▼
Scroll to page 2
of
149
ESET SMART SECURITY 9 Guide de l'utilisateur (conçu pour les versions 9.0 et ultérieures) Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / XP Cliquez ici pour télécharger le plus récente version de ce document ESET SMART SECURITY Copyright 2015 de ESET, spol. s r. o. ESET Sma rt Securi ty a été dével oppé pa r ESET, s pol . s r. o. Pour pl us de déta i l s , vi s i tez www.es et.com. Tous droi ts rés ervés . Aucune pa rti e de cette documenta ti on ne peut être reprodui te, s tockée da ns un s ys tème d'a rchi va ge ou tra ns mi s e s ous quel que forme ou pa r quel que moyen que ce s oi t, y compri s s ous forme él ectroni que, méca ni que, photocopi e, enregi s trement, numéri s a ti on ou a utre s a ns l 'a utori s a ti on écri te de l 'a uteur. ESET, s pol . s r. o. s e rés erve l e droi t de cha nger l es a ppl i ca ti ons décri tes s a ns préa vi s . As s i s ta nce à l a cl i entèl e Monde : www.es et.com/s upport RÉV. 10/6/2015 Contenu 4.1.4 Système de détection d'intrusion au niveau de l'hôte (HIPS)..............................................................................45 4.1.4.1 Configuration ..................................................................................47 avancée 4.1.4.2 Fenêtre ..................................................................................48 interactive HIPS 4.1.5 Mode..............................................................................48 jeu 1. ESET Smart .......................................................6 Security 1.1 Nouveautés ....................................................................................................7 de la version 9 1.2 Configuration ....................................................................................................7 minimale requise 1.3 Prévention ....................................................................................................8 2. Installation .......................................................9 4.2 Protection ....................................................................................................49 sur Internet 4.2.1 Protection ..............................................................................50 de l'accès Web 4.2.1.1 L'essentiel ..................................................................................51 2.1 Live....................................................................................................9 installer 4.2.1.2 Protocoles ..................................................................................51 Web 2.2 Installation ....................................................................................................10 hors connexion 4.2.1.3 Gestion ..................................................................................51 d'adresses URL 2.2.1 Paramètres ..............................................................................11 avancés 4.2.2 Protection ..............................................................................52 du client de messagerie 2.3 Problèmes ....................................................................................................12 courants d'installation 4.2.2.1 Clients ..................................................................................52 de messagerie 2.4 Activer ....................................................................................................12 votre produit 4.2.2.2 Protocoles ..................................................................................53 de messagerie 2.5 Saisie ....................................................................................................13 de la clé de licence 4.2.2.3 Alertes ..................................................................................54 et notifications 2.6 Mise à niveau à une version plus ....................................................................................................13 récente 4.2.2.4 Intégration ..................................................................................55 aux clients de messagerie 2.7 Première ....................................................................................................14 analyse après l'installation 4.2.2.4.1 Configuration de la protection du client de messagerie ........................................................................55 4.2.2.5 Filtre ..................................................................................55 POP3, POP3S 3. Guide .......................................................15 du débutant 4.2.2.6 Module ..................................................................................56 antipourriel 3.1 La....................................................................................................15 fenêtre principale du programme 4.2.3 Filtrage ..............................................................................57 des protocoles 4.2.3.1 Clients ..................................................................................58 Web et de messagerie 4.2.3.2 Applications ..................................................................................58 exclues 4.2.3.3 Adresses ..................................................................................59 IP exclues 3.2 Mises ....................................................................................................17 à jour 3.3 Configuration ....................................................................................................18 de la zone de confiance 3.4 Antivol ....................................................................................................20 ........................................................................59 adresse IPv4 4.2.3.3.1 Ajouter une 3.5 Outils ....................................................................................................20 du contrôle parental ........................................................................60 adresse IPv6 4.2.3.3.2 Ajouter une 4. Utilisation .......................................................21 de ESET Smart Security 4.2.3.4 4.1 Protection ....................................................................................................23 de l'ordinateur 4.1.1 Antivirus ..............................................................................24 4.1.1.1 Protection ..................................................................................25 en temps réel du système de fichiers 4.1.1.1.1 Autres paramètres ........................................................................26 ThreatSense 4.1.1.1.2 Niveaux de ........................................................................26 nettoyage 4.1.1.1.3 Quand faut-il modifier la configuration la protection en temps........................................................................27 réel 4.1.1.1.4 Vérification ........................................................................27 de la protection en temps réel SSL/TLS ..................................................................................60 ........................................................................61 4.2.3.4.1 Certificats certificats connus 4.2.3.4.2 Liste des........................................................................61 applications SSL filtrées 4.2.3.4.3 Liste des........................................................................62 4.2.4 Protection ..............................................................................62 anti-hameçonnage 4.3 Protection ....................................................................................................63 du réseau 4.3.1 Pare-feu ..............................................................................65 personnel 4.3.1.1 Paramètres ..................................................................................66 du mode d'apprentissage 4.3.2 Profils ..............................................................................67 du pare-feu 4.1.1.1.5 Que faire si la protection en temps réel ne fonctionne pas ........................................................................27 4.3.2.1 Profils ..................................................................................68 attribués aux cartes réseau 4.3.3 Configuration ..............................................................................68 et utilisation des règles 4.1.1.2 Analyse ..................................................................................28 de l'ordinateur 4.3.3.1 Règles ..................................................................................69 du pare-feu 4.1.1.2.1 Analyse personnalisée ........................................................................29 4.3.3.2 Utiliser ..................................................................................70 les règles 4.1.1.2.2 Progression ........................................................................30 de l'analyse 4.3.4 Configuration ..............................................................................70 des zones 4.1.1.2.3 Profils d'analyse ........................................................................31 4.3.5 Réseaux ..............................................................................71 connus 4.1.1.3 Analyse ..................................................................................31 au démarrage 4.3.5.1 Éditeur ..................................................................................71 de réseaux connus 4.1.1.3.1 Vérification ........................................................................31 automatique des fichiers de démarrage 4.3.5.2 Authentification ..................................................................................74 de réseau - Configuration du serveur 4.1.1.4 Analyse ..................................................................................32 en état inactif 4.3.6 Consignation ..............................................................................74 4.1.1.5 Exclusions ..................................................................................32 4.3.7 Établissement ..............................................................................75 d'une connexion - détection 4.1.1.6 ThreatSense ..................................................................................33 paramètres 4.3.8 4.1.1.6.1 Nettoyage ........................................................................38 Résolution de problèmes de pare-feu personnel d'ESET ..............................................................................76 4.1.1.6.2 Extensions ........................................................................39 de fichiers exclus de l'analyse 4.3.8.1 Assistant ..................................................................................76 de dépannage 4.1.1.7 Une ..................................................................................39 infiltration est détectée 4.3.8.2 4.1.1.8 Protection ..................................................................................41 des documents Journalisation et création de règles ou d'exceptions à partir ..................................................................................76 du journal 4.1.2 Supports ..............................................................................41 amovibles 4.1.3 Contrôle ..............................................................................42 de périphérique 4.1.3.1 Éditeur ..................................................................................43 des règles du contrôle de périphérique 4.1.3.2 Ajout ..................................................................................44 de règles du contrôle de périphérique règle à partir du journal 4.3.8.2.1 Créer une........................................................................76 4.3.8.3 Création d'exceptions à partir des notifications du pare-feu ..................................................................................77 personnel 4.3.8.4 Journalisation ..................................................................................77 PCAP avancée 4.3.8.5 Résolutions ..................................................................................77 des problèmes de filtrage des protocoles 5.6.1 Introduction ..............................................................................118 à ESET SysInspector 5.6.1.1 Lancement ..................................................................................118 de ESET SysInspector 4.4.1 Contrôle ..............................................................................78 parental 5.6.2 Interface ..............................................................................119 utilisateur et utilisation de l'application 4.4.1.1 Catégories ..................................................................................80 5.6.2.1 Contrôles ..................................................................................119 du programme 4.4.1.2 Exceptions ..................................................................................81 pour site Web 5.6.2.2 Naviguer ..................................................................................121 dans ESET SysInspector 4.4 Outils ....................................................................................................78 de sécurité 4.5 Mise ....................................................................................................81 à jour du programme ........................................................................122 clavier 5.6.2.2.1 Raccourcis 4.5.1 Mettre ..............................................................................84 à jour les paramètres 5.6.2.3 Comparer ..................................................................................123 4.5.1.1 Profils ..................................................................................85 de mise à jour 5.6.3 Paramètres ..............................................................................124 de la ligne de commande 4.5.1.2 Configuration ..................................................................................86 avancée des mises à jour 5.6.4 Script ..............................................................................125 de service 4.5.1.2.1 Mode de........................................................................86 mise à jour 5.6.4.1 Génération ..................................................................................125 d'un script de service 4.5.1.2.2 HTTP mandataire ........................................................................86 5.6.4.2 Structure ..................................................................................126 du script de service 4.5.1.2.3 Se connecter ........................................................................87 au réseau local comme 5.6.4.3 Exécution ..................................................................................128 des scripts de service 4.5.2 Annulation ..............................................................................88 de la mise à jour 5.6.5 FAQ..............................................................................129 Comment ..............................................................................89 créer des tâches de mise à jour 5.6.6 ESET..............................................................................130 SysInspector dans ESET Smart Security 4.5.3 ....................................................................................................131 de commande 4.6 Outils ....................................................................................................90 5.7 Ligne 4.6.1 Outils..............................................................................91 dans ESET Smart Security 4.6.1.1 Fichiers ..................................................................................92 journaux 4.6.1.1.1 Fichiers journaux ........................................................................93 4.6.1.1.2 Microsoft........................................................................94 NAP 6.1.1 Virus ..............................................................................133 4.6.1.2 Processus ..................................................................................95 en cours 6.1.2 Vers..............................................................................133 4.6.1.3 Statistiques ..................................................................................96 de protection 6.1.3 Chevaux ..............................................................................134 de Troie 4.6.1.4 Surveiller ..................................................................................97 l'activité 6.1.4 Rootkits ..............................................................................134 4.6.1.5 Connexions ..................................................................................98 réseau 6.1.5 Logiciels ..............................................................................134 publicitaires 4.6.1.6 ESET ..................................................................................99 SysInspector 6.1.6 Logiciel ..............................................................................135 espion 4.6.1.7 Planificateur ..................................................................................100 6.1.7 Compresseurs ..............................................................................135 4.6.1.8 ESET ..................................................................................102 SysRescue 6.1.8 Applications ..............................................................................135 potentiellement dangereuses 4.6.1.9 ESET ..................................................................................102 LiveGrid® 6.1.9 Applications ..............................................................................135 potentiellement indésirables 4.6.1.9.1 Fichiers........................................................................103 suspects 6.1.10 Réseau ..............................................................................138 d'ordinateurs zombies 4.6.1.10 Quarantaine ..................................................................................104 4.6.1.11 Serveur ..................................................................................105 mandataire 6.2.1 Attaques ..............................................................................139 DoS Notifications ..................................................................................106 par courriel 6.2.2 Empoisonnement ..............................................................................139 DNS des messages 4.6.1.12.1 Format........................................................................107 6.2.3 Attaques ..............................................................................139 de vers 4.6.1.13 Sélectionner ..................................................................................108 l'échantillon pour analyse 6.2.4 Balayage ..............................................................................139 de ports 4.6.1.14 Mise ..................................................................................108 à jour Microsoft Windows® 6.2.5 Désynchronisation ..............................................................................140 TCP 6.2.6 Relais ..............................................................................140 SMB 6.2.7 Attaques ..............................................................................140 par protocole ICMP 4.6.1.12 4.7 Interface ....................................................................................................109 utilisateur 6. Glossaire .......................................................133 6.1 Types ....................................................................................................133 d'infiltrations 6.2 Types ....................................................................................................139 d'attaques distantes 4.7.1 Éléments ..............................................................................109 de l'interface utilisateur 4.7.2 Alertes ..............................................................................111 et notifications 4.7.2.1 Configuration ..................................................................................112 avancée 6.3.1 Exploit ..............................................................................141 Blocker 4.7.3 Fenêtres ..............................................................................112 de notification masquées 6.3.2 Analyseur ..............................................................................141 de mémoire avancé 4.7.4 Configuration ..............................................................................113 de l'accès 6.3.3 Bouclier ..............................................................................141 anti-vulnérabilités 4.7.5 Menu ..............................................................................114 du programme 6.3.4 ThreatSense ..............................................................................141 4.7.6 Menu ..............................................................................115 contextuel 6.3.5 Protection ..............................................................................142 contre un réseau d'ordinateurs zombies 6.3.6 Java..............................................................................142 Exploit Blocker 6.3.7 Protection des opérations bancaires et des paiements ..............................................................................142 5. Utilisateur .......................................................116 chevronné 5.1 Gestionnaire ....................................................................................................116 de profils 5.2 Raccourcis ....................................................................................................116 clavier 5.3 Diagnostic ....................................................................................................117 5.4 Importation et exportation des ....................................................................................................117 paramètres 5.5 Détection ....................................................................................................118 de l'état inactif 5.6 ESET ....................................................................................................118 SysInspector 6.3 Technologie ....................................................................................................141 ESET 6.4 Courriel ....................................................................................................143 6.4.1 Publicités ..............................................................................143 6.4.2 Canulars ..............................................................................143 6.4.3 Hameçonnage ..............................................................................144 6.4.4 Reconnaissance ..............................................................................144 des pourriels 6.4.4.1 Règles ..................................................................................144 6.4.4.2 Liste ..................................................................................145 blanche Contenu 6.4.4.3 Liste ..................................................................................145 noire 6.4.4.4 Liste ..................................................................................145 des exceptions 6.4.4.5 Contrôle ..................................................................................145 côté serveur 7. Questions .......................................................146 fréquentes 7.1 Comment effectuer la mise à jour de ....................................................................................................146 ESET Smart Security 7.2 Comment éliminer un virus de mon ordinateur ....................................................................................................146 7.3 Comment autoriser la communication pour ....................................................................................................147 une certaine application 7.4 Comment activer le contrôle parental ....................................................................................................147 pour un compte 7.5 Comment créer une nouvelle tâche dans ....................................................................................................148 le Planificateur 7.6 Comment planifier une analyse ....................................................................................................149 hebdomadaire d'un ordinateur 1. ESET Smart Security ESET Smart Security constitue une nouvelle approche de la sécurité informatique véritablement intégrée. La plus récente version du moteur d'analyse ThreatSense® combinée à notre pare-feu personnel et aux modules antipourriel sur mesure, utilise la rapidité et la précision pour garder votre ordinateur en sécurité. Il en résulte un système intelligent, constamment en alerte pour protéger votre ordinateur des attaques et des programmes malveillants qui pourraient s'y attaquer. ESET Smart Security est une solution de sécurité complète qui allie protection maximale et encombrement minimal. Nos technologies avancées utilisent l'intelligence artificielle pour prévenir les infiltrations de virus, de logiciels espions, de chevaux de Troie, de vers, de logiciels publicitaires, de rootkits et autres attaques, sans atténuer les performances ni perturber votre ordinateur. Fonctionnalités et avantages Interface utilisateur renouvelée L'interface utilisateur de la version 9 a été considérablement renouvelée et simplifiée en fonction des résultats des tests effectués sur sa convivialité. Tous les termes et notifications IUG ont été examinés attentivement et l'interface prend désormais en charge les langues s'écrivant de droite à gauche comme l'hébreu et l'arabe. L'assistance en ligne est désormais intégrée dans ESET Smart Security et offre un contenu d'assistance mis à jour dynamiquement. Antivirus et anti-logiciel espion Détecte et supprime de manière proactive un grand nombre de virus, vers, chevaux de Troie et rootkits, tant connus qu'inconnus. La technologie d'heuristique avancée indiquera même les logiciels malveillants encore jamais vus pour ainsi protéger votre ordinateur contre les menaces inconnues et les neutraliser avant même qu'elles ne puissent s'attaquer à votre ordinateur. La protection de l'accès Web et la protection antihameçonnage utilisent la surveillance des communications entre les navigateurs Web et les serveurs distants (y compris SSL). La protection du client de messagerie offre le contrôle de la communication par courriel effectuée par l'entremise des protocoles POP3(S) et IMAP(S). Mises à jour régulières Mettre régulièrement à jour votre base de données des signatures de virus et les modules du programme constitue la meilleure méthode pour obtenir le niveau maximal de sécurité pour votre ordinateur. ESET LiveGrid® (réputation utilisant le nuage) Vous pouvez vérifier la réputation de processus en cours d'exécution directement à partir de ESET Smart Security. Contrôle de périphériques Analyse automatiquement tous les lecteurs USB, cartes mémoire et CD/DVD. Il bloque l'accès aux supports amovibles selon le type de support, le fabricant, la taille du support et d'autres caractéristiques. Fonctionnalité HIPS Vous pouvez personnaliser précisément le comportement du système en précisant notamment des règles pour le registre système, les processus et programmes actifs, ainsi qu'en affiner la sécurité. Mode jeu Reporte toutes les fenêtres contextuelles, mises à jour ou autres activités exigeantes en ressources système lors de l'utilisation d'un jeu ou de toute autre activité exigeant le mode plein écran. Fonctionnalités de ESET Smart Security Protection des opérations bancaires La protection des opérations bancaires et des paiements vous offre un et des paiements navigateur sécurisé pour vous assurer que toutes vos transactions en ligne, lorsque vous visitez des sites de comptes bancaires ou de paiements en ligne, sont effectuées dans un environnement fiable et sécurisé. 6 Prise en charge des signatures de réseau Pare-feu intelligent Protection antipourriel ESET Les signatures de réseau permettent l'identification rapide et bloquent le trafic malveillant entre les périphériques des utilisateurs comme les bots et les paquets exploit. Cette fonctionnalité peut être considérée comme une amélioration apportée à la protection de réseaux de zombies Empêche les utilisateurs non autorisés d'accéder à votre ordinateur et d'y découvrir vos données personnelles. Le pourriel représente jusqu'à 80 % de toutes les communications par courriel. La protection antipourriel sert à vous protéger contre ce problème. ESET Antivol ESET Antivol étend la sécurité au niveau utilisateur en cas de perte ou de vol d'un ordinateur. Lorsque les utilisateurs installent ESET Smart Security et ESET Antivol, leur appareil est répertorié dans l'interface Web. L'interface Web permet aux utilisateurs de gérer leur configuration ESET Antivol et administrer les fonctions antivol sur leur appareil. Contrôle parental Protège votre famille contre du contenu Web potentiellement offensant en bloquant diverses catégories de sites Web. Une licence doit être activée pour que les fonctionnalités de ESET Smart Security soient opérationnelles. Il est recommandé de renouveler la licence pour ESET Smart Security plusieurs semaines avant l'expiration de celle-ci. 1.1 Nouveautés de la version 9 ESET Smart Security la version 9 comprend les améliorations suivantes : Protection des opérations bancaires et des paiements - Un niveau de sécurité supplémentaires pour protéger les transactions effectuées en ligne. Prise en charge des signatures de réseau - Les signatures de réseau permettent l'identification rapide et bloquent le trafic malveillant entre les périphériques des utilisateurs reliés aux bots et aux paquets exploit. Interface utilisateur renouvelée - L'interface utilisateur graphique de ESET Smart Security a été complètement revue afin d'offrir une meilleure visibilité et une expérience utilisateur plus intuitive. L'interface prend désormais en charge les langues s'écrivant de droite à gauche comme l'hébreu et l'arabe. L'assistance en ligne est désormais intégrée dans ESET Smart Security et offre un contenu d'assistance mis à jour dynamiquement. Installation plus rapide et plus fiable - Comprend une analyse initiale qui s'exécute automatiquement 20 minutes après l'installation ou le redémarrage. Pour plus de détails sur les nouvelles fonctionnalités de ESET Smart Security, veuillez consulter l'article suivant, dans la base de connaissances d'ESET : Quelles sont les nouveautés dans ESET Smart Security 9 et ESET NOD32 Antivirus 9? 1.2 Configuration minimale requise Pour assurer le bon fonctionnement de ESET Smart Security, la configuration système matérielle et logicielle minimale requise est la suivante : Processeurs pris en charge : Intel® ou AMD x86-x64 Systèmes d'exploitation : Microsoft® Windows® 8.1/8/7/Vista/XP SP3+ 32 bits/XP SP2 64 bits/Home Server 2003 SP2 32 bits/Home Server 2011 64 bits 7 1.3 Prévention Lorsque vous travaillez sur votre ordinateur et particulièrement lorsque vous naviguez sur Internet, gardez toujours à l'esprit qu'aucun antivirus au monde ne peut complètement éliminer le risque d'infiltration et attaque. Pour bénéficier d'une protection maximale, il est essentiel d'utiliser votre solution antivirus correctement et de respecter quelques règles essentielles : Effectuer des mises à jour régulières Selon les statistiques de ThreatSense, des milliers de nouvelles infiltrations sont créées chaque jour pour contourner les dispositifs de sécurité existants et servir leurs auteurs, aux dépens des autres utilisateurs. Les spécialistes du laboratoire de recherche d'ESET analysent ces menaces chaque jour et conçoivent des mises à jour pour améliorer continuellement le niveau de protection de nos utilisateurs. Pour garantir l'efficacité maximale de ces mises à jour, il est important que celles-ci soient configurées de façon appropriée sur votre système. Pour plus d'information sur la configuration des mises à jour, voir la rubrique Configuration des mises à jour. Télécharger les correctifs de sécurité Les auteurs de programmes malveillants exploitent souvent diverses failles du système pour assurer une meilleure propagation du code malveillant. C'est pour cette raison que les sociétés qui commercialisent des logiciels recherchent activement l'apparition de nouvelles failles dans leurs applications pour concevoir les mises à jour de sécurité afin d'éliminer les menaces potentielles sur une base régulière. Il est important de télécharger ces mises à jour de sécurité au moment de leur sortie. Microsoft Windows et les navigateurs Web comme Internet Explorer sont deux exemples de programmes pour lesquels des mises à jour de sécurité sont régulièrement émises. Sauvegarde des données importantes Les concepteurs de programmes malveillants ne se soucient généralement pas des besoins des utilisateurs et l'activité de leurs programmes entraîne souvent un dysfonctionnement total du système d'exploitation et la perte de données importantes. Il est important de sauvegarder régulièrement vos données importantes et sensibles sur une source externe, telle que DVD ou disque dur externe. Vous pourrez ainsi récupérer vos données beaucoup plus facilement et rapidement en cas de défaillance du système. Rechercher régulièrement les virus sur votre ordinateur La détection d'un plus grand nombre de virus, de vers, de chevaux de Troie et de rootkits, tant connus qu'inconnus, est effectuée par le module de protection du système de fichiers en temps réel. Ainsi, chaque fois que vous accédez à un fichier ou ouvrez un fichier, il sera analysé pour y déceler toute activité malveillante. Nous recommandons d'effectuer une analyse complète de l'ordinateur au moins une fois par mois, car les signatures des logiciels malveillants peuvent varier et que la base de données des signatures de virus se met à jour quotidiennement. Suivre les règles de sécurité de base Cette règle est la plus utile et la plus efficace de toutes : soyez toujours prudent. Actuellement, de nombreuses infiltrations nécessitent l'intervention de l'utilisateur pour être exécutées et propagées. Si vous êtes prudent lorsque vous ouvrez de nouveaux fichiers, vous éviterez de perdre un temps et une énergie considérable à nettoyer les infiltrations. Voici quelques directives utiles : Ne consultez pas les sites Web suspects comportant de nombreuses fenêtres publicitaires et annonces clignotantes. Soyez vigilant lorsque vous installez des logiciels gratuits, des ensembles de codec, etc. N'utilisez que des programmes sécurisés et ne consultez que les sites Web sécurisés. Soyez prudent lorsque vous ouvrez les pièces jointes aux courriels, en particulier celles provenant de publipostage ou d'expéditeurs inconnus. N'utilisez pas de compte Administrateur pour le travail de tous les jours sur votre ordinateur. 8 2. Installation Il existe différentes méthodes pour installer ESET Smart Security sur votre ordinateur. Les méthodes d'installation peuvent varier en fonction du pays et du mode de distribution : Live installer peut être téléchargé à partir du site Web d'ESET. L'ensemble d'installation est universel et s'applique à toutes les langues (choisissez la langue qui vous convient). Live installer est un fichier de petite taille ; les fichiers supplémentaires nécessaires à l'installation de ESET Smart Security sont téléchargés automatiquement. Installation hors connexion - Ce type d'installation est utilisé lorsque l'installation s'effectue à partir d'un CD/DVD du produit. Dans ce cas, on utilise un fichier .msi qui est plus volumineux que le fichier Live installer et qui ne nécessite pas de connexion à Internet ou de fichiers supplémentaires pour réaliser l'installation. Important : Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur avant d'installer ESET Smart Security. Si plusieurs solutions antivirus sont installées sur un même ordinateur, elles peuvent entrer en conflit. Nous recommandons de désinstaller tout autre antivirus de votre système. Voir notre article sur la base de connaissances ESET pour une liste des outils de désinstallation pour les logiciels antivirus communs (disponible en anglais et dans plusieurs autres langues). 2.1 Live installer Après avoir téléchargé le programme d'installation Live installer, double-cliquez sur le fichier d'installation et suivez les instructions indiquées dans la fenêtre du programme d'installation. Important : Pour ce type d'installation, vous devez être connecté à Internet. Sélectionnez la langue voulue dans le menu déroulant et cliquez sur Suivant. Attendez un instant, le temps que les fichiers d'installation soient téléchargés. Après avoir accepté le Contrat de licence d'utilisateur final, on vous invitera à configurer ESET LiveGrid®. ESET LiveGrid® contribue à garantir qu'ESET est immédiatement et continuellement informé des nouvelles infiltrations dans le but de protéger ses clients. Le système permet de soumettre de nouvelles menaces au laboratoire de recherche d'ESET où elles seront alors analysées, traitées puis ajoutées à la base de données des signatures de virus. Par défaut, l'option Je veux faire partie de ESET LiveGrid® (recommandé) est sélectionnée et cette fonction est donc activée. 9 L'étape suivante de l'installation est la configuration de la détection des applications potentiellement indésirables. Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais peuvent avoir une incidence négative sur le comportement du système d'exploitation. Voir la rubrique Applications potentiellement indésirables pour plus de détails. Cliquez sur Installer pour lancer le processus d'installation. 2.2 Installation hors connexion Lancez le programme (.msi) d'installation hors connexion; l'assistant d'installation vous guide pendant tout le processus de configuration. Tout d'abord, le programme vérifie si une version plus récente de ESET Smart Security est disponible. S'il existe une version plus récente, vous en êtes informé dans la première étape du processus d'installation. Si vous sélectionnez l'option Télécharger et installer la nouvelle version, la nouvelle version est téléchargée et l'installation se poursuit. Cette case à cocher n'est visible que lorsqu'une version plus récente que celle que vous installez est disponible. Le contrat de licence de l'utilisateur final (CLUF) apparaît à l'étape suivante. Veuillez lire le contrat et cliquer sur Accepter pour confirmer votre acceptation du Contrat de Licence pour l'Utilisateur Final. Une fois que vous l'aurez accepté, l'installation se poursuivra. Pour plus de détails sur la procédure d'installation, sur l'utilisation de ThreatSense et Détection des applications potentiellement indésirables, suivez les instructions de la rubrique précitée (voir « Live installer »). 10 2.2.1 Paramètres avancés Après avoir sélectionné Paramètres avancés, vous serez invité à sélectionner un emplacement pour l'installation. Le programme s'installe, par défaut, dans le répertoire suivant : C:\Program Files\ESET\ESET Smart Security\ Cliquez sur Parcourir… pour changer la destination (cette option n'est pas recommandée). Cliquez sur Suivant pour configurer votre connexion Internet. Si vous utilisez un serveur mandataire, assurez-vous qu'il soit correctement configuré pour que les mises à jour du programme fonctionnent. Si vous ne savez pas si vous utilisez ou non un serveur mandataire pour vous connecter à Internet, sélectionnez Utiliser les mêmes paramètres que pour Internet Explorer (Recommandé) et cliquez sur Suivant. Si vous n'utilisez pas de serveur mandataire, sélectionnez Je n'utilise pas de serveur mandataire. Pour configurer les paramètres de votre serveur mandataire, sélectionnez J'utilise un serveur mandataire et cliquez sur Suivant. Entrez l'adresse IP ou l'adresse URL de votre serveur mandataire dans le champ Adresse. Dans le champ Port, précisez le port sur lequel le serveur mandataire accepte les connexions (3128 par défaut). Si le serveur mandataire exige une authentification, entrez un nom d'utilisateur et un mot de passe valides donnant accès à ce serveur. Les paramètres du serveur mandataire peuvent être copiés depuis Internet Explorer. Pour ce faire, cliquez sur le bouton Appliquer et confirmez la sélection. L'installation personnalisée vous permet de définir de quelle façon les mises à jour automatiques du programme seront effectuées sur votre système. Cliquez sur Changer... pour accéder aux paramètres avancés. Si vous ne voulez pas que les composants du programme soient mis à jour, sélectionnez Ne jamais mettre à jour les composants du programme. Sélectionnez Demander avant de télécharger les composants du programme pour qu'une fenêtre de confirmation s'affiche chaque fois que le système tente de télécharger les composants du programme. Pour télécharger automatiquement les mises à niveau des composants du programme, sélectionnez Toujours mettre à jour les composants du programme. REMARQUE : Le redémarrage du système est généralement nécessaire après la mise à jour des composants du programme. il est recommandé de sélectionner Si nécessaire, redémarrer sans notification. 11 La fenêtre d'installation suivante comprend l'option vous permettant de définir un mot de passe pour protéger les paramètres de votre programme. Sélectionnez l'option Protéger la configuration par mot de passe et entrez votre mot de passe dans les champs Nouveau mot de passe et Confirmation du nouveau mot de passe. Ce mot de passe sera requis pour changer les paramètres de ESET Smart Security ou y accéder. Lorsque les deux champs de mot de passe correspondent, cliquez sur Suivant pour continuer. Pour effectuer les étapes d'installation suivantes, ThreatSense et Détection des applications potentiellement indésirables, suivez les instructions de la section Live Installer (reportez-vous à Installation standard). Sélectionnez ensuite un mode de filtrage pour le Pare-feu personnel ESET. Quatre modes sont disponibles pour le Pare-feu personnel de ESET Smart Security. Le comportement du pare-feu change en fonction du mode sélectionné. Les modes de filtrage affectent également le niveau d'interaction de l'utilisateur. Pour désactiver la première analyse après l'installation qui est normalement effectuée lorsque prend fin la vérification afin de détecter du code malveillant, décochez la case à côté de Activer l'analyse après l'installation. Cliquez sur Installer dans la fenêtre Prêt à installer pour terminer l'installation. 2.3 Problèmes courants d'installation Si des problèmes surviennent pendant l'installation, veuillez consulter notre liste d'erreurs courantes lors de l'installation et résolutions pour trouver une solution à votre problème. 