Rootkit Les rootkits sont des programmes malveillants qui procurent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir accédé au système (généralement en exploitant une faille), les rootkits utilisent des fonctions du système d'exploitation pour se protéger des logiciels antivirus : ils dissimulent des processus, des fichiers et des données de la base de registre Windows. Pour cette raison, il est presque impossible de les détecter à l'aide des techniques de test ordinaires. Il existe deux niveaux de détection permettant d'éviter les rootkits : 1.Lorsqu'ils essaient d'accéder au système : Ils ne sont pas encore installés et donc inactifs. La plupart des antivirus sont en mesure d'éliminer les rootkits à ce niveau (en supposant qu'ils détectent effectivement les fichiers comme infectés). 2.Lorsqu'ils sont inaccessibles aux tests habituels : les utilisateurs ESET bénéficient de la technologie AntiStealth qui permet de détecter et d'éliminer les rootkits en activité. 7 ROP (Return-oriented programming) La ROP (Return-oriented programming) est une attaque typique de réutilisation de code, où un attaquant redirige le flux de contrôle à travers le code existant avec un résultat malveillant. L'attaque ROP représente une version avancée d'une attaque par débordement de pile. Un débordement de tampon de pile se produit lorsqu'un programme écrit à une adresse mémoire sur la pile des appels du programme en dehors de la structure de données prévue, généralement avec un tampon de longueur fixe. La ROP est une technique d'exploitation qui permet l'exécution de code sur le système cible. En obtenant le contrôle de la pile des appels, l'attaquant contrôle le flux du logiciel approuvé existant qui s'exécute sur l'ordinateur et le manipule pour exécuter une tâche autre que celle prévue. Logiciels espions Cette catégorie englobe toutes les applications qui envoient des informations confidentielles sans le consentement des utilisateurs et à leur insu. Les logiciels espions utilisent des fonctions de traçage pour envoyer diverses données statistiques telles que la liste des sites Web visités, les adresses e-mail de la liste de contacts de l'utilisateur ou la liste des touches du clavier utilisées. Les auteurs de ces logiciels espions affirment que ces techniques ont pour but d'en savoir plus sur les besoins et intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les informations récupérées ne sont pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels espions peuvent être des codes de sécurité, des codes secrets, des numéros de compte bancaire, etc. Les logiciels espions sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou d'inciter à l'achat du logiciel. Les utilisateurs sont souvent informés de la présence d'un logiciel espion au cours de l'installation d'un programme qui vise à les inciter à acquérir la version payante qui en est dépourvue. Parmi les produits logiciels gratuits bien connus qui contiennent des logiciels espions, on trouve les applications clients de réseaux P2P (poste à poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une souscatégorie spécifique de logiciels espions : ils semblent être des programmes antispyware alors qu'ils sont en réalité eux-mêmes des logiciels espions. Si un fichier est détecté comme logiciel espion sur votre ordinateur, il est préférable de le supprimer, car il est fort probable qu'il contienne du code malveillant. En tant que sous-catégorie de spywares, les enregistreurs de frappe peuvent être matériels ou logiciels. Les enregistreurs de frappe logiciels ne peuvent collecter que les informations saisies sur un seul site Web ou dans une seule application. Les enregistreurs de frappe plus sophistiqués peuvent enregistrer tout ce que vous tapez, y compris les informations que vous copiez/collez. Certains enregistreurs de frappe ciblant les appareils mobiles peuvent enregistrer des appels, des informations provenant d'applications de messagerie, des lieux, voire des captures de micro et de caméra. Cheval de Troie Les chevaux de Troie ont été définis comme une catégorie de menaces dont la particularité est de se présenter comme des programmes utiles pour duper ensuite les utilisateurs qui acceptent de les exécuter. La catégorie étant très vaste, elle est souvent divisée en plusieurs sous-catégories : 8 • Téléchargeur – Programmes malveillants qui sont en mesure de télécharger d'autres menaces sur Internet. • Dropper – Programmes malveillants qui sont en mesure de déposer d'autres types de logiciels malveillants sur des ordinateurs infectés. • Backdoor – Programmes malveillants qui communiquent avec des pirates distants, leur permettant d'accéder à l'ordinateur et d'en prendre le contrôle. • Keylogger – Programme qui enregistre chaque touche sur laquelle tape l'utilisateur et envoie les informations aux pirates. • Composeur – Programmes malveillants destinés à se connecter à des numéros surtaxés au lieu du fournisseur de services Internet de l'utilisateur. Il est presque impossible qu'un utilisateur remarque la création d'une nouvelle connexion. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés. Si un fichier est identifié comme cheval de Troie sur votre ordinateur, il est recommandé de le supprimer, car il est fort probable qu'il ne contienne rien d'autre que du code malveillant. Virus Un virus d'ordinateur est un fragment de code malveillant ajouté à des fichiers qui sont sur votre ordinateur. Les virus informatiques sont comparables aux virus biologiques parce qu'ils utilisent des techniques similaires pour se propager d'un endroit à un autre. Le terme « virus » est quant à lui souvent utilisé de manière abusive pour décrire tout type de menace. On tend à le remplacer progressivement par le terme « logiciel malveillant » ou « malware » en anglais. Les virus informatiques attaquent principalement les fichiers et documents exécutables. En bref, un virus informatique fonctionne de la manière suivante : après l'exécution d'un fichier infecté, le code malveillant est appelé et exécuté avant l'exécution de l'application originale. Un virus peut infecter tous les fichiers pour lesquels l'utilisateur a des droits d'écriture. Les virus peuvent varier en fonction de leur gravité et de leur cible. Certains sont extrêmement dangereux parce qu'ils ont la capacité de supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas de réels dommages : ils ne servent qu'à gêner l'utilisateur et à démontrer les compétences techniques de leurs auteurs. Si votre ordinateur est infecté par un virus et qu'il est impossible de le nettoyer, soumettez-le au laboratoire de recherche ESET pour examen. Dans certains cas, les fichiers infectés peuvent avoir subi des modifications telles, qu'il est impossible de les nettoyer. Il faut alors les remplacer par une copie propre. Ver Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se propage via un réseau. La différence fondamentale entre les virus et les vers réside dans le fait que les vers ont la capacité de se propager par eux-mêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Les vers se propagent par l'intermédiaire des adresses de messagerie de votre liste de contacts ou exploitent les vulnérabilités de sécurité des applications réseau. Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Par le biais d'Internet, ils peuvent 9 se propager à travers le monde en quelques heures seulement et parfois en quelques minutes. Leur capacité à se répliquer indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants. Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers, dégrader les performances du système ou même désactiver certains programmes. Par nature, il peut servir de « moyen de transport » à d'autres types d'infiltrations. Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés, car ils contiennent probablement du code malveillant. Credential stuffing (bourrage d'identifiants) Le « Credential stuffing » (bourrage d'identifiants) est une cyberattaque qui utilise les données provenant de bases de données d'identifiants divulguées. Les attaquants utilisent des bots et d'autres méthodes d'automatisation pour se connecter à des comptes sur de nombreux sites web à l'aide des données divulguées. Les attaquants profitent des utilisateurs qui utilisent leurs identifiants de connexion sur plusieurs sites web et services. Lorsque l'attaque réussit, les attaquants peuvent obtenir un accès complet au compte et aux données des utilisateurs stockées dans ce compte. Ils peuvent exploiter cet accès pour voler des données personnelles à des fins d'usurpation d'identité, de transactions frauduleuses, de distribution de courrier indésirable ou d'autres actions malveillantes. Empoisonnement DNS En utilisant l'empoisonnement DNS, les pirates peuvent faire croire au serveur DNS de tout ordinateur que les fausses données qui leur sont transmises sont légitimes et authentiques. Ces fausses informations sont ensuite mises en cache pendant un certain temps, ce qui permet aux attaquants de réécrire les réponses DNS des adresses IP. De cette manière, les utilisateurs qui tentent d'accéder à des sites internet téléchargeront des virus ou des vers au lieu du contenu original de ces sites. Attaque DoS L'attaque DoS, ou attaque par déni de service, vise à rendre un ordinateur ou un réseau indisponible pour ses utilisateurs. La communication entre les utilisateurs affectés est obstruée et ne peut plus continuer normalement. Les ordinateurs qui ont subi une attaque DoS doivent généralement redémarrer pour fonctionner correctement. Dans la plupart des cas, le déni de service cible les serveurs Web et cherche à les rendre inutilisables pendant un certain temps. Attaque par protocole ICMP ICMP (Internet Control Message Protocol) est un protocole Internet populaire et largement utilisé. Il est essentiellement utilisé par des ordinateurs en réseau pour envoyer divers messages d'erreur. Les attaquants distants tentent d'exploiter la faiblesse du protocole ICMP. Le protocole ICMP est conçu pour les communications à sens unique n'exigeant pas d'authentification. Ceci permet aux attaquants distants de déclencher des « attaques DoS » (Denial of Service (déni de service)). Il s'agit d'attaques qui permettent aux personnes non autorisées d'accéder à des paquets entrants et sortants. 