Suite à la prolifération d’attaques de programmes malveillants (virus, chevaux de Troie, « cryptolockers », « ransomwares ») dont nos clients sont victimes, nous vous adressons cette note d’information et de recommandations, qui facilitera la compréhension des risques présentés par ce phénomène.

Virus et cheval de Troie

Qu’est-ce qu’un virus ?

Un virus est un morceau de programme « pirate », qui se greffe sur un autre programme « sain » afin d’en modifier le comportement et corrompre les données de la machine sur laquelle il s’installe.

Ce morceau de programme prend de la place, au sens physique du terme, dans le programme infecté : c’est sa « signature ». Cette signature le rend détectable lors d’une analyse physique du disque par un outil adéquat : l’antivirus.

Quelle différence avec un cheval de Troie ?

Ainsi que laisse présager son nom, un « cheval de Troie » (« Trojan horse » ou simplement « Trojan » en anglais) est un programme malveillant (« malware » en anglais) qui agit de façon beaucoup plus insidieuse. Il ne se greffe pas sur un programme sain, contrairement à un virus, mais s’installe à part, sur la machine, afin de mieux l’infecter.

Un des moyens d’infection les plus courants est l’utilisation d’une « porte dérobée » (backdoor en anglais). Le cheval de Troie installe un programme qui ouvre certains ports de communication de la machine, afin de la rendre accessible à un programme malveillant extérieur. Ce programme extérieur utilise ensuite la connexion à internet et au réseau local de la machine pour propager l’infection.

Le fait qu’il faille utiliser une connexion Internet pour accéder aux données explique pourquoi les chevaux de Troie sont plus efficaces sur les serveurs, qui sont tout le temps connecté, plutôt que les postes, qui sont en principe éteints chaque soir.

Dans le cas des « portes dérobées » de type « cryptolocker » ou « ransomware », l’infection se caractérise par le cryptage de toutes les données accessibles sur le réseau. Les cibles privilégiées et facile à corrompre sont les fichiers fermés et non protégés, dont l’accès n’est pas surveillé par le système d’exploitation. Les documents (textes, tableaux, présentations etc…) entrent dans cette catégorie, ce qui explique leur extrême vulnérabilité.

Comment les virus et les chevaux de Troie arrivent dans un parc ?

Plusieurs moyens, dont la liste n’est pas exhaustive :

• Installation ou exécution de programmes vérolés,
• Clic sur un lien internet (à partir du navigateur, dans un mail, dans la pièce jointe d’un mail, etc…)
• Lancement d’une macro à l’ouverture d’un document vérolé (par exemple document joint à un mail).Dans tous les cas, l’utilisateur déclenche systématiquement, sans le savoir, l’installation du virus ou du cheval de Troie.

Pourquoi un parc peut quand même être infecté, alors qu’il est protégé par un antivirus / antimalware ?

Dans la mesure où il ne se greffe pas sur un programme, un cheval de Troie ne laisse pas de signature. Il n’est donc pas détectable par un antivirus de base, aussi à jour soit-il. Il faut donc une version étendue de l’antivirus, avec anti malware …

L’anti malware analyse tous les programmes qui s’exécutent sur la machine et regarde si les caractéristiques de chaque programme (nom, taille, version etc…) sont recensées dans sa base de connaissances. Si les caractéristiques sont trouvées, le programme est bloqué ou effacé. Dans le cas contraire, le programme n’est pas touché.

Cette démarche présente cependant une limite : un anti malware ne peut neutraliser que les programmes malveillants qu’il reconnaît.

Or, la base de connaissance provient de l’éditeur du produit : il faut donc que le programme malveillant ait déjà été reconnu et remonté au moins une fois à l’éditeur avant d’être intégré dans la base de connaissance et mis à jour chez les clients.

Pour faire un parallèle avec ce que nous voyons dans les médias : c’est comme dans la lutte anti-dopage, les tricheurs ont toujours un coup d’avance.

Il faut également être conscient que de nouveaux virus / chevaux de Troie apparaissent chaque jour et que les versions existantes « mutent », ce qui constitue autant de nouveaux cas indétectables par l’anti malware.

Comment se prémunir de ces fléaux ?

Il n’existe pas de solution efficace à 100%.

Il faut évidemment un anti malware à jour pour éliminer la quasi-totalité des menaces les plus courantes, comme évoqué ci-dessus, mais nous avons vu que ce n’était pas toujours suffisant.

Il reste la prévention, qui passe par le respect des règles suivantes :

L’utilisateur ne doit JAMAIS :

• Cliquer sur un lien dont il n’est pas sûr de l’auteur : c’est valable pour les sites visités mais aussi pour les SPAMs que nous sommes tous amenés à recevoir dans nos boîtes mail, professionnelles comme personnelles.

• Ouvrir une pièce jointe dont il n’est pas sûr de l’expéditeur.

• Copier / exécuter un programme ou copier / ouvrir un document situé sur un support externe (clés USB, disque dur, DVD etc…) sans être sûr de la provenance de ce support.

Nous espérons que cette présentation vous permettra de bien mesurer le risque encouru par vos données de production et vous permettra de préparer les mesures nécessaires.