2.4 Activer votre produit Une fois l'installation terminée, vous serez invité à activer votre produit. Il existe plusieurs méthodes pour activer votre produit. La disponibilité d'un scénario d'activation particulier dans la fenêtre d'activation peut varier selon le pays, ainsi que selon le moyen de distribution (CD/DVD, page Web d'ESET, etc.). Si vous avez acheté une version en boîte au détail du produit, activez votre produit à l'aide d'une clé de licence. La clé de licence se trouve généralement à l'intérieur ou sur la face arrière de l'emballage du produit. Pour réussir l'activation, vous devez entrer la clé de licence telle qu'elle vous a été fournie. Clé de licence - Une chaîne de caractères unique dans le format XXXX-XXXX-XXXX-XXXX-XXXX ou XXXX-XXXXXXXX utilisée pour l'identification du propriétaire de la licence et pour l'activation de cette dernière. Si vous souhaitez évaluer ESET Smart Security avant de l'activer, sélectionnez Licence d'essai gratuite. Inscrivez votre adresse courriel et votre pays pour activer ESET Smart Security pour une durée limitée. Votre licence de test vous sera envoyée par courriel. Les licences d'essai ne peuvent être activées qu'une seule fois par client. Si vous n'avez pas de licence et souhaitez en acheter une, cliquez sur Acheter une licence. Vous serez redirigé vers le site Web de votre distributeur ESET local. Sélectionnez l'option Activer plus tard si vous voulez faire l'essai rapide de notre produit et ne voulez pas l'activer immédiatement ou si vous voulez l'activer plus tard. Vous pouvez également activer votre copie de ESET Smart Security directement à partir du programme. Cliquez à droite sur l'icône ESET Smart Security dans la barre d'état système et sélectionnez Activer le produit dans le Menu du programme. 12 2.5 Saisie de la clé de licence Le programme doit être mis à jour automatiquement pour assurer un fonctionnement optimal. Cela n'est possible que si la clé de licence appropriée est saisie dans Configuration des mises à jour. Si vous n'avez pas entré votre clé de licence durant l'installation, vous pouvez maintenant le faire. Dans la fenêtre principale du programme, cliquez sur Aide et assistance, puis sur Activer la licence et entrez les données reçues avec la licence du produit dans la fenêtre d'activation du produit. Lorsque vous entrez votre clé de licence, il est important de l'entrer exactement comme elle est écrite : Une chaîne de caractères unique au format XXXX-XXXX-XXXX-XXXX-XXXX qui est utilisée pour l'identification du propriétaire de la licence et pour l'activation de cette dernière. Il est recommandé de copier et de coller votre clé de licence à partir du courriel d'inscription reçu pour assurer l'exactitude. 2.6 Mise à niveau à une version plus récente Les nouvelles versions de ESET Smart Security sont diffusées afin d'apporter des améliorations ou de corriger des problèmes qui ne peuvent être réglés par la mise à jour automatique des modules du programme. La mise à niveau à une version plus récente peut être effectuée de plusieurs façons : 1. mise à niveau automatique par l'entremise de la mise à jour du programme : Puisque la mise à jour du programme est envoyée à tous les utilisateurs et qu'elle peut avoir des répercussions sur les configurations système, elle n'est émise qu'après une longue période de test pour s'assurer qu'elle fonctionne sans heurts avec toutes les configurations système possibles. Si vous devez effectuer la mise à niveau vers une version plus récente, immédiatement après le lancement de cette dernière, utilisez l'une des méthodes indiquées ci-dessous. 2. Manuellement, dans la fenêtre principale du programme, en cliquant sur Vérifiez s'il y a des mises à jour dans la section Mise à jour. 3. Effectuer la mise à niveau manuelle en téléchargeant et en installant une version plus récente par-dessus l'installation antérieure. 13 2.7 Première analyse après l'installation Après l'installation de ESET Smart Security, une analyse de l'ordinateur débutera 20 minutes après l'installation ou le redémarrage afin de vérifier la présence de code malveillant. Vous pouvez également lancer manuellement une analyse de l'ordinateur à partir de la fenêtre du programme principal en cliquant sur Analyse de l'ordinateur > Analyse de l'ordinateur. Pour plus d'information sur l'analyse de l'ordinateur, consultez la rubrique Analyse de l'ordinateur. 14 3. Guide du débutant Cette rubrique présente un aperçu initial de ESET Smart Security et de ses paramètres de base. 3.1 La fenêtre principale du programme La fenêtre principale de ESET Smart Security est divisée en deux sections principales. La fenêtre principale, du côté droit, affiche l'information qui correspond à l'option sélectionnée à partir du menu principal de gauche. Voici une description des options disponibles dans le menu principal : Accueil - Donne de l'information sur l'état de protection de ESET Smart Security. Analyse de l'ordinateur - Configurez et lancez une analyse de votre ordinateur ou créez une analyse personnalisée. Mettre à jour - Affiche l'information sur les mises à jour à la base de données des signatures de virus. Outils - Donne accès aux fichiers journaux, aux statistiques sur la protection, à la surveillance de l'activité, aux processus en cours d'exécution, aux connexions réseau, Planificateur, ESET SysInspector et ESET SysRescue. Configuration - Sélectionnez cette option pour régler le niveau de sécurité de votre ordinateur, d'Internet, de la Protection réseau et des Outils de sécurité. Aide et assistance - Donne accès aux fichiers d'aide, à la base de connaissances d'ESET, au site Web d'ESET et à des liens permettant d'envoyer une demande de soutien. L'écran Accueil vous donne de l'information importante sur le niveau de protection actuel de votre ordinateur. La fenêtre d'état affichera également les fonctionnalités fréquemment utilisées dans ESET Smart Security. L'information sur la mise à jour la plus récente et la date d'expiration du programme se trouve également là. L'icône verte, tout comme le message d'état Protection maximale qui s'affiche en vert, indique que la protection maximale est assurée. 15 Que faire lorsque le programme ne fonctionne pas correctement? Si un module de protection actif fonctionne correctement, l'icône de l'état de la protection sera vert. Un point d'exclamation rouge ou une icône de notification orange indique que la protection maximale n'est pas assurée. Des renseignements supplémentaires sur l'état de protection de chacun des modules, ainsi que des suggestions de solution pour restaurer la protection complète, seront alors affichés sous Accueil. Pour modifier l'état de chacun des modules, cliquez sur Configuration et sélectionnez le module voulu. L'icône rouge et le message d'état La protection maximale de votre ordinateur n'est pas assurée qui s'affiche en rouge indiquent des problèmes critiques. Plusieurs motifs peuvent entraîner l'affichage de cet état, notamment : Produit non activé - Vous pouvez activer ESET Smart Security à partir de l'Accueil en cliquant sur Activer le produit ou Acheter maintenant sous l'état de la protection. La base de données des signatures de virus n'est plus à jour - Cette erreur apparaît après plusieurs tentatives infructueuses de mise à jour de la base de données des signatures de virus. Nous recommandons de vérifier les paramètres de mise à jour. La cause la plus courante de cette erreur est une entrée incorrecte des données d'authentification ou une configuration incorrecte des paramètres de connexion. Protection antivirus et anti-logiciel espion désactivée - Vous pouvez réactiver la protection antivirus et antispyware en cliquant sur Démarrer tous les modules de protection antivirus et antispyware. Pare-feu personnel d'ESET désactivé - Ce problème est indiqué par une notification de sécurité à côté de l'élément Réseau de votre poste de travail. Vous pouvez réactiver la protection réseau en cliquant sur Activer le pare-feu. Licence expirée - Ce problème est signalé une icône d'état de la protection rouge. Une fois votre licence expirée, le programme ne pourra plus effectuer de mise à jour. Suivez les instructions indiquées dans la fenêtre d'alerte pour renouveler votre licence. 16 L'icône orange indique que la protection est limitée. Par exemple, il pourrait y avoir un problème dans la mise à jour du programme ou la date d'expiration de votre licence pourrait approcher. Plusieurs motifs peuvent entraîner l'affichage de cet état, notamment : Avertissement sur l'optimisation d'Antivol - Cet appareil n'est pas optimisé pour ESET Antivol. Par exemple, un compte fantôme (fonction de sécurité qui se déclenche automatiquement lorsque vous signalez votre appareil comme manquant) pourrait ne pas avoir été créé sur votre ordinateur. Vous pouvez créer un compte fantôme à l'aide de la fonction Optimisation dans l'interface Web d'ESET Antivol. Mode jeu activé - Activer le mode Jeu entraîne un risque potentiel à la sécurité. En activant cette fonction, toutes les fenêtres contextuelles seront désactivées et les tâches planifiées seront suspendues. Votre licence arrivera bientôt à expiration - Ce problème est indiqué par l'icône d'état de la protection qui porte un point d'exclamation, à côté de l'horloge système. Une fois votre licence expirée, le programme ne pourra plus se mettre à jour et l'icône de l'état de protection du logiciel tournera au rouge. S'il vous est impossible de régler un problème à l'aide des solutions suggérées, cliquez sur Aide et soutien pour accéder aux fichiers d'aide ou effectuez une recherche dans la Base de connaissances ESET. Pour obtenir plus d'assistance, vous pouvez soumettre une demande d'assistance. Les spécialistes d'ESET répondront rapidement à vos questions et essaieront de trouver une solution à votre problème. 3.2 Mises à jour Mettre à jour la base des signatures de virus et les composants du programme est importante pour protéger votre système contre les attaques de code malveillant. Il faut donc accorder une grande attention à sa configuration et à son fonctionnement. Dans le menu principal, cliquez sur Mettre à jour, puis sur Mettre à jour maintenant pour vérifier si une mise à jour de la base de données est disponible. Si le nom d'utilisateur et le mot de passe n'ont pas été entrés au moment de l'activation de ESET Smart Security, vous serez invité à les entrer à ce moment-ci. 17 La fenêtre Configuration avancée (cliquez sur Configuration dans le menu principal, puis sur Configuration avancée, ou appuyez sur la touche F5 de votre clavier) contient d'autres options de mise à jour. Pour configurer les options avancées comme le mode de mise à jour, l'accès au serveur mandataire et les connexions par réseau local, cliquez sur l'onglet approprié dans la fenêtre Mise à jour. 3.3 Configuration de la zone de confiance Il est nécessaire de configurer les zones de confiance pour protéger votre ordinateur dans un environnement en réseau. Vous pouvez autoriser d'autres utilisateurs à accéder à votre ordinateur en configurant des zones de confiance afin de permettre le partage des fichiers. Cliquez sur Configuration > Protection de réseau > Réseaux connectés et cliquez sur le lien sous le réseau connecté. Une fenêtre affichera les options qui vous permettront de choisir le mode de protection voulu pour votre ordinateur dans l'environnement en réseau. La détection de la zone de confiance a lieu après l'installation de ESET Smart Security et lorsque votre ordinateur se connecte à un nouveau réseau. Il n'est donc généralement pas nécessaire de définir des zones de confiance. Par défaut, une boîte de dialogue s'ouvre lorsqu'une nouvelle zone est détectée afin de vous permettre d'en définir le niveau de protection. 18 Avertissement : Une configuration incorrecte de la zone de confiance peut poser un risque pour la sécurité de votre ordinateur. REMARQUE : Par défaut, les postes de travail d'une zone Fiable ont l'autorisation d'accéder aux fichiers et aux imprimantes partagés, la communication RPC entrante est activée et le partage de bureau à distance est disponible. Pour plus de détails sur cette fonction, veuillez consulter l'article suivant dans la base de connaissances d'ESET : Nouvelle connexion réseau détectée dans ESET Smart Security 19 3.4 Antivol Pour protéger votre ordinateur en cas de perte ou de vol, choisissez l'une des options suivantes pour enregistrer votre ordinateur auprès de ESET Antivol. 1. Après une activation réussie, cliquez sur Activer Antivol pour activer les fonctionnalités d'ESET Antivol sur l'ordinateur que vous venez d'enregistrer. 2. Si vous voyez le message ESET Antivol est disponible dans le volet Accueil de ESET Smart Security, pensez à activer cette fonction pour votre ordinateur. Cliquez sur Activer ESET Antivol pour enregistrer votre ordinateur auprès de ESET Antivol. 3. À partir de la fenêtre principale du programme, cliquez sur Configuration > Outils de sécurité. Cliquez sur à côté de ESET Antivol et suivez les instructions dans la fenêtre contextuelle. REMARQUE : ESET Antivol ne peut être exécuté sur les Microsoft Windows Home Servers. Pour d'autres instructions concernant l'association de l'ordinateur à ESET Antivol, voir Comment ajouter un périphérique. 3.5 Outils du contrôle parental Si vous avez activité le contrôle parental dans ESET Smart Security, il vous faut encore le configurer pour les comptes utilisateur voulus pour que tout fonctionne correctement. Lorsque le Contrôle parental est actif, mais que les comptes utilisateur n'ont pas été configurés, le message Le contrôle parental n'est pas configuré s'affiche dans le volet Accueil de la fenêtre principale du programme. Cliquez sur Configurer maintenant les règles et reportez-vous à la rubrique Contrôle parental pour la procédure à suivre pour créer des restrictions particulières permettant de protéger vos enfants des contenus pouvant être choquants. 20 4. Utilisation de ESET Smart Security ESET Smart Security les options de Configuration permettent de régler les niveaux de protection de votre ordinateur. et le réseau. Le menu Configuration contient les sections suivantes : Protection de l'ordinateur Protection sur Internet Protection du réseau Outils de sécurité Cliquez sur n'importe quel composant pour régler les paramètres avancées du module de protection correspondant. 21 La configuration de la protection de l'ordinateur vous permet d'activer ou de désactiver les composants suivants : Protection en temps réel du système de fichiers - Elle analyse tous les fichiers à la recherche de code malveillant au moment de l'ouverture, de la création ou de l'exécution de ces fichiers sur l'ordinateur. HIPS - Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers, en fonction d'un ensemble personnalisé de règles. Mode Jeu - Active ou désactive le mode Jeu. Un message d'avertissement s'affichera (risque potentiel à la sécurité) et la fenêtre principale s'affichera en orange après l'activation du mode jeu. La configuration de la protection sur Internet vous permet d'activer ou de désactiver les composants suivants : Protection de l'accès Web - Si cette option est activée, tout le trafic HTTP est analysé à la recherche de codes malveillants. La protection du client de messagerie surveille la communication effectuée par l'entremise des protocoles POP3 et IMAP. Protection antipourriel - Analyse tout courriel non sollicité, du pourriel, par exemple. Anti-hameçonnage - L'anti-hameçonnage filtre les sites Web soupçonnés de distribuer du contenu visant à manipuler les utilisateurs en vue de leur envoyer des informations confidentielles. La section Protection de réseau vous permet d'activer ou de désactiver le pare-feu personnel, la protection contre les attaques sur le réseau (IDS) et la protection contre les réseaux d'ordinateurs zombies. La configuration des outils de sécurité vous permet de régler les modules suivants : Protection des opérations bancaires et des paiements Contrôle parental Antivol Le contrôle parental vous permet de bloquer des pages Web dont le contenu est potentiellement offensant. En outre, les parents peuvent interdire l'accès à plus de 40 catégories de sites Web prédéfinies et à plus de 140 souscatégories. Pour réactiver un composant de sécurité désactivé, cliquez sur le curseur . pour qu'il affiche un crochet vert REMARQUE : Lorsque vous utilisez cette méthode pour désactiver la protection, tous les modules de protection désactivés seront réactivés après le redémarrage de l'ordinateur. D'autres options sont également disponibles au bas de la fenêtre de configuration. Utilisez le lien Configuration avancée pour configurer d'autres paramètres détaillés pour chacun des modules. L'option Importer et exporter les paramètres permet de charger des paramètres de configuration à l'aide d'un fichier de configuration .xml ou d'enregistrer les paramètres de configuration actuels dans un fichier de configuration. 22 4.1 Protection de l'ordinateur Cliquez sur Protection de l'ordinateur dans la fenêtre Configuration pour voir un aperçu de tous les modules de protection. Pour désactiver temporairement des modules individuels, cliquez sur . Notez que cela peut réduire le niveau de protection de l'ordinateur. Cliquez sur à côte d'un module de protection pour accéder aux paramètres avancés pour ce module. Cliquez sur > Modifier les exclusions à côté de Protection du système de fichier en temps réel pour ouvrir la fenêtre de configuration des Exclusions, qui permet d'exclure des fichiers et des dossiers de l'analyse. Interrompre la protection contre les virus et les logiciels espions - Désactive tous les modules de protection antivirus et antispyware. Lorsque vous désactivez la protection, une fenêtre s'ouvre et permet d'indiquer la durée pendant laquelle la protection sera désactivée en choisissant une valeur dans le menu déroulant Intervalle. Cliquez sur OK pour confirmer. 23 4.1.1 Antivirus La protection antivirus protège le système des attaques malveillantes en contrôlant les échanges de fichiers et de courriels, ainsi que les communications Internet. Si une menace comportant du code malveillant est détectée, le module Antivirus peut l'éliminer en la bloquant dans un premier temps, puis en nettoyant, en supprimant ou en mettant en quarantaine l'objet infecté. Les options de l'analyseur pour tous les modules de protection (par exemple, protection en temps réel du système de fichiers, protection de l'accès Web, etc.) vous permettent d'activer ou de désactiver la détection des éléments suivants : Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont susceptibles d'affecter les performances de votre ordinateur. Pour en savoir plus sur ces types d'application, consultez le glossaire. Les applications potentiellement dangereuses sont des logiciels commerciaux légitimes susceptibles d'être utilisés à des fins malveillantes. Elles comprennent des programmes comme des outils d'accès à distance, les applications de craquage de mot de passe et les enregistreurs de frappe. Cette option est désactivée par défaut. Pour en savoir plus sur ces types d'application, consultez le glossaire. Les applications suspectes incluent les programmes comprimés à l'aide de logiciels de compression ou de protecteurs. Ces types de protecteurs sont souvent exploités par des créateurs de logiciels malveillants pour contourner leur détection. La technologie Anti-Stealth est un système évolué assurant la détection de programmes dangereux, comme les rootkits qui sont à même de se cacher du système d'exploitation. Ils sont donc impossibles à détecter avec les techniques de test ordinaires. Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces s'applique à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela est absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le 24 logiciel et l'analyse. Pour exclure un objet de l'analyse voir Exclusions. 4.1.1.1 Protection en temps réel du système de fichiers La protection en temps réel du système de fichiers contrôle tous les événements liés à l'antivirus dans le système. Elle analyse tous les fichiers à la recherche de code malveillant au moment de l'ouverture, de la création ou de l'exécution de ces fichiers sur l'ordinateur. La protection en temps réel du système de fichiers est lancée au démarrage du système. Par défaut, la protection en temps réel du système de fichier est lancée au démarrage du système d'exploitation et assure une analyse ininterrompue. Dans des cas particuliers (par exemple, s'il y a un conflit avec un autre analyseur en temps réel), la protection en temps réel pourra être désactivée en désélectionnant Lancer automatiquement la protection en temps réel du système de fichier dans la section Configuration avancée sous Protection en temps réel du système de fichier > L'essentiel. Supports à analyser Par défaut, tous les types de supports sont analysés pour y détecter la présence potentielle de menaces : Disques locaux - Contrôle tous les disques durs du système. Supports amovibles - Contrôle les CD/DVD, les périphériques de stockage USB, les périphériques Bluetooth, etc. Lecteurs réseau - Tous les disques mappés. Il est recommandé de ne modifier les paramètres par défaut que dans des cas particuliers, par exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données. Date de l'analyse Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, exécutés ou créés. Il est recommandé de conserver ces paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre ordinateur : 25 Ouverture de fichier - Active ou désactive l'analyse des fichiers à l'ouverture. Création de fichier - Active ou désactive l'analyse des fichiers à la création. Exécution de fichier - Active ou désactive l'analyse des fichiers à l'exécution. Accès au support amovible - Active ou désactive l'analyse déclenchée par l'accès à un support amovible particulier offrant de l'espace de stockage. Arrêt de l'ordinateur - Active ou désactive l'analyse déclenchée par l'arrêt de l'ordinateur. La protection en temps réel du système de fichiers vérifie tous les types de supports et est déclenchée par différents événements comme tenter d'accéder à un fichier. À l'aide des méthodes de détection de la technologie ThreatSense (décrites dans la section Configuration du moteur ThreatSense ), la protection en temps réel du système de fichiers peut être configurée pour traiter différemment les fichiers nouvellement créés et les fichiers existants. Par exemple, vous pouvez configurer la protection en temps réel du système de fichiers afin qu'elle surveille plus attentivement les fichiers nouvellement créés. Pour assurer le minimum d'empreinte système lorsque la protection en temps réel est utilisée, les fichiers ayant déjà été analysés ne seront pas analysés de nouveau (à moins qu'ils n'aient été modifiés). Les fichiers seront cependant immédiatement réanalysés après chaque mise à jour de la base de données des signatures de virus. Ce comportement est contrôlé grâce à l'optimisation intelligente. Si la fonction d’optimisation intelligente est désactivée, tous les fichiers seront analysés chaque fois que l'ordinateur y accédera. Pour modifier ce paramètre, appuyez sur F5 pour ouvrir la fenêtre de Configuration avancée. Ouvrez ensuite Antivirus > Protection en temps réel du système de fichiers. Cliquez sur Paramètres de ThreatSense > Autre et sélectionnez ou désélectionnez l'option Activer l'optimisation intelligente. 4.1.1.1.1 Autres paramètres ThreatSense Paramètres supplémentaires ThreatSense pour des fichiers nouvellement créés et modifiés Les fichiers nouvellement créés ou les fichiers modifiés ont une probabilité d'infection relativement plus élevée que celle des fichiers existants. C'est pour cette raison que le programme utilise des paramètres d'analyse supplémentaires pour vérifier ces fichiers. ESET Smart Security utilise une heuristique avancée qui peut détecter les nouvelles menaces avant la diffusion de la mise à jour de la base de données des signatures de virus, en plus des méthodes d'analyse basées sur les signatures. En plus des fichiers nouvellement créés, l'analyse est aussi effectuée sur les archives à extraction automatique (.sfx) et les fichiers exécutables compressés par un compresseur d'exécutables (interne). Par défaut, les archives sont analysées jusqu'au dixième niveau d'imbrication et vérifiées indépendamment de leur taille réelle. Désactivez l'option Paramètres d'analyse d'archive par défaut pour modifier les paramètres d'analyse de l'archive. Autres paramètres ThreatSense pour les fichiers exécutés Heuristique avancée sur l'exécution du fichier - Par défaut, l'heuristique avancée est utilisée lorsque les fichiers sont exécutés. Lorsque cette option est activée, nous vous recommandons fortement de conserver l'optimisation intelligente et ESET LiveGrid® activés afin de réduire l'incidence sur la performance du système. Heuristique avancée à l'exécution de fichiers à partir de supports amovibles - L'heuristique avancée fait l'émulation du code dans un environnement virtuel et évalue son comportement avant d'autoriser l'exécution du code à partir d'un support amovible. 4.1.1.1.2 Niveaux de nettoyage La protection en temps réel offre trois niveaux de nettoyage (pour accéder aux paramètres des niveaux de nettoyage, cliquez sur Configuration des paramètres du moteur ThreatSense dans la section Protection en temps réel du système de fichiers, puis sur Nettoyage). Pas de nettoyage - Les fichiers infectés ne seront pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et laisse l'utilisateur choisir une action. Ce niveau est conçu pour les utilisateurs expérimentés qui savent quoi faire avec chaque type d'infiltration. Nettoyage standard - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté sur la based'une action prédéfinie (selon le type d'infiltration). La détection et la suppression d'un fichier infecté sont signalées par une notification affichée dans l'angle inférieur droit de l'écran. S'il n'est pas possible de sélectionner 26 automatiquement l'action appropriée, le programme proposera d'autres actions de suivi. La même chose se produit lorsqu'une action prédéfinie n'a pas pu être menée à bien. Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. S'il n'est pas possible de les nettoyer, une fenêtre avertissement invite l'utilisateur à sélectionner une action. Avertissement : Si une archive contient un ou plusieurs fichiers infectés, elle peut être traitée de deux façons différentes. En mode standard (Nettoyage standard), toute l'archive sera supprimée si tous ses fichiers sont infectés. En mode Nettoyage strict, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. 4.1.1.1.3 Quand faut-il modifier la configuration la protection en temps réel La protection en temps réel est le composant le plus essentiel de la sécurisation du système. Il faut être très attentif lorsqu'on modifie les paramètres de ce module. Il est recommandé de ne changer les paramètres de ce module que dans des cas précis. Après l'installation de ESET Smart Security, tous les paramètres sont optimisés pour garantir le niveau maximal de sécurité système pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur à côté de chaque onglet de la fenêtre Configuration avancée > Antivirus > Protection du système de fichier en temps réel). 4.1.1.1.4 Vérification de la protection en temps réel Pour s'assurer que la protection en temps réel fonctionne et détecte bien les virus, utilisez un fichier de test d'eicar.com. Ce fichier de test est un fichier inoffensif que détecteront tous les programmes antivirus. Le fichier a été créé par la société EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des programmes antivirus. Vous pouvez le télécharger du site http://www.eicar.org/download/eicar.com REMARQUE : Avant d'effectuer une vérification de la protection en temps réel, il faut désactiver le pare-feu. S'il est activé, il détectera le fichier et empêchera le téléchargement des fichiers de test. 4.1.1.1.5 Que faire si la protection en temps réel ne fonctionne pas Dans cette rubrique, nous décrivons des problèmes qui peuvent survenir avec la protection en temps réel et la façon de les résoudre. La protection en temps réel est désactivée Si la protection en temps réel a été désactivée par mégarde par un utilisateur, elle doit être réactivée. Pour réactiver la protection en temps réel, accédez à Configuration dans la fenêtre principale du programme et cliquez sur Protection de l'ordinateur > Protection en temps réel du système de fichiers. Si la protection en temps réel n'est pas lancée au démarrage du système, cela découle généralement du fait que l'option Lancer automatiquement la protection en temps réel du système de fichiers est désélectionnée. Pour vous assurer que cette option est activée, allez à Configuration avancée (touche F5) et cliquez sur Antivirus > Protection du système de fichier en temps réel. Si la protection en temps réel ne détecte pas et ne nettoie pas les infiltrations Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes antivirus sont installés en même temps, il peut y avoir conflit entre les deux. Nous recommandons de désinstaller tout autre antivirus de votre système avant d'installer ESET. La protection en temps réel ne démarre pas Si la protection en temps réel n'est pas lancée au démarrage du système (et que l'option Lancer automatiquement la protection en temps réel du système de fichiers est activée), le problème peut provenir de conflits avec d'autres programmes. Pour de l'assistance dans la résolution de ce problème, veuillez communiquer avec l'assistance à la clientèle d'ESET. 27 4.1.1.2 Analyse de l'ordinateur L'analyseur à la demande est un élément important de votre solution antivirus. Il permet d'analyser les fichiers et répertoires stockés sur votre ordinateur. Pour votre sécurité, il est essentiel que l'ordinateur soit analysé non seulement en cas de suspicion d'une infection, mais aussi régulièrement dans le cadre de mesures de sécurité routinières. Nous vous recommandons d'effectuer régulièrement des analyses en profondeur de votre système pour détecter les virus qui ne sont pas capturés par la protection en temps réel du système de fichiers lors de leur écriture sur le disque. Cela peut arriver si la protection en temps réel du système de fichiers est désactivée à un moment, si la base de données de virus est obsolète ou si le fichier n'a pas été détecté comme un virus au moment où il a été enregistré sur le disque. Deux types d'analyse de l'ordinateur sont disponibles. Analyse de votre ordinateur analyse rapidement le système, sans avoir à préciser de paramètres d'analyse. L'analyse personnalisée permet, quant à elle, de sélectionner l'un des profils d'analyse prédéfinis en fonction des cibles particulières de l'analyse. Analyse de votre ordinateur L'analyse de votre ordinateur vous permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. L'avantage de l'analyse de votre ordinateur est qu'elle est facile à utiliser et n'exige pas une configuration détaillée de l'analyse. Cette vérification analyse tous les fichiers sur les disques durs locaux et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la rubrique Nettoyage. Analyse personnalisée L'analyse personnalisée permet de préciser des paramètres d'analyse tels que les cibles et les méthodes d'analyse. L'avantage de l'analyse personnalisée est la possibilité de configurer les paramètres de manière détaillée. Les configurations peuvent être enregistrées comme des profils d'analyse définis par l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse avec les mêmes paramètres. Analyse des supports amovibles Semblable à Analyse de votre ordinateur - lance rapidement une analyse des supports amovibles (comme les CD/ DVD/USB) actuellement connectés à l'ordinateur. Cela peut être utile lorsque vous connectez une clé USB à un ordinateur et que vous souhaitez l'analyser pour y rechercher les logiciels malveillants et autres menaces potentielles. Ce type d'analyse peut aussi être lancé en cliquant sur Analyse personnalisée, en sélectionnant Supports amovibles dans le menu déroulant Cibles à analyser, avant de cliquer sur Analyser. Répéter la dernière analyse utilisée Vous permet de lancer rapidement la dernière analyse utilisée, avec les même paramètres qui avaient été utilisés. Voir la section Progression de l'analyse pour plus de détails sur le processus d'analyse. REMARQUE: Il est recommandé d'exécuter une analyse de l'ordinateur au moins une fois par mois. Cette analyse peut être configurée comme tâche planifiée dans Outils > Plus d'outils > Planificateur. Comment planifier une analyse hebdomadaire d'un ordinateur? 28 4.1.1.2.1 Analyse personnalisée Si vous ne souhaitez pas analyser tout l'espace disque, mais uniquement une cible particulière, vous pouvez utiliser l'analyse personnalisée en cliquant sur Analyse d'ordinateur > Analyse personnalisée et sélectionner une option dans le menu déroulant Cibles à analyser ou des cibles particulières dans l'arborescence des dossiers. La fenêtre Cibles à analyser permet de définir les objets (mémoire, lecteurs, secteurs, fichiers et dossiers) dans lesquels rechercher des infiltrations. Sélectionnez les cibles dans l'arborescence qui dresse la liste de tous les périphériques de l'ordinateur qui sont disponibles. Le menu déroulant Cibles à analyser permet de sélectionner des cibles à analyser prédéfinies : Par paramètres de profil - Sélectionne les cibles dans le profil d'analyse sélectionné. Supports amovibles - Sélectionne les disquettes, les périphériques de stockage USB, les CD/DVD. Disques locaux - Sélectionne tous les disques durs du système. Lecteurs réseau - Sélectionne tous les disques réseau mappés. Aucune sélection - Annule toutes les sélections. Pour accéder rapidement à une cible d'analyse ou ajouter directement une cible souhaitée (dossier ou fichier), entrez-la dans le champ vide sous la liste de dossiers. Cela n'est possible que si aucune cible n'a été sélectionnée dans l'arborescence et que le menu Cibles à analyser est défini à Aucune sélection. Les éléments infectés ne seront pas nettoyés automatiquement. Une analyse sans nettoyage peut être utilisée pour avoir un aperçu de l'état actuel de la protection. Si vous ne voulez qu'analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez Analyser sans nettoyer. Vous pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration... > Nettoyage. Les données de l'analyse sont enregistrées dans un journal d'analyse. Lorsque l'option Ignorer les exclusions est sélectionnée, les fichiers avec des extensions qui étaient auparavant exclues de l'analyse seront analysés, sans aucune exception. Vous pouvez choisir le profil à utiliser pour analyser les cibles visées dans le menu déroulant Profil d'analyse. Le profil par défaut est Analyse de l'ordinateur. Il existe deux autres profils d'analyse prédéfinis appelés Analyse approfondie et Analyse par menu contextuel. Ces profils d'analyse utilisent différents paramètres pour le moteur ThreatSense. Cliquez sur Configuration... pour configurer en détail le profil d'analyse choisi à partir du menu Profil d'analyse. Les options offertes sont décrites dans la section Autre dans les paramètres ThreatSense. Cliquez sur Enregistrer pour enregistrer les modifications apportées à la sélection des cibles, y compris les sélections effectuées dans l'arborescence des dossiers. Cliquez sur Analyse pour exécuter l'analyse avec les paramètres personnalisés que vous avez définis. L'option Analyser en tant qu'administrateur permet d'exécuter l'analyse avec le compte d'administrateur. Cliquez ici si l'utilisateur actuel n'a pas les privilèges requis pour accéder aux fichiers appropriés devant être analysés. À noter que ce bouton n'est pas disponible si l'utilisateur actuel ne peut appeler les opérations UAC en tant 29 qu'administrateur. 4.1.1.2.2 Progression de l'analyse La fenêtre de progression de l'analyse affiche l'état actuel de l'analyse ainsi que de l'information sur le nombre de fichiers contenant du code malveillant trouvés. REMARQUE : Il est normal que certains fichiers, comme les fichiers protégés par mot de passe ou les fichiers utilisés exclusivement par le système (généralement, les fichiers pagefile.sys et certains fichiers journaux), ne puissent pas être analysés. Progression de l'analyse - La barre de progression indique le pourcentage d'objets déjà analysés par rapport aux objets encore en attente d'analyse. L'état de progression de l'analyse découle du nombre total d'objets inclus dans l'analyse. Cible - Le nom de l'objet en cours d'analyse et son emplacement. Menaces trouvées - Affiche le nombre total de fichiers analysés, de menaces trouvées et nettoyées pendant une analyse. Pause - Met l'analyse en pause. Reprendre - Cette option est visible seulement lorsque l'analyse est suspendue. Cliquez sur Reprendre pour reprendre l'analyse. Arrêter - Met fin à l'analyse. Faire défiler le journal de l'analyse - Si cette option est activée, le journal d'analyse défilera automatiquement lorsque de nouvelles entrées seront ajoutées afin que les entrées les plus récentes soient visibles. CONSEIL : Cliquez sur la loupe ou la flèche pour afficher les détails de l'analyse en cours. Vous pouvez effectuer une autre analyse en parallèle en cliquant sur Analyse de l'ordinateur ou sur Analyse personnalisée. Action après l'analyse- Déclenche un arrêt ou un redémarrage planifié, une fois l'analyse des fichiers terminée. Une fois l'analyse terminée, une boîte de dialogue de confirmation de l'arrêt s'ouvrira et se fermera après 60 secondes. 30 4.1.1.2.3 Profils d'analyse Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour chacune des analyses utilisées régulièrement. Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (F5) et cliquez sur Antivirus > Analyse de l'ordinateur à la demande > De base > Liste des profils. La fenêtre Gestionnaire de profils comprend le menu déroulant Profil sélectionné qui affiche les profils d'analyse existants, ainsi que l'option permettant d'en créer un nouveau. Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique Configuration des paramètres du moteur ThreatSense pour une description de chacun des paramètres de configuration de l'analyse. Exemple : Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au profil Analyse de l'ordinateur vous convienne en partie, mais que vous ne voulez ni analyser les fichiers exécutables compressés par un compresseur d'exécutables ni les applications potentiellement dangereuses et que vous voulez également utiliser un nettoyage strict. Entrez le nom de votre nouveau profil dans la fenêtre Gestionnaire de profil, puis cliquez sur Ajouter. Sélectionnez votre nouveau profil à partir du menu déroulant de Profil sélectionné, puis ajustez les paramètres restants pour répondre à vos exigences; cliquez ensuite sur OK pour enregistrer votre nouveau profil. 4.1.1.3 Analyse au démarrage La vérification automatique des fichiers de démarrage sera effectuée par défaut au démarrage du système et pendant la mise à jour de la base de données des signatures de virus. Cette analyse dépend de la configuration et des tâches du Planificateur. Les options pour l'analyse au démarrage font partie d'une tâche du planificateur axée sur le contrôle des fichiers de démarrage du système. Pour modifier ses paramètres, allez à Outils > Plus d'outils > Planificateur, cliquez sur Vérification automatique des fichiers de démarrage, puis sur Modifier. Une fenêtre Vérification automatique des fichiers de démarrage s'affichera ensuite (consultez le chapitre suivant pour plus de détails). Pour des instructions détaillées sur la création et la gestion des tâches dans le Planificateur, consultez la section Création de nouvelles tâches. 4.1.1.3.1 Vérification automatique des fichiers de démarrage Lorsque vous créez une tâche planifiée de contrôle des fichiers au démarrage du système, plusieurs options s'offrent à vous pour définir les paramètres suivants : Le menu déroulant Fichiers couramment utilisés indique la profondeur de l'analyse pour les fichiers exécutés au démarrage du système selon un algorithme sophistiqué confidentiel. Les fichiers sont classés en ordre décroissant, selon les critères suivants : Tous les fichiers enregistrés (le plus grand nombre de fichiers analysés) Fichiers rarement utilisés Fichiers couramment utilisés Fichiers fréquemment utilisés Seulement les fichiers les plus fréquemment utilisés (le plus petit nombre de fichiers analysés) Deux groupes spécifiques sont aussi inclus : Fichiers exécutés avant la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui permettent d'y accéder sans que l'utilisateur n'ait ouvert de session (comprend presque tous les emplacements de démarrage comme les services, les objets application d'assistance du navigateur, la notification winlogon, les entrées dans le planificateur de Windows, les dll connus, etc.). Fichiers exécutés après la connexion de l'utilisateur - Contient les fichiers enregistrés dans des emplacements qui permettent d'y accéder seulement que lorsque l'utilisateur a ouvert une session. Comprend généralement les fichiers enregistrés dans le dossier HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion \Run). 31 Les listes de fichiers à analyser sont fixes, pour chacun des groupes susmentionnés. Priorité de l'analyse - Le niveau de priorité à utiliser pour déterminer à quel moment débutera l'analyse : Quand inactif - La tâche ne sera exécutée que lorsque le système sera inactif, Minimale - Lorsque la charge système est la plus faible possible, Faible - Lorsque la charge système est faible, Normal - Pour une charge système moyenne. 4.1.1.4 Analyse en état inactif Vous pouvez activer l'analyseur en état inactif dans Configuration avancée sous Antivirus > Analyse en état inactif > L'essentiel. Activez le commutateur à côté de l'option Activer l'analyse en état inactif pour activer cette fonctionnalité. Lorsque l'ordinateur est inactif, une analyse silencieuse de l'ordinateur est effectuée sur tous les disques locaux. Consulter la rubrique Déclencheurs de détection de l'état inactif pour une liste complète des conditions requises pour que soit déclenché l'analyseur en état actif. Par défaut, l'analyseur en état actif ne sera pas exécuté lorsque l'ordinateur (portable) est alimenté par batterie. Vous pouvez annuler ce paramètre en activant l'interrupteur à côté de l'option Exécuter même si l'ordinateur est alimenté par batterie dans Configuration avancée. Mettez en marche le commutateur Activer la journalisation dans la Configuration avancée > Outils > ESET LiveGrid® pour enregistrer les résultats des analyses dans la section Fichiers journaux (dans la fenêtre du programme principal, cliquez sur Outils > Fichiers journaux, puis sélectionnez Analyse de l'ordinateur dans le menu déroulant Journal). La détection de l'état inactif s'exécutera lorsque l'ordinateur est dans l'un des états suivants : Écran de veille Verrouillage de l'ordinateur Fermeture de session de l'utilisateur Cliquez sur configuration des paramètres du moteur de ThreatSense pour modifier les paramètres d'analyse (par exemple, les méthodes de détection) pour l'analyseur en état inactif. 