▼
Scroll to page 2
of
26
ESET Glossary Guide de l'utilisateur Cliquez ici pour consulter la version de l'aide en ligne de ce document Droit d’auteur ©2023 par ESET, spol. s r.o. ESET Glossary a été développé par ESET, spol. s r.o. Pour plus d’informations, visitez le site https://www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de récupération ni transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement, numérisation ou autrement sans l’autorisation écrite de l’auteur. ESET, spol. s r.o. se réserve le droit de modifier l’un des logiciels d’application décrits sans préavis. Assistance technique : https://support.eset.com REV. 2023-04-19 1 Introduction au glossaire ESET .......................................................................................................... 1 1.1 Logiciels publicitaires ................................................................................................................. 1 1.2 Réseau de zombies ..................................................................................................................... 1 1.3 Faux positif (FP) ......................................................................................................................... 2 1.4 Compresseur .............................................................................................................................. 2 1.5 Applications potentiellement dangereuses .................................................................................... 2 1.6 Applications potentiellement indésirables ..................................................................................... 2 1.7 Rançongiciel .............................................................................................................................. 7 1.8 Rootkit ...................................................................................................................................... 7 1.9 Programmation orientée retour .................................................................................................... 8 1.10 Logiciel espion ......................................................................................................................... 8 1.11 Cheval de Troie ......................................................................................................................... 8 1.12 Virus ....................................................................................................................................... 9 1.13 Ver .......................................................................................................................................... 9 1.14 Bourrage d'identifiants ............................................................................................................ 10 1.15 Empoisonnement DNS ............................................................................................................. 10 1.16 Attaques DoS ......................................................................................................................... 10 1.17 Attaques par protocole ICMP .................................................................................................... 10 1.18 Balayage de ports ................................................................................................................... 11 1.19 Relais SMB ............................................................................................................................. 11 1.20 Désynchronisation TCP ............................................................................................................ 12 1.21 Attaque de ver ....................................................................................................................... 12 1.22 Empoisonnement de cache ARP ................................................................................................ 12 2 Menaces de courriel ........................................................................................................................ 12 2.1 Publicités ................................................................................................................................ 13 2.2 Canulars .................................................................................................................................. 13 2.3 Hameçonnage .......................................................................................................................... 14 2.4 Reconnaissance des pourriels .................................................................................................... 14 2.4 Règles ................................................................................................................................. 14 2.4 Liste blanche .......................................................................................................................... 15 2.4 Liste noire ............................................................................................................................. 15 2.4 Exception .............................................................................................................................. 16 2.4 Contrôle côté serveur ................................................................................................................. 16 2.5 Analyseur avancé de la mémoire ................................................................................................ 16 2.6 Protection des paiements bancaires ........................................................................................... 16 2.7 Protection contre les botnets ..................................................................................................... 17 2.8 Détections d'ADN ..................................................................................................................... 17 2.9 ESET LiveGrid® ........................................................................................................................ 18 2.10 Bloqueur d'exploits ................................................................................................................. 19 2.11 Java Exploit Blocker ................................................................................................................ 19 2.12 ESET LiveSense ...................................................................................................................... 19 2.13 Apprentissage machine ........................................................................................................... 20 2.14 Protection contre les attaques réseau ....................................................................................... 21 2.15 Bouclier anti-ransomwares ...................................................................................................... 21 2.16 Protection contre les attaques basées sur le script ..................................................................... 21 2.17 Navigateur sécurisé ................................................................................................................ 21 2.18 Analyseur UEFI ....................................................................................................................... 22 2.19 Fichier canary ........................................................................................................................ 22 2.20 Interblocage ........................................................................................................................... 