En informatique, il existe trois grandes menaces concernant un poste de travail informatique. Chacune est gérée par un outil distinct adapté à la nature de la menace. Il est très important de bien saisir les nuances et de ne surtout pas croire que parce que l’une des menaces a bien été identifiée et traitée pour en réduire l’impact, les autres deviennent négligeables.
La menace la plus connue parce que souvent médiatisée d’une part ; d’autre part, parce que ses conséquences sont en général « palpables » très rapidement, c’est le virus. Son antidote étant l’antivirus. Lire plus...
L’objectif premier d’un virus est de nuire. Soit en détruisant, soit en neutralisant, soit en montrant sa capacité d’adaptation (et donc de survie) à toutes les solutions antidotes de manière à décrédibiliser une entreprise ou à la ralentir suffisamment par la lutte qu’elle va engager contre le virus, pour la détourner un certain temps de son activité naturelle que l’on cherche à impacter coute que coute. En plus de la décrédibiliser…
L’exemple type est de fabriquer un fichier exécutable (ou pas) et de se faire passer pour un tiers de confiance pour exploiter le maillon faible informatique, qu’est l’Homme, qui ne manquera pas d’exécuter le double clic qui tue.
Mais dans le domaine, on a aussi des tableaux de tableur contenant des macros infectées qui importent la charge virale de manière invisible à la seule ouverture du fichier en question. L’expéditeur peut avoir envoyer un fichier sain, mais s’il ne l’a pas zippé et protégé par un Mot De Passe, le seul transit du courriel sur un serveur de courriel corrompu peut vous amener des em…. en plus de l’information attendue.
Mais pour faire entrer un virus dans un système informatique, il n’est absolument pas interdit d’utiliser l’une des deux autres menaces comme vecteur de virus.
Même si pour le commun des mortels, le mot virus décrit à lui seul toutes les menaces possibles, il existe une deuxième famille de nuisibles, beaucoup plus insidieuse et dangereuse, la très large famille des ‘malwares’. A l’inverse des virus, les ‘malwares’ ne s’attaquent pas à des fichiers vitaux de votre machine et / ou de votre environnement de travail. Ce faisant, il passe sous le radar de l’antivirus qui surveille prioritairement des accès illégitimes aux fichiers nécessaires au bon fonctionnement de votre machine.
Les cibles des ‘malwares’ sont plutôt les fonctions secondaires de votre machine, moins surveillées, et plus aptes à héberger des parasites. Car le ‘malware’, fondamentalement cherche à passer inaperçu et à vivre sur le dos de la bête sans qu’elle s’en aperçoive.
Dans la très large famille des malwares on trouve pèle mêle :
- les ‘adwares’ (qui ont connu leur heure de gloire avec Win XP) et qui vous abreuvent de publicités non sollicités,
- les ‘browser hijackers’, ces ‘extensions’ de navigateur Internet qui ouvre des portes dérobées dans votre dos ou vous imposent des fenêtres intempestives dont il est très difficile de se débarrasser, après avoir installé des plug-in de navigateur dont la source n'est pas officielle.
- les ‘roguewares’ ou ‘scarewares’ sont des ‘malwares’ qui utilisent une faille de votre navigateur Internet afin d’afficher une page vous alertant sur le fait que votre machine est infectée. Comme cette page présente toutes les caractéristiques d’une page légitime, vous effectuez le clic qui tue en toute confiance,
- les ‘worms’ (vers), sont certainement les plus « gentils » mais quelques fois coriaces à éradiquer : leur objectif initial est d’infecter un maximum de machine en un temps record. Ils montrent juste qu’ils sont là, encombrants, omniprésents, mais ne détruisent rien. Ils peuvent être le prélude à une attaque beaucoup plus dangereuse, ayant prouvé que la faille existe, surtout si le patch de l’éditeur ne peut être conçu rapidement,
- les ‘ramsonwares’ sont souvent qualifiés à tort de virus car ils empêchent l’utilisateur de garder le contrôle de sa machine. Mais l’objectif final étant que vous payiez pour récupérer le contrôle de votre machine, leur intérêt n’est pas de tuer la poule aux œufs d’or ! Mais bien que vous leur versiez de l’argent afin de recouvrir vos données. Souvent en crypto-monnaies d'ailleurs.