10 Le Ping Flood (inondation par flux de ping), l'ICMP_ECHO flood et le smurf sont des exemples typiques d'attaques ICMP. Les ordinateurs exposés aux attaques ICMP sont considérablement ralentis (ceci est valable pour toutes les applications qui utilisent Internet) et ont des problèmes de connexion Internet. Balayage de ports Le balayage de ports permet de déterminer les ports ouverts sur un ordinateur ou un hôte du réseau. Le logiciel utilisé à cette fin s'appelle scanneur de ports. Le port d'un ordinateur est un point virtuel qui traite les données entrantes et sortantes. C'est un point crucial pour la sécurité. Sur un réseau de grande taille, les informations collectées par le scanneur de ports peuvent permettre d'identifier les failles potentielles. Cette utilisation est bien sûr tout à fait légale. Néanmoins, le balayage de ports est souvent utilisé par les pirates qui tentent de compromettre la sécurité. Ils envoient d'abord des paquets à chaque port. En fonction du type de réponse, ils parviennent à déterminer les ports qui sont utilisés. Si le balayage lui-même ne cause aucun dommage, cette activité peut révéler les failles potentielles et permettre aux pirates de prendre le contrôle d'ordinateurs distants. Nous conseillons aux administrateurs du réseau de bloquer tous les ports non utilisés et de protéger ceux qui sont utilisés des accès non autorisés. Relais SMB SMB Relay et SMB Relay 2 sont des programmes spéciaux permettant de mener une attaque contre des ordinateurs distants. Les programmes tirent parti du protocole de partage de fichiers SMB (Server Message Block) situé sur NetBIOS. Lorsqu'un utilisateur partage des dossiers ou répertoires sur un réseau local, il utilise très probablement ce protocole de partage de fichiers. Au cours des communications sur le réseau local, les empreintes numériques des mots de passe sont échangées. SMB Relay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés par le client et le serveur, et les modifie. Après connexion et authentification, le client est déconnecté. SMB Relay crée une nouvelle adresse virtuelle IP. Il est possible d'y accéder à l'aide de la commande "net use \\192.168.1.1". L'adresse peut ensuite être utilisée par n'importe quelle fonction de réseau de Windows. SMB Relay relaie les communications du protocole SMB, sauf la négociation et l'authentification. Les pirates peuvent utiliser l'adresse IP tant que l'ordinateur client est connecté. SMB Relay 2 fonctionne selon le même principe que SMB Relay, si ce n'est qu'il utilise les noms NetBIOS plutôt que les adresses IP. Les deux programmes peuvent mener des attaques de type « man-in-the-middle ». Ces attaques permettent à des pirates de lire, d'insérer des données et de modifier à distance les messages échangés entre deux points de communication sans être remarqués. Les ordinateurs exposés à ce type d'attaque arrêtent souvent de répondre ou redémarrent de manière impromptue. Pour éviter de telles attaques, nous vous recommandons d'utiliser des mots de passe ou des clés d'authentification. 11 Désynchronisation TCP La désynchronisation TCP est une technique utilisée dans les attaques de piratage TCP. Elle est déclenchée par un processus qui associe aux paquets entrants un numéro séquentiel différent du numéro attendu. Ces paquets sont alors rejetés (ou enregistrés en mémoire tampon, s'ils se trouvent dans la fenêtre de communication active). Lorsqu'il y a désynchronisation, les deux extrémités de la communication refusent les paquets reçus. C'est ici que les pirates peuvent intervenir à distance pour infiltrer et fournir des paquets dont le numéro séquentiel est correct. Les pirates peuvent même manipuler ou modifier la communication. Les détournements de session TCP visent à interrompre les communications serveur-client ou les communications poste à poste. De nombreuses attaques peuvent être évitées par l'authentification de chaque segment TCP. Il est également conseillé d'utiliser les configurations recommandées pour vos périphériques réseau. Attaque de ver Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se propage via un réseau. Les vers de réseau exploitent les failles de sécurité de diverses applications. Par le biais d'Internet, ils peuvent se propager à travers le monde en quelques heures seulement La plupart des attaques de ver (Sasser, SqlSlammer) peuvent être évitées en utilisant les paramètres de sécurité par défaut du pare-feu ou en bloquant les ports non protégés et non utilisés. Il est également essentiel d'appliquer les derniers correctifs de sécurité au système d'exploitation. Empoisonnement du cache ARP (ARP Cache Poisoning) Le protocole ARP (Address Resolution Protocol) assure la traduction entre les adresses de la couche liaison de données (adresses MAC) et de la couche réseau (adresses IP). Une attaque par empoisonnement du cache ARP permet aux attaquants d'intercepter les communications entre les appareils du réseau en corrompant les tables ARP du réseau (mappages des appareils MAC vers IP). L'attaquant envoie un faux message de réponse ARP à la passerelle réseau par défaut, informant que l'adresse MAC est associée à l'adresse IP d'une autre cible. Lorsque la passerelle par défaut reçoit ce message et diffuse les modifications à tous les autres appareils du réseau, tout le trafic de la cible vers tout autre appareil du réseau passe par l'ordinateur de l'attaquant. Cette action permet à l'attaquant d'inspecter ou de modifier le trafic avant de le transférer vers la destination prévue. Menaces liées aux e-mails L'e-mail est une forme de communication qui offre beaucoup d'avantages. Malheureusement, le grand anonymat des e-mails et Internet a laissé libre champ aux activités illégales telles que le « spamming » (le fait d'envoyer des messages indésirables à un grand nombre de personnes). Les courriers indésirables comprennent les publicités indésirables, les canulars et les logiciels malveillants. Les désagréments et le danger augmentent, car l'envoi de tels messages ne coûte rien et les auteurs de courrier indésirable disposent de nombreux outils qui leur permettent de se procurer facilement de nouvelles adresses e-mail. Par ailleurs, le volume et la variété du courrier indésirable ne facilitent pas la réglementation. Plus vous utilisez votre adresse email, plus vous augmentez la possibilité d'aboutir dans un moteur de base de données de courrier indésirable. 