23 Introduction au glossaire ESET Le glossaire ESET donne un aperçu complet des menaces actuelles et des technologies ESET qui vous protègent contre ces menaces. Les sujets sont divisés selon les chapitres suivants qui décrivent : • Détections : cette catégorie comprend les virus informatiques, les vers, les chevaux de Troie, les applications potentiellement indésirables, etc. • Attaques à distance : Menaces sur des réseaux locaux ou sur Internet • Menaces par courriel : Menaces comprenant notamment les canulars, le hameçonnage, l'escroquerie, etc. • Technologies ESET : Il s'agit des caractéristiques des produits disponibles dans les solutions de sécurité ESET Logiciels publicitaires L'expression « logiciels publicitaires » désigne les logiciels soutenus par la publicité. Les programmes qui affichent des publicités entrent donc dans cette catégorie. Souvent, les logiciels publicitaires ouvrent automatiquement une nouvelle fenêtre contextuelle contenant de la publicité dans un navigateur Internet ou modifient la page de démarrage de ce dernier. Ils sont généralement associés à des programmes gratuits et permettent à leurs créateurs de couvrir les frais de développement de leurs applications (souvent utiles). En eux-mêmes, les logiciels publicitaires ne sont pas dangereux; tout au plus dérangent-ils les utilisateurs par l'affichage de publicités. Le danger tient au fait qu'ils peuvent aussi inclure des fonctions d'espionnage (comme les logiciels espions). Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement attentif au programme d'installation. La plupart des programmes d'installation vous avertiront en effet qu'ils installent en plus un programme publicitaire. Souvent, vous pourrez désactiver cette installation supplémentaire et n'installer que le programme, sans logiciel publicitaire. Certains programmes refuseront cependant de s'installer sans leur logiciel publicitaire ou verront leurs fonctionnalités limitées. Cela signifie que les logiciels publicitaires peuvent souvent accéder au système d'une manière « légale », dans la mesure où les utilisateurs ont accepté qu'ils soient installés. Dans ce cas, mieux vaut jouer la carte de la prudence. Si un logiciel publicitaire est détecté sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. Réseau de zombies Un bot, ou un robot web est un programme malveillant automatisé qui analyse les blocs d'adresses réseau et infecte les ordinateurs vulnérables. Grâce à ce programme, les pirates informatiques peuvent prendre le contrôle de plusieurs ordinateurs au même moment et les transformer en bots (aussi appelés zombies). Les pirates informatiques utilisent généralement les bots pour infecter un grand nombre d'ordinateurs qui forment un réseau ou un réseau d'ordinateurs zombies. Une fois que le réseau d'ordinateurs zombies accède à votre ordinateur, ce dernier peut être utilisé pour des attaques par déni de service distribué (DDoS), par mandataire et peut également être utilisé pour effectuer des tâches automatisées sur Internet sans que vous le sachiez (par exemple 1 l'envoi de pourriels et de virus ou le vol des informations personnelles et privées telles que des informations bancaires ou des numéros de carte de crédit). Faux positif (FP) En pratique, il n'est pas possible de garantir un taux de détection de 100 %. De même il n'est pas possible d'éviter toute classification erronée des objets propres comme logiciels malveillants. Un faux positif est un fichier ou une application sans danger classé par erreur comme un logiciel malveillant ou une application potentiellement indésirable. Compresseur Le compresseur est un fichier exécutable à extraction automatique qui regroupe plusieurs types de programmes malveillants dans un seul ensemble. Les compresseurs les plus courants sont UPX, PE_Compact, PKLite et ASPack. Le même programme malveillant peut être détecté différemment lorsqu'il est compressé à l'aide d'un compresseur différent. Les compresseurs sont capables de faire muter leur « signature » au fil du temps, les programmes malveillants deviennent ainsi plus difficiles à détecter et à supprimer. Applications potentiellement dangereuses Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des fins malveillantes. ESET vous offre l'option de détecter de telles applications. La classification applications potentiellement dangereuses désigne les logiciels commerciaux légitimes. Elle inclut également les programmes d'accès à distance, les applications de craquage de mots de passe ou les enregistreurs de frappe. Si vous découvrez qu'une application potentiellement dangereuse est présente et fonctionne sur votre ordinateur (sans que vous l'ayez installée), consultez votre administrateur réseau et supprimez l'application. Applications potentiellement indésirables Un logiciel gris ou une application potentiellement indésirable (PUA) désigne une vaste catégorie de logiciels, dont l'intention n'est pas aussi clairement malveillante qu'avec d'autres types de logiciels malveillants, tels que les virus ou les chevaux de Troie. Il peut cependant installer des logiciels indésirables supplémentaires, modifier le comportement ou les paramètres de l'appareil numérique ou effectuer des activités non approuvées ou prévues par l'utilisateur. Les catégories pouvant être considérées comme des logiciels gris incluent : les logiciels d'affichage publicitaire, les enveloppes de téléchargement, diverses barres d'outils de navigateur, les logiciels à comportement trompeur, les logiciels groupés, les logiciels de suivi d’activité, les logiciels mandataires (applications de partage de l'Internet), les cryptomineurs les nettoyeurs de registre (système d'exploitation Windows uniquement), les logiciels de suivi, ou tout autre logiciel limite ou logiciel qui utilise des pratiques commerciales illicites ou au moins contraires à l'éthique (même si cela semble légitime) et qui pourrait être jugé indésirable par un utilisateur final qui a pris 2 connaissance de ce que le logiciel ferait s'il était autorisé à s'installer. Une application potentiellement dangereuse est une application qui est en elle-même un logiciel légitime (peutêtre commercial) mais qui pourrait être mal utilisé par un pirate. La détection de ces types d'application peut être activée ou désactivée par les utilisateurs du logiciel ESET. Il y a des situations où un utilisateur peut trouver que les avantages d'une application potentiellement indésirable l'emportent sur les risques. Pour cette raison, ESET attribue à ces applications une catégorie de risque plus faible par rapport à d'autres types de logiciels malveillants, tels que les chevaux de Troie ou les vers. • Avertissement - Application potentiellement indésirable trouvée • Paramètres • Enveloppeurs de logiciel • Nettoyeurs de registre • Contenu potentiellement indésirable Instructions illustrées Pour analyser et supprimer les applications potentiellement indésirables (PUA) dans les produits ESET Windows home, consultez notre article de la base de connaissances ESET. Avertissement - Application potentiellement indésirable trouvée Quand une application potentiellement indésirable est détectée, vous pouvez décider des mesures à prendre : 1.Nettoyer/Déconnecter : cette option met fin à l'action et empêche l'application potentiellement indésirable d'entrer dans votre système. Vous verrez l'option Déconnecter pour les notifications d'applications potentiellement indésirables pendant le téléchargement à partir d'un site Web et l'option Nettoyer pour les notifications des fichiers sur disque. 2.Ignorer : Cette option autorise une application potentiellement indésirable à accéder à votre système. 3.Exclure de la détection : pour permettre au fichier détecté qui est déjà sur l'ordinateur de s'exécuter à l'avenir sans interruption, cliquez sur Options avancées, puis cochez la case située à côté de Exclure de la détection et ensuite cliquez sur Ignorer. 4.Exclure la signature de la détection : pour permettre à tous les fichiers identifiés par un nom de détection précis (signature) de s'exécuter sur votre ordinateur à l'avenir sans interruption (à partir de fichiers existants ou par téléchargement Web), cliquez sur Options avancées, cochez la case en regard de la signature Exclure la signature de la détection et cliquez sur Ignorer. Si des fenêtres de détection supplémentaires avec un nom de détection identique sont affichées immédiatement après, cliquez sur Ignorer pour les fermer (toute fenêtre supplémentaire est liée à une détection qui s'est produite avant que vous n'ayez exclu la signature de la détection). 3 Paramètres Lors de l'installation de votre produit ESET, vous pouvez choisir d'activer la détection des applications potentiellement indésirables, comme indiqué ci-dessous : Avertissement Les applications potentiellement indésirables peuvent installer des logiciels publicitaires, installer des barres d'outils ou contenir d'autres caractéristiques de programme indésirables et dangereux. Ces paramètres peuvent être modifiés dans les paramètres de votre programme à tout moment. Pour activer ou 4 désactiver la détection des applications potentiellement indésirables, dangereuses ou suspectes, suivez les instructions suivantes : 1. Ouvrez votre produit ESET. 2. Appuyez sur la touche F5 pour accéder à la configuration avancée. 