4.1.1.5 Exclusions Les exclusions permettent d'exclure des fichiers et des dossiers de l'analyse. Pour que la détection des menaces s'applique à tous les objets, il est recommandé de ne créer des exclusions que lorsque cela est absolument nécessaire. Certaines situations justifient l'exclusion d'un objet. Par exemple, lorsque les entrées de bases de données volumineuses risquent de ralentir l'ordinateur pendant l'analyse ou lorsqu'il peut y avoir conflit entre le logiciel et l'analyse. Pour exclure un objet de l'analyse : 1. Cliquez sur Ajouter. 2. Entrez le chemin d'un objet ou sélectionnez-le dans l'arborescence. Vous pouvez utiliser des caractères génériques pour couvrir un groupe de fichiers. Un point d'interrogation (?) représente un seul caractère variable tandis qu'un astérisque (*) représente une chaîne variable de zéro caractère ou plus. Exemples Si vous souhaitez exclure tous les fichiers d'un dossier, tapez le chemin d'accès de ce dossier et utilisez le masque « *.* ». Pour exclure un lecteur complet, y compris tous les fichiers et sous-répertoires, utilisez le masque « D:\* ». Si vous ne souhaitez exclure que les fichiers .doc, utilisez le masque « *.doc ». Si le nom d'un fichier exécutable comporte un certain nombre de caractères variables dont vous ne connaissez que le premier (p. ex « D »), utilisez le format suivant : « D????.exe ». Les points d'interrogation remplacent les caractères manquants (inconnus). 32 REMARQUE : une menace présente dans un fichier n'est pas détectée par le module de protection du système de fichiers en temps réel ou par le module d'analyse de l'ordinateur si le fichier en question répond aux critères d'exclusion de l'analyse. Colonnes Chemin - Chemin d'accès des fichiers et des dossiers exclus. Menace - Si un nom de menace est indiqué à côté d'un fichier exclu, cela signifie que le fichier ne peut être exclus que de l'analyse pour cette menace et non de l'analyse globale. Si ce fichier devient ensuite infecté par d'autres logiciels malveillants, ceux-ci seront détectés par le module antivirus. Ce type d'exclusion ne peut être utilisé que pour certains types d'infiltrations et peut être créé dans la fenêtre d'alerte indiquant l'infiltration (cliquez sur Afficher les options avancées puis sélectionnez Exclure de la détection) ou en cliquant sur Outils > Plus d'outils > Quarantaine puis en cliquant à droite sur le fichier placé en quarantaine et en sélectionnant Restaurer et exclure de la détection dans le menu contextuel. Éléments de contrôle Ajouter - Exclut des objets de la détection. Modifier - Permet de modifier les entrées sélectionnées. Retirer - Retire les entrées sélectionnées. 4.1.1.6 ThreatSense paramètres ThreatSense est une technologie qui combine de nombreuses méthodes de détection de menaces complexes. Cette technologie proactive fournit également une protection durant les premières heures de propagation d'une nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et de signatures de virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse peut contrôler plusieurs flux de données simultanément, maximisant ainsi l'efficacité et le taux de détection. ThreatSense Cette technologie élimine avec succès les programmes malveillants furtifs. ThreatSense les options de configuration du moteur permettent également de préciser plusieurs paramètres d'analyse : les types de fichiers et extensions à analyser; la combinaison de plusieurs méthodes de détection; les niveaux de nettoyage, etc. 33 Pour ouvrir la fenêtre de configuration, cliquez sur paramètres ThreatSense dans la fenêtre de configuration avancée de tout module qui utilise la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être configuré individuellement pour les modules de protection suivants : Protection en temps réel du système de fichiers, Analyse en état inactif, Analyse au démarrage, Protection des documents, Protection du client de messagerie, Protection de l'accès Web, Analyse de l'ordinateur. ThreatSense les paramètres sont hautement optimisés pour chaque module et leur modification peut grandement affecter le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser compacteurs exécutables ou pour autoriser l'heuristique avancée dans la protection en temps réel du système de fichiers, vous pouvez diminuer les performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est recommandé de laisser inchangés les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur. Objets à analyser Cette section vous permet de définir quels éléments et fichiers de l'ordinateur seront analysés à la recherche des infiltrations. Mémoire vive - Activez cette option pour détecter les menaces qui s'attaquent à la mémoire vive du système. Secteurs d'amorçage - Activez cette option pour analyser les secteurs d'amorçage visant à détecter la présence de virus dans l'enregistrement de démarrage principal. Fichiers courriel - Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML. Archives - Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et beaucoup d'autres. Archives à extraction automatique - Les archives à extraction automatique (SFX) n'ont pas besoin de programmes spécialisés (archiveurs) pour être décomprimées. Fichiers exécutables compressés par un compresseur d'exécutables - Après l'exécution, les fichiers exécutables compressés par un compresseur d'exécutables (contrairement aux archiveurs standards) se décompressent en mémoire. En plus des compacteurs statiques standards (UPX, yoda, ASPack, FSG, etc.), l'analyseur est capable der reconnaitre beaucoup d'autres types de compacteurs grâce à l'utilisation de l'émulation de code. Options d'analyse Sélectionnez les méthodes utilisées lors de l'analyse du système à la recherche d'infiltrations. Les options suivantes sont disponibles : Heuristique - La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Le principal avantage de cette technologie est sa capacité à identifier un code malveillant qui n'existait pas ou n'était pas inscrit dans la base de données antérieure des signatures de virus. L'inconvénient de cette méthode est la probabilité (très faible) de fausses alarmes. Heuristique avancée/ADN/Signatures intelligentes - La méthode heuristique avancée utilise un algorithme heuristique développé par ESET, optimisé pour la détection des vers d'ordinateur et les chevaux de Troie, et écrit dans un langage de programmation de haut niveau. L'utilisation de l'heuristique avancée augmente considérablement les capacités de détection de menaces des produits ESET. Les signatures peuvent détecter et identifier les virus de façon fiable. Grâce au système de mise à jour automatique, de nouvelles signatures peuvent être disponibles dans les quelques heures de la découverte d'une menace. L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elles connaissent (ou une version légèrement modifiée de ces virus). Une application potentiellement indésirable est un programme qui contient des logiciels publicitaires, qui installe 34 des barres d'outils ou qui a d'autres objectifs inavoués. Il y a des situations où un utilisateur peut trouver que les avantages d'une application potentiellement indésirable l'emportent sur les risques. Pour cette raison, ESET attribue à ces applications une catégorie de risque plus faible par rapport à d'autres types de logiciels malveillants, tels que les chevaux de Troie ou les vers. Avertissement - Menace potentielle trouvée Quand une application potentiellement indésirable est détectée, vous serez en mesure de décider des mesures à prendre : 1. Nettoyer/Déconnecter: Cette option met fin à l'action et empêche la menace potentielle d'entrer dans votre système. 2. Ignorer : Cette option autorise la menace potentielle à accéder à votre système. 3. Pour permettre à une application de s'exécuter sur votre ordinateur à l'avenir sans interruption, cliquez sur Options avancées puis cochez la case située à côté de Exclure de la détection. Lorsqu'une application potentiellement indésirable est détectée et qu'il n'est pas possible de la nettoyer, la fenêtre de notification L'adresse a été bloquée s'affichera dans le coin inférieur droit de l'écran. Pour plus de renseignements sur cet événement, allez dans Outils > Plus d'outils > Fichiers journaux > Sites Web filtrés à partir du menu principal 35 Applications potentiellement indésirables - Paramètres Lors de l'installation de votre produit ESET, vous pouvez choisir d'activer la détection des applications potentiellement indésirables, comme indiqué ci-dessous : Les applications potentiellement indésirables peuvent installer des logiciels publicitaires, installer des barres d'outils ou contenir d'autres caractéristiques de programme indésirables et dangereux. Ces paramètres peuvent être modifiés dans les paramètres de votre programme à tout moment. Pour activer ou désactiver la détection des applications potentiellement indésirables, dangereuses ou suspectes, suivez les instructions suivantes : 1. Ouvrez votre produit ESET. Comment puis-ouvrir mon produit ESET? 2. Appuyez sur la touche F5 pour accéder à la configuration avancée. 3. Cliquez sur Antivirus et activez ou désactivez les options Activer la détection d'applications potentiellement indésirables, Activer la détection des applications potentiellement dangereuses et Activer la détection des applications suspectes selon vos préférences. Confirmez en cliquant sur OK. 36 Applications potentiellement indésirables - Enveloppeurs de logiciel Un enveloppeur de logiciel est un type spécial de modification d'application utilisé par certains sites Web d'hébergement de fichiers. C'est un outil tiers qui installe le programme que vous avez téléchargé mais ajoute des logiciels complémentaires tels que des barres d'outils ou des logiciels publicitaires. Le logiciel supplémentaire peut également apporter des modifications à la page d'accueil et aux paramètres de recherche de votre navigateur Web. De plus, les sites Web d'hébergement de fichiers n'informent souvent pas l'éditeur du logiciel ou le destinataire du téléchargement des modifications apportées; retirer les modifications n'est pas facile non plus. Pour ces raisons, ESET classe les enveloppeurs de logiciels comme type d'application potentiellement indésirables afin de permettre aux utilisateurs d'accepter ou non le téléchargement. Veuillez consulter cet article de la Base de connaissances ESET pour obtenir une version à jour de cette page d'aide. Applications potentiellement dangereuses - Applications potentiellement dangereuses est la classification utilisée pour des programmes commerciaux légitimes tels que les outils d'accès à distance, les applications de perçage de mots de passe et les enregistreurs de frappe (programmes qui enregistrent chaque frappe effectuée par un utilisateur). Cette option est désactivée par défaut. Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés. Trois niveaux de nettoyage sont possibles. Exclusions L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à analyser. Autre Au moment de configurer les paramètres du moteur ThreatSense pour une analyse de l'ordinateur à la demande, les options suivantes dans la section Autre seront aussi offertes : Analyser les flux de données alternatifs (ADS) - Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs. 37 Exécuter les analyses en arrière-plan avec une priorité faible - Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des programmes qui exigent beaucoup de ressources système, vous pouvez activer l'analyse en arrière-plan à faible priorité de manière à réserver des ressources pour vos applications. Consigner tous les objets - Si cette option est sélectionnée, le fichier journal affichera tous les fichiers analysés, même ceux qui ne sont pas infectés. Par exemple, si une infiltration est détectée dans une archive, le journal présente également les fichiers propres qu'elle contient. Activer l'optimisation intelligente - Lorsque l'optimisation Smart est activée, les paramètres les plus optimaux sont utilisés pour assurer le niveau d'analyse le plus efficient tout en conservant la vitesse d'analyse la plus élevée. Les différents modules de protection effectuent une analyse intelligente, utilisant pour ce faire différentes méthodes d'analyse et les appliquant à différents types de fichiers. Si l'optimisation Smart est activée, seuls les paramètres définis par l'utilisateur dans le moteur ThreatSense utilisé pour ces modules particuliers seront appliqués au moment de l'analyse. Conserver la date et l'heure du dernier accès - Activez cette option pour conserver la date et l'heure d'accès d'origine des fichiers analysés au lieu de la mettre à jour (par ex., pour l'utiliser avec des systèmes de sauvegarde de données). Limites La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à analyser : Paramètres de l'objet Taille maximale de l'objet - Définit la taille maximale des objets à analyser. Le module antivirus donné n'analysera alors que les objets d'une taille inférieure à celle indiquée. Cette option ne devrait être modifiée que par des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut : illimitée. Durée d'analyse maximale pour l'objet (s) - Précise la valeur de temps maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cessera d'analyser un objet une fois ce temps écoulé, que l'analyse soit finie ou non. Valeur par défaut : illimitée. Configuration de l'analyse d'archive Niveau d'imbrication des archives - Précise la profondeur maximale de l'analyse des archives. Valeur par défaut : 10. Taille maximale du fichier dans l'archive - Cette option permet de préciser la taille maximale des fichiers (après extraction) à analyser, contenus dans les archives. Valeur par défaut : illimitée. REMARQUE : il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune raison de le faire. 4.1.1.6.1 Nettoyage Les paramètres de nettoyage déterminent le comportement de l'analyseur lors du nettoyage des fichiers infectés. Il existe trois niveaux de nettoyage. 38 4.1.1.6.2 Extensions de fichiers exclus de l'analyse L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration des paramètres ThreatSense vous permet de définir les types de fichiers à analyser. Par défaut, tous les fichiers sont analysés, quelle que soit leur extension. N'importe quelle extension peut être ajoutée à la liste des fichiers exclus de l'analyse. L'exclusion de fichiers peut parfois être utile lorsque l'analyse de certains types de fichiers empêche le fonctionnement approprié du programme utilisant ces extensions. Par exemple, il peut être judicieux d'exclure les extensions .edb, .eml et .tmp lorsque vous utilisez les serveurs Microsoft Exchange. Les boutons Ajouter et Supprimer permettent d'autoriser ou d'empêcher l'analyse d'extensions de fichiers spécifiques. Pour ajouter une nouvelle extension à la liste, cliquez sur Ajouter, entrez l'extension dans le champ vide, puis cliquez sur OK. Lorsque vous sélectionnez Entrez plusieurs valeurs, vous pouvez ajouter plusieurs extensions de fichier séparées par des lignes, des virgules ou des points virgules. Lorsqu'un choix multiple est activée, les extensions sont affichés dans la liste. Sélectionnez sur une extension dans la liste puis sur cliquez sur Retirer pour la supprimer de la liste. Si vous souhaitez modifier une extension sélectionnée, cliquez Modifier. Les symboles spéciaux * (astérisque) et ? (point d'interrogation) peuvent être utilisés. L'astérisque remplace n'importe quelle chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel autre symbole. 4.1.1.7 Une infiltration est détectée Des infiltrations peuvent utiliser différents points d'entrée pour attaquer votre système, comme les pages Web, dossiers partagés, courriel ou périphériques amovibles (USB, disques externes, CD, DVD, disquettes, etc.). Comportement normal À titre d'exemple général de la façon dont les infiltrations sont traitées par ESET Smart Security, elles peuvent notamment être détectées en utilisant Protection en temps réel du système de fichiers Protection de l'accès Web Protection du client de messagerie Analyse de l'ordinateur à la demande Chacun de ces modules utilise le niveau de nettoyage standard et tentera de nettoyer le fichier et de le mettre en quarantaine ou de mettre fin à la connexion. Une fenêtre de notification s'affiche dans la zone de notification, dans le coin inférieur droit de l'écran. Pour plus d'information sur les niveaux de nettoyage et le comportement, consultez la rubrique Nettoyage. 39 Nettoyage et suppression Si aucune action n'est prédéfinie pour la protection en temps réel, vous serez invité à sélectionner une option dans une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action sont généralement disponibles. Sélectionner Aucune action n'est pas recommandé puisque cela ne nettoiera pas les fichiers infectés. La seule exception concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté par erreur. Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, tentez d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement de code malveillant, il sera alors supprimé. Si un fichier infecté est « verrouillé » ou utilisé par un processus du système, il ne sera généralement supprimé qu'après avoir été déverrouillé (le plus souvent, après un redémarrage du système). Menaces multiples Si aucun des fichiers infectés n'a été nettoyé pendant l'analyse de l'ordinateur (ou le niveau de nettoyage a été défini à Aucun nettoyage), une fenêtre d'alerte vous invitant à choisir des actions pour ces fichiers s'affichera. Sélectionnez des actions pour les fichiers (les actions sont définies individuellement pour chaque fichier de la liste), puis cliquez sur Terminer. Suppression de fichiers dans les archives En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers sains. Soyez cependant prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive sera supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. 40 Si votre ordinateur montre des signes d'une infection par un logiciel malveillant (ralentissement, blocages fréquents, etc.), il est recommandé d'effectuer les opérations suivantes : Ouvrir ESET Smart Security et cliquer sur Analyse de l'ordinateur, Cliquer sur Analyse de l'ordinateur (pour plus d'information, se reporter à la rubrique Analyse de l'ordinateur). Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. Si vous ne voulez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez les cibles à analyser. 4.1.1.8 Protection des documents La fonctionnalité de protection des documents analyse les documents Microsoft Office avant leur ouverture, comme les fichiers téléchargés automatiquement par Internet Explorer, tels que les éléments Microsoft ActiveX. La protection des documents offre une couche de protection, en plus de la protection en temps réel du système de fichiers, et peut être désactivée afin d'améliorer la performance de systèmes non exposés à un volume élevé de documents Microsoft Office. L'option Intégration système active le système de protection. Pour modifier cette option, appuyez sur la touche F5 pour ouvrir la fenêtre Configuration avancée et cliquez sur Antivirus > Protection des documents dans la fenêtre Configuration avancée. Cette fonctionnalité est activée par des applications utilisant Antivirus API de Microsoft (par ex., Microsoft Office 2000 et versions ultérieures, ou Microsoft Internet Explorer 5.0 et versions ultérieures). 4.1.2 Supports amovibles ESET Smart Security effectue une analyse automatique des supports amovibles (CD/DVD/USB/...). Ce module permet d'analyser le support inséré. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher les utilisateurs d'utiliser des supports amovibles comportant un contenu non sollicité. Action à prendre après l'insertion d'un support amovible - Sélectionnez l'action par défaut qui sera exécutée lorsqu'un support amovible est inséré dans l'ordinateur (CD/DVD/USB). Si Afficher les options d'analyse est sélectionnée, une notification s'affichera pour vous permettre de choisir l'action souhaitée : Ne pas analyser - Aucune action ne sera effectuée et la fenêtre Nouveau périphérique détecté sera fermée. Analyse automatique du périphérique - Une analyse de l'ordinateur à la demande du support amovible inséré sera effectuée. Afficher les options d'analyse - Ouvre la section de configuration du support amovible. Lorsqu'un support amovible est inséré, la boîte de dialogue suivante affichera les renseignements suivants : Analyser maintenant - Déclenche l'analyse du support amovible. Analyser plus tard - Reporte l'analyse du support amovible. Configuration - Ouvre la configuration avancée. Toujours utiliser l'option sélectionnée - Lorsque cette case est cochée, la même action sera effectuée la prochaine fois qu'un support amovible sera inséré. De plus, ESET Smart Security comprend la fonctionnalité de contrôle du périphérique qui offre la possibilité de 41 définir des règles pour l'utilisation des périphériques externes sur un ordinateur particulier. Vous trouverez plus de détails sur le contrôle de périphérique dans la section Contrôle de périphérique. 4.1.3 Contrôle de périphérique ESET Smart Security fournit un contrôle automatique des périphériques (CD/DVD/USB/...). Ce module vous permet d'analyser, de bloquer ou de régler les filtres ou permissions étendus et de définir la capacité d'un utilisateur d'accéder à un périphérique donné et travailler avec celui-ci. Cela peut être utile si l'administrateur de l'ordinateur veut empêcher l'utilisation de périphériques comportant un contenu non sollicité par des utilisateurs. Périphériques externes pris en charge : Stockage sur disque (Disque dur, Disque amovible USB) CD/DVD Imprimante USB Stockage FireWire Périphérique Bluetooth Lecteur de carte à puce Périphérique d'acquisition d'images Modem Port LPT/COM Appareil portable Tous les types de périphériques Les options de contrôle de périphérique peuvent être modifiées dans Configuration avancée (touche F5) > Contrôle de périphérique. Activez le commutateur à côté de Intégration au système pour activer la fonctionnalité de contrôle du périphérique de ESET Smart Security; vous devrez redémarrer votre ordinateur pour que cette modification prenne effet. Une fois le Contrôle de périphérique activé, l'option Règles est activée, ce qui vous permet d'ouvrir la fenêtre Éditeur des règles. Si un périphérique bloqué par une règle existante est inséré, une fenêtre de notification s'affiche et l'accès à au périphérique est refusé. 42 4.1.3.1 Éditeur des règles du contrôle de périphérique La fenêtre Éditeur des règles du contrôle de périphérique affiche les règles existantes et permet un contrôle précis des périphériques externes que les utilisateurs utilisent pour se connecter à l'ordinateur. Des périphériques particuliers peuvent être autorisés ou bloqués par utilisateur ou groupe d'utilisateurs, ainsi qu'en fonction de paramètres supplémentaires qui peuvent être précisés dans la configuration de la règle. La liste de règles contient plusieurs éléments descriptifs d'une règle comme le nom, le type de périphérique externe, l'action à effectuer après la connexion d'un périphérique externe à l'ordinateur et la gravité, tels que consignés dans le journal. Cliquez sur Ajouter ou Modifier pour gérer une règle. Cliquez sur Copier pour créer une nouvelle règle avec les options prédéfinies utilisées pour une autre règle sélectionnée. Les chaînes en XML qui s'affichent lorsque vous cliquez sur une règle peuvent être copiées dans le Bloc-notes pour aider les administrateurs de système à exporter ou à importer ces données et à les utiliser, par exemple dans ESET Remote Administrator. En tenant la touche CTRL enfoncée et en cliquant simultanément sur les règles, vous pourrez en sélectionner plusieurs et effectuer des actions sur celles-ci, comme les supprimer ou les monter ou descendre dans la liste. La case Activé active ou désactive une règle; ce qui peut être utile si vous ne voulez pas supprimer définitivement la règle. Le contrôle est effectué par des règles triées dans un ordre qui en détermine la priorité - les règles plus prioritaires étant les premières. Les entrées de journal peuvent être affichées à partir de la fenêtre principale de ESET Smart Security dans Outils > Plus d'outils > Fichiers journaux. Le journal de contrôle des périphériques enregistre toutes les occurrences où le contrôle de périphérique est déclenché. Cliquez sur l'option Alimenter pour remplir automatiquement les paramètres du support amovible connecté à votre ordinateur. 43 4.1.3.2 Ajout de règles du contrôle de périphérique Une règle de contrôle des périphériques définit l'action qui sera effectuée lorsqu'un périphérique conforme aux critères énoncés dans la règle est branché à l'ordinateur. Entrez une description de la règle dans le champ Nom pour pouvoir l'identifier plus facilement. Cliquez sur le commutateur à côté de Règle activée pour activer ou désactiver cette règle, ce qui peut être utile si vous ne voulez pas supprimer définitivement la règle. Type de périphérique Choisissez le type de périphériques externe dans le menu déroulant (Stockage sur disque/Dispositif portable/ Bluetooth/FireWire/etc.). Les renseignements de types de périphériques sont tirés du système d'exploitation et peuvent être affichés dans le Gestionnaire de périphériques lorsqu'un périphérique est branché à l'ordinateur. Les périphériques de stockage incluent les disques externes ou les lecteurs conventionnels de cartes mémoires branchés à un port USB ou FireWire. Les lecteurs de cartes à puce comprennent les lecteurs de cartes à puce avec circuit intégré, comme les cartes SIM ou les cartes d'authentification. Les numériseurs ou les appareils photos sont des exemples de périphériques d'acquisition d'images. Parce que ces périphériques ne fournissent que des renseignements sur leurs actions et ne fournissent pas de renseignements sur les utilisateurs, ils ne peuvent être bloqués que globalement. Action L'accès aux appareils autres que de stockage peut être autorisé ou bloqué. À l'inverse, les règles connexes aux périphériques de stockage permettent de sélectionner l'un des réglages de droits suivants : Lecture et écriture - L'accès complet au périphérique sera autorisé. Bloquer - L'accès au périphérique sera bloqué. Lecture seule - Seule l'accès en lecture à partir du périphérique sera autorisée. Avertir - Chaque fois qu'un périphérique est connecté, l'utilisateur sera informé s'il est autorisé ou bloqué, et une entrée de journal sera effectuée. Les périphériques ne sont pas mémorisés; une notification sera toujours affichée pour les connexions ultérieures du même périphérique. À noter que seules certaines actions (autorisations) sont disponibles pour tous les types de périphériques. Si c'est un périphérique de stockage, toutes les quatre actions sont disponibles. Pour les périphériques autres que de 44 stockage, seules trois actions sont disponibles (par exemple, l'action Lecture seule n'est pas disponible pour Bluetooth, ce qui signifie que les périphériques Bluetooth ne peuvent qu'être autorisés, bloqués ou avertis). Type de critère - Sélectionnez Groupe de périphériques ou Périphérique. D'autres paramètres présentés ci-dessous peuvent être utilisés pour affiner les règles et les personnaliser en fonction des périphériques. Aucun des paramètres n'est sensible à la casse : Fournisseur - Filtrer par nom de fournisseur ou par identifiant. Modèle - Le nom donné au périphérique. Numéro de série - Les périphériques externes ont généralement leur propre numéro de série. Dans le cas des CD/DVD, il s'agit du numéro de série du périphérique, non du lecteur de CD. REMARQUE : Si ces paramètres ne sont pas définis, la règle ignorera ces champs lors de la recherche de correspondance. Les paramètres de filtrage des champs de texte ne respectent pas la casse et les caractères génériques (*, ?) ne sont pas pris en charge. CONSEIL : Pour afficher des informations sur un périphérique, créez une règle pour ce type de périphérique, connectez-le à votre ordinateur, puis vérifiez les détails le concernant dans le journal de contrôle du périphérique. Journalisation de la gravité ESET Smart Security enregistre tous les événements importants dans un fichier journal, accessible directement à partir du menu principal. Cliquez sur Outils > Plus d'outils > Fichiers journaux, puis sélectionnez Contrôle de périphérique dans le menu déroulant Journal. Toujours - Consigne tous les événements. Diagnostic - Consigne les données requises pour affiner le programme. Information - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissement - Enregistre les erreurs critiques et les messages d'avertissement. Aucun - Aucune journalisation ne sera faite. Les règles peuvent être restreintes à certains utilisateurs ou groupes d'utilisateurs en les ajoutant dans la liste des utilisateurs : Ajouter - Ouvre la boîte de dialogue Types d'objet : Utilisateurs ou groupes qui permet de sélectionner les utilisateurs voulus. Supprimer - Retire l'utilisateur sélectionné du filtre. REMARQUE : Tous les périphériques peuvent être filtrés par des règles utilisateur (par exemple, les périphériques d'imagerie ne fournissent aucun renseignement sur les utilisateurs, seulement sur les actions). 4.1.4 Système de détection d'intrusion au niveau de l'hôte (HIPS) Seul un utilisateur d'expérience devrait apporter des modifications aux paramètres de HIPS. Une mauvaise configuration des paramètres HIPS peut rendre le système instable. Le Système de prévention des intrusions sur l'ordinateur hôte (HIPS) protège votre système des logiciels malveillants ou de toute activité indésirable qui tentent de de nuire à votre ordinateur. Il utilise, pour ce faire, une analyse comportementale évoluée combinée aux fonctionnalités de détection de filtrage du réseau utilisées dans la surveillance des processus en cours, fichiers et clés de registre. Le système HIPS diffère de la protection en temps réel du système de fichiers et ce n'est pas un pare-feu. Il surveille uniquement les processus en cours d'exécution au sein du système d'exploitation. Vous pouvez accéder aux paramètres de HIPS dans Configuration avancée (touche F5) Antivirus > HIPS > Basic. L'état du HIPS (activé/désactivé) s'affiche dans la fenêtre principale du programme ESET Smart Security, sous Configuration > Protection de l'ordinateur. 45 ESET Smart Security comporte une technologie d'auto-défense intégrée qui empêche les logiciels malveillants de corrompre ou de désactiver votre protection antivirus et antispyware, pour que vous soyez toujours certain que votre système est en tout temps protégé. Il est nécessaire de redémarrer Windows pour désactiver HIPS ou l'autodéfense. L'Analyseur avancé de la mémoire fonctionne avec Exploit Blocker pour renforcer la protection contre les logiciels malveillants qui ont été conçus pour contourner la détection par les protection anti-logiciels malveillants en utilisant l'obscurcissement ou le chiffrement. L'analyseur avancé de la mémoire est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire. Exploit Blocker est conçu pour protéger les types d'applications souvent exploités, comme les navigateurs, les lecteurs PDF, les clients de messagerie et les composants MS Office. Exploit blocker est activé par défaut. Pour en savoir plus sur ce type de protection, consultez le glossaire. Le filtrage peut être effectué selon l'un des quatre modes : Mode automatique - Les opérations sont activées, à l'exception de celles bloquées par des règles prédéfinies qui protègent votre système. Mode intelligent - L'utilisateur ne sera informé que des événements vraiment suspects. Mode interactif - L'utilisateur sera invité à confirmer les opérations. Mode basé sur des règles personnalisées - Les opérations seront bloquées. Mode d'apprentissage - Les opérations sont activées et une règle est créée, après chaque opération. Les règles créées dans ce mode peuvent être affichées dans l'Éditeur de règles, mais leur priorité sera inférieure aux règles créées manuellement ou en mode automatique. Lorsque vous sélectionnez le mode d'apprentissage dans le menu déroulant Mode de filtrage HIPS, le paramètre Mode d'apprentissage se termine le devient disponible. Sélectionnez la durée pendant laquelle vous souhaitez activer le mode d'apprentissage, la durée maximale est de 14 jours. Une fois que la durée indiquée sera écoulée, vous serez invité à modifier les règles créées par HIPS alors qu'il était en mode d'apprentissage. Vous pouvez également choisir un mode de filtrage différent, ou reporter la décision et continuer à utiliser le mode d'apprentissage. 46 Le système HIPS surveille les événements qui se produisent dans le système d'exploitation et réagit à ces derniers en fonction des règles utilisées par le Pare-feu personnel. Cliquez sur Modifier pour ouvrir la fenêtre de gestion des règles HIPS. Cette fenêtre vous permet de sélectionner, de créer, de modifier ou de supprimer des règles. Dans l'exemple suivant, nous allons illustrer comment limiter le comportement non voulu d'applications : 1. Nommez la règle et sélectionnez Bloquer dans le menu déroulant Action. 2. Activez le commutateur Avertir l'utilisateur pour afficher une notification chaque fois qu'une règle est appliquée. 3. Veuillez sélectionner au moins une opération à laquelle la règle s'appliquera. Dans la fenêtre Applications sources , sélectionnez Toutes les applications dans le menu déroulant pour appliquer la nouvelle règle à toutes les applications qui tentent d'effectuer l'une des opérations sélectionnées sur les applications spécifiées. 4. Sélectionnez Modifier l'état d'une autre application (toutes les opérations sont décrites dans l'aide sur le produit à laquelle vous pouvez accéder en appuyant sur la touche F1). 5. Sélectionnez Applications spécifiques dans le menu déroulant et ajoutez une ou plusieurs applications à protéger. 6. Cliquez sur Terminer pour enregistrer la nouvelle règle. 4.1.4.1 Configuration avancée Les options suivantes sont utiles pour déboguer et analyser le comportement d'une application : Le chargement des pilotes est toujours autorisé - Le chargement des pilotes sélectionnés est toujours autorisé, indépendamment du mode de filtrage défini, à l'exception des cas où un pilote est explicitement bloqué par une règle de l'utilisateur. Consigner toutes les opérations bloquées - Toutes les opérations bloquées seront consignées dans le journal HIPS. Aviser lorsqu'un changement est effectué dans les applications de démarrage - Affiche une notification sur le bureau chaque fois qu'une application est ajoutée au démarrage du système ou supprimée lors de celui-ci. Voir l’article de notre base de connaissances pour une version à jour de cette page d'aide. 47 4.1.4.2 Fenêtre interactive HIPS Si l'action par défaut pour une règle est mise à Demander, une boîte de dialogue s'affichera chaque fois que la règle est déclenchée. Vous pouvez choisir de Refuser ou d'Autoriser l'opération. Si aucune action n'est sélectionnée dans le temps imparti, une nouvelle action sera sélectionnée, en fonction des règles. La boîte de dialogue permet de créer une règle en fonction de toute nouvelle action détectée par le système HIPS, puis de définir les conditions dans lesquelles autoriser ou refuser cette action. Pour définir les paramètres exacts, cliquez sur Détails. Les règles créées de cette façon sont jugées équivalentes aux règles créées manuellement. Ainsi, la règle créée à partir d'une fenêtre de dialogue peut être moins précise que la règle qui a déclenché la fenêtre de dialogue. Ainsi, après la création d'une telle règle, la même opération pourra déclencher l'affichage de la même fenêtre. Mémoriser jusqu'à la fermeture de l'application provoque le recours à une action (Autoriser/Refuser) qui devra être utilisée jusqu'à la modification des règles ou du mode de filtrage, une mise à jour du module HIPS ou le redémarrage du système. À l'issue de l'une de ces trois actions, les règles temporaires seront supprimées. 4.1.5 Mode jeu Le mode jeu est une fonctionnalité destinée aux utilisateurs qui exigent une utilisation interrompue de leur logiciel, qui ne veulent pas être dérangés par des fenêtres contextuelles et qui veulent minimiser la charge sur l'UC. Ce mode peut aussi être utilisé lors de présentations qui ne peuvent être interrompues par l'activité de l'antivirus. Une fois cette fonctionnalité activée, toutes les fenêtres contextuelles seront désactivées et l'activité du planificateur sera complètement arrêtée. La protection du système s'exécute toujours en arrière-plan, mais n'exige aucune interaction de l'utilisateur. Vous pouvez activer ou désactiver le mode jeu à partir de la fenêtre principale du programme, sous Configuration > Protection de l'ordinateur en cliquant sur ou à côté de Mode jeu. Activer le mode Jeu entraîne un risque potentiel puisque l'icône de l'état de la protection dans la barre des tâches tournera au orange, en plus d'afficher un avertissement. Vous pouvez aussi voir cet avertissement dans la fenêtre principale du programme où le mode Jeu activé sera indiqué en orange. Vous pouvez activer le mode jeu dans l'arbre Configuration avancée (touche F5) en ouvrant Ordinateur, en cliquant sur Mode jeu et en cochant la case à côté de Activer le mode jeu. En sélectionnant Activer automatiquement le mode jeu lorsque des applications s'exécutent en mode plein écran, sous Configuration avancée (touche F5), le mode jeu démarrera dès que vous lancerez une application en mode plein écran et s'arrêtera automatiquement dès que vous quitterez l'application. Sélectionnez Désactiver le mode jeu automatiquement après pour définir le temps en minutes après lequel le mode jeu sera automatiquement désactivé. REMARQUE : Si le Pare-feu personnel est en mode interactif et que le mode jeu est activé, vous pourriez avoir de la 48 difficulté à vous connecter à Internet. Cela peut se révéler problématique si vous lancez un jeu qui se connecte à Internet. En temps normal, vous devriez devoir confirmer une telle action (si aucune règle ou exception pour les communications n'a été définie), mais l'interaction utilisateur est désactivée en mode jeu. Pour autoriser la communication, définissez une règle de communication pour chaque application qui pourrait rencontrer ce problème, ou utilisez un mode de filtrage différent, dans le pare-feu personnel. N'oubliez pas que si le mode jeu est activé et que vous ouvrez une page Web ou une application pouvant poser un risque de sécurité, elle pourrait être bloquée sans aucune explication ou avertissement car l'interaction utilisateur est désactivée. 4.2 Protection sur Internet La configuration Web et messagerie est accessible dans le volet Configuration en cliquant sur Protection sur Internet. Elle permet d’accéder à des paramètres plus détaillés du programme. La connectivité Internet est un élément standard des ordinateurs personnels. Internet est malheureusement devenu le principal mode de transfert du code malveillant. Il est donc essentiel de prêter une grande attention aux paramètres de protection de l'accès Web. Cliquez sur pour ouvrir les paramètres de la protection Web/de la messagerie/anti-hameçonnage/antipourriel dans la Configuration avancée. Protection du client de messagerie vous permet de contrôler les communications par courriel reçues par les protocoles POP3 et IMAP. À l'aide du plugiciel pour votre client de messagerie, ESET Smart Security assure le contrôle de toutes les communications reçues par le client de messagerie (POP3, MAPI, IMAP, HTTP) ou envoyées par celui-ci. Protection antipourriel filtre les messages non sollicités. Lorsque vous cliquez sur la roue dentée disponibles : située à côté de Protection antipourriel, les options suivantes sont Configurer... - Ouvre les paramètres avancés pour la protection du client de messagerie contre les pourriels. Liste blanche/Liste noire/Liste des exceptions de l'utilisateur - Ouvre une boîte de dialogue permettant 49 d'ajouter, de modifier ou de supprimer des adresses courriel considérées comme sûres. Selon les règles définies ici, les courriels provenant de ces adresses ne seront pas analysées ou seront traités comme pourriels. Cliquez sur la liste d'exceptions de l'utilisateur pour ajouter, modifier ou supprimer des adresses électroniques pouvant être usurpées et utilisées pour envoyer du pourriel. Les messages provenant des adresses répertoriées dans la liste d'exceptions sont toujours inclus à l'analyse visant à identifier le pourriel. La protection anti-hameçonnage permet de bloquer les pages Web connues pour diffuser du contenu lié au hameçonnage. Il est fortement recommandé de laisser la protection anti-hameçonnage activée : Vous pouvez désactiver temporairement le module de protection Web/de la messagerie/anti-hameçonnage/ antipourriel en cliquant sur . 4.2.1 Protection de l'accès Web La connectivité Internet est un élément standard des ordinateurs personnels. Malheureusement, c'est aussi devenu le principal moyen de transférer et disséminer du code malveillant. La protection de l'accès Web utilise la surveillance des communication entre les navigateurs Internet et des serveurs distants, conformément aux règles des protocoles HTTP et HTTPS (communications chiffrées). L'accès aux pages Web contenant du code malveillant est bloqué avant que le contenu ne soit téléchargé. Toutes les autres pages Web sont analysées par le moteur de ThreatSense lorsqu'elles sont chargées et bloquées en cas de détection de contenu malveillant. La protection de l'accès Web offre deux niveaux de protection : le blocage selon la liste noire et le blocage selon le contenu. Il est fortement recommandé d'activer la protection de l'accès Web. Vous pouvez accéder à cette option à partir de la fenêtre principale de ESET Smart Security en allant dans Configuration > Protection sur Internet > Protection de l'accès Web. Les options suivantes sont disponibles dans Configuration avancée (touche F5) > Web et messagerie > Protection de l'accès Web : Protocoles Web - Les protocoles Web permettent de configurer la surveillance de ces protocoles standards qui sont utilisés par la plupart des navigateurs Internet. Gestion d'adresses URL - La gestion d'adresses URL vous permet de préciser les adresses HTTP à bloquer, à autoriser ou à exclure de la vérification. 50 ThreatSense paramètres - Configuration avancée de l'analyseur de virus - vous permet de configurer les paramètres tels que les types d'objets à analyser (courriels, archives, etc.), les méthodes de détection de la protection de l'accès Web, etc. 4.2.1.1 L'essentiel Activer la protection de l'accès Web - Lorsque cette option est désactivée, la protection de l'accès Web et la protection anti-hameçonnage ne peuvent être assurées. REMARQUE: Il est fortement recommandé de laisser cette option activée. 