12 Voici quelques conseils de prévention : • Évitez de publier votre adresse e-mail sur Internet. • Ne donnez votre adresse de messagerie qu'à des personnes fiables. • Évitez d'utiliser des pseudonymes communs : un pseudonyme compliqué est moins susceptible d'être suivi. • Ne répondez pas à des courriers indésirables déjà parvenus dans votre boîte de réception. • Faites attention lorsque vous remplissez des formulaires sur Internet : soyez particulièrement attentif aux options du type « Oui, je voudrais recevoir des informations concernant ... ». • Utilisez des adresses de messagerie « spécialisées », par exemple une adresse pour votre travail, une autre pour communiquer avec vos amis, etc. • Changez régulièrement votre adresse e-mail. • Utilisez une solution antispam. Publicités La publicité via Internet est une des formes de publicité les plus en vogue. D'un point de vue marketing, la publicité présente plusieurs avantages : ses coûts sont minimes, elle est très directe et les messages sont transmis presque immédiatement. De nombreuses entreprises utilisent des outils de marketing par courrier électronique pour communiquer de manière efficace avec leurs clients et prospects. Ce mode de publicité est légitime, car vous pourriez être intéressé par la réception d'informations commerciales sur certains produits. Toutefois, de nombreuses entreprises envoient des masses de messages commerciaux non sollicités. La publicité par e-mail dépasse alors les limites et devient du courrier indésirable, ou spam. La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe de ralentissement. Les auteurs de messages non sollicités tentent souvent de déguiser le courrier indésirable sous des dehors de messages légitimes. Canulars Un canular (ou hoax) est un message propagé sur Internet. Il est envoyé généralement avec le courrier et parfois par des outils de communication tels que ICQ et Skype. Le message est souvent une blague ou une légende urbaine. Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à croire qu'un « virus indétectable » supprime tous les fichiers et récupère les mots de passe, ou effectue une activité nuisible sur leur système. Certains canulars demandent aux destinataires de transmettre des messages à leurs contacts, ce qui a pour conséquence de propager les canulars. Même les téléphones portables reçoivent des canulars et des demandes d'aide (des personnes proposant par exemple de vous envoyer de l'argent depuis l'étranger). Il est souvent impossible de déterminer l'intention du créateur. 13 Si un message vous demande de le faire suivre à toutes vos connaissances, il peut très bien s'agir d'un canular. Sur Internet, de nombreux sites spécialisés peuvent vérifier la légitimité d'un courrier. Avant de retransmettre un message que vous soupçonnez d'être un canular, faites d'abord une recherche sur Internet à son sujet. Hameçonnage Le terme d'hameçonnage (phishing en anglais) désigne une activité frauduleuse utilisant des techniques de piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des informations confidentielles. Son but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, codes secrets, etc. La technique consiste généralement à envoyer un message électronique en se faisant passer pour une personne ou une entreprise digne de confiance (institution financière, compagnie d'assurance par exemple). Le message peut sembler tout à fait authentique et contenir des graphiques et contenus qui proviennent véritablement de la source dont il se réclame. Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles : numéros de compte en banque ou noms d'utilisateur et mots de passe. Toutes ces données, si elles sont soumises, peuvent facilement être volées et utilisées à des fins illégales. Les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais de noms d'utilisateur et de mots de passe dans un message non sollicité. Reconnaissance du courrier indésirable Généralement, peu d'indicateurs contribuent à identifier le courrier indésirable (messages non sollicités) dans une boîte à lettres. Si un message remplit au moins l'un des critères suivants, il s'agit probablement de courrier indésirable. • L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts. • Le contenu du message concerne une grosse somme d'argent qui vous est offerte. Pour toucher cette somme, vous devez néanmoins fournir au préalable une petite somme. • Vous devez entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles : numéros de compte en banque ou noms d'utilisateur et mots de passe. • Le message est écrit dans une langue étrangère. • Le message vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez d'acheter le produit, vérifiez que l'expéditeur du message est un vendeur sérieux (consultez le fabricant original du produit). • Quelques mots sont mal écrits pour pouvoir passer à travers le filtre de courrier indésirable. Par exemple, « vaigra » au lieu de « viagra ». Règles Dans le contexte des solutions de protection antispam et des clients de