3. Cliquez sur Moteur de détection (dans les versions précédentes Antivirus ou Ordinateur) et activez ou désactivez les options Activer la détection d'applications potentiellement indésirables, Activer la détection des applications potentiellement dangereuses et Activer la détection des applications suspectes selon vos préférences. Confirmez en cliquant sur OK. Instructions illustrées Pour des instructions plus détaillées sur la configuration des produits pour détecter ou ignorer les PUA, consultez les articles suivants de la base de connaissances ESET : • ESET NOD32 Antivirus / ESET Internet Security / ESET Smart Security Premium • ESET Cyber Security pour macOS / ESET Cyber Security Pro pour macOS • ESET Endpoint Security / ESET Endpoint Antivirus for Windows • ESET Mobile Security pour Android Enveloppeurs de logiciel Un enveloppeur de logiciel est un type spécial de modification d'application utilisé par certains sites Web d'hébergement de fichiers. C'est un outil tiers qui installe le programme que vous avez téléchargé mais ajoute des logiciels complémentaires tels que des barres d'outils ou des logiciels publicitaires. Le logiciel supplémentaire peut également apporter des modifications à la page d'accueil et aux paramètres de recherche de votre 5 navigateur Web. De plus, les sites Web d'hébergement de fichiers n'informent souvent pas l'éditeur du logiciel ou le destinataire du téléchargement des modifications apportées et masquent parfois l'option de refuser. Pour ces raisons, ESET classe les enveloppeurs de logiciels comme type d'application potentiellement indésirables afin de permettre aux utilisateurs d'accepter ou non le téléchargement. Nettoyeurs de registre Les nettoyeurs de registre sont des programmes qui régulièrement peuvent suggérer la nécessité d'effectuer une maintenance ou un nettoyage de la base de données du registre Windows. L'utilisation d'un nettoyeur de registre peut présenter des risques pour votre système informatique. De plus, certains nettoyeurs de registre font des déclarations catégoriques, invérifiables ou autrement injustifiables sur leurs avantages et/ou génèrent des rapports trompeurs sur un système informatique en fonction des résultats d'une « analyse gratuite ». Ces déclarations et ces rapports trompeurs cherchent à vous persuader d’acheter une version complète ou un abonnement, généralement sans vous permettre d’évaluer le nettoyeur de registre avant le paiement. Pour ces raisons, ESET classe ces programmes dans la catégorie des applications potentiellement indésirables et vous offre la possibilité de les autoriser ou de les bloquer. Contenu potentiellement indésirable Si la détection des applications potentiellement indésirables est activée dans votre produit ESET, les sites Web qui ont la réputation de promouvoir des PUA ou d'induire les utilisateurs en erreur dans des actions pouvant avoir des conséquences négatives sur leur système ou leur expérience de navigation seront bloqués, car classé comme contenu potentiellement indésirable. Si vous recevez une notification indiquant que le site Web que vous tentez de visiter est classé dans la catégorie des contenus potentiellement indésirables, vous pouvez cliquer sur Précédent pour quitter la page Web bloquée ou sur Ignorer et continuer pour autoriser le chargement du site. Vous trouverez de plus amples informations à ce sujet dans cet article de la base de connaissances ESET. 6 Rançongiciel Un rançongiciel (également connu sous le nom de codeur de fichier) est un type de logiciel malveillant qui verrouille votre appareil ou qui chiffre le contenu de votre appareil et vous extorque de l'argent pour restaurer votre accès à ce contenu. Ce type de logiciel malveillant peut également avoir une minuterie intégrée avec un délai de paiement préprogrammé qui doit être respecté. Si le délai n'est pas respecté, le prix augmente ou l'appareil devient finalement inaccessible. Généralement, le périphérique est infecté, puis le codeur de fichier tente de chiffrer les disques partagés sur le périphérique. Cela peut donner l'impression que le logiciel malveillant se propage sur le réseau, mais ce n'est pas le cas. Cette situation se produit lorsque le disque partagé d'un serveur de fichiers est chiffré, alors que le serveur lui-même n'est pas infecté par un logiciel malveillant (sauf s'il est un serveur terminal). Les auteurs de rançongiciels génèrent une paire de clés, une clé publique, et une clé privée et insèrent ensuite la clé publique dans le logiciel malveillant. Le rançongiciel lui-même peut faire partie d'un cheval de Troie ou être un fichier ou une image que vous avez reçu par courriel, sur les réseaux sociaux ou dans des messageries instantanées. Après avoir infiltré votre ordinateur, le logiciel malveillant génère une clé symétrique aléatoire et chiffre les données sur l'ordinateur. Il utilise la clé publique du logiciel malveillant pour chiffrer la clé symétrique. Le rançongiciel exige alors un paiement pour déchiffrer les données. Le message de demande de paiement affiché sur l'appareil peut être un faux avertissement indiquant que votre système a été utilisé pour des activités illégales ou contient un contenu illégal. On demande à la victime du rançongiciel de payer la rançon à l'aide d'un éventail de méthodes de paiement. Les options proposées sont généralement celles qui sont difficiles à tracer, telles que les monnaies numériques (crypto), les messages SMS surtaxés ou les bons prépayés. Après réception du paiement, l'auteur du rançongiciel est supposé utiliser sa clé privée pour déchiffrer la clé symétrique et déchiffrer les données de la victime. Plus d'informations sur la protection contre les rançongiciels Les produits ESET utilisent des technologies à plusieurs niveaux qui protègent les périphériques contre les rançongiciels. Consultez notre article de la base de connaissances ESET pour connaître les meilleures pratiques pour protéger votre système contre les rançongiciels. Rootkit Les rootkits offrent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir accédé au système (généralement en exploitant une faille), ces programmes utilisent des fonctions du système d'exploitation pour se protéger des logiciels antivirus : ils dissimulent des processus, des fichiers et des données de la base de registre Windows. C'est pour cette raison qu'il est presque impossible de les détecter à l'aide des techniques de vérification ordinaires. Il y a deux niveaux de détection permettant d'éviter les rootkits : 1.Lorsqu'ils essaient d'accéder au système : Ils ne sont pas encore installés et sont donc inactifs. La plupart des antivirus sont en mesure de les éliminer à ce niveau (en supposant qu'ils détectent effectivement les fichiers comme infectés). 2.Lorsqu'ils sont inaccessibles aux tests habituels : les utilisateurs d'ESET bénéficient de la technologie Antiprogramme furtif qui permet de détecter et d'éliminer les rootkits en activité. 