![\"Infection](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1497727082-1024x565.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
Fichiers informatiques, e-mails, cl\u00e9s & c\u00e2bles USB, puces en tout genre\u2026 mais d'o\u00f9 viennent les malwares qui infectent les terminaux ? Et o\u00f9 se cachent -ils une fois le terminal infect\u00e9 ? Comment se pr\u00e9munir ? Un papier p\u00e9dagogique pour retracer l\u2019itin\u00e9raire d\u2019un malware.<\/strong><\/p>\n <\/p>\n Les malwares utilisent de nombreuses m\u00e9thodes de transit pour atteindre leur cible et infecter les syst\u00e8mes informatiques ; il est alors question d\u2019exposition du syst\u00e8me d\u2019information ou de surface d\u2019attaque<\/strong>. Plus ou moins importante, elle ouvrira un champ des possibles certain aux cyber-criminels pour se cr\u00e9er un itin\u00e9raire propre en fonction du niveau de protection de la cible vis\u00e9e.<\/p>\n Certains vecteurs d\u2019infections principaux se d\u00e9gagent toutefois avec les services de messagerie ou la cha\u00eene d\u2019approvisionnement comme sur une dimension logicielle<\/strong>. Plus ou moins \u00e9labor\u00e9es, des techniques de phishing visent \u00e0 faire installer un malware par l\u2019utilisateur ou \u00e0 r\u00e9cup\u00e9rer dans un premier temps ses identifiants pour acc\u00e9der \u00e0 distance \u00e0 son poste de travail. Pour cela, plusieurs m\u00e9thodes sont possibles, du faux site web au keylogger<\/em> dissimul\u00e9 derri\u00e8re un fichier corrompu. Une fois les identifiants r\u00e9cup\u00e9r\u00e9s, les cyber-criminels les utiliseront pour acc\u00e9der au syst\u00e8me d\u2019information. Toujours dans cette dimension logicielle, les principales plateformes d\u2019applications, Play Store, App Store, Google Play Store\u2026, sont r\u00e9guli\u00e8rement concern\u00e9es par des applications infect\u00e9es \u2013 malheureusement souvent t\u00e9l\u00e9charg\u00e9es par des milliers voire des millions de personnes avant d\u2019\u00eatre retir\u00e9es des plateformes. D\u2019un siphonnage de la base de contacts jusqu\u2019au d\u00e9tournement des navigateurs web, les malwares pr\u00e9sents dans ces applications peuvent \u00e9galement servir \u00e0 voler les mots de passe temporaires envoy\u00e9s par SMS par exemple. Conseil rapide\u00a0: avant de t\u00e9l\u00e9charger une application, pensez \u00e0 v\u00e9rifier l\u2019origine de celle-ci et l\u2019identit\u00e9 de son d\u00e9veloppeur. Mais tout n\u2019est pas si simple, et l\u2019exemple de l\u2019application officielle des Jeux Olympiques de P\u00e9kin en 2022 \u2013 destin\u00e9e aux athl\u00e8tes et \u00e0 leur staff \u2013 interroge plus encore sur cette question de confiance. En l\u2019esp\u00e8ce, des chercheurs en cybers\u00e9curit\u00e9 y avaient rep\u00e9r\u00e9 de vraies lacunes de s\u00e9curit\u00e9<\/a>, comme l\u2019absence de chiffrement de donn\u00e9es transmises ou la collecte de donn\u00e9es personnelles. En parall\u00e8le, les cyberattaques dites \u00e0 la supply-chain se multiplient \u00e9galement, avec des effets d\u00e9vastateurs\u00a0; les cyber-criminels contaminent alors directement un logiciel en esp\u00e9rant infecter ensuite les clients de celui-ci, g\u00e9n\u00e9ralement en profitant d'une mise \u00e0 jour. Fin 2020, pr\u00e8s de 18 000 clients de l\u2019entreprise SolarWinds auraient \u00e9t\u00e9 infect\u00e9s par le malware Sunburst<\/a> dans le cadre d\u2019une telle attaque.<\/p>\n Plus complexes \u00e0 mettre en place, et surtout plus co\u00fbteux, la menace peut aussi \u00eatre issue d\u2019une dimension mat\u00e9rielle o\u00f9 les supports physiques deviennent des vecteurs d\u2019infection<\/strong>. L\u2019exemple le plus \u00e9vident car le plus connu \u00e9tant celui de la cl\u00e9 USB<\/a> infect\u00e9e, utilis\u00e9e dans le civil comme dans des secteurs plus sensibles telle l\u2019industrie<\/a>, et d\u00e9sormais livr\u00e9e \u00e0 domicile avec malware<\/a>\u2026 Et il existe des supports encore moins classiques<\/a>. Si les exemples d\u2019un thermom\u00e8tre d\u2019aquarium dans un casino ou encore de babyphones connect\u00e9s sont exceptionnels et semblent assez lointains du quotidien professionnel, d\u2019autres sont beaucoup plus proches de tout un chacun. T\u00e9l\u00e9copieur, imprimante, souris d\u2019ordinateur ou encore c\u00e2bles USB et Lightning<\/a> sont d\u00e9sormais r\u00e9guli\u00e8rement mis en avant comme sources d\u2019entr\u00e9e potentielles dans les postes de travail et donc dans les r\u00e9seaux informatiques. Et s\u2019il vous venait l\u2019id\u00e9e de boucher les ports USB de vos appareils, ceux-ci ne seraient pas pour autant herm\u00e9tiques \u00e0 toute menace : en ce d\u00e9but d\u2019ann\u00e9e 2022, un rootkit dissimul\u00e9 dans la puce SPI Flash<\/a> d\u2019une carte m\u00e8re d\u2019ordinateur a par exemple \u00e9t\u00e9 d\u00e9couvert\u2026 Anticybersecurity-by-design<\/em>.