Annexe A. Types de menaces informatiques |
Sous le terme « menace », il faut entendre, selon notre classification, un logiciel qui puisse porter atteinte soit directement soit indirectement à l'ordinateur, au réseau, à l'information ou aux droits de l'utilisateur (logiciels malveillants ou indésirables). Dans le sens plus large du terme, une « menace » peut signifier un danger potentiel pour l’ordinateur ou pour le réseau (une vulnérabilité pouvant être utilisée pour des attaques de pirates). Tous les types de logiciels décrits ci-dessous peuvent présenter un danger pour les données de l’utilisateur et pour son droit à la confidentialité. Les logiciels qui ne dissimulent pas leur présence dans le système (par exemple, certains logiciels pour diffusion du spam ou analyseurs du trafic), normalement ne sont pas classés comme menaces, mais sous certaines conditions, ils peuvent causer des dommages à l’utilisateur. Dans les produits et la documentation de Doctor Web, les menaces sont divisées en deux types, selon le niveau de danger qu’elles représentent : • – ce sont des menaces classiques qui sont capables de mener des actions destructives et illégales au sein du système (suppression et vol de l’information, défaillance du réseau etc.). Ce type de menace regroupe les logiciels appelés malveillants (virus, vers, programmes de Troie) ; • – ce sont des menaces considérées comme moins dangereuses que des menaces graves, mais qui sont à éviter elles aussi, car des tierces personnes peuvent s’en servir pour mener des actions nocives. De plus, toute présence de menaces, même insignifiantes, dans le système, témoigne de sa vulnérabilité. Les spécialistes de la protection informatique qualifient ce type de menaces de logiciels « gris » ou « logiciels potentiellement non désirés ». Les menaces insignifiantes sont représentées par des adwares, des dialers, des canulars, des riskwares et des hacktools. Menaces graves Virus informatiques Ce type de menaces informatiques est capable d’introduire son code dans le code d’exécution d’autres logiciels. Cette pénétration porte le nom d’infection. Dans la plupart des cas, le fichier infecté devient lui-même porteur de virus et le code introduit n’est plus conforme à l’original. La majeure partie des virus est conçue pour endommager ou exterminer les données. En fonction du type d’objet infecté, Doctor Web classifie les virus selon les types suivants : • infectent les fichiers de système d’exploitation (fichiers exécutables, fichiers dll). Ces virus sont activés lors de l’accès au fichier infecté ; • infectent les fichiers de documents utilisés par les applications Microsoft® Office et d’autres programmes utilisant des commandes macros généralement écrits en Visual Basic. Macros - ce sont des logiciels internes, écrits en langage de programmation totalement fonctionnel, qui sont automatiquement lancés sous des conditions déterminées (par exemple, dans Microsoft® Word, quand vous ouvrez, fermez, sauvegardez ou créez un document) ; • sont écrits en langages des scénarios (langages de script). Ils infectent dans la plupart des cas d’autres fichiers script (par exemple, les fichiers du système d’exploitation). Ils peuvent infecter aussi d’autres types de fichiers qui supportent l’exécution des scénarios script, tout en se servant des scénarios vulnérables des applications Web ; • infectent les secteurs boot des disques et des partitions aussi bien que les principaux secteurs boot des disques durs. Ils occupent peu de mémoire et restent prêts à remplir leurs fonctions jusqu’à ce qu’un déchargement, un redémarrage ou un arrêt du système ne soient effectués. La plupart des virus possèdent des mécanismes spécifiques pour se dissimuler dans le système. Leurs méthodes de protection contre la détection s’améliorent sans cesse. Cependant, dans le même temps, de nouveaux moyens d’élimination de cette protection apparaissent. On peut également diviser les virus selon les principes de protection contre la détection : • chiffrent leur code à chaque infection pour éviter leur détection dans un fichier, un secteur boot ou un secteur de mémoire. Toutes les copies de tels virus contiennent seulement un petit fragment de code commun (procédure de décryptage), qui peut être utilisé comme une signature de virus ; • cryptent également leur code, mais ils génèrent en plus une procédure de décryptage spéciale différente dans chaque copie de virus. Ceci signifie que de tels virus n’ont pas de signatures. Les virus peuvent également être classifiés selon le langage de programmation dans lequel ils sont écrits (dans la plupart des cas c’est en assembleur, des langages de programmation de haut niveau, des langages script, etc.) ou selon les systèmes d’exploitation qu’ils ciblent. Vers d’ordinateurs Les vers sont récemment devenus beaucoup plus répandus que les virus et les autres programmes malveillants. Comme les virus, ils sont capables de créer leurs copies. Un ver infiltre un ordinateur via le réseau (généralement sous forme d’une pièce jointe dans les messages e-mail ) et distribue ses copies fonctionnelles à d’autres ordinateurs. Pour se propager, les vers peuvent profiter des actions de l’utilisateur ou choisir le poste à attaquer de manière automatique. Les vers ne consistent pas forcément en un seul fichier (le corps du ver). La plupart d’entre eux comportent une partie infectieuse (le shellcode) qui se charge dans la mémoire vive de l’ordinateur, puis télécharge le corps du ver via le réseau sous forme d’un fichier exécutable. Tant que le système n’est pas encore infecté par le corps du ver, vous pouvez régler le problème en redémarrant l’ordinateur (et la mémoire vive est déchargée et remise à zéro). Mais aussitôt que le corps du ver entre dans le système, seul l’antivirus peut le désinfecter. A