7 Programmation orientée retour La programmation orientée retour (POR) est une attaque typique de réutilisation de code, où un pirate dirige le flux de contrôle à travers le code existant avec un résultat malveillant. L'attaque ROP représente une version avancée d'une attaque par débordement de pile. Un débordement de tampon de pile se produit lorsqu'un programme écrit à une adresse mémoire sur la pile d'appel du programme en dehors de la structure de données prévue, généralement avec un tampon de longueur fixe. La POR est une technique d'exploitation qui permet l'exécution de code sur le système cible. En obtenant le contrôle de la pile d'appels, l'attaquant contrôle le flux du logiciel de confiance existant qui s'exécute sur l'ordinateur et le manipule pour exécuter une tâche autre que celle prévue. Logiciel espion Cette catégorie englobe toutes les applications qui envoient des données confidentielles sans le consentement des utilisateurs et à leur insu. Ces applications utilisent des fonctions de traçage pour envoyer diverses données statistiques telles qu'une liste des sites Web consultés, les adresses courriel de la liste de contacts de l'utilisateur ou une liste des touches de frappe utilisées. Les auteurs de ces logiciels espions affirment que ces techniques ont pour but d'en savoir plus sur les besoins et intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les données récupérées ne seront pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels espions peuvent être des codes de sécurité, des NIP, des numéros de compte bancaire, etc. Les logiciels espions sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou d'inciter à l'achat du logiciel. Les utilisateurs sont souvent informés de la présence d'un logiciel espion au cours de l'installation d'un programme afin de les inciter à acquérir la version payante qui en est dépourvue. Parmi les produits logiciels gratuits bien connus qui contiennent des spyware, on trouve les applications clients de réseaux P2P (poste-à-poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une sous-catégorie particulière de logiciels espions : ils semblent être des programmes anti-logiciels espions alors qu'en réalité, ils sont eux-mêmes des logiciels espions. Si un fichier est indiqué comme logiciel publicitaire sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. En tant que sous-catégorie de logiciels espions, les enregistreurs de frappe peuvent être matériels ou logiciels. Les enregistreurs de frappe logiciels ne peuvent collecter que les informations saisies sur un seul site Web ou dans une seule application. Les enregistreurs de frappe plus sophistiqués peuvent enregistrer tout ce que vous tapez, y compris les informations que vous copiez/collez. Certains enregistreurs de frappe ciblant les périphériques mobiles peuvent enregistrer des appels, des informations provenant d'applications de messagerie, des lieux ou même des captures de micro et de caméra. Cheval de Troie Dans le passé, les programmes troyens (chevaux de Troie) ont été définis comme une catégorie de menaces ayant comme particularité de se présenter comme des programmes utiles pour duper les utilisateurs afin qu'il les exécutent. 8 La catégorie des programmes troyens étant très vaste, elle est souvent divisée en plusieurs sous-catégories : • Téléchargeurs : Programmes malveillants en mesure de télécharger d'autres menaces d'Internet. • Diffuseur : Programmes malveillants capables de diffuser d'autres types de logiciels malveillants sur des ordinateurs infectés. • Porte dérobée : Programmes malveillants qui communiquent avec des attaquants distants pour leur permettre d'accéder à l'ordinateur et d'en prendre le contrôle. • Enregistreur de frappe - (« keystroke logger ») : Programme qui enregistre chaque touche sur laquelle l'utilisateur appuie avant d'envoyer l'information aux pirates. • Composeur : Programmes malveillants destinés à se connecter à des numéros surfacturés plutôt qu'au fournisseur Internet de l'utilisateur. Il est presque impossible qu'un utilisateur remarque qu'une nouvelle connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés. Si un fichier est identifié comme programme troyen sur votre ordinateur, il est recommandé de le supprimer, car il ne contient sans doute que du code malveillant. Virus Un virus informatique est un code malveillant qui a été ajouté à des fichiers se trouvant déjà sur votre ordinateur. Les virus informatiques sont comparables aux virus biologiques parce qu'ils utilisent des techniques similaires pour se propager d'un ordinateur à l'autre. En ce qui concerne le terme « virus », il est souvent utilisé incorrectement pour décrire tout type de menace. On tend aujourd'hui à le remplacer progressivement par un terme plus précis, soit « logiciel malveillant » ou « malware » en anglais. Les virus informatiques attaquent principalement les fichiers et documents exécutables. En bref, un virus informatique fonctionne comme ceci : l'exécution d'un fichier infecté a pour effet d'appeler le code malveillant qui est alors exécuté, avant que ne s'exécute l'application originale. Un virus peut infecter tout fichier pour lequel l'utilisateur actuel possède des droits en écriture. L'activité et la gravité des virus varient. Certains sont extrêmement dangereux parce qu'ils ont la capacité de supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas de véritables dommages : ils ne servent qu'à ennuyer l'utilisateur et à démontrer les compétences techniques de leurs auteurs. Si votre ordinateur est infecté par un virus et qu'il est impossible de le nettoyer, soumettez-le au laboratoire de recherche d'ESET qui en prendra connaissance. Dans certains cas, les fichiers infectés peuvent être modifiés de manière à empêcher le nettoyage. Ils devront alors être remplacés par une copie propre, sans virus. Ver Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand en utilisant le réseau. La différence de base entre un virus et un ver est que les vers ont la capacité de se propager par eux-mêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Ils se répandent par l'entremise des adresses courriel enregistrées dans votre liste de contacts ou exploitent les failles de sécurité de diverses applications réseau. Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Grâce à Internet, ils peuvent se 9 propager à travers le monde en quelques heures ou minutes après leur lancement. Leur capacité à se répliquer indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants. Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers, dégrader les performances du système ou même désactiver des programmes. De par sa nature, un ver informatique peut servir de « moyen de transport » à d'autres types d'infiltrations. Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés parce qu'ils contiennent probablement du code malicieux. Bourrage d'identifiants Le bourrage d'identifiants est une forme de cyberattaque qui utilise des données provenant de bases de données d'identifiants ayant fait l'objet de fuites. Les pirates utilisent des robots et d'autres méthodes d'automatisation pour se connecter à des comptes sur de nombreux sites Web à l'aide des données divulguées. Les pirates visent principalement les utilisateurs qui recyclent leurs identifiants de connexion sur plusieurs sites Web et services. Lorsque l'attaque réussit, les pirates peuvent obtenir un accès complet au compte et aux données des utilisateurs stockées dans ce compte. Les pirates peuvent exploiter cet accès pour voler des données personnelles à des fins d'usurpation d'identité, de transactions frauduleuses, de distribution de pourriel ou d'autres actions malveillantes. Empoisonnement DNS Avec la méthode d'empoisonnement DNS (Domain Name Server), des pirates peuvent faire croire au serveur DNS d'un ordinateur que les fausses données qui leur sont transmises sont légitimes et authentiques. Ces fausses données sont ensuite mises en cache pendant un certain temps, ce qui permet aux pirates de réécrire les réponses DNS des adresses IP. De cette manière, les utilisateurs qui tentent d'accéder à des sites internet téléchargeront des virus ou des vers au lieu du contenu original de ces sites. Attaques DoS L'attaque DoS, ou attaque par Déni de service, vise à rendre un ordinateur ou un réseau indisponible pour les utilisateurs prévus. La communication entre les utilisateurs affectés est obstruée et ne peut plus continuer normalement. Les ordinateurs qui ont subi une attaque DoS doivent généralement redémarrer, faute de quoi ils ne fonctionnent plus correctement. Le plus souvent, les cibles sont des serveurs Web et l'objectif est de les rendre inutilisables pendant un certain temps. Attaques par protocole ICMP L'ICMP (Internet Control Message Protocol) est un protocole Internet très commun et très utilisé. Il est surtout utilisé par les ordinateurs en réseau pour envoyer différents messages d'erreur. Les attaquants distants tentent d'exploiter la faiblesse du protocole ICMP. Ce protocole est conçu pour les communications à sens unique n'exigeant pas d'authentification. Il permet donc aux attaquants distants de déclencher ce qu'on appelle les attaques par déni de service ou des attaques qui donnent à différentes personnes non autorisées l'accès aux paquets entrants et sortants. 