Pour terminer, les deux plus dangereux même si les conséquences sont bien distinctes :
- le cheval de Troie, ou ‘Trojan Horse’, est un ‘malware’ qui va ouvrir une porte dérobée dans votre dos de manière à faire entrer un programme nuisible tellement gros en taille (de quelques Mo, jusqu’à de rares fois plusieurs Giga-octets) que créer un message hameçon, à faire gober à la faille que vous êtes, ressemble à l’impossible. Donc, autant jouer petit et ne pas éveiller votre méfiance. En règle générale, la taille du fichier à faire entrer est en relation avec la taille de la cible : plus le réseau informatique de la cible est complexe, vaste et riches en protocoles et langages variés, plus l’outil d’espionnage est lourd en terme de taille.
- Les ‘spywares’ sont les plus pernicieux. Ils peuvent rester cachés dans un système informatique pendant des années sans éveiller le moindre soupçon. Leur découverte en général est fortuite mais le mal est déjà fait depuis longtemps. Exemple : les ‘spywares’ qui se greffent sur l’interpréteur de votre clavier et qui enregistre TOUT ce que vous saisissez, que votre clavier soit intégré à votre portable, que ce soit un clavier sans fil, ou avec fil. Tout ce qui est enregistré est ensuite transmis discrètement par Internet en dehors de l’entreprise lorsque vous n’êtes pas devant votre écran, par exemple (économiseur d'écran, passage en mode veille automatique en l'absence de saisie / mouvement de mulot).
Contrairement aux antivirus, le nombre d’éditeurs de solutions antimalwares EFFICACES est beaucoup plus restreint.
D’une manière générale, fuyez les solutions gratuites qui servent plus à leurs éditeurs à accumuler des informations sur l’évolution de la menace et sa prolifération qu’à vous protéger vous, et votre machine.
Depuis l’adoption du Patriot Act (1), je ne saurais vous recommander d’autre choix que de choisir un éditeur d’antivirus européen…
Quant aux solutions antimalwares, malheureusement, en dehors de la solution californienne qui a fait ses preuves, les autres solutions sont rarement attrayantes financièrement.
(1) - Lorsque je fais cette allusion, je ne pense pas une seule seconde que votre entreprise, votre site Internet personnel ou votre smartphone puisse intéresser personnellement l'Oncle Sam. Ce que je dis, c'est qu'à partir du moment où, les outils que l'Oncle Sam a mis au point en utilisant les biais de ce texte sont dans la nature, alors il est souhaitable de garder à l'esprit que le risque zéro n'existe pas, même quand on est bien préparé. Donc, on ne le redira jamais assez, faites vos sauvegardes régulièrement, ne laissez pas trainer des fichiers sensibles sur une machine (ordi, smartphones, tablettes) connectée en permanence à Internet, cryptez les supports de stockage de données sensibles et conservez en une copie en permanence en dehors de l'entreprise, dans un lieu sûr physiquement.
La troisième menace est intrinsèquement liée à la structure même de fonctionnement d’Internet. Lorsque vous interrogez un site internet ou un moteur de recherches, la requête qui part de votre ordinateur en direction du site distant est empaquetée dans un colis dont l’emballage est fait de plusieurs couches. Dans les couches supérieures, on trouve l’adresse IP de départ et l’adresse IP cible correspondant au nom de domaine que vous interrogez. Plus on descend dans les couches, plus on trouve des informations destinées à faciliter le dialogue entre les machine ou à rendre l’affichage de la réponse la plus agréable possible sur votre écran.
Internet étant constitué de centaines de milliers de routeurs et de serveurs destinés à digérer le trafic de la manière la plus fluide possible, il y a toujours un routeur ou un serveur vulnérable dans le cheminement, qui partage des informations avec des machines gérées par des pirates plus ou moins chevronnés. À la lecture des informations reçues, la machine du pirate connait dès le départ votre adresse IP et le contexte de votre environnement.