<\/p>\n \u00a0<\/strong><\/p>\n Mais identifier qu\u2019un terminal est infect\u00e9 par un malware n\u2019a rien de simple, tant l\u2019objectif des cyber-criminels est de passer sous le radar des solutions de cybers\u00e9curit\u00e9. Si des signes peuvent \u00eatre r\u00e9v\u00e9lateurs, comme un ralentissement du syst\u00e8me d\u2019exploitation, une quantit\u00e9 inhabituelle de pop-ups ou encore la multiplication soudaine d\u2019\u00e9crans bleus, d\u2019autres sont plus furtifs. Et sont \u00e0 aller identifier du c\u00f4t\u00e9 des comportements suspects sur un poste de travail<\/a>.<\/p>\n Une fois un logiciel malveillant t\u00e9l\u00e9charg\u00e9, o\u00f9 se localise le malware sur un terminal ?<\/strong> En premier lieu, il s\u2019installe dans les r\u00e9pertoires utilisateurs temporaires. Les syst\u00e8mes d\u2019exploitation contiennent en effet une multitude de dossiers temporaires allant des donn\u00e9es des applications aux caches des navigateurs. Ces fichiers accessibles en \u00e9criture par d\u00e9faut aux utilisateurs ont un niveau de s\u00e9curit\u00e9 intrins\u00e8quement faible, qui permet aux logiciels malveillants de les utiliser comme une rampe de lancement. L\u2019objectif du malware\u00a0est alors d\u2019interpr\u00e9ter du code malveillant, qu\u2019il soit sous la forme d\u2019un script ou d\u2019un ex\u00e9cutable. Il est \u00e9galement possible de trouver des traces d\u2019installation de malwares dans le registre Windows.<\/p>\n <\/p>\n L\u2019adage \u00ab\u00a0mieux vaut pr\u00e9venir que gu\u00e9rir<\/em>\u00a0\u00bb prend ici tout son sens, pour \u00e9viter une r\u00e9installation compl\u00e8te du poste. Mieux vaut donc encore pr\u00e9venir l\u2019infection : avant m\u00eame de parler du terminal, c\u2019est l\u2019utilisateur qui est g\u00e9n\u00e9ralement cibl\u00e9. En essayant de d\u00e9tourner son attention ou en misant sur sa m\u00e9connaissance du sujet, la cr\u00e9dulit\u00e9 de l\u2019utilisateur est ainsi la premi\u00e8re fen\u00eatre d\u2019attaque d\u2019un cyber-criminel sur un syst\u00e8me. Et tous les profils d\u2019une entreprise sont concern\u00e9s<\/a> par cette notion de base d\u2019hygi\u00e8ne num\u00e9rique<\/strong>. Les fen\u00eatres pop-up, les pi\u00e8ces-jointes suspectes venues d\u2019utilisateurs inconnus ou l\u2019installation de logiciels via des sites non-officiels ou de torrent<\/em> sont autant de dangers potentiels qu\u2019il faut \u00e9viter. Au-del\u00e0 de la simple vigilance, une mise \u00e0 jour r\u00e9guli\u00e8re<\/a> du syst\u00e8me d\u2019exploitation et des navigateurs permet de mettre en place un premier niveau de protection du SI contre les malwares.<\/p>\n En parall\u00e8le, des solutions techniques existent pour se pr\u00e9munir des malwares<\/strong>. Au niveau des flux r\u00e9seaux, les solutions de d\u00e9tection d\u2019intrusion et de filtrage de messagerie sont autant de bonnes pratiques. Elles permettent dans une certaine mesure de \u00ab nettoyer \u00bb les liens et les pi\u00e8ces-jointes. Quant aux postes et serveurs (comme des protections comportementales et\/ou du contr\u00f4le de p\u00e9riph\u00e9riques), boucher les ports USB des ordinateurs n\u2019est plus une n\u00e9cessit\u00e9 pour contrer les malwares transmissibles par des vecteurs physiques. Les fonctions de protection de postes (EPP) vont assurer dans un premier temps le blocage des attaques les plus sophistiqu\u00e9es, avant que celles de d\u00e9tection (EDR) ne fournissent des \u00e9l\u00e9ments d\u2019analyses ult\u00e9rieures.<\/p>\n <\/p>\nQuels chemins d\u2019acc\u00e8s pour un malware ?<\/h2>\n
Quand le malware a infect\u00e9 la machine<\/h2>\n
Comment se d\u00e9barrasser d\u2019un malware ?<\/h2>\n