messagerie, les règles permettent de manipuler les fonctions de messagerie. Elles se composent de deux parties logiques : 14 1.La condition (par exemple, un message entrant provenant d'une certaine adresse ou avec un objet d'email spécifique) 2.L'action (par exemple, la suppression du message ou son transfert vers un dossier spécifique) Le nombre de règles et leurs combinaisons varient en fonction de la solution de protection antispam. Ces règles servent de protection antispam (messages non sollicités). Exemples caractéristiques : 1. Condition : un message entrant contient des mots habituellement utilisés dans le courrier indésirable 2. Action : supprimer le message 1. Condition : un message entrant contient une pièce jointe comportant l'extension .exe 2. Action : supprimer la pièce jointe et livrer le message dans la boîte aux lettres 1. Condition : un message entrant arrive de votre employeur 2. Action : déplacer le message dans le dossier Travail Pour faciliter l'administration et filtrer le courrier indésirable plus efficacement, nous vous recommandons d'utiliser une combinaison de règles des programmes antispam. Liste blanche En général, une liste blanche est une liste de personnes ou d'éléments qui ont été acceptés ou ont obtenu une autorisation d'accès. Le terme liste blanche de messagerie (adresses autorisées) définit la liste des contacts dont l'utilisateur souhaite recevoir les messages. Ces listes blanches sont basées sur des mots-clés recherchés dans une adresse e-mail, des noms de domaines ou des adresses IP. Si une liste blanche fonctionne en « mode exclusif », les messages de toutes les autres adresses, domaines ou adresses IP sont écartés. Si elle fonctionne en mode non exclusif, ces messages ne sont pas supprimés, mais filtrés d'une autre façon. Une liste blanche fonctionne sur le principe opposé de la liste noire. Les listes blanches sont relativement faciles à maintenir, plus que les listes noires. Pour un meilleur filtrage du courrier indésirable, nous vous recommandons d'utiliser des listes blanches et des listes noires. Liste noire En général, une liste noire répertorie les personnes ou les éléments non acceptés ou interdits. Dans le monde virtuel, c'est une technique qui permet d'accepter des messages de tous les utilisateurs qui ne figurent pas sur cette liste. Il existe deux types de listes noires : les listes créées par les utilisateurs dans l'application de protection antispam et les listes professionnelles mises à jour régulièrement. Ces dernières sont créées par des institutions spécialisées et sont disponibles sur Internet. 15 Il est essentiel d'utiliser les listes noires pour bloquer le courrier indésirable, mais elles sont très difficiles à tenir à jour, car de nouveaux éléments à bloquer apparaissent tous les jours. Nous recommandons d'utiliser à la fois une liste blanche et une liste noire pour mieux filtrer le courrier indésirable. Exception La liste des exceptions contient généralement des adresses e-mail qui peuvent être usurpées et utilisées pour l'envoi de courrier indésirable. Les messages provenant des adresses répertoriées dans la liste des exceptions sont toujours inclus à l'analyse visant à identifier le courrier indésirable. Par défaut, la liste des exceptions contient les adresses e-mail figurant dans vos comptes de client de messagerie existants. Contrôle côté serveur Le contrôle côté serveur est une technique permettant d'identifier le courrier indésirable de masse d'après le nombre de messages reçus et les réactions des utilisateurs. Chaque message laisse une empreinte numérique unique en fonction de son contenu. Le numéro d'identification unique ne donne aucune information sur le contenu du message. Deux messages identiques ont une empreinte identique, tandis que des messages différents ont une empreinte différente. Si un message est marqué comme courrier indésirable, son empreinte est envoyée au serveur. Si le serveur reçoit plusieurs empreintes identiques (correspondant à un certain message de courrier indésirable), cette empreinte est stockée dans la base des empreintes de courrier indésirable. Lorsqu'il analyse des messages entrants, le programme envoie les empreintes de ces messages au serveur. Le serveur renvoie des informations indiquant les empreintes qui correspondent à des messages déjà identifiés comme courrier indésirable par d'autres utilisateurs. Scanner de mémoire avancé Le scanner de mémoire avancé fonctionne avec le bloqueur d'exploit afin de renforcer la protection contre les logiciels malveillants qui ne sont pas détectés par les produits anti-logiciels malveillants grâce à l'obscurcissement et/ou au chiffrement. Dans les cas où l'émulation ou l'heuristique classique ne détecte pas la menace, le scanner de mémoire avancé est en mesure d'identifier le comportement suspect et il analyse les menaces lorsqu'elles apparaissent dans la mémoire système. Cette solution est efficace même sur les logiciels malveillants fortement obscurcis. Contrairement au bloqueur d'exploit, le scanneur de mémoire avancé est une méthode ultérieure à l'exécution. Cela signifie que des activités malveillantes ont pu avoir le temps de s'exécuter avant que cette menace soit détectée. Toutefois, si les autres techniques de détection ont échoué, il apporte une couche supplémentaire de sécurité. Protection des transactions bancaires La protection des transactions bancaires constitue une couche supplémentaire