4.2.1.2 Protocoles Web Par défaut, ESET Smart Security est configuré pour surveiller le protocole HTTP utilisé par la plupart des navigateurs Internet. Configuration de l'analyseur HTTP Dans Windows Vista et les versions ultérieures, le trafic HTTP est toujours surveillé sur tous les ports pour toutes les applications. Dans Windows XP, vous pouvez modifier les ports utilisés par le protocole HTTP dans Configuration avancée (touche F5) > Web et messagerie > Protection de l'accès Web > Protocoles Web. Le trafic HTTP est surveillé sur les ports indiqués pour toutes les applications et sur tous les ports pour les applications marquées comme Web et clients de messagerie. Configuration de l'analyseur HTTP ESET Smart Security prend également en charge le contrôle de protocole HTTPS. La communication HTTP utilise un canal chiffré pour transférer des données entre un serveur et un client. ESET Smart Security vérifie les communications à l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analysera uniquement le trafic sur les ports définis dans Ports utilisés par le protocole HTTPS, indépendamment de la version du système d'exploitation. Les communications chiffrées ne sont pas analysées. Pour activer l'analyse des communications chiffrées et visualiser la configuration de l'analyseur, allez jusqu'à l'option SSL/TLS dans la section Configuration avancée, cliquez sur Web et messagerie > SSL/TLS et activez l'option Activer le filtrage par protocole SSL/TLS. 4.2.1.3 Gestion d'adresses URL La section de gestion d'adresses URL vous permet de préciser les adresses HTTP à bloquer, à autoriser ou à exclure de la vérification. Les sites Web de la liste des adresses bloquées ne seront pas accessibles, sauf s'ils sont également inclus dans la liste des adresses autorisées. Les sites Web de la liste des adresses exclues de la vérification ne sont pas analysés à la recherche de programmes malveillants lorsqu'un utilisateur y accède. Activer le filtrage de protocole SSL doit être sélectionné si vous voulez filtrer les adresses HTTPS en plus des pages Web HTTP. Sinon, seuls les domaines des sites HTTPS que vous avez visités seront ajoutés, l'URL complète ne le sera pas. Si vous ajoutez une adresse URL à la Liste des adresses exclues du filtrage, l'adresse sera exclue de l'analyse. Vous pouvez aussi autoriser ou bloquer certaines adresses, en les ajoutant à la Liste des adresses autorisées ou à la Liste des adresses bloquées. Si vous voulez bloquer toutes les adresses HTTP à l'exception des adresses indiquées dans la Liste des adresses autorisées, ajoutez * à la Liste des adresses bloquées active. Les symboles spéciaux * (astérisque) et ? (point d'interrogation) peuvent être utilisés dans les listes. L'astérisque remplace n'importe quelle chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel autre caractère individuel. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la liste ne doit contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et ? dans cette liste. Voir Ajouter des adresses/masques de domaine HTTP pour en savoir plus sur la façon dont un domaine entier incluant tous les sous-domaines peut être jumelé en toute sécurité. Pour activer une liste, 51 sélectionnez l'option Liste active. Si vous voulez être notifié quand une adresse est entrée à partir de la liste actuelle, sélectionnez l'option Notifier une fois appliqué. CONSEIL: La gestion des adresses URL vous permet également de bloquer ou d'autoriser l'ouverture de types de fichier spécifiques lors de la navigation sur Internet. Par exemple, si vous ne voulez pas que les fichiers exécutables soient ouverts, sélectionnez la liste dans laquelle vous voulez bloquer ces fichiers à partir du menu déroulant, puis entrez le masque « **.exe. ». Éléments de contrôle Ajouter - Permet de créer un nouvelle liste en plus de celles prédéfinies. Cette option peut être utile si vous souhaitez séparer logiquement différents groupes d'adresses. Par exemple, une liste des adresses bloquées peut contenir des adresses d'une liste noire publique externe et une seconde peut contenir votre propre liste noire, ce qui rend plus facile la mise à jour de la liste externe tout en gardant la vôtre intact. Modifier - Permet de modifier les listes existantes. Utilisez cette option pour ajouter ou retirer des adresses. Retirer - Permet de supprimer des listes existantes. Disponible uniquement pour des listes créées avec l'option Ajouter, non pour les listes par défaut. 4.2.2 Protection du client de messagerie 4.2.2.1 Clients de messagerie L'intégration de ESET Smart Security dans les clients de messagerie, augmente le niveau de protection active contre le code malveillant dans les courriels. Si votre client de messagerie est pris en charge, l'intégration peut être activée dans ESET Smart Security. Lorsque l'intégration est activée, la barre d'outils de ESET Smart Security est insérée directement dans le client de messagerie (la barre d'outils des versions plus récentes de Windows Live Mail n'est pas insérée), permettant une protection plus efficace des courriels. Les paramètres d'intégration sont situés sous Configuration > Configuration avancée > Web et messagerie > Protection du client de messagerie > Clients de messagerie. Intégration dans les clients de messagerie Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail et Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes. L'avantage principal du plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de messagerie reçoit un message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. Pour la liste complète des 52 clients de messagerie et de leurs versions pris en charge, reportez-vous à l'article suivant dans la Base de connaissances d'ESET. Même si l'intégration n'est pas activée, la communication par courriel est tout de même protégée par le module de protection du client de messagerie (POP3, IMAP). Activez l'option Désactiver la vérification au changement de contenu de la boîte aux lettres si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie (MS Outlook uniquement). Cela peut se produire au moment de récupérer un courriel du Kerio Outlook Connector Store. Messages à analyser Message reçu - Active ou désactive la vérification des messages reçus. Message envoyé - Active ou désactive la vérification des messages envoyés. Message lu - Active ou désactive la vérification des messages lus. Action à effectuer sur les messages infectés Aucune action - Si cette option est activée, le programme identifiera les messages infectés, les laissera tels quels et n'effectuera aucune action. Supprimer les messages - Le programme avertit l'utilisateur à propos des infiltrations et supprime le message. Déplacer le message vers le dossier Éléments supprimés - Les messages infectés seront automatiquement déplacés vers le dossier Éléments supprimés. Déplacer le message vers le dossier - Les messages infectés seront automatiquement déplacés vers le dossier indiqué. Dossier - Indiquez le dossier personnalisé dans lequel vous voulez placer les courriels infectés lorsqu'ils sont détectés. Répéter l'analyse après la mise à jour - Active ou désactive la nouvelle analyse après la mise à jour de la base de données des signatures de virus. Accepter les résultats d'analyse des autres modules - Si cette option est activée, le module de protection de messages accepte les résultats d'analyse des autres modules de protection (analyse des protocoles POP3, IMAP). 4.2.2.2 Protocoles de messagerie IMAP et POP 3 sont les protocoles les plus communs pour recevoir des courriels à l'aide d'une application de client de messagerie. Le protocole Internet Message Access Protocol (IMAP) est un autre protocole Internet utilisé pour la récupération des messages. Le protocole de messagerie IMAP offre quelques avantages par rapport au protocole POP3. Par exemple, de multiples clients peuvent se connecter simultanément à la même boîte aux lettres et conserver de l'information sur l'état des courriels, à savoir si le message a été lu ou non, si une réponse a été envoyée ou s'il a été supprimé, entre autres. ESET Smart Security fournit une protection contre ces protocoles sans égard au client de messagerie utilisé et ne nécessite pas une reconfiguration du client de messagerie. Le module de protection qui assure ce contrôle est lancé automatiquement lors du démarrage du système pour demeurer ensuite actif dans la mémoire. Le contrôle du protocole IMAP est effectué automatiquement, sans devoir reconfigurer le client de messagerie. Par défaut, toute communication sur le port 143 est soumise à une analyse, mais d'autres ports de communication peuvent être ajoutés au besoin. Les numéros de ports multiples doivent être séparés par des virgules. Vous pouvez configurer la vérification des protocoles IMAP/IMAPS et POP3/POP3S dans la configuration avancée. Pour accéder à ces paramètres, ouvrez Web et messagerie > Protection du client de messagerie > Protocoles de messagerie. Activer la protection des protocoles de courriel - Active la vérification des protocoles de courriel. Dans Windows Vista et les versions ultérieures, les protocoles IMAP et POP3 sont automatiquement détectés et analysés sur tous les ports. Dans Windows XP, seuls les ports configurés utilisés par le protocole IMAP/POP3 sont analysés pour toutes les applications, et tous les ports sont analysés pour les applications marquées comme Web et clients de messagerie. 53 ESET Smart Security prend aussi en charge l'analyse des protocoles IMAP et POP3, qui sont utilisés dans un canal chiffré pour transférer l'information entre le serveur et le client. ESET Smart Security vérifie les communications à l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). Le programme analysera uniquement le trafic sur les ports définis dans Ports utilisés par le protocole IMAP/POP3, indépendamment de la version du système d'exploitation. Les communications chiffrées ne sont pas analysées. Pour activer l'analyse des communications chiffrées et visualiser la configuration de l'analyseur, allez jusqu'à l'option SSL/TLS dans la section Configuration avancée, cliquez sur Web et messagerie > SSL/TLS et activez l'option Activer le filtrage par protocole SSL/TLS. 4.2.2.3 Alertes et notifications La protection de la messagerie offre le contrôle de la communication par courriel effectuée par l'entremise des protocoles POP3 et IMAP. À l'aide du plugiciel pour Microsoft Outlook et d'autres clients de messagerie, ESET Smart Security assure le contrôle de toutes les communications utilisant le client de messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancée offertes par le moteur d'analyse ThreatSense. Autrement dit, la détection des programmes malveillants a lieu avant même que s'effectue la comparaison avec la base de données des signatures de virus. L'analyse des communications par l'entremise des protocoles POP3 et IMAP est indépendante du client de messagerie utilisé. Vous pouvez configurer les options de cette fonctionnalité dans Configuration avancée sous Web et messagerie > Protection du client de messagerie > Alertes et notifications. ThreatSense Paramètres - La configuration avancée de l'analyseur de virus permet de configurer les cibles à analyser, les méthodes de détection, etc. Cliquez pour afficher la fenêtre de configuration détaillée de l'analyseur de virus. Après la vérification du courriel, une notification avec le résultat de l'analyse peut être ajoutée au message. Vous pouvez sélectionner Ajouter une note aux messages reçus et lus, Ajouter une note à l'objet des messages infectés reçus et lus ou Ajouter une note aux messages envoyés. Sachez cependant qu'en de rares occasions, les étiquettes de messages peuvent être omises dans des messages HTML problématiques ou si le message a été falsifié par des 54 logiciels malveillants. Les étiquettes peuvent être ajoutées tant aux messages reçus et lus que sortants (ou aux deux). Les options disponibles sont les suivantes : Jamais - Aucune balise de message ne sera ajoutée. Courriels infectés uniquement - Seuls les messages contenant un code malveillant seront marqués comme vérifiés (par défaut). Tout courriel analysé - Le programme ajoutera des messages à tout message analysé. Ajouter une note à l'objet des messages infectés envoyés - Décochez cette case si vous ne voulez pas que la protection de la messagerie ajoute un message d'avertissement de virus dans l'objet des courriels infectés. Cette fonctionnalité un filtrage simple, selon l'objet, des messages infectés (si ce filtrage est pris en charge par le programme de messagerie). Elle augmente le niveau de crédibilité des messages pour le destinataire et, en cas de détection d'une infiltration, fournit de précieuses données sur le niveau de menace d'un message ou expéditeur donné. Texte ajouté à l'objet des messages infectés - Modifier ce texte si vous voulez modifier le format du préfixe d'objet d'un courriel infecté. Cette fonction remplacera l'objet du message « Hello » par une valeur de préfixe donnée « [virus] » dans le format suivant : « [virus] Hello ». La variable %VIRUSNAME% représente la menace détectée. 4.2.2.4 Intégration aux clients de messagerie L'intégration de ESET Smart Security dans les clients de messagerie, augmente le niveau de protection active contre le code malveillant dans les courriels. Si votre client de messagerie est pris en charge, l'intégration peut être activée dans ESET Smart Security. Lorsque l'intégration est activée, la barre d'outils de ESET Smart Security est insérée directement dans le client de messagerie pour ainsi offrir une protection plus efficace pour le courriel. Les paramètres d'intégration se trouvent dans la section Configuration > Accéder à la configuration avancée complète... > Web et messagerie > Protection du client de messagerie > Intégration du client de messagerie. Les clients de messagerie actuellement pris en charge sont Microsoft Outlook, Outlook Express, Windows Mail et Windows Live Mail. Pour la liste complète des clients de messagerie et de leurs versions pris en charge, reportezvous à l'article Base de connaissances d'ESET. Cochez la case à côté de Désactiver la vérification au changement de contenu de la boîte aux lettres si vous constatez un ralentissement du système lors de l'utilisation du client de messagerie. Cela peut se produire au moment de récupérer un courriel du Kerio Outlook Connector Store. Même si l'intégration n'est pas activée, la communication par courriel est tout de même protégée par le module de protection du client de messagerie (POP3, IMAP). 4.2.2.4.1 Configuration de la protection du client de messagerie Le module de protection du client de messagerie prend en charge les clients de messagerie suivants : Microsoft Outlook, Outlook Express, Windows Mail et Windows Live Mail. La protection de la messagerie fonctionne comme un plugiciel pour ces programmes. L'avantage principal du plugiciel est qu'il est indépendant du protocole utilisé. Ainsi, quand un client de messagerie reçoit un message chiffré, il le déchiffre et l'envoie à l'analyseur de virus. 4.2.2.5 Filtre POP3, POP3S Le protocole POP3 est le protocole le plus répandu pour la réception de messages dans un client de messagerie. ESET Smart Security assure la protection de ce protocole, quel que soit le client de messagerie utilisé. Le module qui assure ce contrôle est automatiquement lancé au démarrage du système d'exploitation et reste ensuite actif en mémoire. Pour que le module fonctionne correctement, assurez-vous qu'il est activé - le contrôle de protocole POP3 est effectué automatiquement, sans devoir reconfigurer le client de messagerie. Par défaut, toute communication sur le port 110 est soumise à une analyse, mais d'autres ports de communication peuvent être ajoutés au besoin. Les numéros de ports multiples doivent être séparés par des virgules. Les communications chiffrées ne sont pas analysées. Pour activer l'analyse des communications chiffrées et visualiser la configuration de l'analyseur, allez jusqu'à l'option SSL/TLS dans la section Configuration avancée, cliquez sur Web et messagerie > SSL/TLS et activez l'option Activer le filtrage par protocole SSL/TLS. 55 Cette section permet de configurer le contrôle des protocoles POP3 et POP3S. Activer le contrôle du courriel - Si cette option est activée, tout le trafic POP3 est analysé à la recherche de codes malveillants. Ports utilisés par le protocole POP3 - Liste des ports utilisés par le protocole POP3 (110, par défaut). ESET Smart Security prend également en charge le contrôle de protocole POP3S. Ce type de communication utilise un canal chiffré pour transférer des données entre un serveur et un client. ESET Smart Security vérifie les communications à l'aide des méthodes de chiffrement SSL (Secure Socket Layer) et TLS (Transport Layer Security). Ne pas utiliser de contrôle POP3S - Les communications chiffrées ne sont pas vérifiées. Utiliser le contrôle de protocole POP3S pour les ports sélectionnés - Cochez cette option pour ne permettre la vérification POP3S que pour les ports définis dans Ports utilisés par le protocole POP3S. Ports utilisés par le protocole POP3S - Liste des ports POP3S à contrôler (995 par défaut). 4.2.2.6 Module antipourriel Le courrier non sollicité, ou pourriel, constitue l'un des plus grands problèmes liés aux communications électroniques. Il représente jusqu'à 80 % de toutes les communications par courriel. La protection antipourriel sert à vous protéger contre ce problème. En combinant plusieurs principes de sécurité du courriel, le module antipourriel offre un meilleur filtrage pour garder votre boîte de réception propre. Un principe important dans la détection du pourriel est la possibilité de reconnaître le courrier non sollicité en fonction de listes prédéfinies d'adresses fiables (liste blanche) et de pourriel (liste noire). Toutes les adresses de votre liste de contacts sont automatiquement ajoutées à la liste blanche, ainsi que toutes les autres adresses que vous désignez comme sûres. La principale méthode utilisée pour détecter le pourriel est l'analyse des propriétés des messages. Les messages reçus sont analysés selon des critères antipourriel de base (définitions de messages, heuristique statistique, algorithmes de reconnaissance et autres méthodes uniques) et l'indice qui en résulte détermine si un message est ou non un pourriel. 56 Démarrer automatiquement la protection antipourriel - Lorsqu'elle est activée, la protection antipourriel sera automatiquement activée au démarrage du système. Activer l'analyse avancée de l'antipourriel - Des données antipourriel supplémentaires seront téléchargées régulièrement, ce qui augmentera la capacité antipourriel et donnera de meilleurs résultats. La protection antipourriel de ESET Smart Security vous permet de régler différents paramètres pour utiliser les listes de distribution. Les options sont les suivantes : Traitement des courriers indésirables Ajouter un texte à l'objet des messages - Permet d'ajouter une chaîne avec préfixe personnalisée à la ligne d'objet des messages classifiés comme pourriels. La valeur par défaut est [SPAM]. Déplacer les messages vers le dossier des pourriels - Lorsque cette option est activée, les pourriels seront déplacés par défaut vers le dossier des pourriels et les messages reclassés comme n'étant pas du pourriel seront déplacés vers la boîte de réception. Lorsque vous cliquez avec le bouton droit de la souris sur un message et sélectionnez ESET Smart Security dans le menu contextuel, des options applicables vous sont offertes. Utiliser le dossier - Cette option permet de déplacer les pourriels vers un dossier défini par l'utilisateur. Marquer les pourriels comme lus - Activez cette option pour marquer automatiquement les pourriels comme lus. Vous pouvez ainsi vous concentrer sur les messages « propres ». Marquer les pourriels comme non lus - Les messages classés au départ comme pourriels, mais marqués plus tard comme « propres », seront affichés comme comme non lus. Consignation de la note attribuée au pourriel - Le moteur antipourriel de ESET Smart Security attribue une note de pourriel à tous les messages analysés. Le message sera enregistré dans le journal antipourriel (ESET Smart Security > Outils > Fichiers journaux > Protection antipourriel). Rien - Le score de l'analyse antipourriel ne sera pas consigné au journal. Reclassé et marqué comme du pourriel - Sélectionnez cette options si vous voulez enregistrer le score des messages marqués comme POURRIEL. Tous - Tous les messages seront inscrits dans le journal, avec la note attribuée au pourriel. REMARQUE: Lorsque vous cliquez sur un message dans le dossier des pourriels, vous pouvez choisir Reclassifier les messages sélectionnés comme n'étant pas du pourriel et le message sera déplacé vers la boîte de réception. Lorsque vous cliquez sur un message que vous considérez comme du pourriel dans la boîte de réception, sélectionnez Reclassifier les messages comme étant du pourriel et le message sera déplacé vers le dossier des pourriels. Vous pouvez sélectionner plusieurs messages et effectuer l'action sur tous ceux-ci en même temps. REMARQUE : ESET Smart Security prend en charge la protection antipourriel pour Microsoft Outlook, Outlook Express, Windows Mail et Windows Live Mail. 4.2.3 Filtrage des protocoles La protection antivirus, pour les protocoles d'application, est fournie par le moteur d'analyse ThreatSense qui intègre toutes les techniques d'analyse avancée des logiciels malveillants. Le filtrage de protocole fonctionne automatiquement, indépendamment du navigateur Internet et du client de messagerie utilisés. Pour modifier les paramètres chiffrés (SSL/TLS), allez à Web et messagerie > SSL/TLS. Activer le filtrage du contenu des protocoles d'application - Peut être utilisé pour désactiver le filtrage de protocole. Notez que beaucoup de composants de ESET Smart Security (protection de l'accès Web, protection des protocoles de messagerie, anti-hameçonnage, contrôle Web) dépendent de cette option et ne fonctionneront pas sans elle. Applications exclues - Permet d'exclure des applications spécifiques du filtrage de protocole. Cette option est utile lorsque le filtrage de protocole crée des problèmes de compatibilité. Adresses IP exclues - Permet d'exclure des adresses distantes spécifiques du filtrage de protocole. Cette option est utile lorsque le filtrage de protocole crée des problèmes de compatibilité. 57 Web et clients de messagerie - Utilisé uniquement sur les systèmes d'exploitation Windows XP. Permet de sélectionner les applications pour lesquelles tout le trafic est filtré par filtrage de protocole, indépendamment des ports utilisés. 4.2.3.1 Clients Web et de messagerie REMARQUE : Présentée la première fois dans Windows Vista Service Pack 1 puis dans Windows Server 2008, la nouvelle architecture de plateforme de filtrage (WFP, Windows Filtering Platform) est utilisée pour vérifier les communications réseau. Comme la technologie WFP utilise des techniques de surveillance spéciales, la section Clients Web et messagerie n'est pas disponible. En raison du nombre considérable de codes malveillants qui circulent sur Internet, la sécurisation de la navigation sur Internet est un aspect très important de la protection des ordinateurs. Les faiblesses des navigateurs Web et les liens frauduleux contribuent à faciliter l'accès inaperçu des codes malveillants au système. C'est pour cette raison que ESET Smart Security se concentre sur la sécurité des navigateurs Web. Chaque application qui accède au réseau peut être indiquée comme étant un navigateur Internet. La case à cocher offre deux états possibles : Désélectionnée - La communication entre les applications n'est filtrée que pour les ports précisés. Sélectionnée - La communication est toujours filtrée (même si un autre port est défini). 4.2.3.2 Applications exclues Pour exclure du filtrage de contenu les communications envoyées par certaines applications sensibles au réseau, vous devez les sélectionner dans la liste. Les communications envoyées par ces applications par les protocoles HTTP/POP3/IMAP ne seront pas vérifiées pour savoir si elles contiennent des menaces. Il est recommandé de n'utiliser cette option que pour les applications qui ne fonctionnent pas bien lorsque la communication fait l'objet d'une vérification. Les applications et services en cours d'exécution seront automatiquement disponibles ici. Cliquez sur Ajouter pour sélectionner manuellement une application non affichée dans la liste de filtrage des protocoles. 58 4.2.3.3 Adresses IP exclues Les adresses inscrites dans cette liste seront exclues du filtrage du contenu des protocoles. Les communications envoyées à ces adresses ou reçues de celles-ci par les protocoles HTTP/POP3/IMAP ne seront pas vérifiées pour savoir si elles contiennent des menaces. Il est recommandé de n'utiliser cette option que pour les adresses connues pour être fiables. Cliquez sur Ajouter pour exclure une adresse IP, une plage d'adresses ou un sous-réseau d'un point distant qui n'apparait pas sur la liste de filtrage des protocoles. Cliquez sur Retirer pour supprimer les entrées sélectionnées de la liste. 4.2.3.3.1 Ajouter une adresse IPv4 Cette option permet d'ajouter une adresse IP/plage d'adresses/sous-ensemble d'un point distant auquel la règle doit s'appliquer. Internet Protocol version 4 est plus ancienne, mais elle reste la plus largement utilisée. Adresse unique - Ajoute l'adresse IP d'un ordinateur individuel à laquelle appliquer la règle (par exemple, 192.168.0.10). Plage d'adresses - Entrez la première et la dernière adresse IP pour préciser une plage IP (de plusieurs ordinateurs) à laquelle appliquer la règle (par exemple de 192.168.0.1 à 192.168.0.99). Sous-réseau - Sous-réseau (groupe d'ordinateurs) défini par une adresse IP et un masque. Par exemple, 255.255.255.0 est le masque réseau pour le préfixe 192.168.1.0/24, ce qui signifie que la plage d'adresses va de192.168.1.1 à 192.168.1.254. 59 4.2.3.3.2 Ajouter une adresse IPv6 Cette option permet d'ajouter une adresse ou un sous-réseau IPv6 d'un point distant auquel la règle doit être appliquée. C'est la version la plus récente du protocole Internet, appelée à remplacer l'ancienne version 4. Adresse unique - Ajoute l'adresse IP d'un ordinateur individuel auquel appliquer la règle (2001:718:1c01:16:214:22ff:fec9:ca5). Sous-réseau - Sous-réseau (groupe d'ordinateurs) défini par une adresse IP et un masque (par exemple, 2002:c0a8:6301:1::1/64). 4.2.3.4 SSL/TLS ESET Smart Security est capable de vérifier les menaces dans les communications utilisant le protocole SSL. Vous pouvez utiliser différents modes d'analyse pour les communications protégées par SSL à l'aide des certificats fiables, des certificats inconnus ou des certificats exclus de la vérification des communications protégées par SSL. Activer le filtrage par protocole SSL/TLS - Si le filtrage de protocole est désactivé, le programme n'analysera pas les communications SSL. Le mode de filtrage du protocole SSL/TLS est offert dans les options suivantes : Mode automatique - Le mode par défaut qui n'analysera que les applications appropriées comme les navigateurs Web et les clients de messagerie. Vous pouvez modifier ce mode en sélectionnant les applications pour lesquelles les communications seront analysées. Mode interactif - Si vous entrez un nouveau site protégé par SSL (avec un certificat inconnu), une boite de dialogue de sélection d'action s'affiche. Ce mode permet de créer une liste de certificats SSL qui seront exclus de l'analyse. Mode de politique - Sélectionnez cette option pour analyser toutes les communications protégées par SSL à l'exception des communications protégées par des certificats exclus de la vérification. Si une nouvelle communication utilisant un certificat signé, mais inconnu est établie, vous n'en serez pas avisé et la communication sera automatiquement filtrée. Lorsque vous accédez à un serveur en utilisant un certificat non fiable indiqué comme étant fiable (ajouté à la liste des certificats fiables), la communication avec le serveur est permise et le contenu du canal de communication est filtré. Liste des applications SSL filtrées - Vous permet de personnaliser le comportement de ESET Smart Security pour des applications en particulier. Liste des certificats connus - Vous permet de personnaliser le comportement de ESET Smart Security pour des certificats SSL spécifiques. Exclure la communication sécurisée avec les certificats Extended Validation (EV) - Lorsque cette option est activée, la communication avec ce type de certificat SSL sera exclue de l'analyse. Les certificats Extended Validation SSL vous assurent que vous consultez réellement votre site Web, et non un faux site qui ressemble exactement au vôtre (typique pour les sites de hameçonnage). Bloquer les communications chiffrées à l'aide du protocole obsolète SSL v2 - Les communications utilisant la version antérieure du protocole SSL sont automatiquement bloquées. Certificat racine Ajouter le certificat racine aux navigateurs connus - Pour que la communication SSL fonctionne correctement dans les navigateurs/clients de messagerie, il est essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus (éditeurs). Lorsque cette option est activée, ESET Smart Security ajoutera automatiquement le certificat racine d'ESET aux navigateurs connus (par ex., Opera et Firefox). Pour les navigateurs utilisant le magasin de certification système, le certificat sera automatiquement ajouté (par ex., Internet Explorer). Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails > Copier dans un fichier..., puis importez-le manuellement dans le navigateur. 60 Validité du certificat Si le certificat ne peut pas être vérifié à l'aide de la boutique de certificats TRCA - Dans certains cas, le certificat d'un site Web ne peut être vérifié à l'aide de la boutique de certificats Autorités de certification racines de confiance (TRCA). Cela veut dire que le certificat a été signé automatiquement par une personne (l'administrateur d'un serveur Web ou d'une petite entreprise par exemple) et considérer ce certificat comme étant un certificat fiable ne présente pas toujours de risque. Bon nombre de grandes entreprises (les banques, par ex.) utilisent un certificat signé par le TRCA. Si l'option Interroger sur la validité du certificat (valeur par défaut) est sélectionnée, l'utilisateur sera invité à sélectionner une action à prendre lorsqu'une communication chiffrée est établie. Vous pouvez sélectionner Bloquer toute communication utilisant le certificat afin de toujours mettre fin aux connexions chiffrées vers des sites utilisant des certificats non vérifiés. Si le certificat est non valide ou altéré - Cela signifie qu'il est expiré ou a été signé de façon incorrecte. Dans un tel cas, il est recommandé de bloquer la communication qui utilise le certificat sélectionné. 4.2.3.4.1 Certificats Pour que la communication SSL fonctionne correctement dans les navigateurs/clients de messagerie, il est essentiel d'ajouter le certificat racine pour ESET à la liste des certificats racines connus (éditeurs). L'option Ajouter le certificat racine aux navigateurs connus doit donc être activée. Activez cette option pour ajouter automatiquement le certificat racine d'ESET aux navigateurs connus (par ex., Opera et Firefox). Pour les navigateurs utilisant le magasin de certification système, le certificat sera automatiquement ajouté (par ex., Internet Explorer). Pour appliquer le certificat à des navigateurs non pris en charge, cliquez sur Afficher le certificat > Détails > Copier dans un fichier..., puis importez-le manuellement dans le navigateur. Dans certains cas, le certificat ne peut être vérifié à l'aide du magasin d'Autorités de certification de racine de confiance (VeriSign, par ex.). Cela veut dire que le certificat été signé automatiquement par une personne (l'administrateur d'un serveur Web ou d'une petite entreprise, par ex.) et voir ce certificat comme étant un certificat fiable ne présente pas toujours de risque. Bon nombre de grandes entreprises (les banques, par ex.) utilisent un certificat signé par TRCA. Si l'option Interroger sur la validité du certificat (valeur par défaut) est sélectionnée, l'utilisateur sera invité à sélectionner une action à prendre lorsqu'une communication encryptée est établie. Une boîte de dialogue de sélection d'une action dans laquelle vous pouvez décider de marquer le certificat comme fiable ou exclus s'affichera. Dans les cas où le certificat ne fait pas partie de la liste TRCA, la fenêtre sera rouge. Si le certificat fait partie de la liste TRCA, la fenêtre sera verte. Vous pouvez sélectionner Bloquer toute communication utilisant le certificat pour qu'elle mette toujours fin à une connexion chiffrée à un site qui utilise un certificat non vérifié. Si le certificat est non valide ou incorrect, cela signifie qu'il est expiré ou a été autosigné de façon incorrecte. Dans un tel cas, il est recommandé de bloquer la communication qui utilise le certificat. 4.2.3.4.2 Liste des certificats connus La Liste des certificats connus peut être utilisée pour personnaliser le comportement de ESET Smart Security pour des certificats SSL spécifiques, et pour se rappeler des actions choisies si le mode interactif est sélectionné dans mode de filtrage du protocole SSL/TLS. La liste peut être affichée et modifiée dans Configuration avancée (touche F5) > Web et messagerie > SSL/TLS > Liste des certificats connus. La fenêtre Liste des certificats connus comprend : Colonnes Nom - Le nom du certificat. Émetteur du certificat - Nom du créateur du certificat. Objet du certificat - Le champ Objet du certificat identifie l'entité associée à la clé publique stockée dans le champ d'objet de clé publique. Accès - Sélectionnez Autoriser ou Bloquer comme Action d'accès pour autoriser ou bloquer toute communication sécurisée par ce certificat indépendamment de sa fiabilité. Sélectionnez Auto pour autoriser les 61 certificats fiables et demander l'action à entreprendre pour les certificats non fiables. Sélectionnez Demander pour toujours demander à l'utilisateur l'action à entreprendre. Analyser - Sélectionnez Analyser ou Ignorer comme Action d'analyse pour analyse ou ignorer toute communication sécurisée par ce certificat. Sélectionnez Auto pour activer le mode d'analyse automatique et demander l'action à entreprendre en mode interactif. Sélectionnez Demander pour toujours demander à l'utilisateur l'action à entreprendre. Éléments de contrôle Modifier - Sélectionnez le certificat que vous voulez configurer et cliquez sur Modifier. Supprimer - Sélectionnez le certificat que vous voulez supprimer et cliquez sur Supprimer. OK/Annuler - Cliquez sur OK si vous souhaitez enregistrer les modifications ou cliquez sur Annuler si vous souhaitez quitter sans enregistrer. 4.2.3.4.3 Liste des applications SSL filtrées La Liste des applications SSL filtrées peut être utilisée pour personnaliser le comportement de ESET Smart Security pour des applications spécifiques, et pour se rappeler des actions choisies si le mode interactif est sélectionné dans mode de filtrage du protocole SSL. La liste peut être affichée et modifiée dans Configuration avancée (touche F5) > Web et messagerie > SSL/TLS > Liste des applications SSL filtrées. La fenêtre Liste des applications SSL filtrées comprend : Colonnes Application - Nom de l'application. Action d'analyse - Sélectionnez Analyser ou Ignorer pour procéder à l'analyse ou ignorer la communication. Sélectionnez Auto pour activer le mode d'analyse automatique et demander l'action à entreprendre en mode interactif. Sélectionnez Demander pour toujours demander à l'utilisateur l'action à entreprendre. Éléments de contrôle Ajouter - Ajouter l'application filtrée. Modifier - Sélectionnez le certificat que vous voulez configurer et cliquez sur Modifier. Supprimer - Sélectionnez le certificat que vous voulez supprimer et cliquez sur Supprimer. OK/Annuler - Cliquez sur OK si vous souhaitez enregistrer les modifications ou cliquez sur Annuler si vous souhaitez quitter sans enregistrer. 4.2.4 Protection anti-hameçonnage Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse qui utilise le piratage psychologique (manipuler les utilisateurs pour obtenir des données confidentielles). Le hameçonnage est souvent utilisé pour accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. Pour en savoir plus sur cette activité, consultez le glossaire. ESET Smart Security inclut la protection anti-hameçonnage, qui bloque les pages Web reconnues comme étant la source de ce type de contenu. Nous recommandons fortement d'activer la protection anti-hameçonnage dans ESET Smart Security. Vous pouvez accéder à cette option dans Configuration avancée (touche F5), Web et messagerie > Protection anti-hameçonnage. Consultez l'article de notre base connaissances à ce sujet pour plus de renseignements sur la protection antihameçonnage de ESET Smart Security. Accéder à un site Web de hameçonnage Lorsque vous accéderez à un site Web reconnu comme pratiquant du hameçonnage, la boîte de dialogue suivante s'affiche dans votre navigateur Web. Si vous voulez quand même accéder au site Web, cliquez sur Ignorer la menace (non recommandé). 62 REMARQUE : Les sites Web présentant des possibilités de hameçonnage qui ont été ajoutés à la liste blanche expireront par défaut plusieurs heures après l'ajout. Pour autoriser un site Web de façon permanente, utilisez l'outil Gestion d'adresse URL. À partir de Configuration avancée (touche F5) cliquez sur Web et messagerie > Protection de l'accès Web > Gestion d'adresses URL > Liste d'adresse et cliquez sur Modifier, puis ajoutez le site Web que vous voulez modifier à la liste. Déclaration d'un site de hameçonnage Le lien Signaler vous permet de signaler un site Web de hameçonnage ou malveillant à ESET qui l'analysera par la suite. REMARQUE : Avant de soumettre un site Web à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants : le site Web n'est pas du tout détecté, le site Web est erronément détecté comme une menace. Dans ce cas, vous pouvez Signaler une page bloquée par erreur. Vous pouvez également soumettre le site Web par courriel. Envoyez votre message à [email protected]. N'oubliez pas d'utiliser un objet clair et compréhensible et fournissez le plus de détails possible sur le site Web (par ex., le site Web d'où vous y avez accédé, comment vous en avez entendu parler, etc.). 4.3 Protection du réseau Le Pare-feu personnel contrôle tout le trafic réseau à partir du système et vers celui-ci. Pour ce faire, il autorise ou refuse les différentes connexions réseau en se fondant sur les règles de filtrage. Il fournit une protection contre les attaques en provenance d'ordinateurs distants et permet de bloquer certains services. Il fournit également une protection antivirus pour les protocoles HTTP, POP3 et IMAP. Cette fonctionnalité représente un élément important de la sécurité d'un ordinateur. La configuration du pare-feu personnel se trouve dans le volet Configuration sous Protection du réseau. Ici, vous pouvez régler le mode de filtrage, les règles et les paramètres détaillés. Vous pouvez aussi accéder à des paramètres plus détaillés en cliquant sur la roue dentée > Configurer... situé à côté de Pare-feu personnel, ou en appuyant sur F5 pour accéder à Configuration avancée. 63 Cliquer sur la roue dentée située à côté de Pare-feu personnel pour accéder aux paramètres suivants : Configurer... - Ouvre la fenêtre du pare-feu personnel dans Configuration avancée, où vous pouvez définir la façon dont le pare-feu gèrera les communications du réseau. Suspendre le pare-feu (autoriser tout le trafic) - Cette option est l'inverse de celle visant à bloquer tout le trafic réseau. Si cette option est activée, toutes les options de filtrage du Pare-feu personnel sont désactivées et toutes les connexions entrantes et sortantes sont autorisées. Cliquez sur Activer le pare-feu pour réactiver le pare-feu pendant que le filtrage du trafic réseau se trouve dans ce mode. Bloquer tout le trafic - Toutes les connexions entrantes et sortantes seront bloquées par le pare-feu personnel. N'utilisez cette option que lorsque vous soupçonnez des risques critiques au niveau de la sécurité exigeant que le système soit déconnecté du réseau. Lorsque le filtrage du trafic réseau est en mode Bloquer tout le trafic, cliquez sur Arrêter de bloquer tout le trafic pour rétablir le fonctionnement normal du pare-feu. Mode automatique - (lorsqu'un autre mode de filtrage est activé) - Cliquez sur cette option pour mettre le filtrage en mode automatique (règles définies par l'utilisateur). Mode interactif - (lorsqu'un autre mode de filtrage est activé) - Cliquez sur cette option pour mettre le filtrage en mode interactif. Protection contre les attaques sur le réseau (IDS) - Analyse le contenu du trafic réseau et protège le réseau contre les attaques. Le trafic considéré comme dangereux sera bloqué. Protection contre un réseau d'ordinateurs zombies - Détecte rapidement et avec précision les logiciels malveillants sur le système. Réseaux connectés - Affiche les réseaux auxquels les cartes réseaux sont connectés. Après avoir cliqué sur le lien qui se trouve sous le nom du réseau, on vous invitera à sélectionner le type de protection (strict ou autorisé) pour le réseau auquel vous êtes connecté grâce à votre carte réseau. Ce paramètre définit le niveau d'accès de votre ordinateur pour les autres ordinateurs du réseau. Adresse IP ajoutée temporairement à la liste noire - Voir une liste des adresses IP ayant été détectées comme des sources d'attaque et ajoutées à la liste noire pour éviter toute connexion pendant un certain temps. Pour obtenir 64 plus d'information, cliquez sur cette option, puis appuyez sur la touche F1. Assistant de dépannage - Permet de résoudre les problèmes de connectivité causées par le pare-feu personnel d'ESET. Pour de plus amples renseignements, voir Assistant de dépannage. 