10 Le Ping Flood (inonder par flux de ping), l'ICMP_ECHO flood et le smurf sont des exemples typiques d'attaques ICMP. Les ordinateurs exposés aux attaques ICMP sont considérablement ralentis (affecte toutes les applications utilisant Internet) et ont des problèmes de connexion Internet. Balayage de ports Le balayage de ports est utilisé pour déterminer quels ports de l'ordinateur sont ouverts sur un hôte de réseau. Le logiciel utilisé à cette fin s'appelle le scanneur de port. Le port d'un ordinateur est un point virtuel qui traite les données entrantes et sortantes. C'est un point crucial pour la sécurité. Sur un réseau de grande taille, les données recueillies par le scanneur de ports peuvent permettre d'identifier les failles potentielles. Cette utilisation est bien sûr tout à fait légale. D'un autre côté, le balayage de ports est souvent utilisé par les pirates qui tentent de compromettre la sécurité. Ils envoient d'abord des paquets à chaque port. En fonction du type de réponse, il est possible de déterminer quels ports sont utilisés. Si le balayage lui-même ne cause aucun dommage, cette activité peut révéler les failles potentielles et permettre aux pirates de prendre le contrôle d'ordinateurs distants. Nous conseillons aux administrateurs du réseau de bloquer tous les ports non utilisés et de protéger ceux qui sont utilisés des accès non autorisés. Relais SMB SMB Relay et SMB Relay 2 sont des programmes spéciaux capables d'effectuer des attaques contre des ordinateurs distants. Les programmes utilisent le protocole de partage de fichiers SMB (Server Message Block) situé sur NetBIOS. Lorsqu'un utilisateur partage des dossiers ou des répertoires sur un réseau local, il y a de grandes chances qu'il utilise ce protocole de partage de fichiers. Les empreintes numériques des mots de passe sont échangées lors des communications sur le réseau local. SMB Relay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés par le client et le serveur, et les modifie. Après connexion et authentification, le client est déconnecté. SMB Relay crée une nouvelle adresse virtuelle IP, à laquelle il est possible d'accéder à l'aide de la commande « net use \\192.168.1.1 ». L'adresse peut ensuite être utilisée par n'importe quelle fonction de réseau de Windows. SMB Relay relaie les communications du protocole SMB, sauf la négociation et l'authentification. Les pirates peuvent utiliser l'adresse IP tant que l'ordinateur client est connecté. SMB Relay 2 fonctionne selon le même principe que SMB Relay, si ce n'est qu'il utilise les noms NetBIOS plutôt que les adresses IP. Tous deux peuvent effectuer des attaques de type « l'homme du milieu » (man-in-themiddle). Ces attaques permettent à des pirates de lire les messages échangés entre deux points de communication sans être remarqué, ainsi que d'y insérer des données et de les modifier à distance. Les ordinateurs exposés à ce type d'attaque arrêtent souvent de répondre ou redémarrent de manière impromptue. Pour éviter de telles attaques, nous vous recommandons d'utiliser des mots de passe ou des clés d'authentification. 11 Désynchronisation TCP La désynchronisation TCP est une technique utilisée pour les détournements de session TCP (TCP Hijacking). Elle est déclenchée par un processus dans lequel le numéro séquentiel de paquets entrants diffère du numéro attendu. Les paquets dont le numéro séquentiel diffère du numéro attendu sont rejetés (ou enregistrés dans la mémoire tampon, s'ils sont présents dans la fenêtre de communication active). Lors de la désynchronisation, les deux points d'extrémité de communication refusent les paquets reçus, ce qui permet aux attaquants distants de pouvoir infiltrer des paquets et de les fournir, avec un numéro séquentiel. Les attaquants peuvent même manipuler ou modifier les communications. Les détournements de session TCP visent à interrompre les communications serveur-client ou les communications poste à poste. De nombreuses attaques peuvent être évitées par l'authentification de chaque segment TCP. Il est également conseillé d'utiliser les configurations recommandées pour vos périphériques réseau. Attaque de ver Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand par un réseau. Les vers de réseau exploitent les failles de sécurité de diverses applications. Et, grâce à Internet, ils peuvent se propager à travers le monde en quelques heures seulement. La plupart des attaques de ver (Sasser, SqlSlammer) peuvent être évitées en utilisant les paramètres de sécurité par défaut du pare-feu ou en bloquant les ports non protégés et non utilisés. Il est également essentiel de mettre votre ordinateur à jour en installant les correctifs de sécurité les plus récents. Empoisonnement de cache ARP Le protocole de résolution d'adresses (ARP) assure la traduction entre les adresses de la couche de liaison de données (adresses MAC) et de la couche réseau (adresses IP). Une attaque par empoisonnement du cache ARP permet aux pirates d'intercepter les communications entre les périphériques du réseau en corrompant les tables ARP du réseau (mappages des périphériques MAC vers IP). Le pirate envoie un faux message de réponse ARP à la passerelle réseau par défaut, informant que l'adresse MAC est associée à l'adresse IP d'une autre cible. Lorsque la passerelle par défaut reçoit ce message et diffuse les modifications à tous les autres périphériques du réseau, tout le trafic de la cible vers tout autre périphérique du réseau passe par l'ordinateur du pirate. Cela permet au pirate d'inspecter ou de modifier le trafic avant de le transmettre à la destination prévue. Menaces de courriel Le courriel est une forme de communication qui offre beaucoup d'avantages. Malheureusement, le grand anonymat des courriels et d'Internet a laissé libre champ à beaucoup d'activités illégales telles que le pollupostage. Le pourriel comprend les publicités indésirables, les canulars et les logiciels malveillant. Les désagréments et le danger pour l'utilisateur ont augmenté tout simplement du fait que l'envoi de tels messages ne coûte presque rien et que les auteurs du pourriel disposent de bon nombre d'outils pour acquérir facilement de nouvelles adresses courriel. En plus, le volume et les différents types de pourriel ne facilitent pas la règlementation. Plus longtemps vous utilisez votre adresse courriel, plus vous augmentez la 12 possibilité qu'elle finisse par être ajoutée dans la base de données d'un moteur de pourriel. Quelques conseils à titre de prévention : • Si possible, ne publiez pas votre adresse de courriel sur Internet • Ne donnez votre adresse courriel qu'à des personnes fiables. • Si possible, n'utilisez pas de pseudonyme commun : plus le pseudonyme est complexe, moins grande est la probabilité de traçage. • Ne répondez pas aux pourriels déjà présents dans votre boîte de réception • Faites attention lorsque vous remplissez des formulaires Internet : soyez particulièrement attentif aux cases à cocher du type « Oui, je voudrais recevoir des informations ». • Utilisez des adresses de messagerie « spécialisées », par exemple, une professionnelle, une pour communiquer avec vos amis, etc. • Changez périodiquement votre adresse courriel • Utilisez une solution antipourriel. Publicités La publicité par Internet est une des formes de publicité les plus en vogue. Ses coûts minimaux et sa grande efficacité en sont les principaux avantages marketing, tout comme le fait que ces messages soient transmis presque immédiatement. Nombre d'entreprises utilisent des outils de marketing par courriel pour communiquer de manière efficace avec leurs clients et clients éventuels. Ce type de publicité est légitime, car l'utilisateur pourrait souhaiter recevoir des informations commerciales sur certains produits. De nombreuses entreprises envoient également en masse des messages commerciaux non sollicités. La publicité par courriel dépasse alors les limites et devient du pourriel. La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe d'accalmie. Les auteurs de messages non sollicités tentent souvent de déguiser le pourriel sous des dehors de messages légitimes. Canulars Un canular se définit comme de la désinformation diffusée sur Internet. Les canulars sont généralement envoyés par courriel ou par des outils de communication tels ICQ et Skype. Le message en lui-même est souvent une blague ou une légende urbaine. Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à croire qu'ils ont un « virus indétectable » en train de supprimer tous les fichiers et de récupérer les mots de passe ou d'effectuer une activité nuisible sur leur système. Certains canulars se propagent parce qu'ils invitent les destinataires à réacheminer les messages reçus à leurs contacts, ce qui perpétue leur cycle de vie. On y retrouve notamment des canulars liés aux téléphones cellulaires, des « demandes d'aide », des personnes qui vous proposent de vous envoyer de l'argent de l'étranger, etc. Dans 13 bon nombre de cas, il est impossible de traquer l'intention du créateur. Si un message vous demande de le réacheminer à toutes vos connaissances, il est fort possible qu'il s'agisse d'un canular. On retrouve, sur Internet, bon nombre de sites qui permettent de vérifier si un message est légitime ou non. Avant de réacheminer un message, faites une recherche sur Internet si vous avez des doutes quant à un message reçu. Hameçonnage Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse utilisant des techniques de piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des données confidentielles. Son but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. La technique consiste généralement à envoyer un courriel en se faisant passer pour une personne ou une entreprise digne de confiance (institution financière, compagnie d'assurance). Le message peut sembler très authentique et contenir des graphiques et contenus qui proviennent véritablement de la source dont il se réclame. Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles, vos numéros de compte bancaire ou nom d'utilisateur et mot de passe. Toutes ces données, si elles sont soumises, peuvent facilement être volées et utilisées à des fins illégales. Notez que les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais les noms d'utilisateur et mots de passe dans un message non sollicité. Reconnaissance des pourriels Peu d'indicateurs permettent généralement d'identifier les pourriels (messages non sollicités) dans une boîte aux lettres. Si un message satisfait au moins l'un des critères suivants, c'est probablement un pourriel. • L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts. • On vous offre une importante somme d'argent, mais vous devez en fournir une petite somme avant. • On vous demande d'entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles : numéros de compte bancaire ou noms d'utilisateur et mots de passe. • Le message est écrit dans une langue étrangère. • On vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez d'acheter quand même, assurez-vous que l'expéditeur du message est un vendeur sérieux (consultez le fabricant original du produit). • Certains mots sont mal écrits afin de pouvoir passer à travers le filtre de pourriel. Par exemple « vaigra » au lieu de « viagra ». Règles Dans le contexte des solutions antipourriel et des clients de messagerie, les règles permettent de manipuler les fonctions de messagerie. Elles se composent de deux parties logiques : 14 1.La condition (par exemple, un message entrant provenant d'une certaine adresse ou avec un certain objet de courriel) 2.L'action (par exemple, la suppression du message ou son transfert vers un dossier particulier). Le nombre de règles et leurs combinaisons varient en fonction de la solution antipourriel. Ces règles servent de protection contre les pourriels (messages non sollicités). Exemples caractéristiques : 1. condition : un message entrant contient des mots habituellement utilisés dans les pourriels 2. Action : supprimer le message 1. condition : un message entrant contient une pièce jointe comportant l'extension .exe 2. Action : supprimer la pièce jointe et livrer le message dans la boîte aux lettres 1. condition : un message entrant de votre employeur 2. Action : déplacer le message dans le dossier « Travail ». Afin de faciliter l'administration et de filtrer plus efficacement les pourriels, nous vous recommandons d'utiliser une combinaison des règles des programmes antipourriels. Liste blanche En général, une liste blanche est une liste d'éléments ou de personnes qui ont été acceptées ou ont obtenu l'autorisation. Le terme « liste blanche de messagerie » (adresse autorisées) définit une liste de contacts dont l'utilisateur veut recevoir les messages. Ces listes blanches sont basées sur des mots-clés recherchés dans des adresses courriel, des noms de domaines ou des adresses IP. Si une liste blanche fonctionne en « mode exclusif », les messages de toutes les autres adresses, domaines ou adresses IP seront écartés. Si elle fonctionne en mode non exclusif, ces messages ne seront pas supprimés, mais filtrés d'une autre façon. Une liste blanche fonctionne sur le principe inverse d'une liste noire. Les listes blanches sont relativement faciles à maintenir, plus que les listes noires. Pour un meilleur filtrage des pourriels, il est recommandé d'utiliser des listes blanches et des listes noires. Liste noire Une liste noire se définit généralement comme une liste d'éléments ou de personnes non acceptés ou interdits. Dans le monde virtuel, c'est une technique qui permet d'accepter des messages de tous les utilisateurs qui ne figurent pas sur cette liste. Il existe deux types de listes noires : celles qui sont créées par les utilisateurs par l'entremise de leur application antipourriel et les listes noires professionnelles, créées et régulièrement mises à jour par des organismes spécialisés, que l'on peut trouver sur Internet. 15 Il est essentiel d'utiliser les listes pour bloquer le pourriel, mais elles peuvent être difficiles à tenir à jour, car de nouveaux éléments à bloquer apparaissent chaque jour. Nous vous recommandons d'utiliser tant une liste blanche qu'une liste noire pour filtrer le pourriel de la façon la plus efficace. Exception La liste des exceptions contient généralement des adresses courriels qui peuvent être falsifiées et utilisées pour envoyer des pourriels. Les messages provenant des adresses répertoriées dans la liste d'exceptions sont toujours inclus à l'analyse visant à identifier le pourriel. Par défaut, la liste d'exceptions contient les adresses de messagerie figurant dans vos comptes de messagerie existants. Contrôle côté serveur Le contrôle côté serveur est une technique permettant d'identifier le pourriel de masse d'après le nombre de messages reçus et les réactions des utilisateurs. Chaque message laisse sur le serveur une « empreinte » numérique unique en fonction de son contenu. Le numéro d'ID unique ne dit rien à propos du contenu du message. Deux messages identiques auront une empreinte identique, alors que des messages différents auront une empreinte différente. Si un message est marqué comme pourriel, son empreinte est envoyée au serveur. Si le serveur reçoit plusieurs empreintes identiques (correspondant à un certain message de pourriel), cette empreinte est stockée dans la base d'empreintes de pourriel. Lorsqu'il analyse des messages entrants, le programme envoie les empreintes de ces messages au serveur. Le serveur renvoie de l'information indiquant quelles empreintes correspondent à des messages déjà identifiés comme pourriels par d'autres utilisateurs. Analyseur de mémoire avancé L'Analyseur avancé de la mémoire fonctionne avec Exploit Blocker pour renforcer la protection contre les logiciels malveillants qui ont été conçus pour contourner la détection par les protection anti-logiciels malveillants en utilisant l'obscurcissement et/ou le chiffrement. Lorsque l'émulation ordinaire ou l'heuristique ne parvient pas à détecter une menace, l'Analyseur avancé de la mémoire est capable d'identifier un comportement suspect et d'analyser les menaces lorsqu'elles se révèlent dans la mémoire système. Cette solution est efficace contre les logiciels malveillants les plus obscurcis. Contrairement à l'Exploit Blocker, l'Analyseur avancé de la mémoire est une méthode post-exécution. Cela signifie qu'il existe un risque qu'une activité malveillante ait été exécutée avant sa détection d'une menace; toutefois, lorsque les autres techniques de détection ont échoué, cette méthode apporte une couche de sécurité supplémentaire. Protection des paiements bancaires La protection des opérations bancaires et des paiements représente un niveau de protection supplémentaire conçue pour la protection de vos données financières lors des transactions effectuées en ligne. ESET Smart Security Premium et ESET Internet Security contient une liste intégrée de sites Web prédéfinis qui déclencheront l'ouverture d'un navigateur sécurisé. Vous pouvez ajouter un site Web à la liste ou modifier la liste de sites Web dans la configuration de produit. 