de protection conçue pour protéger vos données financières lors des transactions en ligne. ESET Smart Security Premium et ESET Internet Security contiennent la liste des sites web prédéfinis qui déclencheront l'ouverture d'un navigateur sécurisé. Vous pouvez ajouter un site web ou modifier cette liste dans 16 la configuration du produit. Activez l'option Sécuriser tous les navigateurs pour démarrer tous les navigateurs web pris en charge en mode sécurisé. Pour obtenir plus d'informations sur cette fonctionnalité, veuillez consulter les articles de la base de connaissances ESET suivants : • Comment utiliser la fonctionnalité Protection des paiements et bancaire d'ESET ? • Interrompre ou désactiver la Protection des transactions bancaires dans les produits pour particuliers ESET Windows • Protection des transactions bancaires ESET – erreurs courantes Il est nécessaire d’utiliser des communications chiffrées HTTPS pour bénéficier de la navigation protégée. La protection des transactions bancaires est prise en charge par les navigateurs suivants : • Internet Explorer 8.0.0.0 • Microsoft Edge 83.0.0.0 • Google Chrome 64.0.0.0 • Firefox 24.0.0.0 Ouvrir la protection des transactions bancaires dans votre navigateur web préféré Lorsque vous ouvrez la protection des transactions bancaires directement depuis l’onglet Outils dans le menu du produit, elle est ouverte dans le navigateur web que vous avez défini comme navigateur par défaut dans Windows. Sinon, lorsque vous ouvrez votre navigateur web préféré (pas depuis le menu du produit), les sites web de la liste des sites web protégés sont redirigés vers le même type de navigateur sécurisé par ESET. Protection anti-botnet La protection anti-botnet découvre les logiciels malveillants par l'analyse de ses protocoles de communication réseau. Les logiciels malveillants de type botnet changent fréquemment par rapport aux protocoles réseau, qui n'ont pas changé ces quelques dernières années. Cette nouvelle technologie permet à ESET de vaincre des logiciels malveillants qui essaient d'éviter la détection et de connecter votre ordinateur à un réseau botnet. DNA Detections Les types de détection vont des hachages très spécifiques aux détections ESET DNA Detections, qui sont des définitions complexes de comportements malveillants et de caractéristiques de programmes malveillants. Bien que le code malveillant puisse facilement être modifié ou obscurci par des pirates, le comportement des objets ne peut pas être modifié aussi facilement. ESET DNA Detections est conçu pour tirer parti de ce principe. Nous effectuons une analyse approfondie du code et extrayons les « gènes » responsables de son comportement. Nous élaborons des détections ESET DNA Detections, qui sont utilisées pour évaluer le code potentiellement 17 suspect, qu'il ait été détecté sur le disque ou dans la mémoire du processus en cours. Les détections DNA Detections peuvent identifier des échantillons de logiciels malveillants connus spécifiques, de nouvelles variantes de logiciels malveillants connus ou des programmes malveillants inconnus qui contiennent des gènes indiquant un comportement malveillant. ESET LiveGrid® ESET LiveGrid® (conçu sur le système d'avertissement anticipé ThreatSense.Net) collecte les données soumises par les utilisateurs ESET du monde entier avant de les envoyer au laboratoire de recherche d'ESET. En fournissant des métadonnées et des exemples suspects, ESET LiveGrid® nous permet de réagir immédiatement aux besoins de nos clients et de répondre aux dernières menaces. Les chercheurs ESET spécialisés dans les logiciels malveillants utilisent ces informations pour concevoir un instantané précis de la nature et de l'ampleur des menaces. Nous pouvons alors nous concentrer sur les cibles pertinentes. Les données ESET LiveGrid® jouent un rôle important dans la configuration des priorités de notre traitement automatisé. Par ailleurs, elles permettent de mettre en œuvre un système de réputation qui améliore l'efficacité globale de nos solutions de protection contre les programmes malveillants. Un utilisateur peut vérifier la réputation des processus en cours et des fichiers directement à partir de l'interface du programme ou du menu contextuel, avec des informations supplémentaires disponibles dans ESET LiveGrid®. Lorsqu'une archive ou un fichier exécutable est inspecté sur le système d'un ordinateur, son hashtag est d'abord comparé à une base de données d'éléments répertoriés sur une liste noire et une liste blanche. S'il figure dans la liste blanche, le fichier inspecté est considéré comme étant nettoyé et il est identifié de manière à être exclu des prochaines analyses. S'il figure dans la liste noire, les mesures appropriées sont prises en fonction de la nature de la menace. Si aucune correspondance n'est trouvée, le fichier est analysé intégralement. En fonction des résultats de cette analyse, les fichiers sont classés comme menaces ou non-menaces. Cette approche améliore considérablement les performances des analyses. Ce système de réputation améliore l'efficacité de la détection des échantillons de logiciels malveillants, avant même que leur signature atteigne l'ordinateur de l'utilisateur par l'intermédiaire d'une base de signatures de virus mise à jour (cette opération s'effectue plusieurs fois par jour). En plus du système de réputation ESET LiveGrid®, le système de commentaires ESET LiveGrid® collecte sur