4.3.1 Pare-feu personnel Le Pare-feu personnel contrôle tout le trafic réseau à partir du système et vers celui-ci. Pour ce faire, il autorise ou refuse les différentes connexions réseau en se fondant sur les règles de filtrage précisées. Il fournit une protection contre les attaques en provenance d'ordinateurs distants et permet de bloquer certains services. Il fournit également une protection antivirus pour les protocoles HTTP, POP3 et IMAP. Cette fonctionnalité représente un élément important de la sécurité d'un ordinateur. Activer le pare-feu personnel - Nous vous recommandons de laisser cette fonctionnalité activée pour profiter d'une protection accrue. De cette façon, le trafic réseau est analysé dans les deux directions. Activer la protection contre les attaques sur le réseau (IDS) - Analyse le contenu du trafic réseau et protège le réseau contre les attaques. Tout trafic considéré comme dangereux sera bloqué. Activer la protection de réseaux de zombies - Détecte et bloque les communications avec les commandes malveillantes et les serveurs de contrôle en se basant sur les modèles types lorsque l'ordinateur est infecté et qu'un bot tente d'établir une communication. Mode de filtrage - Le comportement du pare-feu change en fonction du mode de filtrage. Les modes de filtrage affectent également le niveau d'interaction de l'utilisateur. Les modes de filtrage suivants sont possibles avec le pare-feu personnel ESET Smart Security : Mode automatique - Le mode par défaut. Ce mode convient pour les utilisateurs qui préfèrent un usage facile et pratique du pare-feu sans avoir à définir de règles. Les règles personnalisées, définies par l'utilisateur peuvent être créées, mais ne sont pas obligatoires en mode automatique. Le mode automatique autorise tout le trafic sortant pour le système donné et bloque la majorité du trafic entrant (à l'exception du trafic de la zone de confiance, comme autorisé dans Options IDS et avancées/Services autorisés et le trafic entrant en réponse à la communication sortante récente). Mode interactif - Permet de créer une configuration personnalisée pour le pare-feu personnel. Lors de la détection d'une communication pour laquelle il n'existe aucune règle qui s'y applique, une boîte de dialogue s'affiche pour signaler une connexion inconnue. Cette boîte de dialogue permet d'autoriser ou de refuser la communication, cette décision pouvant être mémorisée comme nouvelle règle pour le pare-feu personnel. Si vous choisissez de créer une nouvelle règle, toutes les connexions futures de ce type seront autorisées ou refusées conformément à cette règle. Mode basé sur des règles personnalisées - Bloque toute connexion ne faisant pas l'objet d'une règle précise l'autorisant. Ce mode permet aux utilisateurs expérimentés de définir des règles qui n'autorisent que des connexions souhaitées et sûres. Toute autre connexion non précisée sera bloquée par le Pare-feu personnel. Mode d'apprentissage - Crée et enregistre automatiquement les règles; convient pour la configuration initiale du pare-feu personnel. Aucune intervention de l'utilisateur n'est requise car ESET Smart Security enregistre les règles conformément aux paramètres prédéfinis. Le mode d'apprentissage ne devrait être utilisé que jusqu'à ce que toutes les règles aient été créées pour les communications requises afin d'éviter tout risque. Les profils peuvent être utilisés pour personnaliser le comportement du pare-feu personnel de ESET Smart Security en indiquant différents jeux de règles pour différentes situations. Évaluer aussi les règles du pare-feu Windows - En mode automatique, autoriser le trafic entrant qui est autorisé par pare-feu Windows, à moins qu'il ne soit bloqué par les règles du pare-feu personnel. 65 Règles - Ici, vous pouvez ajouter des règles et définir comment le pare-feu personnel gère le trafic du réseau. Zones - Ici, vous pouvez créer des zones constituées d'une ou de plusieurs adresses IP sécurisées. Options IDS et avancées - Permet de configurer les options de filtrage avancées et la fonctionnalité IDS (utilisées pour détecter plusieurs types d'attaques et d'exploits). Exceptions IDS - Permet d'ajouter des exceptions IDS et de personnaliser les réactions aux activités malveillantes. REMARQUE : Vous pouvez créer une exception IDS lorsque des ordinateurs zombies attaquent votre ordinateur. Une exception peut être modifiée dans la fenêtre Configuration avancée (F5) > Pare-feu personnel > Exceptions IDS. 4.3.1.1 Paramètres du mode d'apprentissage Le mode d'apprentissage crée et enregistre automatiquement une règle pour chaque communication qui a été établie dans le système. Aucune intervention de l'utilisateur n'est requise car ESET Smart Security enregistre les règles conformément aux paramètres prédéfinis. Ce mode peut exposer votre système à des risques; il n'est donc recommandé que pour la configuration initiale du pare-feu personnel. Activez le mode d'apprentissage dans Configuration avancée (touche F5) > Pare-feu personnel > Paramètres du mode d'apprentissage pour afficher les options du mode d'apprentissage. Cette section comprend les éléments suivants : Avertissement : en mode d'apprentissage, le pare-feu personnel ne filtre pas les communications. Toutes les communications entrantes et sortantes sont alors autorisées. Dans ce mode, le pare-feu personnel ne protège pas totalement l'ordinateur. 66 Type de communication - Sélectionnez des paramètres précis de création de règles pour chaque type de communication. Il existe quatre types de communication : Trafic entrant à partir de la zone de confiance - Un exemple d'une connexion entrante serait un ordinateur distant qui, dans la zone fiable, tente d'établir une communication avec une application locale fonctionnant sur votre ordinateur. Trafic sortant vers la zone de confiance - Une application locale tente d'établir une connexion avec un autre ordinateur se trouvant dans le réseau local ou dans un réseau situé à l'intérieur de la zone fiable. Trafic Internet entrant - Un ordinateur distant tente de communiquer avec une application fonctionnant sur cet ordinateur. Trafic Internet sortant - Une application locale tente d'établir une connexion avec un autre ordinateur. Chaque section vous permet de définir les paramètres à ajouter aux règles nouvellement créées : Ajouter un port local - Inclut le numéro de port local des communications réseau. Pour les communications sortantes, les numéros générés sont généralement aléatoires. C'est pourquoi il est recommandé de n'activer cette option que pour les communications entrantes. Ajouter une application - Inclut le nom de l'application locale. Cette option ne convient que pour les règles de niveau application (règles définissant la communication pour une application entière) futures. Par exemple, vous pouvez n'activer la communication que pour un navigateur ou un client de messagerie. Ajouter un port distant - Inclut le numéro de port distant des communications réseau. Par exemple, vous pouvez autoriser ou refuser un service particulier associé à un numéro de port standard (HTTP - 80, POP3 - 110, etc.). Ajouter une adresse IP distante/Zone de confiance - Vous pouvez utiliser une adresse IP ou une zone distante comme paramètre pour les nouvelles règles définissant toutes les connexions réseau entre le système local et cette adresse ou zone. Cette option convient si vous voulez définir des actions pour un ordinateur ou un groupe d'ordinateurs en réseau. Nombre maximal de règles pour une application - Si une application communique, par plusieurs ports, avec différentes adresses IP, etc., le pare-feu en mode d'apprentissage crée un nombre de règles approprié pour cette application. Cette option permet de limiter le nombre de règles pouvant être créées pour une application. 4.3.2 Profils du pare-feu Des profils peuvent être utilisés pour contrôler le comportement du pare-feu personnel de ESET Smart Security. Lors de la création ou de la modification d'une règle du pare-feu personnel, vous pouvez attribuer celle-ci à un profil particulier ou à tous les profils. Lorsqu'un profil est actif sur une interface réseau, seules les règles globales (celles qui ne s'appliquent à aucun profil en particulier) et les règles attribuées à ce profil sont appliquées. Vous pouvez créer plusieurs profils avec des règles différentes attribuées aux cartes réseau ou attribués aux réseaux pour pouvoir modifier facilement le comportement du pare-feu personnel. Cliquez sur Modifier situé à côté de la liste des profils pour ouvrir la fenêtre des profils de pare-feu où vous pouvez modifier les profils. Une carte réseau peut être configurée pour utiliser un profil configuré pour un réseau particulier lorsqu'il est connecté à ce réseau. Vous pouvez également attribuer un profil spécifique à utiliser lorsque l'utilisateur se trouve sur un réseau donné dans Configuration avancée (touche F5) > Pare-feu personnel > Réseaux connus. Sélectionnez un réseau dans la liste Réseaux connus et cliquez sur Modifier pour attribuer un profil de pare-feu à ce réseau en particulier à partir du menu déroulant Profil de pare-feu. Si aucun profil n'est attribué à ce réseau, alors le profil par défaut de la carte sera utilisé. Si la carte est configurée pour ne pas utiliser le profil du réseau, son profil par défaut sera utilisé quel que soit le réseau auquel il est connecté. Si aucun profil n'est fourni pour un réseau ou pour la configuration de la carte réseau, le profil global par défaut est utilisé. Pour attribuer un profil à une carte réseau, sélectionnez la carte réseau, cliquez sur Modifier situé à côté de Profils attribués aux cartes réseau, sélectionnez le profil dans le menu déroulant Profil de pare-feu par défaut, puis cliquez sur Enregistrer. Lorsque le pare-feu personnel bascule vers un autre profil, une notification s'affiche dans l'angle inférieur droit, à côté de l'horloge système. 67 4.3.2.1 Profils attribués aux cartes réseau Des profils peuvent être utilisés pour contrôler le comportement du pare-feu personnel de ESET Smart Security. Lors de la création ou de la modification d'une règle du pare-feu personnel, vous pouvez attribuer celle-ci à un profil particulier ou à tous les profils. Lorsqu'un profil est actif sur une interface réseau, seules les règles globales (celles qui ne s'appliquent à aucun profil en particulier) et les règles attribuées à ce profil sont appliquées. Vous pouvez créer plusieurs profils avec des règles différentes attribuées aux cartes réseau ou attribués aux réseaux pour pouvoir modifier facilement le comportement du pare-feu personnel. Cliquez sur Modifier situé à côté de la liste des profils pour ouvrir la fenêtre des profils de pare-feu où vous pouvez modifier les profils. Une carte réseau peut être configurée pour utiliser un profil configuré pour un réseau particulier lorsqu'il est connecté à ce réseau. Vous pouvez également attribuer un profil spécifique à utiliser lorsque l'utilisateur se trouve sur un réseau donné dans Configuration avancée (touche F5) > Pare-feu personnel > Réseaux connus. Sélectionnez un réseau dans la liste Réseaux connus et cliquez sur Modifier pour attribuer un profil de pare-feu à ce réseau en particulier à partir du menu déroulant Profil de pare-feu. Si aucun profil n'est attribué à ce réseau, alors le profil par défaut de la carte sera utilisé. Si la carte est configurée pour ne pas utiliser le profil du réseau, son profil par défaut sera utilisé quel que soit le réseau auquel il est connecté. Si aucun profil n'est fourni pour un réseau ou pour la configuration de la carte réseau, le profil global par défaut est utilisé. Pour attribuer un profil à une carte réseau, sélectionnez la carte réseau, cliquez sur Modifier situé à côté de Profils attribués aux cartes réseau, sélectionnez le profil dans le menu déroulant Profil de pare-feu par défaut, puis cliquez sur Enregistrer. Lorsque le pare-feu personnel bascule vers un autre profil, une notification s'affiche dans l'angle inférieur droit, à côté de l'horloge système. 4.3.3 Configuration et utilisation des règles Les règles représentent un ensemble de conditions utilisées pour tester de façon significative toutes les connexions réseau ainsi que toutes les actions affectées à ces conditions. L'utilisation des règles du pare-feu personnel permet de définir l'action qui est effectuée lorsque différents types de connexions réseau sont établies. Pour accéder à la configuration des règles de filtrage, allez à Configuration avancée (touche F5) > Pare-feu personnel > L'essentiel. Certaines des règles prédéfinies sont liées aux cases à cocher qui se trouvent dans les services autorisés (Options IDS et avancées) et ne peuvent pas être désactivées directement; vous devez donc utiliser ces cases à cocher pour le faire. Contrairement à la version précédente de ESET Smart Security, les règles sont évaluées du haut vers le bas. L'action de la première règle correspondante est utilisée pour chaque connexion au réseau en cours d'évaluation. Il s'agit d'un changement de comportement important par rapport à la version précédente, dans laquelle la priorité des règles était automatiques et les règles plus spécifiques avaient une priorité plus élevée que les règles générales. Les connexions peuvent être divisées en connexions entrantes et sortantes. Les connexions entrantes sont créées par un ordinateur distant qui tente d'établir une connexion avec le système local. Les connexions sortantes fonctionnent dans le sens opposé - le système local communique avec l'ordinateur distant. Si une nouvelle communication inconnue est détectée, il faut faire preuve de prudence au moment de décider de l'autoriser ou de la rejeter. Les connexions non sollicitées, non sécurisées ou inconnues posent un risque pour la sécurité du système. Si une telle connexion est établie, il est recommandé de faire très attention à l'ordinateur distant et aux applications qui tentent de se connecter à votre ordinateur. Beaucoup d'infiltrations essaient d'obtenir et d'envoyer des données personnelles ou de télécharger d'autres applications malveillantes sur les postes de travail hôtes. Le Pare-feu personnel vous permet de détecter et de mettre fin à de telles connexions. 68 4.3.3.1 Règles du pare-feu Cliquez sur Modifier situé à côté de Règles dans l'onglet Basique pour afficher la fenêtre des Règles de pare-feu où la liste de toutes les règles est affichée. Ajouter, Modifier et Supprimer vous permettent d'ajouter, de configurer ou de supprimer des règles. Vous pouvez régler le niveau de priorité d'une règle en sélectionnant une ou plusieurs règles et en cliquant sur Haut/Monter/Bas/Descendre. CONSEIL: Vous pouvez utiliser le champ de recherche pour trouver des règles par nom, par protocole ou par port. Colonnes Nom - Nom d'une règle. Activé - Indique si les règles sont activées ou désactivées; la case correspondante doit être cochée pour activer une règle. Protocole - Affiche le protocole pour lequel cette règle est valide. Profil - Affiche le profil de pare-feu pour lequel cette règle est valide. Action - Indique l'état de la communication (bloquer/autoriser/demander). Direction - Direction de la communication (entrante/sortante/les deux). Local - Adresse IP et port de l'ordinateur local. Distant - Adresse IP et port de l'ordinateur distant. Application - Indique l'application à laquelle la règle s'applique. Éléments de contrôle Ajouter - Crée une nouvelle règle. Modifier - Permet de modifier des règles existantes. Supprimer - Permet de supprimer des règles existantes. Afficher les règles intégrées (prédéfinies) - Règles prédéfinies par ESET Smart Security qui permettent d'autoriser ou de bloquer des communications particulières. Vous pouvez désactiver ces règles, mais vous ne pouvez pas supprimer une règle prédéfinie. 69 Haut/Monter/Bas/Descendre - Permet de définir le niveau de priorité des règles (les règles sont exécutées du haut vers le bas). 4.3.3.2 Utiliser les règles Une modification s'impose chaque fois que les paramètres surveillés changent. Si des modifications sont effectuées de sorte que la règle ne peut plus remplir les conditions et que ses actions prédéfinies ne peuvent plus être appliquées, la connexion peut être refusée. Cela peut créer des problèmes de fonctionnement pour l'application concernée par une règle. Un exemple est le changement d'adresse ou le numéro de port du côté distant. La partie supérieure de la fenêtre contient trois onglets : Général - Précise le nom de la règle, la direction de la connexion, l'action (Autoriser, Refuser, Demander), le protocole et le profil auquel la règle s'appliquera. Local - Affiche l'information sur le côté local de la connexion, y compris le numéro du port local ou l'intervalle des ports ainsi que le nom de l'application communicante. Vous permet également d'ajouter une zone prédéfinie ou créée avec une plage d'adresses IP ici en cliquant sur Ajouter. Retirer - Cet onglet comprend de l'information sur le port distant (intervalle de ports). Vous permet également de définir une liste des adresses IP ou zones distantes pour la règle en question. Vous pouvez encore ajouter une zone prédéfinie ou créée avec une plage d'adresses IP ici en cliquant sur Ajouter. Au moment de créer une nouvelle règle, vous devez entrer le nom de la règle dans le champ Nom. Sélectionnez la direction à laquelle la règle s'applique dans le menu déroulant Direction et l'action à exécuter lorsque la communication répond à la règle dans le menu déroulant Action. Protocole Le protocole de transfert utilisé pour la règle. Sélectionnez le protocole à utiliser pour une règle donnée dans le menu déroulant. Type/Code ICMP représente un message ICMP désigné par un numéro (par exemple, 0 représente « réponse d'écho »). Toutes les règles sont activées pour chaque profil par défaut. Vous pouvez aussi sélectionner un profil de pare-feu personnalisé à l'aide du menu déroulant Profils. Si vous activez le Journal, l'l'activité liée à la règle sera consignée dans un journal. Avertir l'utilisateur affiche une notification lorsque la règle est appliquée. CONSEIL: Voici un exemple dans lequel nous créons une nouvelle règle pour permettre à l'application du navigateur Web d'accéder au réseau. Les éléments suivants doivent être configurés : Dans l'onglet Général, activez les communications sortantes utilisant les protocoles TCP et UDP. Ajoutez l'application de votre navigateur (iexplore.exe pour Internet Explorer) dans l'onglet Local. Dans l'onglet Distant, activez le port numéro 80 si vous voulez autoriser la navigation Internet standard. REMARQUE: Sachez que les règles prédéfinies ne peuvent pas être modifiées n'importe comment. 4.3.4 Configuration des zones Une zone est un groupe d'adresses réseau qui forme un groupe logique d'adresses IP. Elle est utile lorsque vous devez vous servir du même ensemble d'adresses dans plusieurs règles. Chaque adresse d'un groupe donné se voit attribuer des règles similaires définies au niveau global du groupe. La zone de confiance est un exemple de groupe. La zone de confiance représente un groupe d'adresses réseau qui sont totalement fiables et ne seront d'aucune manière bloquées par le pare-feu personnel. Ces zones peuvent être configurées dans Configuration avancée > Pare-feu personnel > De base, en cliquant sur le bouton Modifier situé à côté de Zones. Pour ajouter une nouvelle zone, cliquez sur Ajouter, entrez un nom pour la zone, une description et ajoutez une adresse IP distante dans le champ Adresse de l'ordinateur distant (IPv4/IPv6, plage, masque). Dans la fenêtre de configuration des Zones du pare-feu, vous pouvez indiquer un nom de zone, une description et une liste d'adresses réseau (voir aussi Éditeur de réseaux connus). 70 4.3.5 Réseaux connus Lorsque vous utilisez un ordinateur qui se connecte fréquemment à des réseaux publics ou à des réseaux autres que votre réseau de bureau normal, nous vous recommandons de vérifier la crédibilité des nouveaux réseaux auxquels vous vous connectez. Une fois les réseaux définis, ESET Smart Security peut reconnaître les réseaux fiables (domestiques/bureau) en utilisant différents paramètres réseau configurés dans Identification de réseau. Les ordinateurs se connectent souvent aux réseaux à l'aide d'adresses IP similaires à celles du réseau fiable. Dans ces cas, ESET Smart Security peut considérer un réseau inconnu comme fiable (domestique/bureau). Nous vous recommandons d'utiliser Authentification de réseau pour éviter ce type de situation. Lorsqu'une carte réseau est connectée à un réseau ou lorsque ses paramètres réseau sont reconfigurés, ESET Smart Security recherche dans la liste des réseaux connus une entrée qui correspond au nouveau réseau. Si Identification du réseau et Authentification réseau (optionnelle) correspondent, le réseau sera marqué comme connecté dans cette interface. Lorsqu'aucun réseau connu n'est trouvé, un nouveau réseau est créé. La configuration d'identification de réseau est alors réglée pour identifier le réseau la prochaine fois que vous vous y connectez. Par défaut, la nouvelle connexion réseau utilise le type de protection Public. La boîte de dialogue Nouvelle connexion réseau détectée vous invite à choisir entre le type de protection Public ou Domestique/Bureau. Si une carte réseau est connectée à un réseau connu et que ce réseau est marqué comme Domestique/Bureau, alors les sous-réseaux locaux de la carte seront ajoutés à la zone de confiance. REMARQUE: Lorsque « Ne pas demander le type de protection de nouveaux réseaux. Marquer automatiquement les nouveaux réseaux comme publics » est sélectionné, la boîte de dialogue Nouvelle connexion réseau détectée n'apparaîtra pas, et le réseau auquel vous êtes connecté sera automatiquement marqué comme public. Cela rendra certaines fonctions (par exemple le partage de fichier et bureau à distance) inaccessibles aux nouveaux réseaux. Les réseaux connus peuvent être configurés manuellement dans la fenêtre Éditeur de réseaux connus. 4.3.5.1 Éditeur de réseaux connus Les réseaux connus peuvent être configuré manuellement dans Configuration avancée > Pare-feu personnel > Réseaux connus en cliquant sur Modifier. Colonnes Nom - Nom du réseau connu. Type de protection - Indique si le réseau est réglé sur Domestique/Bureau ou Public. Profil de pare-feu - Sélectionnez un profil à partir du menu déroulant Afficher les règles utilisées dans le profil pour afficher le filtre des règles du profil. Éléments de contrôle Ajouter - Crée un nouveau réseau connu. Modifier - Cliquez pour modifier un réseau connu existant. Retirer - Sélectionnez un réseau et cliquez sur Retirer pour le retirer de la liste des réseaux connus. Monter/Haut/Bas/Descendre - Permet de définir le niveau de priorité des réseaux connus (les réseaux sont évalués du haut vers le bas). Les paramètres de configuration réseau sont ventilés dans les onglets suivants : Réseau Ici, vous pouvez définir le nom du réseau et sélectionner le type de protection (public ou domestique/bureau) pour le réseau. Utilisez le menu déroulant Profil de pare-feu pour sélectionner le profil pour ce réseau. Si le réseau utilise le type de protection Domestique/Bureau, alors tous les sous-réseaux directement connectés sont considérés comme réseaux de confiance. Par exemple, si une carte réseau est connectée à ce réseau avec l'adresse IP 192.168.1.5 et le masque de sous réseau 255.255.255.0, alors le sous-réseau 192.168.1.0/24 est ajouté à la zone de confiance de cette carte. Si la carte a plusieurs adresses/sous-réseaux, il sera fait confiance à chacun d'eux, quel que soit la configuration d'Identification de réseau du réseau connu. 71 En outre, les adresses ajoutées sous Adresses de confiance supplémentaires sont toujours ajoutées à la zone de confiance des cartes connectées à ce réseau (quel que soit le type de protection du réseau). Les conditions suivantes doivent être remplies pour qu'un réseau soit marqué comme connecté dans la liste des réseaux connectés : Identification de réseau - Tous les paramètres fournis doivent correspondre aux paramètres de la connexion active. Authentification réseau - Si le serveur d'authentification est sélectionné, une authentification réussie avec le serveur d'authentification ESET doit avoir lieu. Restrictions de réseau (Windows XP uniquement) - Toutes les restrictions globales sélectionnées doivent être remplies. Identification du réseau L'identification de réseau est effectuée en fonction des paramètres d'une carte de réseau local. Tous les paramètres sélectionnés sont comparés aux paramètres réels des connexions réseau actives. Les adresses IPv4 et IPv6 sont autorisées. Authentification réseau L'authentification réseau recherche un serveur spécifique sur le réseau et utilise le chiffrement asymétrique (RSA) pour l'authentifier. Le nom du réseau en cours d'authentification doit correspondre au nom de zone défini dans les paramètres du serveur d'authentification. Pour le nom, vous devez respecter la casse. Indiquez le nom du serveur, le port d'écoute du serveur et une clé publique qui correspond à la clé du serveur privé (voir Authentification réseau- Configuration du serveur). Le nom du serveur peut être saisi sous la forme d'une adresse IP, d'un nom DNS ou NetBIOS et peut être suivi par un chemin indiquant l'emplacement de la clé sur le serveur (par exemple, serveur_nom_/répertoire1/répertoire2/authentification). Vous pouvez indiquer d'autres serveurs à utiliser en les ajoutant au chemin, séparés par des points-virgules. La clé publique peut être importée en utilisant l'un des types de fichiers suivants : Clé publique chiffrée PEM (.pem). Cette clé peut être générée à l'aide d'ESET Authentication Server (voir la section Authentification de réseau- Configuration du serveur). Clé publique chiffrée Certificat de clé publique (.crt) 72 Cliquez sur Tester pour tester vos paramètres. Si l'authentification du serveur réussit, la notification de confirmation Authentification du serveur réussie s'affichera. Si l'authentification n'a pas été correctement configurée, l'un des messages d'erreur suivants s'affichera : L'authentification auprès du serveur a échoué. signature non valide ou incompatible. La signature du serveur ne correspond pas à la clé publique indiquée. L'authentification auprès du serveur a échoué. Le nom du réseau ne correspond pas. Le nom du réseau configurée ne correspond pas à celui de la zone du serveur d'authentification. Vérifiez les deux noms et assurez-vous qu'ils sont identiques. L'authentification auprès du serveur a échoué. Non valide ou aucune réponse du serveur. Aucune réponse n'est reçue si le serveur ne fonctionne pas ou est inaccessible. Une réponse non valide peut être reçue si un autre serveur HTTP fonctionne sur l'adresse indiquée. La clé publique entrée n'est pas valide. Vérifiez que le fichier de clé publique que vous avez entré n'est pas corrompu. Restrictions de réseau (Windows XP uniquement) Sur les systèmes d'exploitation modernes (Windows Vista et plus récents), chaque carte réseau possède sa propre zone de confiance et son propre profil de pare-feu actif. Malheureusement, cette disposition n'est pas prise en charge sur ?Windows XP; toutes les cartes réseau partagent toujours la même zone de confiance et le même profil de pare-feu actif. Cela crée un risque potentiel pour la sécurité lorsque la machine est connectée à plusieurs réseaux simultanément. Dans ce cas, le trafic d'un réseau non fiable peut être évalué en utilisant la zone de confiance et le profil de pare-feu configurés pour l'autre réseau connecté. Afin de réduire les risques pour sécurité, vous pouvez utiliser les restrictions suivantes pour éviter d'appliquer globalement une configuration de réseau lorsqu'un autre réseau (potentiellement non fiable) est connecté. Sous Windows XP, les paramètres des réseaux connectés (zone de confiance et profil de pare-feu) sont appliqués globalement, à l'exception des cas où au moins une de ces restrictions est activée et non remplies : a. Une seule connexion est active b. Aucune connexion sans fil n'est établie c. Aucune connexion sans fil non sécurisée n'est établie 73 4.3.5.2 Authentification de réseau - Configuration du serveur Le processus d'authentification peut être réalisé par n'importe quel ordinateur/serveur connecté au réseau et sur le point d'être authentifié. L'application du serveur d'authentification ESET doit être installée sur un ordinateur toujours accessible pour authentification chaque fois qu'un client tente de se connecter au réseau. Le fichier d'installation de l'application du serveur d'authentification ESET peut être téléchargé à partir du site Web d'ESET. Une fois l'application ESET Authentication Server installée, une boîte de dialogue s'affiche. Vous pouvez à tout moment accéder à l'application en cliquant sur Démarrer > Programmes > ESET > ESET Authentication Server). Pour configurer le serveur d'authentification, entrez le nom de la zone d'authentification, le port d'écoute de serveur (le port 80 est défini par défaut), ainsi que l'emplacement où stocker la paire de clés publique et privée. Ensuite, générez les clés publique et privé qui seront utilisées pendant le processus d'authentification. La clé privée restera sur le serveur alors que la clé publique devra être importée côté client, dans la section de la zone de configuration, au moment de définir une zone dans la configuration du pare-feu. Pour plus de détails, veuillez consulter l'article suivant dans la base de connaissances d'ESET. 4.3.6 Consignation Le pare-feu personnel de ESET Smart Security enregistre tous les événements importants dans un fichier journal, accessible directement à partir du menu principal. Cliquez sur Outils > Plus d'outils > Fichiers journaux, puis sélectionnez Pare-feu personnel dans le menu déroulant Journal. Les fichiers journaux peuvent être utilisés pour détecter des erreurs et révéler les intrusions dans le système. Le journal du Pare-feu personnel d'ESET contient les données suivantes : la date et l'heure de l'événement le nom de l'événement la source l'adresse réseau cible le protocole de communication réseau la règle appliquée ou le nom du ver, s'il est identifié l'application visée Utilisateur Une analyse approfondie de ces données peut permettre de détecter les tentatives qui risquent de compromettre la sécurité du système. Beaucoup d'autres facteurs peuvent vous informer des risques potentiels de sécurité et vous aider à minimiser leur effet : trop de connexions en provenance de sites inconnus, plusieurs tentatives d'établissement de connexions, des communications issues d'applications inconnues ou l'utilisation de numéros de ports inhabituels. 74 4.3.7 Établissement d'une connexion - détection Le Pare-feu personnel détecte toute nouvelle connexion au réseau. Le mode Pare-feu actif détermine les actions à exécuter pour la nouvelle règle. Si le Mode automatique ou le Mode basé sur des règles personnalisées est activé, le Pare-feu personnel exécutera les actions prédéfinies sans intervention de l'utilisateur. Le mode interactif affiche une fenêtre d'information qui signale la détection d'une nouvelle connexion réseau, ainsi que des détails sur la connexion. Vous pouvez choisir d'autoriser la connexion ou la refuser (bloquer). Si vous autorisez toujours la même connexion dans la boîte de dialogue, il est recommandé de créer une nouvelle règle pour la connexion. Pour ce faire, sélectionnez Créer la règle et mémoriser de manière permanente et sauvegardez l'action comme une nouvelle règle pour le Pare-feu personnel. Si le pare-feu personnel reconnaît la même connexion plus tard, il appliquera la règle existante, sans interaction de l'utilisateur. Il faut être très attentif lors de la création de nouvelles règles pour n'autoriser que les connexions que vous savez sécurisées. Si toutes les connexions sont autorisées, le pare-feu personnel n'a aucune raison d'exister. Voici les paramètres importants pour les connexions : Côté distant - N'autorisez que les connexions aux adresses fiables et connues. Application locale - Il n'est pas conseillé d'établir des connexions à des applications et à des processus inconnus. Numéro de port - Les communications utilisant les ports communs (par ex. le port Web numéro 80) devraient être autorisées dans les circonstances normales. Pour proliférer, les infiltrations aux ordinateurs utilisent souvent des connexions masquées et Internet pour infecter les systèmes distants. Si les règles sont correctement configurées, le Pare-feu personnel devient un important outil de protection contre les attaques répétées de divers codes malveillants. 75 4.3.8 Résolution de problèmes de pare-feu personnel d'ESET Si vous rencontrez des problèmes de connexion alors que ESET Smart Security est installé, il y a plusieurs façons de déterminer si le pare-feu personnel d'ESET est à l'origine du problème. En outre, le pare-feu personnel d'ESET peut vous aider à créer de nouvelles règles ou exceptions pour résoudre les problèmes de connexion. Consultez les rubriques suivantes pour de l'aide sur la résolution des problèmes avec le pare-feu personnel d'ESET : Assistant de dépannage Journalisation et création de règles ou d'exceptions à partir du journal Création d'exceptions à partir des notifications du pare-feu Journalisation PCAP avancée Résolutions des problèmes de filtrage des protocoles 4.3.8.1 Assistant de dépannage L'assistant de dépannage surveille en silence toutes les connexions bloquées, et vous guide à travers le processus de dépannage pour corriger les problèmes de pare-feu sur des applications ou des dispositifs précis. Ensuite, l'assistant vous propose un nouvel ensemble de règles à appliquer si vous les approuvez. L'assistant de dépannage se trouve dans le menu principal sous Configuration > Protection de réseau. 4.3.8.2 Journalisation et création de règles ou d'exceptions à partir du journal Par défaut, le pare-feu personnel d'ESET ne consigne pas au journal toutes les connexions bloquées. Si vous voulez voir ce qui a été bloqué par le pare-feu personnel, activez la journalisation dans la section Configuration avancée sous Outils > Diagnostics > Activer la journalisation avancée du pare-feu personnel. Si vous voyez quelque chose dans le journal que vous ne voulez pas que le pare-feu personnel bloque, vous pouvez créer une règle ou une exception IDS en faisant un clic droit sur cet élément et en sélectionnant Ne pas bloquer des événements semblables à l'avenir. Veuillez noter que le journal de toutes les connexions bloquées peut contenir des milliers d'éléments et qu'il peut être difficile de trouver une connexion en particulier dans ce journal. Vous pouvez désactiver la journalisation une fois le problème résolu. Pour de plus amples renseignements sur le journal, voir Fichiers journaux. REMARQUE: Utilisez la journalisation pour voir l'ordre dans lequel le pare-feu personnel bloque des connexions spécifiques. En outre, la création de règles à partir du journal vous permet de créer des règles qui font exactement ce que vous voulez. 4.3.8.2.1 Créer une règle à partir du journal La nouvelle version de ESET Smart Security permet de créer des règles à partir du journal. À partir du menu principal, cliquez sur Outils > Plus d'outils > Fichiers journaux. Choisissez Pare-feu personnel dans le menu déroulant, cliquez du droit sur l'entrée de journal désirée et sélectionnez Ne pas bloquer les événements semblables à l'avenir dans le menu contextuel. Une fenêtre de notification affiche votre nouvelle règle. Pour permettre la création de nouvelles règles à partir du journal, ESET Smart Security doit être configuré avec les paramètres suivants : mettez la verbosité minimale à Diagnostic dans Configuration avancée (touche F5) > Outils > Fichiers journaux, activez Afficher des notifications à la détection d'une attaque sur des failles de sécurité dans Configuration avancée (touche F5) > Pare-feu personnel > Options IDS et avancées > Détection d'intrusion. 76 4.3.8.3 Création d'exceptions à partir des notifications du pare-feu personnel Lorsque le pare-feu personnel d'ESET détecte une activité malveillante sur le réseau, une fenêtre de notification décrivant l'événement s'affiche. Cette notification contient un lien qui vous permettra d'en apprendre plus sur l'événement et de créer une exception pour cet événement si vous le voulez. REMARQUE: Si une application ou un périphérique réseau n'applique pas correctement les normes du réseau, cela peut déclencher des notifications IDS de pare-feu répétitives. Vous pouvez créer une exception directement à partir de la notification afin d'empêcher le pare-feu personnel d'ESET de détecter cette application ou ce périphérique. 4.3.8.4 Journalisation PCAP avancée Cette fonctionnalité est destinée à fournir des fichiers journaux plus complexes pour le soutien à la clientèle ESET. Utilisez cette fonctionnalité uniquement si le soutien à la clientèle d'ESET vous le demande, car il peut générer un fichier journal volumineux et ralentir votre ordinateur. 1. Allez à Configuration avancée > Outils > Diagnostics et activez Activer la journalisation avancée du pare-feu personnel. 2. Essayez de reproduire le problème que vous rencontrez. 3. Désactivez la journalisation PCAP avancée. 4. Le fichier journal du PCAP se trouve dans le même répertoire où les vidages de mémoire de diagnostic sont générés : Microsoft Windows Vista ou ultérieure C:\ProgramData\ESET\ESET Smart Security\Diagnostics\ Microsoft Windows XP C:\Documents and Settings\All Users\... 4.3.8.5 Résolutions des problèmes de filtrage des protocoles Si vous rencontrez des problèmes avec votre navigateur ou votre client de messagerie, la première étape consiste à déterminer si le filtrage de protocoles en est responsable. Pour ce faire, essayez de désactiver temporairement le filtrage des protocoles d'application dans la configuration avancée (n'oubliez pas de le réactiver une fois que vous aurez terminé, sinon votre navigateur et votre client de messagerie ne seront pas non protégés). Si votre problème disparaît après cette désactivation, voici une liste des problèmes communs et un moyen de les résoudre : Problèmes de mise à jour ou de communications sécurisées Si votre application signale qu'elle ne peut pas effectuer de mise à jour ou qu'un canal de communication n'est pas sécurisé : Si le filtrage de protocole SSL est activé, essayez de le désactiver temporairement. Si cette action règle le problème, vous pouvez continuer à utiliser le filtrage SSL et effectuer la mise à jour en excluant la communication problématique : Mettez le mode de filtrage de protocole SSL à interactif. Exécutez à nouveau la mise à jour. Une boîte de dialogue devrait vous informer sur le trafic réseau chiffré. Assurez-vous que l'application correspond à celle que vous êtes en train de dépanner et que le certificat semble provenir du serveur à partir duquel la mise à jour est effectuée. Ensuite, choisissez de mémoriser l'action de ce certificat et cliquez sur ignorer. Si aucune autre boîte de dialogue pertinente ne s'affiche, vous pouvez changer le mode de filtrage et revenir à automatique et le problème devrait être résolu. Si l'application en question n'est pas un navigateur ou un client de messagerie, vous pouvez complètement l'exclure du filtrage de protocole (le faire pour un navigateur ou le client de messagerie vous exposerait). Toute application dont les communications étaient déjà filtrées devrait être dans la liste qui vous est fournie lors de l'ajout de l'exception; un ajout manuel ne devrait donc pas être nécessaire. 77 Problème d'accès à un périphérique sur votre réseau Si vous ne parvenez pas à utiliser une fonctionnalité d'un périphérique sur votre réseau (il peut s'agir de l'ouverture d'une page Web de votre webcam ou de la lecture vidéo sur un lecteur multimédia de maison), essayez d'ajouter ses adresses IPv4 et IPv6 à la liste des adresses exclues. Problèmes avec un site Web en particulier Vous pouvez exclure des sites Web précis du filtrage de protocoles en utilisant la gestion d'adresse URL. Par exemple, si vous ne parvenez pas à accéder à la page https://www.gmail.com/intl/en/mail/help/about.html, essayez d'ajouter *gmail.com* à la liste des adresses exclues. Erreur « Certaines des applications capables d'importer le certificat racine s'exécutent encore » Lorsque vous activez le filtrage de protocole SSL, ESET Smart Security veille à ce que les applications installées fassent confiance à sa façon de filtrer le protocole SSL en important un certificat dans leur magasin de certificats. Pour certaines applications, cela n'est pas possible lorsqu'elles sont en cours d'exécution. Ces applications incluent Firefox et Opera. Assurez-vous qu'aucune d'entre elles n'est en cours d'exécution (la meilleure façon de le faire est d'ouvrir le Gestionnaire des tâches et de s'assurer qu'il n'y a pas de firefox.exe ou d'opera.exe sous l'onglet Processus), puis essayez de nouveau. Erreur sur un émetteur non fiable ou une signature non valide Cela signifie probablement que l'importation décrite ci-dessus a échoué. D'abord, assurez-vous qu'aucune des applications mentionnées n'est en cours d'exécution. Ensuite, désactivez le filtrage de protocole SSL et réactivez-le. L'importation s'exécute alors de nouveau. 4.4 Outils de sécurité La configuration des outils de sécurité vous permet de régler les modules suivants : Protection des opérations bancaires et des paiements Contrôle parental Antivol 4.4.1 Contrôle parental Le module Contrôle parental vous permet de configurer les paramètres du contrôle parental qui offre aux parents des outils automatisés pour les aider à protéger leurs enfants en définissant des restrictions quant à l'utilisation des périphériques et des services. L'objectif est d'empêcher les enfants et les jeunes adultes d'accéder à des pages contenant du contenu inapproprié ou malveillant. Le contrôle parental vous permet de bloquer des pages Web dont le contenu est potentiellement offensant. En outre, les parents peuvent interdire l'accès à plus de 40 catégories de sites Web prédéfinies et à plus de 140 souscatégories. Pour activer le contrôle parental pour un compte utilisateur particulier, effectuez les étapes ci-dessous : 1. Par défaut, le contrôle parental est désactivé dans ESET Smart Security. Deux méthodes permettent d'activer le contrôle parental : o Cliquez sur dans Configuration > Outils de sécurité > Contrôle parental à partir de la fenêtre principale du programme et faites passer l'état du contrôle parental à activé. o Appuyez sur la touche F5 pour accéder à l'arbre de Configuration avancée, allez à Web et courriel > Contrôle parental, puis actionnez le commutateur à côté de Intégration au système. 2. Cliquez sur Configuration > Outils de sécurité > Contrôle parental à partir de la fenêtre principale du programme. Même si Activé s'affiche à côté de Contrôle parental, vous devez configurer le contrôle parental pour le compte souhaité en cliquant sur Protéger ce compte. Dans la fenêtre Configuration de compte, entrez un âge, afin de déterminer le niveau d'accès et les pages Web adaptées à l'âge qui sont recommandées. Le contrôle parental est désormais activé pour le compte spécifié. Cliquez sur Contenu autorisé et interdit... sous un nom de compte pour 78 personnaliser les catégories que vous souhaitez autoriser ou bloquer dans l'onglet Catégories. Pour autoriser ou bloquer des pages Web personnalisées ne correspondant à aucune catégorie, cliquez sur l'onglet Exceptions. Si vous cliquez sur Configuration > Outils de sécurité > Contrôle parental à partir de la fenêtre principale de ESET Smart Security, vous verrez la fenêtre principale qui contient les éléments suivants : Comptes utilisateur Windows Si vous avez créé un rôle pour un compte existant, il sera affiché ici. Cliquez sur le curseur pour qu'il affiche un crochet vert à côté du contrôle parental du compte. Sous un compte actif, cliquez sur Contenu autorisé et interdit... pour voir une liste des catégories de pages Web autorisées pour ce compte, ainsi que des pages Web bloquées et autorisées. Important : Pour créer un compte (par exemple, pour un enfant), utilisez les instructions étape par étape suivantes pour Windows 7 ou Windows Vista: 1. Ouvrez Comptes d'utilisateurs en cliquant sur le bouton Démarrer (dans le coin inférieur gauche de votre bureau). Cliquez ensuite sur Panneau de configuration puis sur Comptes d'utilisateurs. 