16 Activez l'option Sécuriser tous les navigateurs pour démarrer tout les navigateurs Web pris en charge en mode sécurisé. Pour plus de détails sur cette fonction, veuillez consulter les articles suivants dans la base de connaissances d'ESET : • Comment utiliser la protection des opérations bancaires et des paiements ? • Suspendre ou désactiver Protection des opérations bancaires et des paiements dans les produits ESET Windows Home • Protection des opérations bancaires et des paiements - Erreurs courantes L'utilisation de la communication chiffrée HTTPS est nécessaire pour effectuer une navigation protégée. Les navigateurs suivants prennent en charge la protection des paiements bancaires : • Internet Explorer 8.0.0.0 • Microsoft Edge 83.0.0.0 • Google Chrome 64.0.0.0 • Firefox 24.0.0.0 Ouvrir Protection des paiements bancaires dans votre navigateur préféré Lorsque vous ouvrez Protection des paiements bancaires à partir de l'onglet Outils dans le menu des produits, il s'ouvre dans le navigateur Web que vous avez défini par défaut dans Windows. Sinon, lorsque vous ouvrez votre navigateur Web préféré (pas à partir du menu du produit), les sites Web de la liste des sites protégés sont dirigés vers le même type de navigateur Web sécurisé par ESET. Protection contre les botnets La protection contre les ordinateurs zombies détecte les logiciels malveillants grâce à l'analyse de ses protocoles de communication réseau. Les logiciels malveillants d'ordinateurs zombies changent fréquemment, contrairement aux protocoles de réseaux qui n'ont pas changés au cours des deux dernières années. Cette nouvelle technologie permet à ESET de contrer les logiciels malveillants qui essaient d'éviter la détection et tentent de connecter votre ordinateur à un réseau d'ordinateurs zombies. Détections d'ADN Les types de détection vont des hachages très spécifiques aux détections d'ADN d'ESET, qui sont des définitions complexes de comportements malveillants et de caractéristiques de programmes malveillants. Bien que le code malveillant puisse facilement être modifié ou obscurci par des attaquants, le comportement des objets ne peut pas être modifié aussi facilement et les solutions de détection d'ADN d'ESET sont conçues pour tirer parti de ce principe. Nous effectuons une analyse approfondie du code et extrayons les « gènes » responsables de son comportement. Grâce à cela, nous construisons les solutions de détection d'ADN d'ESET qui sont utilisées pour évaluer le code potentiellement suspect, que ce soit sur le disque ou dans la mémoire du processus en cours. Les détections 17 d'ADN peuvent identifier des échantillons de logiciels malveillants connus spécifiques, de nouvelles variantes d'une famille de logiciels malveillants connus ou même des programmes malveillants jamais rencontrés ou inconnus qui contiennent des gènes indiquant un comportement malveillant. ESET LiveGrid® ESET LiveGrid® (fondé sur le système avancé d'avertissement anticipé ESET ThreatSense.Net) utilise les données soumises par les utilisateurs ESET de partout dans le monde avant de les envoyer au laboratoire de recherche d'ESET. En fournissant des métadonnées et des échantillons suspects provenant de partout, ESET LiveGrid® nous permet de réagir immédiatement aux besoins de nos clients et de préserver la réactivité d'ESET aux menaces les plus récentes. Les chercheurs d'ESET spécialisés dans les logiciels malveillants utilisent les informations pour produire un instantané précis de la nature et de la portée des menaces mondiales, qui nous permet de nous concentrer sur les bonnes cibles. Les données ESET LiveGrid® jouent un rôle important dans la définition des priorités dans notre traitement automatisé. De plus, la technologie implémente un système de réputation qui contribue à améliorer l'efficacité globale de nos solutions contre les logiciels malveillants. Un utilisateur peut vérifier la réputation des processus en cours d'exécution et des fichiers directement à partir de l'interface du programme ou du menu contextuel, des informations supplémentaires étant disponibles à partir de ESET LiveGrid®. Lors de l'inspection d'un fichier exécutable ou d'une archive sur le système d'un utilisateur, son mot-clic est d'abord comparé à une base de données d'éléments indiqués sur liste blanche et noire. S'il figure sur la liste blanche, le fichier inspecté est considéré comme propre et marqué pour être exclu des analyses futures. S'il est sur la liste noire, des mesures appropriées sont prises en fonction de la nature de la menace. En l'absence de correspondance, le fichier est analysé complètement. Sur la base des résultats de cette analyse, les fichiers sont catégorisés ou non comme menaces. Cette approche à une incidence positive importante sur la performance des analyses. Ce système de réputation permet une détection efficace des échantillons de logiciels malveillants avant même que leurs signatures ne soient transmises à l'ordinateur de l'utilisateur grâce à une base de données de virus mise à jour (ce qui se produit plusieurs fois par jour). En plus du système de réputation d'ESET LiveGrid®, le système de rétroaction d'ESET LiveGrid® recueille sur votre ordinateur des données concernant de nouvelles menaces détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et de l'information sur le système d'exploitation de votre ordinateur. Serveurs ESET LiveGrid® Nos serveurs ESET LiveGrid® sont situés à Bratislava, à Vienne et à San Diego, mais ce sont seulement les serveurs qui répondent aux demandes des clients. Le traitement des échantillons envoyés s'effectue à Bratislava en Slovaquie. Activer ou désactiver ESET LiveGrid® dans les produits ESET Pour des instructions plus détaillées et illustrées sur l'activation ou la désactivation de ESET LiveGrid® dans les produits ESET, consultez cet article de la base de connaissances ESET. 18 Bloqueur d'exploits Le bloqueur d'exploit est conçu pour renforcer les types d’applications couramment exploités (navigateurs, lecteurs de fichiers PDF, clients de messagerie et composants Microsoft Office) et offrir une protection contre les attaques par POR. Le bloqueur d'exploit est disponible et activé par défaut dans tous les produits ESET Windows pour les entreprises, les produits ESET pour Windows Server et les produits Endpoint ESET pour Windows. Il fonctionne en surveillant le comportement de processus pour détecter une activité suspecte qui pourrait indiquer un exploit. Quand le Bloqueur d'exploits identifie un processus suspect, il l'arrête immédiatement et enregistre des données à propos de la menace, qui sont ensuite envoyées au système en nuage ESET LiveGrid®. Ces données sont traitées par le laboratoire de recherche d'ESET et utilisées pour mieux protéger tous les utilisateurs des menaces inconnues et des attaques du jour zéro (nouveaux logiciels malveillants publiés pour lesquels il n'existe aucune solution pré-configurée). Java Exploit Blocker Java Exploit Blocker est une extension à la technologie de bloqueur d'exploits existante. Elle surveille Java à la recherche de comportement semblables aux exploits. Les échantillons bloqués peuvent être signalés à des analystes de logiciels malveillants afin qu'ils puissent créer des signatures pour les bloquer sur différentes couches (blocage d'URL, téléchargement de fichiers, etc). ESET LiveSense ESET utilise de nombreuses technologies de protection en couches uniques et propriétaires qui fonctionnent ensemble sous le nom d’ESET LiveSense. La figure ci-dessous présente certaines des technologies de base d’ESET et indique approximativement quand et où elles peuvent détecter, et éventuellement bloquer, une menace au cours de son cycle de vie dans le système. 