votre ordinateur des informations concernant les nouvelles menaces détectées. Ces informations comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin et le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et des informations sur le système d'exploitation de votre ordinateur. Serveurs ESET LiveGrid® Nos serveurs ESET LiveGrid® sont situés à Bratislava, Vienne et San Diego. Cependant, il s'agit uniquement des serveurs qui répondent aux demandes des clients. Les échantillons soumis sont traités à Bratislava, en Slovaquie. Activer ou désactiver ESET LiveGrid® dans les produits ESET Pour obtenir des instructions plus détaillées et illustrées pour activer ou désactiver ESET LiveGrid® dans les produits ESET, consultez cet article de la base de connaissances ESET. 18 Bloqueur d'exploit Le bloqueur d'exploit est conçu pour renforcer les types d'applications connues pour être très vulnérables aux exploits (navigateurs, lecteurs de fichiers PDF, clients de messagerie et composants Microsoft Office) et pour les protéger contre les attaques ROP. Il est disponible et activé par défaut dans tous les produits pour les particuliers ESET Windows, les produits ESET pour Windows Server et les produits endpoint ESET pour Windows. Il surveille le comportement des processus et recherche toute activité suspecte pouvant indiquer un exploit. Lorsqu'il identifie un processus suspect, le bloqueur d'exploit l'arrête immédiatement. Il enregistre les données concernant la menace et les envoie au système ESET LiveGrid® dans le cloud. Ces données sont traitées par le laboratoire de recherche ESET et permettent de mieux protéger tous les utilisateurs contre les menaces inconnues et les attaques zero-day (logiciels malveillants très récents sans aucun remède préconfiguré). Bloqueur d'exploit Java Le bloqueur d'exploit Java est une extension de la technologie de bloqueur d'exploit existante. Il surveille Java et recherche les comportements de type exploit. Les échantillons bloqués peuvent être signalés aux analystes de logiciels malveillants pour leur permettre de créer des signatures afin de les bloquer sur différentes couches (blocage d'URL, téléchargement de fichiers, etc.). ESET LiveSense ESET utilise de nombreuses technologies de protection uniques et exclusives qui fonctionnent ensemble sous le nom d'ESET LiveSense. La figure ci-dessous présente certaines des technologies de base d'ESET et indique approximativement quand et où elles peuvent détecter, et éventuellement bloquer, une menace au cours de son cycle de vie dans le système. 19 Apprentissage machine ESET utilise des algorithmes d'apprentissage machine pour détecter et bloquer les menaces depuis 1990. Des réseaux de neurones ont été ajoutés au moteur de détection du produit ESET en 1998. L'apprentissage machine comprend les détections d'ADN qui utilisent des modèles basés sur l'apprentissage machine pour fonctionner efficacement avec ou sans connexion cloud. Les algorithmes d'apprentissage machines sont également un élément essentiel du tri initial et de la classification des échantillons entrants ainsi que de leur placement dans la « carte de cybersécurité » imaginaire. ESET a développé son propre moteur d'apprentissage machine en interne. Il combine la puissance des réseaux de neurones (tels que l'apprentissage en profondeur et la mémoire à court terme) avec un groupe de six algorithmes de classification. Il peut ainsi générer une sortie consolidée et permettre d'étiqueter correctement l'échantillon entrant comme non infecté, potentiellement indésirable ou malveillant. Le moteur d'apprentissage machine ESET fonctionne conjointement avec d'autres technologies de protection (ADN, sandbox et analyse de mémoire) ainsi qu'avec l'extraction des caractéristiques comportementales, pour offrir les meilleurs taux de détection et le plus petit nombre possible de faux positifs. Configuration du scanner dans les configurations avancées du produit ESET • Produits pour les particuliers ESET Windows (à partir de la version 13.1) • Produits Endpoint ESET Windows (à partir de la version 7.2) 20 Protection contre les attaques réseau La protection contre les attaques réseau est une extension du pare-feu qui améliore la détection des exploits connus dans tout le réseau. En mettant en œuvre des détections pour les exploits les plus courants, dans des protocoles largement utilisés tels que SMB, RPC et RDP, ce bouclier constitue une autre couche importante de protection contre la propagation des logiciels malveillants, des attaques réseau et des exploitations de vulnérabilités qui ne bénéficient pas encore d'un correctif pouvant être déployé. Bouclier anti-ransomwares Le bouclier anti-ransomwares est une détection basée sur le comportement qui permet de surveiller le comportement des applications et des processus qui tentent de modifier les fichiers d'une manière courante pour les ransomware/filecoders. Si le comportement d'une application est considéré comme malveillant ou si une analyse basée sur la réputation indique qu'une application est malveillante, celle-ci est bloquée et le processus est arrêté ou l'utilisateur se voit demander de la bloquer ou de l'activer. Pour que le Bouclier anti-ransomwares fonctionne correctement, ESET LiveGrid® doit être activé. Consultez cet article de base de connaissances ESET pour vous assurer qu'ESET LiveGrid® est activé et fonctionne dans votre produit ESET. Protection contre les