cause de leur propagation intense, les vers peuvent mettre hors service des réseaux entiers, même s’ils n’endommagent pas directement le système. Doctor Web divise les vers d’après leur mode de propagation : • se propagent à l’aide de différents protocoles réseau ou protocoles d’échanges de fichiers ; • se propagent via les protocoles de courrier (POP3, SMTP, etc.). Trojans Ce type de programmes malveillants ne peuvent se reproduire. Un Trojan effectue des actions malveillantes (endommage ou supprime des données, envoie des informations confidentielles, etc.) ou rend l’accès de l’ordinateur possible à un tiers, sans autorisation, afin de nuire à l’utilisateur. Le masquage de Trojan et les fonctions malveillantes sont similaires à ceux d’un virus et peuvent même être un composant de virus. Cependant, la plupart des Trojans sont diffusés comme des fichiers exécutables séparés (via des serveurs d’échanges de fichiers, des supports amovibles ou des pièces jointes), qui sont lancés par l’utilisateur ou par une tâche système. Vous trouverez ci-dessous la liste de certains types de trojans qui sont classés par les spécialistes de Doctor Web : • – ce sont des programmes de Troie qui offrent un accès privilégié au système, contournant le mécanisme existant d’accès et de protection. Les backdoors n’infectent pas les fichiers, mais ils s’inscrivent dans le registre, modifiant les clés ; • –ce sont les fichiers qui contiennent dans leur corps les programmes malveillants. Une fois le dropper est lancé, il copie sur le disque de l’utilisateur les fichiers malveillants sans avertir l’utilisateur et puis, il les lance ; • (keyloggers) – ils sont utilisés pour collecter les données que l’utilisateur entre avec son clavier. Le but de ces actions est le vol de toute information personnelle (mots de passe, logins, numéros de cartes bancaires, etc.). • – ils redirigent les liens quand on clique sur eux. D'ordinaire, l'utilisateur est redirigé vers des adresses déterminées avec le but d'augmenter le trafic publicitaire des sites web ou pour organiser des attaques DoS. • – ils offrent au malfaiteur l’accès anonyme à Internet via l’ordinateur de la victime ; • – ils sont destinés à intercepter les fonctions du système d’exploitation pour dissimuler leur présence dans le système. En outre, le rootkit peut masquer les processus des autres logiciels, les clés de registre, des fichiers et des dossiers. Le rootkit se propage comme un logiciel indépendant ou comme un composant supplémentaire d’un autre logiciel malicieux. Selon le principe de leur fonctionnement, les rootkits sont divisés en deux groupes : les rootkits qui fonctionnent dans le mode utilisateur (interception des fonctions des bibliothèques du mode utilisateur) (User Mode Rootkits (UMR)), et les rootkits qui fonctionnent dans le mode noyau (interception des fonctions au niveau du noyau système, ce qui rend toute détection et toute désinfection très difficile) (Kernel Mode Rootkits (KMR)). Outre les actions listées ci-dessus, les programmes de Troie peuvent exécuter d’autres actions malveillantes, par exemple, changer la page d’accueil dans le navigateur web ou bien supprimer certains fichiers. Mais ces actions peuvent être aussi exécutées par les menaces d’autres types (par exemple, virus et vers). Menaces insignifiantes Hacktools Les hacktools sont créés pour aider les hackers. Les logiciels de ce type les plus répandus sont des scanners de ports qui permettent de détecter les vulnérabilités des pare-feux (firewalls) et des autres composants qui assurent la sécurité informatique de l’ordinateur. Ces instruments peuvent également être utilisés par les administrateurs pour vérifier la solidité de leurs réseaux. Parfois, les logiciels utilisant les méthodes de l’ingénierie sociale sont aussi considérés comme hacktools. Adwares Sous ce terme, on désigne le plus souvent un code intégré dans des logiciels gratuits qui impose l’affichage d’une publicité sur l’ordinateur de l’utilisateur. Mais parfois, ce code peut être diffusé par d’autres logiciels malicieux et afficher la publicité, par exemple, sur des navigateurs Internet. Très souvent, ces logiciels publicitaires fonctionnent en utilisant la base de données collectées par des logiciels espions. Canulars Comme les adwares, ce type de programme malveillant ne provoque pas de dommage direct au système. Habituellement, les canulars génèrent des alertes sur des erreurs qui n’ont jamais eu lieu et effraient l’utilisateur afin qu’il effectue des actions qui conduiront à la perte de données. Leur objectif est d’effrayer ou de déranger l’utilisateur. Dialers Ce sont les logiciels spécifiques utilisant l’accès à Internet avec l’autorisation de l’utilisateur pour accéder aux sites déterminés. D’habitude, il possèdent un certificat signé et notifient toutes leurs actions à l’utilisateur. Riskwares Ces logiciels ne sont pas créés pour endommager le système, mais à cause de leurs particularités, ils peuvent présenter une menace pour la sécurité du système. Ces logiciels peuvent non seulement endommager les données ou les supprimer par hasard, mais ils peuvent également être utilisés par des hackers ou par d’autres logiciels pirates pour nuire au système. Les logiciels utilisés à distance, d’administration à distance, les serveurs FTP etc. peuvent être considérés comme potentiellement dangereux. Objets suspects Ce sont des menaces potentielles détectées à l’aide de l’analyse heuristique. Ces objets peuvent appartenir à un des types de menaces informatiques (même inconnues pour les spécialistes de la sécurité informatique) ou être absolument inoffensifs, en cas de faux positif. En tous cas, les fichiers contenant des objets suspects doivent être placés en quarantaine et envoyés pour analyse au laboratoire antivirus de Doctor Web. |