19 Apprentissage machine Depuis 1990, ESET travaille avec des algorithmes d'apprentissage machine pour détecter et bloquer les menaces. Les réseaux neuronaux ont été ajoutés au moteur de détection des produits ESET en 1998. L'apprentissage machine inclut les détections d'ADN, qui utilisent des modèles basés sur l'apprentissage machine pour travailler efficacement avec ou sans connexion au nuage. Les algorithmes d'apprentissage machine sont également une partie essentielle du tri et de la classification initiale des échantillons entrants, ainsi que de leur placement sur la « carte de la cybersécurité » imaginaire. ESET a développé son propre moteur d'apprentissage machine en interne. Il utilise la puissance combinée des réseaux neuronaux (tels que l'apprentissage profond et la mémoire court et long terme) et un groupe de six algorithmes de classification triés sur le volet. Cela lui permet de générer une sortie consolidée et d'aider à étiqueter correctement l'échantillon entrant comme étant sans danger, potentiellement indésirable ou malveillant. Le moteur d'apprentissage automatique d'ESET est affiné pour fonctionner avec d'autres technologies de protection telles que l'ADN, le bac à sable et l'analyse de la mémoire, ainsi qu'avec l'extraction de caractéristiques comportementales, afin d'offrir les meilleurs taux de détection et le plus faible taux possible de faux positifs. Configuration de l'analyseur dans la configuration avancée des produits ESET • Produits ESET Windows Home (à partir de la version 13.1) 20 • Produits ESET Windows Endpoint (à partir de la version 7.2) Protection contre les attaques réseau La protection contre les attaques réseau est une extension du pare-feu qui améliore la détection des failles à la recherche des vulnérabilités connues au niveau du réseau. En mettant les détections des vulnérabilités courantes en œuvre dans des protocoles largement utilisés, tels que SMB, RPC et RDP, cette fonctionnalité offre une autre couche de protection importante contre la propagation des logiciels malveillants, des attaques de réseau et des exploitations des failles pour lesquelles aucun correctif n'a encore été publié ou déployé. Bouclier anti-ransomwares Le bouclier contre les rançongiciels est une technique de détection basée sur le comportement qui surveille le comportement des applications et des processus qui tentent de modifier les fichiers d'une façon commune aux rançongiciels ou aux codeurs de fichiers. Si le comportement d'une application est considéré comme malveillant ou si une analyse basée sur la réputation montre qu'il faut se méfier de cette application, alors l'application est bloquée ou l'utilisateur est invité à la bloquer ou à l'autoriser. ESET LiveGrid® doit être activé pour que le bouclier contre les rançongiciels fonctionne correctement. Consultez notre article de la base de connaissances ESET pour vous assurer que ESET LiveGrid® est activé et fonctionne dans votre produit ESET. Protection contre les attaques basées sur le script La protection contre les attaques basées sur le script est composée d'une protection contre JavaScript dans les navigateurs Web et de la protection Antimalware Scan Interface (AMSI) contre les scripts en PowerShell. HIPS HIPS doit être activé pour que cette protection fonctionne. La protection contre les attaques basées sur le script fonctionne avec les navigateurs suivants : • Mozilla Firefox • Google Chrome • Internet Explorer • Microsoft Edge Utiliser un navigateur Web pris en charge Les plus petites versions des navigateurs Web prises en charge peuvent varier parce que la signature de fichier des navigateurs change souvent. La dernière version du navigateur Web est toujours prise en charge. Navigateur sécurisé Le navigateur sécurisé est une couche de protection supplémentaire conçue pour protéger vos données sensibles lors de la navigation en ligne (par exemple, les données financières lors des transactions en ligne). 21 ESET Endpoint Security 8 et les versions ultérieures contiennent une liste intégrée de sites Web prédéfinis qui déclencheront l'ouverture d'un navigateur protégé. Vous pouvez ajouter un site Web à la liste ou modifier la liste de sites Web dans la configuration de produit. Le navigateur sécurisé est désactivé par défaut après l'installation. Pour plus de détails sur cette fonction, veuillez consulter l'article suivant dans la base de connaissances d'ESET. L'utilisation de communication HTTPS chiffrée est nécessaire pour garantir une navigation protégée. Pour utiliser le navigateur sécurisé, votre navigateur Internet doit répondre aux exigences minimales décrites ci-dessous : • Internet Explorer 8.0.0.0 • Microsoft Edge 83.0.0.0 • Google Chrome 64.0.0.0 • Firefox 24.0.0.0 Seuls Firefox et Microsoft Edge sont pris en charge sur les périphériques équipés de processeurs ARM. Ouvrez le navigateur sécurisé d'ESET dans votre navigateur préféré Lorsque vous ouvrez le navigateur sécurisé d'ESET à partir de l'onglet Outils dans le menu des produits, il s'ouvre dans le navigateur Web que vous avez défini par défaut. Sinon, lorsque vous ouvrez votre navigateur Web préféré (pas à partir du menu du produit), la liste interne d'ESET sera redirigée vers le même type de navigateur Web sécurisé par ESET. Analyseur UEFI L'analyseur UEFI (Unified Extensible Firmware Interface) fait partie du système HIPS (Host Intrusion Prevention System) qui protège le micrologiciel UEFI sur votre ordinateur. Le micrologiciel UEFI se charge en mémoire au début du processus de démarrage. Le code est sur une puce de mémoire flash soudée sur la carte mère. En l'infectant, les attaquants peuvent déployer des logiciels malveillants qui survivent aux réinstallations et redémarrages du système. Les logiciels malveillants peuvent facilement passer inaperçus pour les solutions antilogiciels malveillants car la plupart d'entre elles n'analysent pas cette couche. L'analyseur UEFI est activé automatiquement. Vous pouvez également lancer une analyse manuelle de l'ordinateur à partir de la fenêtre principale du programme en cliquant sur Analyse de l'ordinateur > Analyses avancées > Analyse personnalisée et en sélectionnant la cible Secteurs de démarrage/UEFI. Si votre ordinateur a déjà été infecté par un logiciel malveillant UEFI, lisez l'article suivant de la base de connaissances d'ESET : Mon ordinateur est infecté par un logiciel malveillant UEFI, que dois-je faire? Fichier canary Un fichier canary est un document informatique fictif placé parmi des documents réels dont le but est de faciliter la détection précoce d'un accès non autorisé à des données, de leur copie ou de leur modification. 22 Interblocage Un interblocage est une situation dans laquelle chaque processus informatique attend une ressource qui est attribuée à un autre processus. Dans cette situation, aucun des processus ne peut être exécuté puisque la ressource requise est détenue par un autre processus qui attend également la libération d'une autre ressource. Il est important de prévenir un interblocage avant qu'il ne se produise. Un interblocage peut être détecté par le planificateur de ressources, qui aide le système d'exploitation à garder la trace de toutes les ressources allouées aux différents processus. Un interblocage peut se produire si les quatre conditions suivantes sont réunies simultanément : • Aucune action préventive : une ressource ne peut être libérée que volontairement par le processus qui la détient, une fois que ce processus a terminé sa tâche. • Exclusion mutuelle : un type spécial de sémaphore binaire utilisé pour contrôler l'accès à la ressource partagée. Il permet de bloquer les tâches courantes les plus prioritaires pendant le temps le plus court possible. • Maintien et attente : dans cette condition, il faut empêcher les processus de détenir une ou plusieurs ressources tout en attendant simultanément une ou plusieurs autres. • Attente circulaire : elle impose un ordre total de tous les types de ressources. L'attente circulaire exige également que chaque processus demande des ressources dans l'ordre croissant de l'énumération. Il existe trois façons de gérer un interblocage : • ne pas laisser le système dans un état d'interblocage. • laisser l'interblocage se produire, puis faire de la préemption pour le gérer lorsqu'il se produit. • en cas d'interblocage, redémarrer le système. 23