Il lui reste alors à vous envoyer des paquets en les codant de manière à faire croire à votre navigateur qu’ils font partie des paquets en retour de l’adresse IP que vous avez interrogée.
En l’absence de pare-feu (ou ‘firewall’) ces paquets ont de grandes chances d’atteindre votre navigateur. La seule chose qui pourrait empêcher que votre navigateur d’intégrer ces données sans sourciller, c’est qu’il soit ET parfaitement à jour ET que le pirate n’utilise pas une faille 0-day. Sinon, la probabilité que l’attaque réussisse est forte.
Mais la fonction élémentaire d’un firewall est avant tout de fermer à l’entrée les ports de communication qui ne sont pas ouverts à la sortie par des applications en cours d’utilisation sur votre machine. Exemple : traditionnellement le trafic Internet via votre navigateur utilise le port 80. Si vous êtes en train de travailler sur votre traitement de texte et qu’un paquet se présente à l’entrée sur le port 80, le firewall va le bloquer pour une raison simple : aucune application n’a utilisé ce port à la sortie pour aller interroger un quelconque serveur sur Internet. Mais vous me répondrez alors qu’un environnement informatique moderne affichant plusieurs centaines de ports de communication disponibles, tout pirate interrogeant consciencieusement tous les ports utilisables d’une adresse IP finira bien par tomber sur une porte légitimement ouverte à la sortie. C’est donc tout l’intérêt des ‘firewalls’ dit ‘full inspection’ qui lisent en profondeur les paquets sortants de manière à savoir à l’avance quels sont les paquets légitimes à attendre à l’entrée. Et de refuser tout paquet qui ne revient pas légitimement codé d’une part, et surtout codé de manière cohérente par rapport à tous les autres paquets émis en réponse par le serveur interrogé. Comme vous pouvez vous en douter, cette lecture profonde de chaque paquet sortant comme de tous les entrants potentiels consomme de la ressource processeur. C’est pour cela qu’il est préférable, à des fins de fluidité de votre navigation, comme de capacité à réagir à une attaque en règle de votre adresse IP, de privilégier la mise en œuvre de ‘firewalls’ matériel et non logiciel. Le ‘firewall’ logiciel est celui qui est intégré à tous les environnements modernes (Windows, IOS, Linux, etc…) tandis qu’un firewall matériel est un déport de cette fonction dans une tierce machine dont son unique fonction est de faire ce tri. Cela ne signifie pas que cette machine n’utilise pas de logiciel. Simplement qu’elle est taillée techniquement pour faire face à une attaque en règle de votre adresse IP, c’est-à-dire que l’attaquant va chercher à saturer la capacité de traitement pour passer en force au moment où la machine flanchera devant le flot de paquets à analyser. Les firewalls matériels sont conçus pour ne pas flancher à l’aide de règles d’identification des paquets intrus qui permettent de ne plus lire en profondeur les paquets qui présentent des similitudes fortes avec les paquets déjà rejetés par exemple. Pour les modèles les plus onéreux, ils sont mêmes mis à jour en temps réel par leur concepteur qui leur communique les adresses IP identifiées au niveau mondial dans des attaques en cours. CISCO a fait sa réputation mondiale en mettant en œuvre ce genre de procédé. Mais Zywall est aussi un fabricant très prisé pour la robustesse de ses solutions.
Cela ne signifie pas que le firewall logiciel de votre environnement est inutile. Tant que vous serez derrière un firewall matériel, il ne sera pas sollicité. Mais si vous quittez votre bureau et que vous connectez votre ordinateur au travers de votre smartphone, votre firewall logiciel reprendra instantanément du service. Sauf à ce que vous fassiez partie du club très sélect qui utilise des modems 3G / 4G (et demain 5G) équipés intrinsèquement d’une fonction firewall. D-Link et TP-Link présente des modèles très fiables et endurants pour moins de 150 EUR.
En espérant avoir été aussi limpide que possible, n’hésitez pas à partager cet article avec ceux qui ont à cœur de partager avec autrui sans se mettre en danger eux-mêmes.