2. Cliquez sur Gérer un compte utilisateur. Si vous êtes invité à entrer un mot de passe administrateur ou à le confirmer, entrez le mot de passe ou confirmez-le. 3. Cliquez sur Créer un nouveau compte. 4. Entrez le nom que vous souhaitez donner au compte, cliquez sur un type de compte, puis sur Créer un compte. 5. Ouvrez de nouveau le volet du contrôle parental en cliquant de nouveau sur celui-ci à partir de la fenêtre principale de ESET Smart Security jusqu'à Configuration > Outils de sécurité > Contrôle parental. La section inférieure d'une fenêtre contient les éléments suivants Ajouter une exception pour un site Web... - Un site Web en particulier peut être autorisé ou bloqué en fonction de votre préférences pour chacun des comptes parentaux. Afficher journaux - Cela affiche un journal détaillé de l'activité du contrôle parental (pages bloquées, compte pour lequel la page Web a été bloquée, catégorie, etc.). Vous pouvez également filtrer ce journal en fonction des critères de votre choix en cliquant sur Filtrage. 79 Contrôle parental Après avoir désactivé un contrôle parental, une fenêtre Désactiver le contrôle parental sera affichée. Vous pouvez y régler l'intervalle pendant lequel la protection est désactivée. Cette option est alors remplacée par Suspendu ou Désactivé en permanence. Il est important d'utiliser un mot de passe pour protéger les paramètres de ESET Smart Security. Ce mot de passe peut être défini dans la section Configuration de l'accès. Si aucun mot de passe n'est défini, l'avertissement suivant apparaît - Protéger le contrôle parental avec un mot de passe pour éviter les modifications non autorisées Les restrictions définies dans le contrôle parental n'affectent que les comptes d'utilisateur standards. Puisqu'un administrateur peut contourner toutes les restrictions, elles n'auront aucun effet sur ce type de compte. Par défaut, les communications HTTPS (SSL) ne sont pas filtrées. De ce fait, le contrôle parental ne peut bloquer les pages Web qui commencent par https://. Pour activer cette fonction, activez le paramètre Activer le filtrage par protocole SSL/TLS dans l'arbre Configuration avancée sous Web et messagerie > SSL/TLS. REMARQUE : Le contrôle parental exige que le filtrage du contenu des protocoles d'application, la vérification du protocole HTTP et le Pare-feu personnel soient activés pour pouvoir fonctionner de façon appropriée. Toutes ces fonctionnalités sont activées par défaut. 4.4.1.1 Catégories Si la case à côté d'une catégorie est cochée, cela indique qu'elle est autorisée. Décochez la case à côté d'une catégorie particulière pour la bloquer pour le compte sélectionné. Déplacer la souris sur une catégorie affichera une liste des pages Web correspondant à cette catégorie. Voici quelques exemples de catégories (groupes) qui ne sont pas forcément bien connues des utilisateurs : Divers - En général, adresses IP privées (locales) comme l'intranet, 127.0.0.0/8, 192.168.0.0/16, etc. Lorsque vous recevez un code d'erreur 403 ou 404, le site Web en question sera également associé à cette catégorie. Non résolu - Cette catégorie comprend des pages Web qui ne sont pas résolues en raison d'une erreur de connexion au moteur de base de données du contrôle parental. Non catégorisé - Pages Web inconnues non répertoriées dans la base de données du contrôle parental. Partage de fichiers - Ces pages Web contiennent de grandes quantités de données comme des photos, des vidéos ou des livres électroniques. Il existe un risque que le contenu de ces sites soit choquant ou réservé aux adultes. 80 4.4.1.2 Exceptions pour site Web Entrez une adresse URL dans le champ vide sous la liste, sélectionnez la case à côté d'un compte utilisateur, sélectionnez ou et cliquez sur OK pour l'ajouter à la liste. Pour supprimer une adresse URL de la liste, cliquez sur Configuration > Outils de sécurité > Contrôle parental > Contenu autorisé et interdit. Sous le compte utilisateur de votre choix, cliquez sur l'onglet Exception, sélectionnez l'exception et cliquez sur Supprimer. Dans la liste des adresses URL, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation) peuvent être utilisés. Par exemple, les adresses des pages Web avec plusieurs TLD doivent être saisies manuellement (exemplepage.com, exemplepage.sk, etc.). Lorsque vous ajoutez un domaine à la liste, tout le contenu situé dans ce domaine, et dans tous ses sous-domaines (par exemple, sub.exemplepage.com) sera bloqué ou autorisé, en fonction de votre choix quant aux actions selon l'adresse URL. REMARQUE : Bloquer ou autoriser une page Web particulière peut se révéler plus précis que de bloquer ou d'autoriser une catégorie complète de pages Web. Soyez prudent lorsque vous changez ces paramètres et ajoutez une catégorie ou page Web à la liste. 4.5 Mise à jour du programme La mise à jour régulière de ESET Smart Security constitue la meilleure méthode pour garantir le niveau maximal de sécurité pour votre ordinateur. Le module de mise à jour veille à ce que le programme soit toujours à jour de deux façons : en mettant à jour la base de données des signatures de virus et celle des composants système. En cliquant sur Mettre à jour dans la fenêtre principale du programme, vous pourrez voir l'état actuel des mises à jour, y compris la date et l'heure de la dernière mise à jour réussie et si une nouvelle mise à jour est requise. La fenêtre principale contient également la version de la base de données des signatures de virus. Cet indicateur numérique est un lien actif vers le site Web d'ESET qui permet de voir toutes les signatures ajoutées pendant cette mise à jour. En plus des mises à jour automatiques, vous pouvez cliquer sur Mettre à jour maintenant pour déclencher manuellement la mise à jour. Mettre à jour la base des signatures de virus et les composants du programme est un élément important pour assurer une protection totale contre les attaques des codes malveillants. Il faut donc accorder une grande attention à sa configuration et à son fonctionnement. Vous devez activer votre produit à l'aide de la clé de licence pour recevoir des mises à jour. Si vous ne l'avez pas déjà fait lors de l'installation, vous pouvez entrer la clé de licence pour activer votre produit au moment de la mise à jour d'accès aux serveurs de mise à jour d'ESET. 81 REMARQUE: Votre clé de licence vous est fournie dans un courriel provenant d'ESET, après votre achat de ESET Smart Security. Dernière mise à jour réussie - Date de la dernière mise à jour. Si vous ne voyez pas une date récente, cela signifie que votre base de données des signatures de virus pourrait ne pas être à jour. Version de la base des signatures de virus - Numéro de la base de données des signatures de virus, qui est également un lien actif vers le site Web d'ESET répertoriant toutes les signatures. Cliquez pour afficher la liste de toutes les signatures ajoutées à une mise à jour donnée. Cliquez sur Rechercher des mises à jour pour trouver la dernière version disponible de ESET Smart Security. Processus de mise à jour Une fois que vous aurez cliqué sur le bouton Mettre à jour maintenant, le processus de téléchargement commencera. Une barre de progression s'affiche indiquant le temps de téléchargement restant. Pour interrompre la mise à jour, cliquez sur Annuler la mise à jour. 82 Important : Dans des circonstances normales, le message La mise à jour n'est pas nécessaire - la base de données des signatures de virus est à jour s'affiche dans la fenêtre Mise à jour. Si ce n'est pas le cas, le programme n'est pas à jour et est donc plus vulnérable à une infection. Assurez-vous de mettre à jour la base de données des signatures de virus dès que possible. Dans d'autres circonstances, l'un des messages d'erreur suivants s'affiche : La notification précédente porte sur les deux messages suivants (La mise à jour de la base de données des signatures de virus a généré une erreur) sur les mises à jour infructueuses : 1. Licence non valide - La clé de licence a été entrée avec une erreur dans la configuration des mises à jour. Veuillez vérifier vos données d'authentification. La fenêtre Configuration avancée (cliquez sur Configuration dans le menu principal, puis sur Configuration avancée, ou appuyez sur la touche F5 de votre clavier) contient d'autres options de mise à jour. Cliquez sur Aide et assistance > Gérer les licences à partir du menu principal pour entrer une nouvelle clé de licence. 2. Une erreur est survenue pendant le téléchargement des fichiers de mise à jour - Des paramètres de connexion Internet incorrects sont une cause possible de cette erreur. Nous vous recommandons de vérifier votre connectivité à Internet (en ouvrant un site Web dans votre navigateur). Si le site Web ne s'ouvre pas, il est probable qu'aucune connexion à Internet ne soit établie ou que votre ordinateur ait des problèmes de connectivité. Consultez votre fournisseur de services Internet si vous ne disposez pas d'une connexion Internet active. 83 REMARQUE : Pour de plus amples renseignements, veuillez lire cet article de la Base de connaissance d'ESET. 4.5.1 Mettre à jour les paramètres Vous pouvez accéder aux options de configuration des mises à jour à partir de l'arborescence de Configuration avancée (touche F5) sous Mettre à jour > Basic. Cette section permet de préciser l'information sur les sources des mises à jour, comme les serveurs de mise à jour utilisés et les données d'authentification donnant accès à ces serveurs. Général Le profil de mise à jour actuellement utilisé s'affiche dans le menu déroulant Profil sélectionné. Pour créer un nouveau profil, cliquez sur Modifier à côté de Liste des profils, entrez votre propre nom de profil, puis cliquez sur Ajouter. Si vous éprouvez de la difficulté à télécharger les mises à jour de la base des signatures de virus, cliquez sur Nettoyer pour supprimer temporairement les fichiers et le cache de mise à jour. Annuler Si vous soupçonnez qu'une nouvelle mise à jour de la base de données de virus ou des modules du programme peut être instable ou endommagée, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour pour une durée choisie. Vous pouvez également activer les mises à jour déjà désactivées, si vous les avez déjà reportées indéfiniment. ESET Smart Security enregistre des instantanés des bases de signatures des virus et de modules du programme à utiliser avec la fonctionnalité d'annulation. Pour créer des images de la base de données de virus, laissez le commutateur Créer une image instantanée des fichiers de mise à jour activé. Le champ Nombre d'instantanés stockés localement définit le nombre d'instantanés de la base de virus stockés. 84 Si vous cliquez sur Annuler les modifications (Configuration avancée (touche F5) > Mettre à jour > Général), vous devez sélectionner un intervalle dans le menu déroulant représentant la durée pendant laquelle les mises à jour de la base de données des signatures de virus et des modules du programme seront suspendues. Il est essentiel d'inscrire correctement tous les paramètres de mise à jour afin de télécharger correctement les mises à jour. Si un pare-feu est utilisé, assurez-vous que le programme ESET est autorisé à accéder à Internet (par exemple. communication HTTP). L'essentiel Par défaut, le menu Type de mises à jour est réglé à Mise à jour régulière afin de s'assurer que les fichiers de mise à jour sont automatiquement téléchargés à partir du serveur ESET avec le moins de trafic réseau possible. Les préversions des mises à jour (l'option Mode test) sont des mises à jour ayant subi des tests internes approfondis et qui seront bientôt offertes au public. Elles permettent d'accéder aux méthodes de détection et correctifs les plus récents. Le mode test peut cependant ne pas toujours être assez stable et ne DOIT PAS être utilisé sur les serveurs et postes de travail de production où une disponibilité et une stabilité maximales sont requises. Désactiver l'affichage des notifications de réussite de la mise à jour - Désactive les notifications dans la barre d'état système, dans le coin inférieur droit de l'écran. Sélectionnez cette option si vous utilisez une application ou un jeu en mode plein écran. Veuillez noter que le mode présentation désactivera toutes les notifications. 4.5.1.1 Profils de mise à jour Les profils de mise à jour peuvent être créés pour différentes configurations et tâches de mise à jour. Les propriétés des connexions Internet étant variables, la création de profils de mise à jour est particulièrement utile pour les utilisateurs mobiles. Le menu déroulant Profil sélectionné affiche le profil actuellement sélectionné et est réglé par défaut à Mon profil. Pour créer un nouveau profil, cliquez sur le bouton Profils... puis sur Ajouter... et entrez votre propre nom de profil. Lors de création d'un nouveau profil, il est possible de Copier les paramètres depuis le profil. 85 4.5.1.2 Configuration avancée des mises à jour Pour afficher la Configuration avancée des mises à jour, cliquez sur Configuration.... Les options de configuration avancée incluent la configuration du Mode de mise à jour, du Mandataire HTTP et Réseau local. 4.5.1.2.1 Mode de mise à jour L'onglet Mode de mise à jour contient les options concernant la mise à jour des composants du programme. Le programme vous permet d'en contrôler le comportement lors de la mise à jour des composants du programme. Les mises à jour des composants du programme ajoutent de nouvelles fonctionnalités aux fonctionnalités existantes ou les modifient. Le redémarrage d'un ordinateur peut être exigé après la mise à jour des composants du programme. Mise à jour d'application - Lorsque cette option est activée, la mise à jour pour chacun des composants du programme sera effectuée automatiquement et silencieusement, sans la mise à niveau complète du produit. Si l'option Demander avant de télécharger une mise à jour est cochée, une notification s'affichera lorsqu'une nouvelle mise à jour sera disponible. Si la taille du fichier de mise à jour est supérieure à la valeur précisée dans Demander si un fichier de mise à jour a une taille supérieure à (ko), le programme affichera une notification. 4.5.1.2.2 HTTP mandataire Pour accéder aux options de configuration du serveur mandataire pour un profil de mise à jour donné, cliquez sur Mettre à jour dans l'arborescence de Configuration avancée (touche F5), puis sur Mandataire HTTP. Cliquez sur le menu déroulant Mode du mandataire et sélectionnez l'une des trois options suivantes : Ne pas utiliser de serveur mandataire Connexion par serveur mandataire Utiliser les paramètres globaux de serveur mandataire Sélectionner l'option Utiliser les paramètres globaux de serveur mandataire utilisera les options de configuration du serveur mandataire déjà précisées dans la branche Outils > Serveur mandataire de l'arborescence de la configuration avancée. Sélectionnez Ne pas utiliser de serveur mandataire pour préciser qu'aucun serveur mandataire ne sera utilisé pour mettre ESET Smart Security à jour. L'option Connexion par un serveur mandataire devrait être sélectionnée si : un serveur mandataire devrait être utilisé pour effectuer la mise à jour de ESET Smart Security, un serveur différent du serveur mandataire indiqué dans les paramètres globaux (Outils > Serveur mandataire). Dans un tel cas, les paramètres devraient être indiqués ici : Adresse du serveur mandataire port de communication (3128 par défaut), plus nom d'utilisateur et mot de passe pour le serveur mandataire, au besoin. Les paramètres du serveur mandataire n'ont pas été définis globalement, mais ESET Smart Security se connectera à un serveur mandataire pour les mises à jour. Votre ordinateur est connecté à Internet par un serveur mandataire. Les paramètres utilisés sont ceux d'Internet Explorer, pris au moment de l'installation du programme, mais s'ils sont ensuite modifiés (par exemple, si vous changez de FAI), vous devez vous assurer que les paramètres du serveur HTTP mandataire indiqués dans cette fenêtre sont appropriés. En l'absence de modification, le programme ne pourra pas se connecter aux serveurs de mise à jour. L'option par défaut pour le serveur mandataire est Utiliser les paramètres globaux du serveur mandataire. REMARQUE : Les données d'authentification, comme le nom d'utilisateur et le mot de passe, sont conçues pour permettre d'accéder au serveur mandataire. Ne remplissez ces champs que si un nom d'utilisateur et un mot de passe sont requis. Notez que ces champs ne sont pas ceux du mot de passe/nom d'utilisateur de ESET Smart Security et ne doivent être indiqués que si vous savez que vous avez besoin d'un mot de passe pour accéder à Internet par l'entremise d'un serveur mandataire. 86 4.5.1.2.3 Se connecter au réseau local comme Lors de la mise à jour depuis un serveur local avec une version du système d'exploitation Windows NT, une authentification est exigée par défaut pour chaque connexion réseau. Pour configurer un tel compte, sélectionnez à partir du menu déroulant Type d'utilisateur local : Compte système (par défaut), Utilisateur actuel, Utilisateur spécifié. Sélectionnez Compte système (par défaut) pour utiliser le compte système pour l'authentification. Normalement, aucune authentification ne sera effectuée si des données d'authentification ne sont pas inscrites dans la section de configuration des mises à jour. Pour s'assurer que le programme s'authentifie à l'aide du compte de l'utilisateur actuellement connecté, sélectionnez Utilisateur actuel. L'inconvénient de cette solution est que le programme est dans l'impossibilité de se connecter au serveur de mise à jour si aucun utilisateur n'est actuellement connecté. Sélectionnez Utilisateur spécifié si vous voulez que le programme utilise un compte utilisateur précisé pour l'authentification. Cette méthode doit être utilisée lorsque la connexion avec le compte système par défaut n'a pas fonctionné. À noter que le compte de l'utilisateur spécifié doit avoir le droit d'accès au dossier des fichiers de mise à jour du serveur local. Dans le cas contraire, le programme serait incapable d'établir une connexion et de télécharger les mises à jour. Avertissement: Si l'une des options Utilisateur actuel ou Utilisateur spécifié est sélectionnée, une erreur peut se produire si l'identité du programme est changée pour l'utilisateur souhaité. Il est recommandé d'entrer les données d'authentification du réseau local dans la section de configuration des mises à jour. Dans cette section, les données d'authentification doivent être entrées comme suit : domain_name\user (si c'est un groupe de travail, entrez workgroup_name\name) et le mot de passe. La mise à jour de la version HTTP du serveur local n'exige aucune authentification. Sélectionnez Déconnecter du serveur après la mise à jour pour forcer la déconnexion si la connexion au serveur reste active même après le téléchargement des mises à jour. 87 4.5.2 Annulation de la mise à jour Si vous soupçonnez qu'une nouvelle mise à jour de la base de données de virus ou des modules du programme peut être instable ou endommagée, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour pour une durée choisie. Vous pouvez également activer les mises à jour déjà désactivées, si vous les avez déjà reportées indéfiniment. ESET Smart Security enregistre des instantanés des bases de signatures des virus et de modules du programme à utiliser avec la fonctionnalité d'annulation. Pour créer des images de la base de données de virus, laissez la case Créer une image instantanée des fichiers de mise à jour cochée. Le champ Nombre d'instantanés stockés localement définit le nombre d'instantanés de la base de virus stockés. Si vous cliquez sur Annuler les modifications (Configuration avancée (touche F5) > Mettre à jour > Annulation de la mise à jour), vous devrez sélectionner un intervalle dans le menu déroulant Suspendre les mises à jour représentant la durée pendant laquelle les mises à jour de la base de données des signatures de virus et des modules du programme seront suspendues. Sélectionnez Jusqu'à son retrait pour reporter indéfiniment les mises à jour régulières jusqu'à ce que vous restauriez manuellement cette fonctionnalité. Nous ne recommandons pas de sélectionner cette option, puisqu'elle présente un risque potentiel au niveau de la sécurité. Si les annulations sont effectuées, le bouton Annuler les modifications passera à Permettre les mises à jour. Aucune mise à jour ne sera permise pendant la durée sélectionnée à partir du menu déroulant Suspendre les mises à jour. La version de la base de données des signatures de virus sera rétablie à la plus ancienne image disponible et stockée comme image dans le système de fichiers de l'ordinateur local. 88 Exemple : Disons que le numéro 6871 correspond à la version la plus récente de la base de données des signatures de virus. Les numéros 6870 et 6868 sont enregistrés comme des images de la base de données des signatures de virus. À noter que le numéro 6869 n'est pas disponible, car, par exemple, l'ordinateur était éteint et une mise à jour plus récente fut rendue disponible avant que le numéro 6869 ait été téléchargé. Si le champ Nombre d'images instantanées stockées localement est défini sur 2 et que vous cliquez sur Annuler les modifications, la version numéro 6868 de la base de données de signatures de virus sera restaurée. Veuillez cependant noter que ce processus peut prendre un certain temps. Vérifiez ensuite si la version de la base de données de signature de virus a été rétablie dans la fenêtre principale du programme ESET Smart Security, dans la section Mise à jour. 4.5.3 Comment créer des tâches de mise à jour Les mises à jour peuvent être déclenchées manuellement en cliquant sur Mettre à jour la base des signatures de virus dans la principale fenêtre d'information qui s'affiche après avoir cliqué sur Mise à jour dans le menu principal. Les mises à jour peuvent également être exécutées comme tâches planifiées. Pour configurer une tâche planifiée, cliquez sur Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Smart Security : Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Chaque tâche de mise à jour peut être modifiée en fonction de vos besoins. Outre les tâches de mise à jour par défaut, vous pouvez en créer des nouvelles avec vos propres paramètres. Pour plus d'information sur la création et la configuration des tâches de mise à jour, se reporter à la section Planificateur. 89 4.6 Outils Le menu Outils comprend des modules qui contribuent à simplifier l'administration du programme et offrent des options supplémentaires aux utilisateurs expérimentés. Protection des opérations bancaires et des paiements - ESET Smart Security protège vos numéros de cartes de crédit et autres données sensibles personnelles pendant que vous utilisez des sites Web de comptes bancaires ou de paiements. Un navigateur sécurisé sera lancé pour vous garantir des transactions bancaires plus sécuritaires. Antivol - Localise et vous aide à retrouver votre appareil manquant en cas de perte ou de vol. Cliquez sur Outils dans ESET Smart Security pour afficher les autres outils servant à protéger votre ordinateur. 90 4.6.1 Outils dans ESET Smart Security L'outil Plus d'outils Le menu comprend des modules qui contribuent à simplifier l'administration du programme et offrent des options supplémentaires aux utilisateurs expérimentés. Ce menu comprend les outils suivants : Fichiers journaux Statistiques de protection Surveiller l'activité Processus en cours (si ThreatSense est activé dans ESET Smart Security) Connexions réseau (si Pare-feu personnel est activé dans ESET Smart Security) ESET SysInspector ESET SysRescue Live - Vous redirige vers la page ESET SysRescue Live, où vous pouvez télécharger l'image d'ESET SysRescue Live ou Live CD/USB Creator pour les systèmes d'exploitation Microsoft Windows. Planificateur Soumettre un échantillon pour analyse - Permet de soumettre un fichier suspect pour fins d'analyse au laboratoire d'ESET. La fenêtre de dialogue qui s'affiche après avoir cliqué sur cette option est décrite dans cette section. Quarantaine REMARQUE : ESET SysRescue pourrait ne pas être disponible pour Windows 8 dans les anciennes versions des produits de sécurité ESET. Dans ce cas, nous recommandons d'effectuer la mise à niveau de votre produit ou de 91 créer un disque ESET SysRescue à partir d'une autre version de Microsoft Windows. 4.6.1.1 Fichiers journaux Les fichiers journaux contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées. La consignation est un composant essentiel de l'analyse système, de la détection de menaces et du dépannage. Elle est toujours active en arrière-plan, sans interaction de l'utilisateur. Les données sont enregistrées en fonction des paramètres actifs de verbosité. Il est possible de consulter les messages texte et les journaux directement à partir de l'environnement de ESET Smart Security ainsi que d'archiver les journaux. Les fichiers journaux sont accessibles à partir de la fenêtre principale du programme en cliquant sur Outils > Plus d'outils > Fichiers journaux. Sélectionnez le type de journal souhaité dans le menu déroulant Journal. Les journaux suivants sont disponibles : Menaces détectées - Le journal des menaces contient de l'information détaillée sur les infiltrations détectées par ESET Smart Security. Cela inclut l'heure de détection, le nom de l'infiltration, l'emplacement, l'action exécutée et le nom de l'utilisateur connecté au moment où l'infiltration a été détectée. Double-cliquez sur une entrée du journal pour afficher ses détails dans une fenêtre séparée. Événements - Toutes les actions importantes exécutées par ESET Smart Security sont enregistrées dans le journal des événements. Le journal des événements contient de l'information sur les événements qui se sont produits dans le programme. Il permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. L'information qu'on y trouve peut souvent permettre de trouver une solution à un problème qui s'est produit dans le programme. Analyse de l'ordinateur - les résultats de toutes les analyses effectuées manuellement ou planifiées sont affichés dans cette fenêtre. Chaque ligne correspond à un seul contrôle d'ordinateur. Double-cliquez sur n'importe quelle entrée pour afficher les détails de l'analyse correspondante. HIPS - Contient des enregistrements de règles HIPS particulières ayant été marquées pour enregistrement. Ce protocole affiche l'application ayant déclenché l'opération, le résultat (si la règle a été autorisée ou non) et le nom de la règle créée. Pare-feu personnel - Le journal du pare-feu affiche toutes les attaques distantes détectées par le Pare-feu personnel. Il comprend des renseignements sur toutes les attaques lancées contre votre ordinateur. La colonne Événement reprend la liste des attaques détectées. La colonne Source fournit des renseignements sur l'attaquant. La colonne Protocole indique le Protocole de communication utilisé pour l'attaque. L'analyse du journal de parefeu peut vous permettre de détecter à temps les tentatives d'infiltration du système pour ainsi empêcher l'accès non autorisé à votre système. Sites Web traités par le filtre - Cette liste est utile pour afficher la liste des sites Web bloqués par la protection de l'accès Web ou le contrôle parental. Ces journaux permettent de voir le moment, l'adresse URL, l'utilisateur et l'application ayant créé une connexion à un site Web en particulier. Protection antipourriel - Contient des enregistrements liés aux courriels marqués comme Pourriel. Contrôle parental - Affiche les pages Web bloquées ou autorisées par le Contrôle parental. Les colonnes Type de correspondance et Valeurs de correspondance vous indiquent comment les règles de filtrage ont été appliquées. Contrôle de périphérique - Contient les enregistrements connexes aux supports amovibles ou périphériques ayant été connectés à l'ordinateur. Seuls les périphériques liés à une règle de contrôle des périphériques particulière seront inscrits dans le fichier journal. Si un périphérique connecté ne satisfait pas les critères de la règle, aucune entrée journal ne sera créée à la connexion de ce périphérique. Vous pouvez aussi y voir différents détails, comme le type de périphérique, le numéro de série, le nom du fournisseur et la taille du support (si elle est disponible). Vous pouvez copier les données affichées dans chacune des sections dans le Presse-papiers en sélectionnant l'entrée souhaitée, puis en utilisant le raccourci clavier Ctrl + C. Pour sélectionner plusieurs entrées, vous pouvez utiliser les touches Ctrl et Maj. Cliquez sur de filtrage. 92 Filtrage pour ouvrir la fenêtre Filtrage des journaux dans laquelle vous pourrez définir les critères Vous pouvez afficher le menu contextuel en cliquant à l'aide du bouton droit de la souris sur une entrée particulière. Les options suivantes sont disponibles dans le menu contextuel : Afficher - Affiche des informations plus détaillées sur le journal sélectionné dans une nouvelle fenêtre. Filtrer les enregistrements du même type - Après avoir activé ce filtre, vous ne verrez que les entrées de même type (diagnostics, avertissements, etc.). Filtrer.../Trouver... - Après avoir cliqué sur cette option, la fenêtre Rechercher dans le journal vous permettra de définir les critères de filtrage à utiliser pour des entrées spécifiques du journal. Activer le filtre - Active les paramètres du filtre. Désactiver le filtre - Efface tous les paramètres du filtre (comme décrit ci-dessus). Copier/Copier tout - Copie les informations sur tous les enregistrements affichés dans la fenêtre. Supprimer/Supprimer tout - Supprime les enregistrements sélectionnés ou tous les enregistrements affichés cette action exige des privilèges administrateur. Exporter... - Exporte les renseignements à propos des enregistrements en format XML. Tout exporter... - Exporter les renseignements à propos des enregistrements en format XML. Faire défiler le journal - Laissez cette option cochée pour activer le défilement automatique des anciens journaux et afficher les journaux actifs, dans la fenêtre Fichiers journaux. 4.6.1.1.1 Fichiers journaux Vous pouvez accéder à la configuration de ESET Smart Security à partir de la fenêtre principale du programme. Cliquez sur Configuration > Accéder à la configuration avancée complète... > Outils > Fichiers journaux. La section journaux permet de définir la manière dont les journaux sont gérés. Le programme supprime automatiquement les anciens fichiers journaux pour gagner de l'espace disque. Vous pouvez préciser les options suivantes pour les fichiers journaux : Verbosité minimale des journaux - Précise le niveau minimal de verbosité des événements à consigner. Diagnostic- Consigne l'information requise pour affiner le programme et toutes les entrées préalables. Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et autres erreurs critiques seront enregistrées. Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus, , Pare-feu personnel, etc.). Les entrées journal plus vieilles que le nombre de jours indiqué dans le champ Supprimer automatiquement les entrées après (jours) seront automatiquement supprimées. Optimiser automatiquement les fichiers journaux - Si cette fonction est activée, les fichiers journaux seront automatiquement défragmentés si le pourcentage est supérieur à la valeur indiquée dans Si le nombre d'entrées inutilisées dépasse (%). Cliquez sur Optimiser pour lancer la défragmentation des journaux. Toutes les entrées journaux vides seront supprimées durant ce processus, ce qui améliorera la performance et la vitesse de traitement des journaux. Cette amélioration peut être notable, tout particulièrement lorsque les journaux contiennent un grand nombre d'entrées. Activez l'option Activer le protocole de texte pour permettre le stockage des journaux dans un autre format de fichier différent des fichiers journaux : Répertoire cible - Le répertoire où les fichiers journaux seront stockés (s'applique uniquement aux fichiers texte/ CSV). Chaque section du journal a son propre fichier avec un nom prédéfini (par exemple, virlog.txt pour la section Menaces détectées des fichiers journaux, si vous utilisez le format de fichier texte brut pour stocker les journaux). Type - Si vous sélectionnez le format de fichier Texte, les journaux seront stockés dans un fichier texte et les données seront séparées en onglets. La même chose s'applique au format de fichier CSV contenant des données séparées par des virgules. Si vous sélectionnez Événement, les journaux seront stockés dans le journal d'événement de Windows (peuvent être consultés à l'aide de l'observateur d'événements dans Panneau de contrôle) contrairement aux fichiers. 93 Supprimer tous les journaux - Supprime tous les journaux stockés et sélectionnés dans le menu déroulant Type. Une notification s'affiche une fois la suppression des journaux effectuée. REMARQUE: Pour permettre une résolution plus rapide des problèmes, ESET pourrait vous demander de fournir des journaux de votre ordinateur. ESET Log Collector facilite la collecte des informations nécessaires. Pour plus de détails sur ESET Log Collector, consultez notre article dans la Base de connaissances d'ESET. 4.6.1.1.2 Microsoft NAP La protection d'accès réseau (NAP, Network Access Protection) est une technologie Microsoft pour le contrôle de l'accès réseau d'un ordinateur hôte en fonction de la santé système de l'hôte. Avec la technologie NAP, les administrateurs système du réseau informatique d'une organisation peuvent définir des stratégies liées aux exigences de santé des système. La protection d'accès réseau (NAP) est conçue pour aider les administrateurs à maintenir l'intégrité des ordinateurs du réseau, ce qui à son tour contribue à maintenir l'intégrité de l'ensemble du réseau. Il n'est pas conçu pour sécuriser un réseau contre les utilisateurs malveillants. Par exemple, si un ordinateur a tous les logiciels et les configurations que la politique d'accès au réseau exige, l'ordinateur est considéré comme intègre ou conforme; il recevra alors l'accès approprié au réseau. NAP n'empêche pas l'utilisateur autorisé d'un ordinateur conforme de télécharger un programme malveillant sur?le réseau ni d'avoir dans d'autres comportements inappropriés. NAP permet aux administrateurs de créer et d'appliquer des politiques d'intégrité pour les ordinateurs qui se connectent au réseau de l'entreprise. Les politiques régissent à la fois les composants logiciels installés et les configurations du système. Les ordinateurs connectés au réseau, tels que les ordinateurs portables, les postes de travail et d'autres dispositifs sont évalués par rapport aux exigences d'intégrité configurés. Les exigences d'intégrité comprennent : • le pare-feu est activé, • un programme antivirus est installé, • le programme antivirus est à jour, • l'option Mises à jour automatiques de Windows est activée, etc. 94 4.6.1.2 Processus en cours Processus en cours affiche les programmes ou processus en cours d'exécution sur votre ordinateur et s'assure que ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. ESET Smart Security donne de l'information détaillée sur les processus en cours d'exécution pour protéger les utilisateurs grâce à la technologie ThreatSense. Processus - Nom de l'image du programme ou du processus actuellement en cours d'exécution sur votre ordinateur. Vous pouvez aussi utiliser le Gestionnaire des tâches de Windows pour afficher tous les processus en cours d'exécution sur votre ordinateur. Vous pouvez ouvrir le Gestionnaire des tâches en cliquant à droite dans une zone vide de la barre des tâches, puis sur Gestionnaire des tâches ou vous pouvez également appuyer sur les touches Ctrl +Maj+Esc de votre clavier. Niveau de risque - Le plus souvent, ESET Smart Security affecte, grâce à la technologie ThreatSense, des niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Sur la base de cette heuristique, un niveau de risque de 1 - Bon (vert) à 9 - Risqué (rouge) sera attribué aux objets. REMARQUE : Les applications connues marquées Ok (vert) sont vraiment propres (ajoutées à la liste blanche) et seront exclues de l'analyse, puisque cela permettra d'améliorer la vitesse de l'analyse à la demande ou de la protection du système en temps réel sur votre ordinateur. Nombre d'utilisateurs - Le nombre d'utilisateurs qui utilisent une application donnée. Cette information est colligée par la technologie ThreatSense. Heure de découverte - Période depuis que l'application a été découverte par la technologie ThreatSense. REMARQUE :Lorsque l'application est marquée comme ayant un niveau de sécurité Inconnu (orange), elle ne contient pas obligatoirement de logiciels malveillants. C'est souvent simplement une nouvelle application. Si vous n'êtes pas certain du fichier, vous pouvez soumettre le fichier pour analyse aux laboratoires d'ESET. Si le fichier se révèle être une application malveillante, sa détection sera ajoutée à l'une des mises à jour suivantes. Nom de l'application - Le nom d'un programme ou d'un processus donné. 95 Ouvrir dans une nouvelle fenêtre - L'information sur les processus en cours s'affiche dans une nouvelle fenêtre. En cliquant sur une application donnée indiquée au bas, l'information suivante s'affichera dans le bas de la fenêtre : Fichier - Emplacement d'une application sur votre ordinateur. Taille du fichier - Taille du fichier en O (octets). Description du fichier - Caractéristiques du fichier, en fonction de la description du système d'exploitation. Nom de la société - Nom du fournisseur ou du processus d'application. Version du fichier - Information de l'éditeur de l'application. Nom du produit - Nom de l'application et/ou nom de l'entreprise. REMARQUE : La vérification de la réputation peut également être effectuée sur des fichiers qui ne se comportent pas comme des programmes/processus en cours - marquez les fichiers à vérifier, cliquez à droite sur ceux-ci. Sélectionnez ensuite Options avancées > Vérifier la réputation des fichiers à l'aide de ThreatSense. 4.6.1.3 Statistiques de protection Pour afficher un graphique des données statistiques relatives aux modules de protection de ESET Smart Security, cliquez sur Outils > Statistiques de la protection. Dans le menu déroulant Statistiques, sélectionnez le module de protection souhaité pour afficher le graphique et la légende correspondants. Si vous faites glisser le pointeur de la souris sur un élément de la légende, seules les données correspondant à celui-ci sont représentées dans le graphique. Les graphiques statistiques suivants sont disponibles : Protection antivirus et anti-logiciel espion - Affiche le nombre d'objets infectés et nettoyés. Protection du système de fichiers - Affiche uniquement les objets lus ou écrits dans le système de fichiers. Protection du client de messagerie - Affiche uniquement les objets envoyés ou reçus par les clients de messagerie. Protection de l'accès Web et anti-hameçonnage - Affiche uniquement les objets téléchargés par des navigateurs Web. Protection antipourriel du client de messagerie - Affiche l'historique des statistiques de blocage du pourriel depuis le dernier démarrage. Vous pouvez voir, sous les graphiques des statistiques, le nombre total d'objets analysés, le denier objet analysé et la date et l'heure des statistiques. Cliquez sur Réinitialiser pour effacer toute l'information sur les statistiques. 96 4.6.1.4 Surveiller l'activité Pour voir l'activité actuelle du système de fichiers sous forme graphique, cliquez sur Outils > Plus d'outils > Surveiller l'activité. Au bas du graphique se trouve une chronologie qui enregistre l'activité du système de fichiers en temps réel sur la base de l'intervalle de temps sélectionné. Pour changer la durée, utilisez le menu déroulant Taux de rafraîchissement. Les options suivantes sont disponibles : Étape : 1 seconde - Le graphique est actualisé toutes les secondes et la chronologie couvre les 10 dernières minutes. Étape : 1 minute (24 dernières heures) - Le graphique est actualisé toutes les minutes et la chronologie couvre les 24 dernières heures. Étape : 1 heure (dernier mois) - Le graphique est actualisé toutes les heures et la chronologie couvre le dernier mois. Étape : 1 heure (mois sélectionné) - Le graphique est actualisé toutes les heures et la chronologie couvre les derniers X mois sélectionnés. L'axe vertical du Graphique d'activité du système de fichiers représente le nombre de données lues (en bleu) et écrites (en rouge). Les deux valeurs sont exprimées en Ko (kilo-octets/Mo/Go. Si vous faites glisser la souris sur les données lues ou écrites dans la légende sous le graphique, celui-ci n'affiche que les données relatives à ce type d'activité. Vous également sélectionner Activité réseau dans le menu déroulant Activité. L'affichage et les options du graphique pour l'activité du système de fichiers et l'activité du réseau sont identiques, sauf que, pour cette dernière, les données reçues (en rouge) et envoyées (en bleu) sont présentées. 97 4.6.1.5 Connexions réseau La section Connexions réseau contient la liste des connexions actives et en attente. Elle vous aide à contrôler toutes les applications qui établissent des connexions sortantes. La première ligne affiche le nom de l'application et la vitesse de transfert de données. Pour afficher la liste des connexions établies par l'application (ainsi que des informations plus détaillées), cliquez sur +. Colonnes Application/IP locale - Nom de l'application, adresses IP locales et ports de communication. IP distante - Adresse IP et numéro de port d'un ordinateur distant particulier. Protocole - Protocole de transfert utilisé. Vitesse montante/descendante - Vitesse actuelle des données sortantes et entrantes. Envoyé/Reçu - Quantité de données échangées sur la connexion. Afficher les détails - Permet d'afficher les détails de la connexion sélectionnée. L'option Configurer la vue des connexions... de l'écran Connexions réseau ouvre la structure de configuration avancée de cette section, ce qui permet de modifier les options d'affichage des connexions : Résoudre les noms d'hôtes - Si possible, toutes les adresses réseau sont affichées dans le format DNS plutôt que dans le format d'adresse IP numérique. Afficher uniquement les connexions avec le protocole TCP - Cette liste affiche uniquement les connexions appartenant à la suite de protocoles TCP. Afficher les connexions à l'écoute - Cette option permet d'afficher seulement les connexions sans communication actuellement établie, mais pour lesquelles le système a ouvert un port et est en attente de connexion. Afficher les connexions à l'intérieur de l'ordinateur - Cette option permet de n'afficher que les connexions où le côté distant est un système local, aussi appelées connexions hôte local. 