attaques basées sur des scripts La protection contre les attaques basées sur des scripts comprend une protection contre les scripts JavaScript dans les navigateurs Web et la protection AMSI (Antimalware Scan Interface) contre les scripts dans PowerShell. HIPS Pour que cette fonctionnalité puisse être utilisée, le système HIPS doit être activé. La protection contre les attaques basées sur des scripts prend en charge les navigateurs Web suivants : • Mozilla Firefox • Google Chrome • Internet Explorer • Microsoft Edge Utilisation d'un navigateur web pris en charge Les versions postérieures prises en charge des navigateurs web peuvent varier en raison de la modification fréquente de la signature de fichier des navigateurs. La version la plus récente du navigateur web est en revanche toujours prise en charge. Navigateur sécurisé Le Navigateur sécurisé constitue une couche supplémentaire de protection conçue pour protéger vos données sensibles lors de la navigation en ligne (données financières lors des transactions en ligne, par exemple). ESET Endpoint Security 8 et les versions ultérieures contiennent la liste des sites web prédéfinis qui déclencheront l'ouverture d'un navigateur protégé. Vous pouvez ajouter un site web ou modifier cette liste dans la configuration 21 du produit. Le Navigateur sécurisé est désactivé par défaut après l'installation. Pour obtenir plus d'informations sur cette fonctionnalité, veuillez consulter l'article de la base de connaissances ESET suivant. Il est nécessaire d'utiliser les communications chiffrées HTTPS pour bénéficier de la navigation sécurisé. Pour utiliser la navigation sécurisée, votre navigateur Internet doit répondre aux exigences minimales suivantes : • Internet Explorer 8.0.0.0 • Microsoft Edge 83.0.0.0 • Google Chrome 64.0.0.0 • Firefox 24.0.0.0 Seuls Firefox et Microsoft Edge sont pris en charge sur les appareils dotés de processeurs ARM. Ouvrir le Navigateur sécurisé ESET dans votre navigateur web préféré Lorsque vous ouvrez le Navigateur sécurisé ESET directement depuis l’onglet Outils dans le menu du produit, il est ouvert dans le navigateur web que vous avez défini comme navigateur par défaut. Sinon, lorsque vous ouvrez votre navigateur web préféré (pas depuis le menu du produit), la liste interne ESET est redirigée vers le même type de navigateur sécurisé par ESET. Analyseur UEFI L'analyseur UEFI (Unified Extensible Firmware Interface) fait partie du système HIPS (Host-based Intrusion Prevention System) qui protège le microprogramme UEFI sur votre ordinateur. Le microprogramme UEFI se charge en mémoire au début du processus de démarrage. Le code se trouve sur une puce de mémoire flash soudée sur la carte mère. En l'infectant, les pirates informatiques peuvent déployer un logiciel malveillant qui survit aux réinstallations et redémarrages du système. Le logiciel malveillant peut également ne pas être détecté par les solutions anti-programmes malveillants, car la plupart d'entre eux n'analysent pas cette couche. L'analyseur UEFI est automatiquement activé. Vous pouvez également lancer manuellement une analyse de l'ordinateur depuis la fenêtre principale du programme en cliquant sur Analyse de l'ordinateur > Analyses avancées > Analyse personnalisée et en sélectionnant la cible Secteurs de démarrage/UEFI. Si votre ordinateur a déjà été infecté par un logiciel malveillant UEFI, lisez l'article suivant de la base de connaissances ESET : Mon ordinateur est infecté par un logiciel malveillant UEFI. Que dois-je faire ? Fichier Canary Un fichier Canary est un faux document informatique placé parmi des documents réels afin de faciliter la détection précoce d'un accès, d'une copie ou d'une modification non autorisés de données. 22 Blocage Un blocage est une situation dans laquelle chaque processus informatique attend une ressource qui est attribuée à un autre processus. Dans cette situation, aucun des processus ne peut être exécuté puisque la ressource requise est détenue par un autre processus qui attend également la libération d'une autre ressource. Il est important de prévenir un blocage avant qu'il ne se produise. Un blocage peut être détecté par le planificateur de ressources, qui permet au système d'exploitation de garder la trace de toutes les ressources allouées aux différents processus. Un blocage peut se produire si les quatre conditions suivantes sont réunies simultanément : • Aucune action préemptive : une ressource ne peut être libérée que volontairement par le processus qui la détient après que celui-ci ait terminé sa tâche. • Exclusion mutuelle : type spécial de sémaphore binaire utilisé pour contrôler l'accès à la ressource partagée. Il permet de bloquer les tâches actuelles dont la priorité est plus élevée pendant le moins de temps possible. • Retenir et attendre : dans cette condition, les processus doivent être empêchés de retenir une ou plusieurs ressources tout en attendant simultanément une ou plusieurs autres. • Attente circulaire : elle impose un ordonnancement total de tous les types de ressources. L'attente circulaire requiert également que chaque processus demande des ressources dans l'ordre croissant de l'énumération. Trois méthodes permettent de gérer un blocage : • Ne pas laisser le système dans un état de blocage. • Laisser le blocage se produire, puis faire de la préemption pour le gérer lorsqu’il se produit. • Si un blocage se produit, redémarrer le système. 23