98 Cliquez à droite sur une connexion pour voir des options supplémentaires, y compris : Refuser la communication pour la connexion - Met fin à la connexion établie. Cette option n'est disponible qu'après avoir cliqué sur une connexion active. Vitesse de rafraîchissement- Sélectionner la fréquence de rafraîchissement des connexions actives. Rafraîchir maintenant - Recharge la fenêtre des connexions réseau. Les options suivantes ne sont disponibles qu'après avoir cliqué sur une application ou un processus, non sur une connexion active : Refuser temporairement la communication pour le processus - Rejette les connexions actuelles de l'application. Si une nouvelle connexion est établie, le pare-feu utilise une règle prédéfinie. Les paramètres sont décrits dans la section Configuration et utilisation des règles. Autoriser temporairement la communication pour le processus - Autorise les connexions actuelles de l'application. Si une nouvelle connexion est établie, le pare-feu utilise une règle prédéfinie. Les paramètres sont décrits dans la section Configuration et utilisation des règles. 4.6.1.6 ESET SysInspector ESET SysInspector est une application qui inspecte complètement votre ordinateur et collige de l'information détaillée sur les composants système, tels que les pilotes et applications, les connexions réseau ou des entrées de registre importantes, et évalue le niveau de risque de chacun des composants. Ces données peuvent aider à déterminer la cause d'un comportement suspect du système pouvant être dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant. La fenêtre SysInspector affiche les données suivantes sur les journaux créés : Heure - L'heure de création du journal. Commentaire - Une brève note. Utilisateur - Le nom de l'utilisateur ayant créé le journal. État - L'état de création du journal. Les actions suivants sont disponibles : Ouvrir - Ouvre le journal créé. Vous pouvez aussi cliquer à l'aide du bouton droit de la souris sur un fichier journal donné et sélectionner Afficher à partir du menu contextuel. Comparer - Compare deux journaux existants. Créer... - Crée un journal. Veuillez attendre que ESET SysInspector se termine (l'état du journal devient alors Créé) avant d'essayer d'accéder au journal. Supprimer - Supprime les journaux sélectionnés de la liste. Les éléments suivants sont disponibles dans le menu contextuel lorsqu'un ou plusieurs fichiers journaux sont sélectionnés: Afficher - Ouvre le journal sélectionné dans ESET SysInspector (équivaut à double-cliquer sur un journal). Comparer - Compare deux journaux existants. Créer... - Crée un journal. Veuillez attendre que ESET SysInspector se termine (l'état du journal devient alors Créé) avant d'essayer d'accéder au journal. Supprimer tout - Supprime tous les journaux. Exporter... - Exporte le journal vers un fichier .xml ou un fichier .xml zippé. 99 4.6.1.7 Planificateur Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées. Vous pouvez accéder au Planificateur à partir de la fenêtre principale de ESET Smart Security, en cliquant sur Outils > Planificateur. Le Planificateur contient une liste de toutes les tâches planifiées avec leurs propriétés de configuration telles que la date prédéfinie, l'heure et le profil d'analyse utilisé. Le Planificateur à planifier les tâches suivantes : la mise à jour de la base de données des signatures de virus, les tâches d'analyse, le contrôle des fichiers de démarrage du système et la maintenance des journaux. Vous pouvez ajouter ou supprimer des tâches dans la fenêtre principale du Planificateur (cliquez sur Ajouter ou Supprimer, dans le bas). Cliquez avec le bouton droit en un point quelconque de la fenêtre du planificateur pour effectuer les actions suivantes : afficher de l'information détaillée, exécuter la tâche immédiatement, ajouter une nouvelle tâche et supprimer une tâche existante. Utilisez les cases à cocher au début de chaque entrée pour activer ou désactiver les tâches. Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur : Maintenance des journaux Mise à jour automatique régulière Mise à jour automatique après une connexion commutée Mise à jour automatique après ouverture de session utilisateur Vérification régulière de la dernière version du produit (consultez la section Mode de mise à jour) Vérification automatique des fichiers de démarrage (après ouverture de session utilisateur) Vérification automatique des fichiers de démarrage (après la mise à jour réussie de la base de données des signatures de virus) Première analyse automatique Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), cliquez avec le bouton droit sur la tâche, puis sur Modifier... ou sélectionnez la tâche que vous voulez modifier, puis cliquez sur le bouton Modifier.... Ajouter une nouvelle tâche 1. Cliquez sur Ajouter une tâche au bas de la fenêtre. 2. Entrez un nom pour la tâche. 100 3. Sélectionnez la tâche souhaitée dans le menu déroulant : Exécuter une application externe - Planifie l'exécution d'une application externe. Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner de façon efficace. Contrôle des fichiers de démarrage du système - Vérifier les fichiers qui peuvent être exécutés au démarrage du système ou lors de l'ouverture de session. Créer une analyse de l'ordinateur - Crée un instantané ESET SysInspector de l'ordinateur - recueille de l'information détaillée sur les composants système (pilotes, applications, par ex.) et évalue le niveau de risque de chacun des composants. Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur. Première analyse - Par défaut, une analyse de l'ordinateur sera effectuée 20 minutes après l'installation ou tout redémarrage comme tâche de priorité faible. Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base de données des signatures de virus et les modules du programme. 4. Mettez le commutateur Activé en position activé si vous voulez activer la tâche (vous pouvez le faire ultérieurement en cochant ou en décochant la case située dans la liste des tâches planifiées); cliquez sur Suivant et sélectionnez l'une des options de périodicité : Une fois - La tâche sera exécutée à la date et l'heure prédéfinies. Plusieurs fois - La tâche sera exécutée à chaque intervalle précisé Quotidiennement - La tâche sera exécutée plusieurs fois, chaque jour, à l'heure indiquée. Chaque semaine - La tâche sera exécutée à l'heure et au jour prédéfinis. Déclenchée par un événement - La tâche sera exécutée lorsque l'événement précisé se produira. 5. Sélectionnez Ignorer la tâche lorsque l'ordinateur portable fonctionne sur batterie afin de minimiser les ressources systèmes sous ce mode d'alimentation. La tâche sera exécutée à la date et à l'heure indiquées dans les champs Exécution de la tâche. Si une tâche n'a pas pu être exécutée à l'heure définie, il est possible de préciser le moment où elle sera exécutée de nouveau : À la prochaine heure planifiée Dès que possible Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle peut être défini à l'aide de la zone de liste déroulante Heure depuis la dernière exécution). Vous pouvez consulter la tâche planifiée en faisant un clic droit et en cliquant sur Afficher les détails de la tâche. 101 4.6.1.8 ESET SysRescue ESET SysRescue est une fonctionnalité qui vous permet de créer un disque de démarrage contenant une des solutions ESET Security - ESET NOD32 Antivirus, ESET Smart Security ou certains produits orientés serveur. Le principal avantage d'ESET SysRescue est le fait que la solution ESET Security s'exécute indépendamment du système d'exploitation hôte, tout en ayant un accès direct au disque et au système de fichier. Cela permet de supprimer des infiltrations qui, dans des circonstances normales, ne pourraient pas être supprimées, par exemple lorsque le système d'exploitation est en cours d'exécution, etc. 4.6.1.9 ESET LiveGrid® ESET LiveGrid® (fondé sur le système avancé d'avertissement anticipé ESET ThreatSense.Net ) utilise les données soumises par les utilisateurs ESET de partout dans le monde avant de les envoyer au laboratoire de recherche d'ESET. En fournissant des métadonnées et des échantillons suspects provenant de partout, ESET LiveGrid® nous permet de réagir immédiatement aux besoins de nos clients et de préserver la réactivité d'ESET aux menaces les plus récentes. Pour en savoir plus sur ESET LiveGrid®, consultez le glossaire. L'utilisateur peut vérifier la réputation de processus en cours d'exécution et de fichiers directement à partir de l'interface du programme ou du menu contextuel avec informations supplémentaires disponibles à partir deESET LiveGrid®. Deux options sont offertes : 1. Vous pouvez choisir de ne pas activer le système ESET LiveGrid®. Vous ne perdrez aucune fonctionnalité dans le logiciel, mais, dans certains cas, ESET Smart Security peut répondre plus rapidement aux nouvelles menaces que la mise à jour de la base de données des signatures de virus lorsque ESET Live Grid est activé. 2. Vous pouvez configurer ESET LiveGrid® pour qu'il envoie des données anonymes concernant de nouvelles menaces et l'endroit où se trouve le code menaçant. Ce fichier peut être envoyé à ESET pour une analyse détaillée. En étudiant ces menaces, ESET améliore sa capacité à détecter les menaces. ESET LiveGrid® recueille sur votre ordinateur des données concernant de nouvelles menaces détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et de l'information sur le système d'exploitation de votre ordinateur. Par défaut, ESET Smart Security est configuré pour soumettre les fichiers suspects pour une analyse détaillée dans les laboratoires de virus d'ESET. Les fichiers portant certaines extensions comme .doc ou .xls sont toujours exclus. Vous pouvez ajouter d'autres extensions à la liste d'exclusion, dont vous ou votre compagnie souhaitez éviter l'envoi. Le menu de configuration d'ESET LiveGrid® offre plusieurs options pour activer et désactiver le système ESET LiveGrid®, qui sert à soumettre des fichiers suspects et des données statistiques anonymes aux laboratoires d'ESET. On peut y accéder à partir de l'arbre de Configuration avancée en cliquant sur Outils > ESET LiveGrid®. Activer le système de réputation d'ESET LiveGrid® (recommandé) - Le système de réputation d'ESET LiveGrid® améliore l'efficacité des solutions de protection contre les logiciels malveillants d'ESET en comparant les fichiers analysés à une base de données d'éléments d'une liste blanche et d'une liste noire dans le nuage. Envoyer des données statistiques anonymes - Autoriser ESET à collecter des renseignements sur les menaces nouvellement détectées comme le nom de la menace, la date et l'heure de la détection, la méthode et les métadonnées associées à la détection ainsi que la version du produit et sa configuration, y compris les renseignements sur votre système. Envoyer les fichiers - Les fichiers suspects ressemblant à des menaces et/ou ayant des caractéristiques ou un comportement inhabituels sont envoyés à ESET pour analyse. Sélectionnez Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données statistiques soumis. Tout envoi de fichiers ou de statistiques sera alors consigné dans le journal des événements. Adresse courriel du contact (facultative) - Votre adresse courriel peut également être incluse avec tout fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis. Exclusion - Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de la soumission (par exemple, il peut 102 être utile d'exclure les fichiers contenant des informations confidentielles comme des documents ou des classeurs). Les fichiers de la liste ne seront jamais envoyés aux laboratoires d'ESET pour analyse, même s'ils contiennent du code suspect. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette liste, au besoin. Si vous avez déjà utilisé ESET LiveGrid® et l'avez désactivé, il est possible qu'il reste des paquets de données à envoyer. Même après la désactivation, ces paquets seront envoyés à ESET. Une fois toutes les informations actuelles envoyées, aucun autre paquet ne sera créé. 4.6.1.9.1 Fichiers suspects L'onglet Fichier dans la Configuration avancée de ESET LiveGrid® vous permet de configurer la façon dont les menaces seront soumises au laboratoire de recherche d'ESET pour analyse. Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire de recherche d'ESET pour analyse. S'il contient une application malveillante, il sera ajouté à la prochaine mise à jour des signatures de virus. Filtre d'exclusion - Le filtre d'exclusion permet d'exclure certains fichiers/dossiers de la soumission. Les fichiers de la liste ne seront jamais envoyés au laboratoire de recherche d'ESET pour analyse, même s'ils contiennent du code suspect. Ainsi, il est utile d'exclure des fichiers qui peuvent comporter des données confidentielles, tels que des documents ou des feuilles de calcul. Les types de fichiers les plus courants sont exclus par défaut (.doc, etc.). Vous pouvez ajouter des fichiers à cette liste, au besoin. Adresse courriel du contact (facultative) - Votre adresse courriel peut également être incluse avec tout fichier suspect et pourra être utilisée pour communiquer avec vous si nous avons besoin de plus d'information pour l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis. Sélectionnez Activer la journalisation pour créer un journal dans lequel enregistrer les fichiers et données statistiques soumis. Tout envoi de fichiers ou de statistiques sera alors consigné dans le journal des événements. 103 4.6.1.10 Quarantaine La quarantaine vise principalement à stocker les fichiers infectés de façon sécuritaire. Ces fichiers doivent être mis en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés par erreur par ESET Smart Security. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent ensuite être soumis pour analyse au laboratoire d'ESET. Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par exemple, un objet ajouté par l'utilisateur) et le nombre de menaces (par exemple, s'il s'agit d'une archive contenant plusieurs infiltrations). Mise de fichiers en quarantaine ESET Smart Security met automatiquement les fichiers supprimés en quarantaine (si l'utilisateur n'a pas annulé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur le bouton Quarantaine.... Dans ce cas, le fichier d'origine ne sera pas supprimé de son emplacement initial. Il est également possible d'utiliser le menu contextuel à cette fin; il suffit de cliquer avec le bouton droit dans la fenêtre Quarantaine et de sélectionner Quarantaine.... Restaurer depuis la quarantaine Les fichiers mis en quarantaine peuvent aussi être restaurés à leur emplacement d'origine. Pour ce faire, utilisez la fonctionnalité Restaurer du menu contextuel après avoir cliqué avec le bouton droit sur un fichier indiqué dans la fenêtre de quarantaine. Si un fichier est marqué comme application potentiellement indésirable, l'option Restaurer et exclure de l'analyse sera activée. Pour en savoir plus sur ce type d'application, consultez le glossaire. Le menu contextuel offre également l'option Restaurer vers... qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés. REMARQUE: Si le programme place en quarantaine, par erreur, un fichier inoffensif, il convient de le restaurer, de 104 l'exclure de l'analyse et de l'envoyer au service à la clientèle d'ESET. Soumission d'un fichier de quarantaine Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été jugé infecté par erreur (par exemple, par l'analyse heuristique du code) et mis en quarantaine, envoyez ce fichier au laboratoire d'ESET. Pour soumettre un fichier mis en quarantaine, cliquez sur ce dernier avec le bouton droit de la souris, puis, dans le menu contextuel, sélectionnez Soumettre pour analyse. 4.6.1.11 Serveur mandataire Dans les grands réseaux locaux, la communication entre votre ordinateur et Internet peut s'effectuer par l'intermédiaire d'un serveur mandataire. En utilisant cette configuration, les paramètres suivants doivent être définis. En l'absence de modification, le programme ne pourra pas effectuer de mise à jour automatique. Dans ESET Smart Security, le serveur mandataire peut être configuré dans deux sections différentes de l'arborescence de configuration avancée. Vous pouvez tout d'abord configurer les paramètres du serveur mandataire dans Configuration avancée sous Outils > Serveur mandataire. La sélection du serveur mandataire à ce niveau définit les paramètres de serveur mandataire globaux pour l'ensemble de ESET Smart Security. Les paramètres définis ici seront utilisés par tous les modules exigeant une connexion Internet. Pour préciser des paramètres de serveur mandataire à ce niveau, Sélectionnez Utiliser un serveur mandataire, puis entrez l'adresse du serveur mandataire dans le champ Serveur mandataire, ainsi que le numéro de Port de ce serveur mandataire. Si la communication avec le serveur mandataire exige une authentification, sélectionnez Le serveur mandataire exige une authentification et entrez un nom d'utilisateur et un mot de passe valides dans les champs correspondants. Cliquez sur Détecter pour détecter et remplir automatiquement les paramètres du serveur mandataire. Les paramètres définis dans Internet Explorer seront copiés. REMARQUE : Vous devez entrer votre nom d'utilisateur et votre mot de passe manuellement dans les paramètres du serveur mandataire. Les paramètres de serveur mandataire peuvent aussi être définis dans la configuration de mise à jour avancée (Configuration avancée > Mettre à jour > Mandataire HTTP en sélectionnant Connexion par un serveur mandataire dans le menu déroulant Mode mandataire). Ce paramètre s'applique au profil de mise à jour donné et est recommandé pour les ordinateurs portables qui reçoivent souvent des mises à jour des signatures de virus d'emplacements distants. Pour plus d'information sur ce paramètre, consultez la section Configuration avancée des mises à jour. 105 4.6.1.12 Notifications par courriel ESET Smart Security prend en charge l'envoi automatique de courriels de notification, si un événement ayant le niveau de verbosité sélectionné se produit. Activez Envoyer des notifications d'événement par courriel pour envoyer des notifications par courriel. Serveur SMTP Serveur SMTP - Le serveur SMTP utilisé pour envoyer des notifications (par ex. smtp.provider.com:587, le port prédéfini est 25). REMARQUE : ESET Smart Security prend en charge les serveurs SMTP avec chiffrement TLS. Nom d'utilisateur et mot de passe - Si le serveur SMTP exige une authentification, ces champs doivent être remplis avec un nom d'utilisateur et un mot de passe valides pour accéder au serveur SMTP. Adresse de l'expéditeur - Ce champ indique l'adresse de l'expéditeur qui sera affichée dans l'en-tête des courriels de notification. Adresse du destinataire - Ce champ indique l'adresse du destinataire qui sera affichée dans l'en-tête des courriels de notification. À partir du menu déroulant Verbosité minimale pour les notifications, vous pouvez sélectionner le niveau de sévérité de départ des notifications à envoyer. Diagnostic - Consigne l'information requise pour affiner le programme et toutes les entrées préalables. Informatif - Enregistre des messages informatifs, comme les événements de réseau non standard, y compris les messages de mise à jour réussie, ainsi que tous les enregistrements préalables. Avertissements - Enregistre les erreurs critiques et les messages d'avertissement (Antistealth ne fonctionne pas correctement ou la mise à jour a échoué). Erreurs - Des erreurs (comme « La protection du document n'a pas démarrée ») et autres erreurs critiques seront enregistrées. Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus ou système 106 infecté). Activer TLS - Activez l'envoi des messages d'alerte et de notification pris en charge par le chiffrement TLS. Intervalle après lequel les nouveaux courriels de notification seront envoyés (min) - Intervalle en minutes, après lequel de nouvelles notifications seront envoyées par courriel. Mettez cette valeur à 0 si vous souhaitez envoyer ces notifications immédiatement. Envoyer chaque notification dans un courriel distinct - Lorsque cette option est activée, le destinataire recevra un nouveau courriel pour chaque notification. Cela peut entrainer la réception d'un grand nombre de courriels dans un court laps de temps. Format des messages Format des messages d'événement - Format des messages d'événements qui s'affichent sur les ordinateurs distants. Format des messages d'avertissement de menace - Les messages d'alerte de menace et de notification ont un format par défaut prédéfini. Il est déconseillé de modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé de traitement des messages), vous serez peut-être amené à modifier le format des messages. Utiliser les caractères alphabétiques locaux - Utilise l'encodage des caractères ANSI basé sur les paramètres régionaux de Windows pour convertir un courriel (par exemple, windows-1250). Si cette case est désélectionnée, le message sera converti et encodé en format ACSII 7 bits (par exemple, « á » sera remplacé par « a » et un caractère inconnu en « ? »). Utiliser l'encodage des caractères locaux - Le courriel source sera encodé dans le format Quoted Printable (QP) qui utilise les caractères ASCII et peut transmettre correctement par courriel les caractères nationaux spéciaux en format 8 bits (áéíóú). 4.6.1.12.1 Format des messages Ici, vous pouvez configurer le format des messages d'événement qui s'afficheront sur les ordinateurs distants. Les messages d'alerte et de notification de menace utilisent un format par défaut prédéfini. Il est déconseillé de modifier ce format. Toutefois, dans certaines circonstances (par exemple, si vous avez un système automatisé de traitement des messages), vous serez peut-être amené à modifier le format des messages. Les mots-clés (chaînes entourées de signes %) sont remplacés dans le message par les données réelles indiquées. Les mots-clés suivants sont disponibles : %TimeStamp% - Date et heure de l'événement %Scanner% - Module concerné %ComputerName% - Nom de l'ordinateur où l'alerte s'est produite %ProgramName% - Programme ayant généré l'alerte %InfectedObject% - Nom du fichier infecté, message infecté, etc. %VirusName% - Identification de l'infection %ErrorDescription% - Description d'un événement autre qu'un virus Les mots-clés %InfectedObject% et %VirusName% ne sont utilisés que dans les messages d'alerte de menace, tandis que le mot-clé %ErrorDescription% n'est utilisé que dans les messages d'événement. Utiliser les caractères alphabétiques locaux - Utilise l'encodage des caractères ANSI basé sur les paramètres régionaux de Windows pour convertir un courriel (par exemple, windows-1250). Si cette case est désélectionnée, le message sera converti et encodé en format ACSII 7 bits (par exemple, « á » sera remplacé par « a » et un caractère inconnu en « ? »). Utiliser l'encodage des caractères locaux - Le courriel source sera encodé dans le format Quoted Printable (QP) qui utilise les caractères ASCII et peut transmettre correctement par courriel les caractères nationaux spéciaux en format 8 bits (áéíóú). 107 4.6.1.13 Sélectionner l'échantillon pour analyse La boîte de dialogue de soumission de fichiers vous permet d'envoyer un fichier à ESET pour analyse. Elle se trouve dans Outils > Plus d'outils > Soumettre un échantillon pour analyse. Si vous trouvez un fichier au comportement suspect sur votre ordinateur ou un site suspect sur Internet, vous pouvez le soumettre au laboratoire de recherche d'ESET pour analyse. Si le fichier se révèle être une application ou un site Web malveillant, sa détection sera ajoutée à l'une des mises à jour suivantes. Vous pouvez également soumettre le fichier par courriel. Si vous préférez cette option, chiffrez le ou les fichiers avec WinRAR/ZIP, protégez l'archive avec le mot de passe « infected », puis envoyez-la à [email protected]. Pensez utiliser un objet clair et compréhensible et fournissez le plus de détails possible sur le fichier (par ex., le site Web à partir duquel vous l'avez téléchargé). REMARQUE : Avant de soumettre un fichier à ESET, assurez-vous qu'il répond à un ou à plusieurs des critères suivants : le fichier n'est pas du tout détecté, le fichier est erronément détecté comme une menace. Vous ne recevrez pas de réponse, sauf si des informations complémentaires sont nécessaires pour l'analyse. Sélectionnez la description de la Raison de la soumission du fichier qui correspond le mieux à votre message dans le menu déroulant : Fichier suspect Site suspect (un site Web infecté par quelque logiciel malveillant que ce soit), Fichier faux positif (fichier jugé infecté, mais qui ne l'est pas), Site faux positif Autre Fichier/site - Le chemin d'accès vers le fichier ou le site Web que vous voulez soumettre. Adresse courriel du contact - L'adresse courriel du contact est envoyée avec les fichiers suspects à ESET et peut être utilisée pour communiquer avec vous si des informations complémentaires sont nécessaires pour l'analyse. L'entrée de l'adresse courriel est facultative. Vous ne recevrez pas de réponse d'ESET, sauf si des informations complémentaires sont nécessaires pour l'analyse. Il en est ainsi parce que nos serveurs reçoivent, chaque jour, des dizaines de milliers de fichiers, ce qui nous empêche de répondre à l'ensemble des soumissions. 4.6.1.14 Mise à jour Microsoft Windows® La fonctionnalité Windows Update est un élément important de la protection des utilisateurs contre les logiciels malveillants. C'est pourquoi il est essentiel que vous installiez les mises à jour de Microsoft Windows dès qu'elles sont disponibles. ESET Smart Security vous informe des mises à jour manquantes en fonction du niveau indiqué. Les niveaux suivants sont disponibles : Aucune mise à jour - Aucune mise à jour système ne sera proposée pour téléchargement. Mises à jour facultatives - Les mises à jour marquées comme étant de faible priorité et plus prioritaires sont proposées pour téléchargement. Mises à jour recommandées - Les mises à jour marquées comme étant communes et plus prioritaires sont proposées pour téléchargement. Mises à jour importantes - Les mises à jour marquées comme étant importantes et plus prioritaires sont proposées pour téléchargement. Mises à jour critiques - Seules les mises à jour critiques sont proposées pour téléchargement. Cliquez sur OK pour enregistrer les modifications. La fenêtre Mises à jour système s'affiche après vérification de l'état avec le serveur de mise à jour. Il se peut donc que les données de mise à jour système ne soient pas immédiatement disponibles après l'enregistrement des modifications. 108 4.7 Interface utilisateur La section Interface utilisateur vous permet de configurer le comportement des éléments de l'interface graphique du programme (IUG). À l'aide de l'outil Graphiques, vous pouvez régler l'apparence visuelle du programme et les effets utilisés. En configurant les alertes et notifications, vous pouvez modifier le comportement des alertes de menaces détectées et les notifications système. Elles peuvent être personnalisées selon vos besoins. Si vous choisissez de ne pas afficher certaines notifications, elles seront affichées dans la zone Fenêtres de notification masquées. Ici, vous pouvez en vérifier l'état, afficher plus de détails ou les supprimer de la fenêtre. Pour profiter de la sécurité maximale de votre logiciel de sécurité, vous pouvez empêcher toute modification non autorisée en protégeant les paramètres par un mot de passe à l'aide de l'outil Configuration de l'accès. Le menu contextuel s'affiche après avoir cliqué à droite sur un objet. Utilisez cet outil pour intégrer les éléments de contrôle de ESET Smart Security dans le menu contextuel. 4.7.1 Éléments de l'interface utilisateur Les options de configuration de l'interface utilisateur incluses dans ESET Smart Security permettent d'ajuster l'environnement de travail selon vos besoins. Vous pouvez accéder à ces options à partir de la branche Interface utilisateur > Éléments de l'interface utilisateur de l'arborescence de ESET Smart Security Configuration avancée. Pour désactiver l'écran de démarrage de ESET Smart Security, désactivez Afficher l'écran de démarrage. Pour que ESET Smart Security émette un son lorsque des événements importants se produisent pendant une analyse, par exemple lorsqu'une menace est détectée ou lorsque l'analyse prend fin, sélectionnez Émettre un signal sonore. Intégrer au menu contextuel - - Intègre les éléments de contrôle de ESET Smart Security dans le menu contextuel. États États de l'application - Cliquez sur le bouton Modifier pour gérer (désactiver) les états affichés dans la fenêtre État de la protection qui se trouve dans le menu principal. 109 110 4.7.2 Alertes et notifications La section Alertes et notifications sous Interface utilisateur permet de configurer le mode de traitement des messages d'alerte et des notifications système (par ex., des messages de mise à jour réussie) par ESET Smart Security. Vous pouvez également configurer la durée d'affichage et le niveau de transparence des notifications dans la barre d'état système (ne s'applique qu'aux systèmes prenant en charge ces notifications). Fenêtres d'alerte Lorsque Afficher les alertes est désactivée, aucune fenêtre d'alerte ne s'affiche, ce qui ne convient qu'à un nombre limité de situations particulières. Il est recommandé à la majorité des utilisateurs de conserver l'option par défaut (activée). Messagerie intégrée au produit Afficher les messages de marketing - La messagerie intégrée a été conçue afin d'informer les utilisateurs des nouvelles et des autres communications ESET. Désactivez cette option si vous ne voulez pas recevoir de messages de marketing. Notifications sur le bureau Les notifications sur le bureau et les infobulles sont des messages informatifs ne permettant ou n'exigeant aucune interaction avec l'utilisateur. Elles s'affichent dans la zone de notification, dans le coin inférieur droit de l'écran. Pour activer l'affichage des notifications sur le bureau, sélectionnez Afficher les notifications sur le bureau. Activez Ne pas afficher les notifications lors de l'exécution d'applications en mode plein écran pour supprimer toutes les notifications non interactives. D'autres options détaillées, comme la durée d'affichage des notifications et la transparence de la fenêtre, peuvent être modifiées ci-dessous. Le menu déroulant Verbosité minimale des événements à afficher permet de sélectionner le niveau de gravité des alertes et des notifications à afficher. Les options suivantes sont disponibles : 111 Diagnostic - Consigne l'information requise pour affiner le programme et toutes les entrées préalables. Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et autres erreurs critiques seront enregistrées. Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus , du pare-feu intégré, etc.). La dernière fonctionnalité de cette section vous permet de configurer la destination des notifications dans un environnement multi-utilisateur. Le champ Sur les systèmes multi-utilisateur, afficher les notifications sur l'écran de l'utilisateur permet de préciser quel utilisateur recevra les notifications système et autres notifications pour les systèmes autorisant la connexion simultanée de multiples utilisateurs. Il s'agit généralement de l'administrateur système ou de l'administrateur réseau. Cette option est particulièrement utile pour les serveurs de terminaux, pourvu que toutes les notifications système soient envoyées à l'administrateur. Fenêtres de notification Pour fermer automatiquement les fenêtres contextuelles après un certain temps, sélectionnez l'option Fermer automatiquement les boîtes de message. Si les fenêtres d'alerte ne sont pas fermées manuellement, elles le sont automatiquement, une fois le laps de temps écoulé. Messages de confirmation - Affiche une liste de messages de confirmation que vous pouvez choisir d'afficher ou de ne pas afficher. 4.7.2.1 Configuration avancée Du menu déroulant Verbosité minimale des événements à afficher, vous pouvez sélectionner le niveau de gravité de base des alertes et notifications à afficher. Diagnostic- Consigne l'information requise pour affiner le programme et toutes les entrées préalables. Informative - Enregistre des messages informatifs, y compris les messages de mise à jour réussie, ainsi que toutes les entrées préalables. Avertissements - Enregistre les erreurs critiques et les messages d'avertissement. Erreurs - Des erreurs comme « Erreur de téléchargement de fichier » et autres erreurs critiques seront enregistrées. Critique - Ne consigne que les erreurs critiques (échec de démarrage de la protection antivirus, , Pare-feu personnel, etc.). La dernière fonctionnalité de cette section vous permet de configurer la destination des notifications dans un environnement multi-utilisateur. Le champ Sur les systèmes multi-utilisateur, afficher les notifications sur l'écran de l'utilisateur permet de préciser quel utilisateur recevra les notifications système et autres notifications pour les systèmes autorisant la connexion simultanée de multiples utilisateurs. Il s'agit généralement de l'administrateur système ou de l'administrateur réseau. Cette option est particulièrement utile pour les serveurs de terminaux, pourvu que toutes les notifications système soient envoyées à l'administrateur. 4.7.3 Fenêtres de notification masquées Si l'option Ne plus afficher cette fenêtre a été sélectionnée pour une fenêtre de notification (alerte) déjà affichée, celle-ci figurera dans la liste des fenêtres de notification masquées. Les actions désormais exécutées automatiquement s'affichent dans la colonne Confirmer. Afficher - Présente un aperçu des fenêtres de notification non affichées pour lesquelles une action automatique est configurée. Retirer - Supprime les éléments de la liste Boîtes de message masquées. Toutes les fenêtres de notification supprimées de la liste s'affichent de nouveau. 112 4.7.4 Configuration de l'accès Les paramètres de ESET Smart Security sont une partie essentielle de votre politique de sécurité. Des modifications non autorisées pourraient mettre en danger la stabilité et la protection de votre système. Pour éviter les modifications non autorisées, les paramètres de configuration de ESET Smart Security peuvent être protégés par mot de passe. Paramètres de protection de mot de passe - Indiquez les paramètres du mot de passe. Cliquez pour ouvrir la fenêtre de configuration de mot de passe. Pour définir ou modifier un mot de passe visant à protéger les paramètres de configuration, cliquez sur Définir. Demander des droits d'administrateur complets pour des comptes Administrateur limités - Sélectionnez cette option pour inviter l'utilisateur actuel (s'il ne possède pas les droits d'administration) à entrer un nom d'utilisateur et un mot de passe administrateur lorsqu'il modifie certains paramètres système (similaire au contrôle de compte d'utilisateur -UAC- dans Windows Vista et Windows 7). Ces modifications incluent la désactivation des modules de protection ou la désactivation du pare-feu. Sous les systèmes Windows XP qui ne prennent pas en charge le contrôle UAC, les utilisateurs pourront utiliser l'option Demander des droits d'administrateur (système sans prise en charge UAC). Pour Windows XP uniquement : Demander des droits d'administrateur (système sans prise en charge UAC) - Activez cette option pour que ESET Smart Security demande les données d'identification administrateur. 113 4.7.5 Menu du programme Certaines des options de configuration les plus importantes ainsi que des fonctions sont disponibles en cliquant à l'aide du bouton droit de la souris sur l'icône de la barre d'état système . Liens rapides - Affiche les sections les plus souvent utilisées de ESET Smart Security. Vous pouvez accéder rapidement à ceux-ci, à partir du programme du menu. Suspendre la protection - Affiche la boîte de dialogue de confirmation qui désactive la protection antivirus et antispyware contre les attaques de système malveillants grâce au contrôle des fichiers, du Web et des communications par courriel. Le menu déroulant Intervalle représente la période pendant laquelle toute la protection antivirus et antispyware sera désactivée. Suspendre le pare-feu (autoriser tout le trafic) - Bascule le coupe-feu à l'état inactif. Voir Réseau pour de plus amples renseignements. Bloquer le trafic sur tout le réseau - Bloque tout le trafic du réseau. Pour le réactiver, cliquez sur Arrêter le blocage de tout le trafic du réseau. Configuration avancée - Cochez cette option pour entrer dans l'arborescence de Configuration avancée. Il y a également d'autres façons d'ouvrir la Configuration avancée, notamment en appuyant sur la touche F5 ou en allant jusqu'à Configuration > Configuration avancée. Fichiers journaux - Les fichiers journaux contiennent les événements importants qui se sont produits et donnent un aperçu des menaces détectées. Masquer ESET Smart Security - Masquer la fenêtre ESET Smart Security de l'écran. Rétablir la disposition de fenêtre - Réinitialise la fenêtre de ESET Smart Security à sa taille et position par défaut, à l'écran. 114 Activer votre produit... - Sélectionnez cette option si vous n'avez pas encore activé votre produit de sécurité ESET, ou pour entrer à nouveau les données d'activation du produit après le renouvellement de votre licence. Base de données des signatures de virus - Démarre la mise à jour de la base de données des signatures de virus afin de conserver votre niveau de protection contre les codes malveillants. À propos - Fournit de l'information sur le système, les détails à propos de la version installée de ESET Smart Security et les modules du programme installés. Vous y trouverez aussi la date d'expiration de la licence ainsi que des renseignements sur le système d'exploitation et les ressources du système. 4.7.6 Menu contextuel Le menu contextuel s'affiche après avoir cliqué à droite sur un objet. Le menu donne la liste de toutes les actions que vous pouvez effectuer sur un objet. Il est possible d'intégrer les éléments de contrôle de ESET Smart Security dans le menu contextuel. D'autres options détaillées de configuration pour cette fonctionnalité sont disponibles dans l'arborescence de Configuration avancée sous Interface utilisateur > Menu contextuel. Intégrer au menu contextuel - Intègre les éléments de contrôle de ESET Smart Security dans le menu contextuel. Les options suivantes sont disponibles dans le menu déroulant Type de menu : Complet (analyser d'abord) - Active toutes les options du menu contextuel; le menu principal affichera Analyser sans nettoyage avec ESET Smart Security comme première option et Analyser et nettoyer comme élément de deuxième niveau. Complet (nettoyer d'abord) - Active toutes les options du menu contextuel; le menu principal affichera Analyser avec ESET Smart Security comme première option et Analyse sans nettoyage comme élément de deuxième niveau. Analyser uniquement - Seule l'option Analyser sans nettoyage avecESET Smart Security sera affichée dans le menu contextuel. Nettoyer uniquement - Seule l'option Analyser avec ESET Smart Security sera affichée dans le menu contextuel. 115 5. Utilisateur chevronné 5.1 Gestionnaire de profils Le gestionnaire de profils est utilisé à deux endroits dans ESET Smart Security - dans la section Analyse de l'ordinateur à la demande et dans la section Mise à jour. Analyse de l'ordinateur Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de créer un profil différent (avec différentes cibles et méthodes ainsi que d'autres paramètres d'analyse) pour chacune des analyses utilisées régulièrement. Pour créer un nouveau profil, ouvrez la fenêtre Configuration avancée (F5) et cliquez sur Antivirus > Analyse de l'ordinateur à la demande > De base > Liste des profils. La fenêtre Gestionnaire de profils comprend le menu déroulant Profil sélectionné qui affiche les profils d'analyse existants, ainsi que l'option permettant d'en créer un nouveau. Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique Configuration des paramètres du moteur ThreatSense pour une description de chacun des paramètres de configuration de l'analyse. Exemple : Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au profil Analyse de l'ordinateur vous convienne en partie, mais que vous ne voulez ni analyser les fichiers exécutables compressés par un compresseur d'exécutables ni les applications potentiellement dangereuses et que vous voulez également utiliser un nettoyage strict. Entrez le nom de votre nouveau profil dans la fenêtre Gestionnaire de profil, puis cliquez sur Ajouter. Sélectionnez votre nouveau profil à partir du menu déroulant de Profil sélectionné, puis ajustez les paramètres restants pour répondre à vos exigences; cliquez ensuite sur OK pour enregistrer votre nouveau profil. Mise à jour L'éditeur de profils de la section de configuration des mises à jour permet aux utilisateurs de créer de nouveaux profils de mise à jour. Il est opportun de créer et d'utiliser des profils personnalisés (autres que l'option par défaut Mon profil) si votre ordinateur utilise plusieurs moyens pour se connecter aux serveurs de mise à jour. Par exemple, un ordinateur portable qui se connecte normalement à un serveur local (miroir) sur le réseau local, mais qui télécharge les mises à jour directement à partir des serveurs de mise à jour d'ESET lorsqu'il est déconnecté du réseau local (voyage d'affaires) pourrait utiliser deux profils : le premier pour se connecter au serveur local, le second pour se connecter aux serveurs d'ESET. Une fois ces profils configurés, allez dans Outils > Planificateur, puis modifiez les paramètres de mise à jour de la tâche. Désignez un profil comme principal et l'autre comme secondaire. Profil sélectionné - Le profil de mise à jour actuellement sélectionné. Pour le changer, choisissez un profil dans le menu déroulant. Ajouter... - Créez un nouveau profil de mise à jour. Les profils existants se trouvent en bas de la fenêtre. 5.2 Raccourcis clavier Pour une navigation plus facile dans votre produit ESET, les raccourcis clavier suivants peuvent être utilisés : F1 F5 Haut/Bas TAB Esc 116 ouvre les pages d'aide ouvre la configuration avancée permet de naviguer dans le produit par l'entremise des composants réduit les nœuds de l'arborescence de configuration avancée déplace le curseur dans une fenêtre ferme la boîte de dialogue active 5.3 Diagnostic Les diagnostics fournissent des vidages sur incident des processus d'ESET (ekrn, par ex.). Si une application plante, un vidage sera généré. Il pourra aider les développeurs à déboguer et à corriger différents problèmes liés à ESET Smart Security. Cliquez sur le menu déroulant à côté de Type de vidage et sélectionnez l'une des trois options disponibles : Sélectionnez Désactiver (par défaut) pour désactiver cette fonctionnalité. Mini - Enregistre le plus petit ensemble d'information utile pouvant aider à identifier la raison pour laquelle l'application s'est arrêtée inopinément. Ce type de fichier de vidage peut être utile lorsque l'espace est limité. Cependant, en raison de l'information limitée incluse dans ce fichier, des erreurs n'ayant pas été causées directement par la menace en cours au moment du problème pourraient ne pas être découvertes lors d'une analyse de ce fichier. Complet - Enregistre tout le contenu de la mémoire système, au moment où l'application s'est arrêtée inopinément. Un vidage complet de mémoire peut contenir des données liées aux processus en cours d'exécution au moment de la création du vidage mémoire. Activer la journalisation avancée du pare-feu personnel - Enregistre toutes les données relatives au réseau traversant le pare-feu personnel en format PCAP afin d'aider les développeurs à diagnostiquer et à résoudre les problèmes liés au pare-feu personnel. Activer la journalisation avancée du filtrage de protocole - Enregistre toutes les données traversant le moteur de filtrage de protocole en format PCAP afin d'aider les développeurs à diagnostiquer et à résoudre les problèmes liés au filtrage de protocole. Les fichiers journaux se trouvent dans les dossiers suivants : C:\ProgramData\ESET\ESET Smart Security\Diagnostics\ sur Windows Vista et les plus récentes ou C:\Documents and Settings\All Users\... sur les plus anciennes versions de Windows. Dossier cible - Dossier où sera généré le fichier de vidage, lors d'une panne. Ouvrir le dossier de diagnostic - Cliquez sur Ouvrir pour ouvrir ce répertoire dans une nouvelle fenêtre de l'Explorateur Windows. 5.4 Importation et exportation des paramètres Vous pouvez importer ou exporter votre fichier de configuration ESET Smart Security .xml personnalisé à partir du menu Configuration. L'importation et l'exportation de fichiers de configuration sont utiles si vous devez faire une copie de sauvegarde de la configuration actuelle de ESET Smart Security pour pouvoir l'utiliser par la suite. L'option d'exportation des paramètres est aussi pratique pour les utilisateurs qui veulent utiliser la configuration préférée sur plusieurs systèmes. Ils peuvent alors importer facilement un fichier .xml pour transférer ces paramètres. Il est très facile d'importer une configuration. Dans la fenêtre principale du programme, cliquez sur Configuration > Importer et exporter les paramètres, puis sélectionnez Importer les paramètres. Entrez ensuite le nom du fichier de configuration ou cliquez sur le bouton ... pour parcourir et trouver le fichier de configuration que vous voulez importer. La procédure d'exportation d'une configuration est très semblable à la procédure d'importation. Dans la fenêtre principale du programme, cliquez sur Configuration > Importer et exporter les paramètres. Sélectionnez Exporter les paramètres et entrez le nom du fichier de configuration (par exemple, export.xml). Utilisez le navigateur pour sélectionner l'emplacement sur votre ordinateur où enregistrer le fichier de configuration. REMARQUE : Une erreur peur se produire lors de l'exportation de paramètres si vous n'avez pas assez de droits pour écrirer le fichier exporté dans le répertoire spécifié. 117 5.5 Détection de l'état inactif Vous pouvez configurer les paramètres de détection de l'état inactif dans Configuration avancée sous Outils > Détection de l'état inactif. Ces paramètres définissent un déclencheur pour l'analyse en état inactif lorsque : l'économiseur d'écran est activé l'ordinateur est verrouillé, un utilisateur ferme sa session. Cochez les cases de chacun des états pour activer ou désactiver les déclencheurs de détection de l'état inactif. 5.6 ESET SysInspector 5.6.1 Introduction à ESET SysInspector ESET SysInspector est une application qui inspecte complètement l'ordinateur et affiche les données recueillies de façon exhaustive. Des données telles que les pilotes et applications installés, les connexions réseau ou les entrées de registre importantes peuvent vous aider à élucider un comportement suspect du système, qu'il soit dû à une incompatibilité logicielle ou matérielle, ou à une infection par logiciel malveillant. Il existe deux façons d'accéder à ESET SysInspector : à partir de la version intégrée de la solution ESET Security ou en téléchargeant la version autonome (SysInspector.exe) du site Web d'ESET. Les deux versions offrent les mêmes fonctions et les mêmes contrôles de programme. La seule différence réside dans la façon dont les sorties sont gérées. Tant la version téléchargée que la version intégrée permettent d'exporter des instantanés du système vers un fichier .xml pour ensuite enregistrer le tout sur le disque. Cependant, la version intégrée vous permet de stocker vos instantanés directement dans Outils > ESET SysInspector (sauf ESET Remote Administrator). Pour plus de détails, consultez la section ESET SysInspector dans ESET Smart Security. Veuillez laisser du temps à ESET SysInspector pour analyser votre ordinateur. Cela peut exiger de 10 secondes à quelques minutes selon la configuration matérielle de votre ordinateur, son système d'exploitation et le nombre d'applications installées. 5.6.1.1 Lancement de ESET SysInspector Pour lancer ESET SysInspector, exécutez simplement le fichier exécutable SysInspector.exe que vous avez téléchargé du site Web d'ESET. Si vous avez déjà installé l'une des solutions ESET Security, vous pouvez exécuter ESET SysInspector directement à partir du menu Démarrer (cliquez sur Programmes > ESET > ESET Smart Security). Veuillez patienter pendant que l'application inspecte votre système, ce qui pourrait prendre quelques minutes. 118 5.6.2 Interface utilisateur et utilisation de l'application Pour des questions de clarté, la fenêtre du programme principal est divisée en quatre principales sections : les Contrôles du programme situés dans le haut de la fenêtre principale, la fenêtre Navigation à gauche, la fenêtre Description à droite et la fenêtre Détails à droite au bas de la fenêtre principale du programme. La section État du journal énumère les paramètres de base d'un journal (filtre utilisé, type de filtre, journal résultat d'une comparaison, etc.). 5.6.2.1 Contrôles du programme Cette section contient la description de tous les contrôles de programme disponibles dans ESET SysInspector. Fichier En cliquant sur Fichier, vous pouvez enregistrer l'état actuel de votre système à des fins d'investigation ultérieure ou ouvrir un journal enregistré précédemment. À des fins de diffusion, il est recommandé de générer un journal approprié pour envoi. Sous cette forme, le journal omettra tous les renseignements sensibles (nom d'utilisateur actuel, nom de l'ordinateur, privilèges utilisateurs actuels, variables d'environnement, etc.). REMARQUE : Vous pouvez ouvrir des rapports de ESET SysInspector précédemment enregistrés en les glissantdéplaçant dans la fenêtre principale du programme. Arborescence Permet de développer ou de fermer tous les nœuds et d'exporter des sections sélectionnées vers le script de service. Liste Contient des fonctions permettant de faciliter la navigation dans le programme, ainsi que d'autres telles que la recherche de données en ligne. 119 Aide Contient des données sur l'application et ses fonctions. Détail Ce paramètre influence l'information affichée dans la fenêtre du programme principal pour la rendre plus facile à traiter. En mode « de base », vous avez accès aux données utilisées pour trouver des solutions à des problèmes courants de votre système. En mode Moyen, le programme affiche des détails moins utilisés. En mode Complet, ESET SysInspector affiche toute l'information nécessaire pour résoudre des problèmes très précis. Filtrage Le filtrage des éléments convient parfaitement pour rechercher des fichiers suspects ou des entrées de registre dans votre système. En réglant le curseur, vous pouvez filtrer les éléments en fonction de leur niveau de risque. Si le curseur est positionné à gauche (Niveau de risque 1), tous les éléments sont affichés. En déplaçant le curseur vers la droite, le programme filtre tous les éléments présentant un risque inférieur au niveau de risque actuel, et n'affiche que ceux qui sont plus suspects que le niveau affiché. Lorsque le curseur est positionné à droite, le programme n'affiche que les éléments nuisibles connus. Tous les éléments marqués comme risques de 6 à 9 peuvent constituer un risque pour la sécurité. Si vous n'utilisez pas certaines des solutions de sécurité d'ESET, il est recommandé que vous analysiez votre système avec ESET Online Scanner si ESET SysInspector a détecté un tel élément. ESET Online Scanner est un service gratuit. REMARQUE : Vous pouvez rapidement déterminer le niveau de risque d'un élément en comparant sa couleur à celle du curseur Niveau de risque. Comparer Au moment de comparer deux journaux, vous pouvez choisir d'afficher tous les éléments, de n'afficher que les éléments ajoutés ou supprimés, ou de n'afficher que les éléments remplacés. Rechercher La fonction Rechercher permet de trouver rapidement un élément particulier à l'aide de son nom ou d'une partie de celui-ci. Les résultats de la demande de recherche s'affichent dans la fenêtre Description. Retour En cliquant sur la flèche Précédent ou Suivant, vous pouvez revenir aux données affichées précédemment dans la fenêtre Description. Vous pouvez utiliser la touche Retour arrière et la barre d'espace au lieu de cliquer sur Précédent et Suivant. Section d'état Affiche le nœud actuel dans la fenêtre Navigation. Important : Les éléments en surbrillance de couleur rouge sont inconnus, c'est pourquoi le programme les marque comme potentiellement dangereux. Si un élément s'affiche en rouge, cela ne signifie pas forcément que vous pouvez supprimer le fichier. Avant de supprimer des fichiers, assurez-vous qu'ils sont vraiment dangereux ou inutiles. 120 5.6.2.2 Naviguer dans ESET SysInspector ESET SysInspector divise plusieurs types de données en plusieurs sections de base appelées nœuds. Si des détails supplémentaires sont disponibles, vous pouvez les afficher en développant chaque nœud en sous-nœuds. Pour ouvrir ou réduire un nœud, double-cliquez sur son nom ou cliquez sur ou à côté de son nom. Tandis que vous parcourez l'arborescence des nœuds et sous-nœuds dans la fenêtre Navigation, il se peut que vous découvriez des détails pour chacun des nœuds affichés dans la fenêtre Description. Si vous parcourez les éléments de la fenêtre Description, il se peut que des détails supplémentaires sur chacun des éléments s'affichent dans la fenêtre Détails. Les descriptions des principaux nœuds de la fenêtre Navigation et les informations correspondantes dans les fenêtres Description et Détails sont présentées ci-dessous. Processus en cours Ce nœud contient de l'information sur les applications et processus en cours d'exécution lors de la génération du rapport. Il se peut que la fenêtre Description affiche des détails supplémentaires pour chaque processus, tels que les bibliothèques dynamiques utilisées et leur emplacement dans le système, le nom du fournisseur de l'application, le niveau de risque du fichier, etc. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. REMARQUE : Un système d'exploitation comprend plusieurs composants noyaux importants qui fonctionnent constamment et assurent des fonctions de base et vitales pour d'autres applications utilisateur. Dans certains cas, de tels processus s'affichent dans l'outil ESET SysInspector avec le chemin d'accès du fichier commençant par \??\. Ces symboles permettent d'optimiser ces processus avant leur lancement; ils sont sûrs pour le système. Connexions réseau La fenêtre Description contient la liste des processus et applications communiquant sur le réseau à l'aide du protocole sélectionné dans la fenêtre Navigation (TCP ou UDP), ainsi que l'adresse distante à laquelle l'application est connectée. Vous pouvez également vérifier les adresses IP des serveurs DNS. La fenêtre Détails contient des données supplémentaires sur les éléments sélectionnés dans la fenêtre Description, telles que la taille du fichier ou son hachage. Entrées de registre importantes Contient la liste des entrées de registre sélectionnées qui sont souvent liées à différents problèmes dans le système, telles que celles précisant les programmes à lancer au démarrage, des objets application d'assistance du navigateur (BHO), etc. Il se peut que la fenêtre Description indique les fichiers liés à des entrées de registre particulières. La fenêtre Détails peut également présenter des détails supplémentaires. Services La fenêtre Description contient la liste des fichiers enregistrés en tant que Services Windows. Vous pouvez contrôler la manière dont le démarrage du service est paramétré, ainsi que des détails du fichier dans la fenêtre Détails. Pilotes Liste des pilotes installés dans le système. Fichiers critiques La fenêtre Description affiche le contenu des fichiers critiques liés au système d'exploitation Microsoft Windows. Tâches du planificateur système Contient une liste des tâches déclenchées par le Planificateur de tâches de Windows à un intervalle/une heure spécifié. 121 Informations système Contient des détails sur le matériel et les logiciels, ainsi que des données sur les variables d'environnement, les droits de l'utilisateur définis et les journaux d'événements système. Détails du fichier Liste des fichiers et des fichiers système importants dans le dossier Program Files. Des données précises sur les fichiers s'affichent dans les fenêtres Description et Détails. À propos de Information sur la version de ESET SysInspector et la liste des modules du programme. 5.6.2.2.1 Raccourcis clavier Raccourcis clavier utilisables dans ESET SysInspector : Fichier Ctrl + O Ctrl + S Ouvre le journal existant Enregistre les journaux créés Générer Ctrl + G Ctrl + H crée un instantané de l'état de l'ordinateur Génère un instantané de l'état de l'ordinateur pouvant également contenir de l'information sensible Filtrage des éléments 1, O 2 3 4, U 5 6 7, B 8 9 + Ctrl + 9 Ctrl + 0 Bon, les éléments présentant un niveau de risque de 1 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 2 à 9 s'affichent Bon, les éléments présentant un niveau de risque de 3 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 4 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 5 à 9 s'affichent Inconnu, les éléments présentant un niveau de risque de 6 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 7 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 8 à 9 s'affichent Risqué, les éléments présentant un niveau de risque de 9 s'affichent Abaisse le niveau de risque Augmente le niveau de risque Mode de filtrage, niveau équivalent ou supérieur Mode de filtrage, niveau équivalent uniquement Affichage Ctrl + 5 Ctrl + 6 Ctrl + 7 Ctrl + 3 Ctrl + 2 Ctrl + 1 Retour arrière Barre d'espace Ctrl + W Ctrl + Q 122 Affichage par fournisseur, tous les fournisseurs Affichage par fournisseur, uniquement Microsoft Affichage par fournisseur, tous les autres fournisseurs Affiche tous les détails Affiche un niveau de détail moyen Affichage de base Revient un pas en arrière Avance d'un pas Développe l'arborescence Réduit l'arborescence Autres contrôles Ctrl + T Ctrl + P Ctrl+A Ctrl + C Ctrl + X Ctrl + B Ctrl + L Ctrl + R Ctrl + Z Ctrl + F Ctrl + D Ctrl + E Accède à l'emplacement d'origine de l'élément après sélection de celui-ci dans les résultats de la recherche Affiche des données de base sur un élément Affiche les données complètes sur un élément Copie l'arborescence des éléments actuelle Copie des éléments Recherche des données concernant les fichiers sélectionnés sur Internet Ouvre le dossier dans lequel se trouve le fichier sélectionné Ouvre l'entrée correspondante dans l'Éditeur du registre Copie le chemin d'accès d'un fichier (si l'élément est lié à un fichier) Bascule vers le champ de recherche Ferme les résultats de la recherche Exécute le script de service Comparaison Ctrl + Alt + O Ctrl + Alt + R Ctrl + Alt + 1 Ctrl + Alt + 2 Ctrl + Alt + 3 Ctrl + Alt + 4 Ctrl + Alt + 5 Ctrl + Alt + C Ctrl + Alt + N Ctrl + Alt + P Ouvre le journal d'origine/comparatif Annule la comparaison Affiche tous les éléments N'affiche que les éléments ajoutés; le journal contient les éléments présents dans le journal actuel N'affiche que les éléments supprimés; le journal contient les éléments présents dans le journal précédent N'affiche que les éléments remplacés (fichiers inclus) N'affiche que les différences entre journaux Affiche la comparaison Affiche le journal actuel Affiche le journal précédent Divers F1 Alt + F4 Alt + Maj + F4 Ctrl + I Affiche l'aide Ferme le programme Ferme le programme sans demander de confirmation Consigne les statistiques 5.6.2.3 Comparer La fonctionnalité Comparer permet de comparer deux journaux existants. Elle génère un ensemble d'éléments non communs aux deux journaux. Elle est utile lorsque vous voulez conserver une trace des modifications apportées au système; un outil pratique pour détecter un code malveillant. Une fois lancée, l'application crée un journal qui s'affiche dans une nouvelle fenêtre. Cliquez sur Fichier > Enregistrer le journal pour enregistrer le journal dans un fichier. Vous pourrez ensuite ouvrir et afficher ces fichiers journaux. Pour ouvrir un journal existant, cliquez sur Fichier > Ouvrir journal. Dans la fenêtre principale du programme, ESET SysInspector affiche toujours un seul journal à la fois. L'avantage de comparer deux journaux est que vous pouvez voir un journal courant actif ainsi qu'un journal enregistré dans un fichier. Pour comparer des journaux, cliquez sur Fichier > Comparer les journaux, puis sur Sélectionner un fichier. Le journal sélectionné sera comparé au journal actif dans les fenêtres principales du programme. Le journal comparatif n'affichera que les différences entre les deux journaux. REMARQUE : Si vous comparez deux fichiers journaux, cliquez sur Fichier > Enregistrer le journal pour enregistrer le fichier en format ZIP, ce qui enregistrera les deux fichiers. Si vous ouvrez ensuite ce fichier, les journaux qu'il contient seront alors automatiquement comparés. À côté des éléments affichés, ESET SysInspector présente des symboles identifiant les différences entre les journaux comparés. 123 Description de tous les symboles qui peuvent s'afficher à côté des éléments : Nouvelle valeur, absente du journal précédent. La section de l'arborescence contient de nouvelles valeurs. Valeur supprimée, présente uniquement dans le journal précédent. La section de l'arborescence contient des valeurs supprimées. La valeur ou le fichier a été modifié. La section de l'arborescence contient des valeurs ou fichiers modifiés. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. Le niveau de risque a augmenté; il était inférieur dans le journal précédent. La section d'explication, dans le coin inférieur gauche, décrit tous les symboles et affiche les noms des journaux comparés. Tout journal comparatif peut être enregistré dans un fichier, puis ouvert ultérieurement. Exemple : générez et enregistrez un journal consignant des données originales sur le système dans un fichier nommé précédent.xml. Une fois les modifications apportées au système, ouvrez ESET SysInspector et laissez-le générer un nouveau journal. Enregistrez-le dans un fichier nommé actuel.xml. Pour suivre les différences entre ces deux journaux, cliquez sur Fichier > Comparer les journaux. Le programme crée alors un journal comparatif montrant les différences entre les journaux. Vous pouvez obtenir le même résultat en utilisant l'option de ligne de commande suivante : SysIsnpector.exe actuel.xml précédent.xml 5.6.3 Paramètres de la ligne de commande ESET SysInspector permet de générer des rapports à partir de la ligne de commande, à l'aide des paramètres suivants : /gen /privacy /zip /silent /blank générer le journal directement à partir de la ligne de commande sans exécuter l'IUG générer le journal en omettant les informations sensibles enregistrer le journal obtenu dans une archive compressée supprimer la fenêtre de progression durant la génération du journal à partir de la ligne de commande lancer ESET SysInspector sans générer/charger le journal Exemples Utilisation : Sysinspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml] 124 Pour charger un journal particulier directement dans le navigateur, utilisez la commande suivante : SysInspector.exe .\clientlog.xml Pour générer le journal à partir de la ligne de commande, utilisez la commande suivante : SysInspector.exe /gen=. \mynewlog.xml Pour générer un rapport excluant des renseignements sensibles directement dans un fichier compressé, utilisez la commande suivante : SysInspector.exe /gen=.\mynewlog.zip /privacy /zip Pour comparer deux fichiers journaux et parcourir les différences, utilisez la commande suivante : SysInspector.exe new.xml old.xml REMARQUE : Si le nom du fichier ou du dossier contient une espace, il convient de le mettre entre guillemets. 5.6.4 Script de service Un script de service est un outil permettant de fournir de l'aide aux clients qui utilisent ESET SysInspector en retirant facilement les objets indésirables du système. Un script de service permet à l'utilisateur d'exporter le journal de ESET SysInspector ou des parties de celui-ci. Après l'exportation, vous pouvez marquer des objets indésirables pour suppression. Vous pouvez ensuite exécuter le journal modifié pour supprimer les objets marqués. Un script de service convient pour des utilisateurs chevronnés disposant d'une expérience dans le domaine du diagnostic des incidents système. Des modifications non qualifiées peuvent entraîner des dommages au système d'exploitation. Exemple : Si vous soupçonnez une infection de votre ordinateur par un virus non détecté par votre programme antivirus, suivez les instructions pas à pas ci-dessous : 1. Exécutez ESET SysInspector pour générer un nouvel instantané système. 2. Sélectionnez le premier élément de la section à gauche (dans l'arborescence), appuyez sur Maj, puis sélectionnez le dernier élément pour les marquer tous. 3. Cliquez à droite sur les objets sélectionnés et sélectionnez Exporter les sections sélectionnées dans un script de service. 4. Les objets sélectionnés sont exportés dans un nouveau journal. 5. Voici l'étape la plus importante de la procédure : ouvrez le nouveau journal, puis modifiez l'attribut en + pour tous les objets à supprimer. Faites bien attention de ne pas marquer d'objets ou de fichiers importants pour le fonctionnement du système d'exploitation. 6. Ouvrez ESET SysInspector, cliquez sur Fichier > Exécuter le script et entrez le chemin vers votre script. 7. Cliquez sur OK pour exécuter le script. 5.6.4.1 Génération d'un script de service Pour générer un script, cliquez à droite sur tout élément de l'arborescence de menu (dans le volet de gauche) de la fenêtre principale de ESET SysInspector . Du menu contextuel, sélectionnez soit l'option Exporter toutes les sections dans un script de service soit Exporter les sections sélectionnées dans un script de service. REMARQUE : Il n'est pas possible d'exporter un script de service lorsque deux journaux sont comparés. 125 5.6.4.2 Structure du script de service Dans la première ligne de l'en-tête du script se trouve de l'information à propos de la version du moteur (ev), de l'interface graphique (gv) et du journal (lv). Vous pouvez utiliser ces données pour suivre les changements indiqués dans un fichier .xml qui génère le script, et empêcher toute incohérence dans l'exécution. Cette partie du script ne devrait pas être modifiée. Le reste du fichier est divisé en sections dans lesquelles certains éléments peuvent être modifiés (en remplacement de ceux qui seront traités par le script). Vous pouvez marquer des éléments pour traitement en remplaçant le caractère « - » se trouvant devant un élément par le caractère « + ». Les sections du script sont séparées l'une de l'autre par une ligne vide. Chaque section comporte un numéro et un titre. 01) Processus en cours Cette section contient une liste de tous les processus en cours d'utilisation dans le système. Chaque processus est identifié par son chemin UNC puis par un code de hachage CRC16 entre astérisques (*). Exemple : 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] Dans cet exemple, un processus, module32.exe, a été sélectionné (indiqué par le caractère « + »); le processus s'arrêtera à l'exécution du script. 02) Modules chargés Cette section dresse la liste des modules système actuellement utilisés. Exemple : 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] Dans cet exemple, le module khbekhb.dll est précédé d'un « + ». Lors de l'exécution du script, ce dernier reconnaîtra les processus utilisant ce module particulier et les arrêtera. 03) Connexions TCP Cette section contient de l'information sur les connexions TCP existantes. Exemple : 03) TCP connections: - Active connection: 127.0.0.1:30606 -> 127.0.0.1:55320, owner: ekrn.exe - Active connection: 127.0.0.1:50007 -> 127.0.0.1:50006, - Active connection: 127.0.0.1:55320 -> 127.0.0.1:30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion dans les connexions TCP marquées et fermera alors l'interface, ce qui libérera des ressources système. 04) Points d'extrémité UDP Cette section contient de l'information sur les points d'extrémité UDP. 126 Exemple : 04) UDP endpoints: - 0.0.0.0, port 123 (ntp) + 0.0.0.0, port 3702 - 0.0.0.0, port 4500 (ipsec-msft) - 0.0.0.0, port 500 (isakmp) [...] Lors de l'exécution du script, ce dernier isolera le propriétaire de l'interface de connexion aux points d'extrémité UDP marqués et fermera l'interface. 05) Entrées de serveur DNS Cette section contient de l'information sur la configuration actuelle du serveur DNS. Exemple : 05) DNS server entries: + 204.74.105.85 - 172.16.152.2 [...] Les entrées du serveur DNS marquées seront supprimées lors de l'exécution du script. 06) Entrées de registre importantes Cette section contient de l'information sur les entrées de registre importantes. Exemple : 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = http://thatcrack.com/ [...] Les entrées marquées seront supprimées, réduites à une valeur de 0 octet ou remises à leur valeur par défaut lors de l'exécution du script. Cette action qui doit être effectuée sur une entrée particulière variera selon la catégorie d'entrée et la valeur clé, dans le registre particulier. 07) Services Cette section dresse la liste des services enregistrés dans le système. Exemple : 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] Les services marqués et leurs dépendants seront arrêtés et désinstallés lors de l'exécution du script. 08) Pilotes Cette section dresse la liste des pilotes installés. 127 Exemple : 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] Lorsque vous exécuterez le script, les pilotes sélectionnés seront alors arrêtés. À noter que certains pilotes ne s'autorisent pas à être arrêtés. 09) Fichiers critiques Cette section contient de l'information sur les fichiers critiques au fonctionnement approprié du système d'exploitation. Exemple : 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts - 127.0.0.1 localhost - ::1 localhost [...] Les éléments sélectionnés seront supprimés ou remis à leurs valeurs d'origine. 10) Tâches planifiées Cette section contient de l'information sur les tâches planifiées. Exemple : 10) Scheduled tasks - c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe - c:\users\admin\appdata\local\google\update\googleupdate.exe - c:\users\admin\appdata\local\google\update\googleupdate.exe - c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe - c:\users\admin\appdata\local\google\update\googleupdate.exe /c - c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource - %windir%\system32\appidpolicyconverter.exe - %windir%\system32\appidcertstorecheck.exe - aitagent [...] 5.6.4.3 Exécution des scripts de service Marquez tous les éléments voulus avant d'enregistrer et de fermer le script. Exécutez le script modifié directement à partir de la fenêtre principale de ESET SysInspector en sélectionnant l'option Exécuter le script de service du menu Fichier. Lorsque vous ouvrez un script, le programme affiche l'invite suivante : Voulez-vous vraiment exécuter le script de service « %Scriptname% »? Une fois la sélection confirmée, un autre avertissement peut s'afficher pour vous indiquer que le script de service que vous tentez d'exécuter n'a pas été signé. Cliquez sur Exécuter pour lancer le script. Une boîte de dialogue confirmera que le script a bien été exécuté. Si le script ne peut être que partiellement traité, une fenêtre de dialogue comportant le message suivant s'affichera : Le script de service n'a été exécuté que partiellement. Voulez-vous voir le rapport d'erreur? 128 Sélectionnez Oui pour afficher un rapport d'erreurs indiquant les opérations n'ayant pas été exécutées. Si le script n'a pas été reconnu, une fenêtre de dialogue comportant le message suivant s'affichera : Le script de service sélectionné n'est pas signé. L'exécution de scripts non signés et inconnus peut endommager gravement les données de votre ordinateur. Voulez-vous vraiment exécuter le script et en effectuer les actions? Cela peut découler des incohérences dans le script (en-tête endommagé, titre de section endommagé, ligne vide manquante entre les sections, etc.). Vous pourrez soit rouvrir le fichier de script et corriger les erreurs du script ou créer un nouveau script de service. 5.6.5 FAQ L'exécution de ESET SysInspector exige-t-elle des privilèges d'administrateur? Si l'exécution de ESET SysInspector n'exige pas de privilèges d'administrateur, certaines données recueillies ne sont accessibles qu'à partir d'un compte Administrateur. À noter que si vous l'exécutez en tant qu'utilisateur standard ou utilisateur avec accès restreint, il colligera moins de données sur l'environnement d'exploitation. ESET SysInspector crée-t-il un fichier journal? ESET SysInspector peut créer un fichier journal de la configuration de votre ordinateur. Pour en enregistrer un, cliquez sur Fichier > Enregistrer le journal dans la fenêtre du programme principal. Les journaux sont enregistrés en format XML. Par défaut, les fichiers sont enregistrés dans le dossier %USERPROFILE%\Mes documents\, conformément à la convention de dénomination de fichier « SysInpsector-%COMPUTERNAME%-AAMMJJHHMM.XML ». Vous pouvez modifier l'emplacement et le nom du fichier journal avant de l'enregistrer. Comment afficher le fichier journal de ESET SysInspector? Pour afficher un fichier journal créé par ESET SysInspector, exécutez le programme et cliquez sur Fichier > Ouvrir le journal dans la fenêtre principale du programme. Vous pouvez également glisser et déplacer des fichiers journaux vers l'application ESET SysInspector . Si vous devez consulter souvent les fichiers journaux de ESET SysInspector, il est recommandé de créer un raccourci vers l'exécutable SYSINSPECTOR.EXE sur le Bureau; vous pourrez ensuite glisser et déplacer des fichiers journaux sur le raccourci pour les afficher. Pour des raisons de sécurité, Windows Vista/7 peut ne pas permettre le glisser-déplacer entre des fenêtres qui ont des autorisations de sécurité différentes. Existe-t-il une spécification pour le format du fichier journal? Existe-t-il un kit de développement logiciel (SDK)? À l'heure actuelle, il n'existe ni spécification pour le fichier journal ni SDK, car le développement du programme se poursuit. Après la publication du programme, il est possible que nous proposions ces éléments en fonction des commentaires et de la demande de la clientèle. Comment ESET SysInspector évalue-t-il le risque lié à un objet particulier? Le plus souvent, ESET SysInspector affecte des niveaux de risque aux objets (fichiers, processus, clés de registre, etc.) à l'aide d'une série de règles heuristiques qui tiennent compte des caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Un niveau de risque variant entre 1 - Bon (vert) et 9 - Risqué (rouge) sera ensuite attribué aux objets, en fonction de cette heuristique. Les sections du volet de navigation de gauche portent des couleurs indiquant le niveau de risque le plus élevé des objets qu'elles contiennent. Un niveau de risque « 6 - Inconnu (rouge) » signifie-t-il qu'un objet est dangereux? Les appréciations de ESET SysInspector ne garantissent pas qu'un objet est malveillant puisqu'une telle détermination relève plutôt de la compétence d'un expert en sécurité. ESET SysInspector est conçu pour fournir une appréciation rapide destinée aux experts en sécurité, afin de leur indiquer les objets au comportement inhabituel qui nécessitent un examen plus approfondi. Pourquoi ESET SysInspector se connecte-t-il à Internet lors de son exécution? Comme de nombreuses applications, ESET SysInspector est porteur d'une signature numérique, appelée « certificat », garantissant que ce logiciel a été publié par ESET et n'a fait l'objet d'aucune modification. Pour vérifier la validité du certificat, le système d'exploitation contacte une autorité de certification pour vérifier l'identité de l'éditeur du logiciel. Ce comportement est normal pour tous les programmes porteurs d'une signature numérique 129 sous Microsoft Windows. Qu'est-ce que la technologie Anti-Stealth? La technologie Anti-Stealth permet une détection efficace des rootkits. Si le système est attaqué par un code malveillant se comportant comme un rootkit, l'utilisateur peut être exposé à la perte ou au vol de données. À défaut d'outil approprié, il est quasiment impossible de détecter les rootkits. Pourquoi des fichiers marqués comme « Signé par MS » ont-ils parfois aussi une entrée « CompanyName » différente? Lors d'une tentative d'identification de la signature numérique d'un fichier exécutable, ESET SysInspector vérifie d'abord si le fichier contient une signature numérique. Si une signature numérique est détectée, cette information sera utilisée pour valider le fichier. Si aucune signature numérique n'est trouvée, ESI commence à rechercher le fichier CAT correspondant (Security Catalog - %systemroot%\system32\catroot) qui contient l'information sur le fichier exécutable traité. Si le fichier CAT approprié est détecté, sa signature numérique est appliquée dans le processus de validation de l'exécutable. C'est pourquoi des fichiers marqués comme « Signé par MS » ont parfois une entrée « CompanyName » différente. Exemple : Windows 2000 comprend l'application HyperTerminal située dans C:\Program Files\Windows NT. Le principal fichier exécutable de l'application n'inclut aucune signature numérique, mais ESET SysInspector le marque comme un fichier signé par Microsoft. La raison en est la présence d'une référence dans C:\WINNT\system32\CatRoot \{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat qui pointe vers C:\Program Files\Windows NT\hypertrm.exe (le principal fichier exécutable de l'application HyperTerminal) et sp4.cat est signé numériquement par Microsoft. 5.6.6 ESET SysInspector dans ESET Smart Security Pour ouvrir la section ESET SysInspector dans ESET Smart Security, cliquez sur Outils > ESET SysInspector . Le système de gestion qui s'affiche dans la fenêtre ESET SysInspector est semblable à celui des journaux d'analyse de l'ordinateur ou des tâches planifiées. Toutes les opérations relatives aux instantanés (créer, afficher, comparer, supprimer et exporter) sont accessibles en un ou deux clics. La fenêtre de ESET SysInspector contient des données de base sur les instantanés créés, telles que l'heure de création, un bref commentaire, le nom de leur auteur et leur état. Pour comparer, Créer ou Retirer des instantanés, utilisez les boutons correspondants situés sous la liste des instantanés dans la fenêtre de ESET SysInspector . Ces options sont également offertes dans le menu contextuel. Pour afficher l'instantané du système sélectionné, utilisez l'option Afficher du menu contextuel. Pour exporter l'instantané sélectionné dans un fichier, cliquez dessus avec le bouton droit, puis sélectionnez Exporter.... Une description détaillée des options disponibles est présentée ci-dessous : Comparer - Compare deux journaux existants. Cette option est appropriée si vous voulez suivre les différences entre le journal actuel et un journal plus ancien. Pour qu'elle fonctionne, vous devez sélectionner deux instantanés à comparer. Créer...- Crée un enregistrement. Au préalable, vous devez entrer un bref commentaire sur l'enregistrement. Pour suivre la progression de la création de l'instantané (en cours de génération) exprimée en pourcentage, consultez la colonne État. Tous les instantanés générés présentent l'état Créé. Supprimer/supprimer tout - Supprime les entrées de la liste. Exporter... - Enregistre l'entrée sélectionnée dans un fichier XML (ainsi que dans une version compressée). 130 5.7 Ligne de commande Il est possible de lancer le module antivirus de ESET Smart Security à partir de la ligne de commande, donc manuellement (avec la commande « ecls ») ou à partir d'un fichier de traitement par lots (« bat »). Utilisation de l'analyseur de ligne de commande d'ESET: ecls [OPTIONS..] FILES.. Les paramètres et commutateurs suivants peuvent être utilisés lors de l'exécution de l'analyseur à la demande à partir de la ligne de commande : Options /base-dir=FOLDER /quar-dir=FOLDER /exclude=MASK /subdir /no-subdir /max-subdir-level=LEVEL /symlink /no-symlink /ads /no-ads /log-file=FILE /log-rewrite /log-console /no-log-console /log-all /no-log-all /aind /auto charger les modules du DOSSIER DOSSIER de quarantaine exclure les fichiers correspondants à MASQUE de l'analyse analyser les sous-dossiers (valeur par défaut) ne pas analyser les sous-dossiers sous-niveau maximal de sous-dossiers dans les dossiers à analyser suivre les liens symboliques (valeur par défaut) ignorer les liens symboliques analyser ADS (valeur par défaut) ne pas analyser ADS consigner les résultats dans le FICHIER écraser le fichier de résultats (ajouter - valeur par défaut) consigner les résultats dans la console (valeur par défaut) ne pas consigner les résultats dans la console consigner également les fichiers nettoyés ne pas consigner les fichiers nettoyés (valeur par défaut) afficher l'indicateur d'activité analyser et nettoyer automatiquement tous les disques locaux Options de l'analyseur /files /no-files /memory /boots /no-boots /arch /no-arch /max-obj-size=SIZE /max-arch-level=LEVEL /scan-timeout=LIMIT /max-arch-size=SIZE /max-sfx-size=SIZE /mail /no-mail /mailbox /no-mailbox /sfx /no-sfx /rtp /no-rtp /unsafe /no-unsafe analyser les fichiers (valeur par défaut) ne pas analyser les fichiers analyser la mémoire analyser les secteurs d'amorçage ne pas analyser les secteurs d'amorçage (valeur par défaut) analyser les archives (valeur par défaut) ne pas analyser les archives analyser uniquement les fichiers plus petits que TAILLE Mo (valeur par défaut 0 = illimité) sous-niveau maximal d'archives à analyser dans les archives (archives imbriquées) analyser les archives pendant un maximum de LIMITE secondes n'analyser les fichiers contenus dans une archive que s'ils sont plus petits que TAILLE (valeur par défaut 0 = illimité) n'analyser les fichiers d'une archive à extraction automatique que s'ils sont plus petits que TAILLE Mo (valeur par défaut 0 = illimité) analyser les fichiers courriel (valeur par défaut) ne pas analyser les fichiers courriel analyser les boîtes aux lettres (valeur par défaut) ne pas analyser les boîtes aux lettres analyser les archives à extraction automatique (valeur par défaut) ne pas analyser les archives à extraction automatique analyser les fichiers exécutables compressés (valeur par défaut) ne pas analyser les fichiers exécutables compressés rechercher les applications potentiellement dangereuses ne pas rechercher les applications potentiellement dangereuses (valeur par défaut) 131 /unwanted /no-unwanted /suspicious /no-suspicious /pattern /no-pattern /heur /no-heur /adv-heur /no-adv-heur /ext=EXTENSIONS /ext-exclude=EXTENSIONS /clean-mode=MODE rechercher les applications potentiellement indésirables ne pas rechercher les applications potentiellement indésirables (valeur par défaut) analyser pour déceler la présence d'applications suspectes (par défaut) ne pas analyser pour déceler la présence d'applications suspectes utiliser les signatures (valeur par défaut) ne pas utiliser les signatures activer l'heuristique (valeur par défaut) désactiver l'heuristique activer l'heuristique avancée (valeur par défaut) désactiver l'heuristique avancée analyser uniquement les EXTENSIONS délimitées par un deux-points exclure de l'analyse les EXTENSIONS délimitées par un deux-points utiliser le MODE de nettoyage pour les objets infectés Les opti ons s ui va ntes s ont di s poni bl es : aucun - a ucun nettoya ge a utoma ti que n'es t effectué. standard (va l eur pa r défa ut) - ecl s .exe tentera de nettoyer ou de s uppri mer a utoma ti quement l es fi chi ers i nfectés . strict - ecl s .exe tentera de nettoyer ou de s uppri mer a utoma ti quement l es fi chi ers i nfectés s a ns l 'i nterventi on de l 'uti l i s a teur (vous ne recevrez a ucune i nvi te a va nt l a s uppres s i on des fi chi ers ). rigoureux - ecl s .exe s uppri mera l es fi chi ers s a ns a ucune tenta ti ve de nettoya ge quel que s oi t l e fi chi er en ques ti on. supprimer - ecl s .exe s uppri mera l es fi chi ers s a ns a ucune tenta ti ve de nettoya ge, ma i s ne s uppri mera pa s l es fi chi ers s ens i bl es comme l es fi chi ers s ys tèmes de Wi ndows . /quarantine /no-quarantine copier les fichiers infectés (si nettoyés) vers Quarantaine (complète l'action effectuée pendant le nettoyage) ne pas copier les fichiers infectés dans la quarantaine Options générales /help /version /preserve-time afficher l'aide et quitter afficher l'information sur la version et quitter conserver la date et l'heure du dernier accès Codes de sortie 0 1 10 50 100 aucune menace détectée menace détectée et nettoyée certains fichiers ne peuvent pas être analysés (peuvent être des menaces) menace trouvée erreur REMARQUE : Un code de sortie supérieur à 100 indique un fichier non analysé, qui peut donc être infecté. 132 6. Glossaire 6.1 Types d'infiltrations Une infiltration est un morceau de logiciel malveillant qui tente de s'introduire dans l'ordinateur d'un utilisateur ou de l'endommager. 6.1.1 Virus Un virus informatique est un morceau de code malveillant qui a été ajouté à des fichiers se trouvant déjà sur votre ordinateur. Les virus informatiques sont comparables aux virus biologiques parce qu'ils utilisent des techniques similaires pour se propager d'un ordinateur à l'autre. En ce qui concerne le terme « virus », il est souvent utilisé incorrectement pour décrire tout type de menace. On tend aujourd'hui à le remplacer progressivement par un terme plus précis, soit « logiciel malveillant » ou « malware » en anglais. Les virus informatiques attaquent principalement les fichiers et documents exécutables. En bref, un virus informatique fonctionne comme ceci : l'exécution d'un fichier infecté a pour effet d'appeler le code malveillant qui est alors exécuté, avant que ne s'exécute l'application originale. Un virus peut infecter tout fichier pour lequel l'utilisateur actuel possède des droits en écriture. L'activité et la gravité des virus varient. Certains sont extrêmement dangereux parce qu'ils ont la capacité de supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas de véritables dommages : ils ne servent qu'à ennuyer l'utilisateur et à démontrer les compétences techniques de leurs auteurs. Si votre ordinateur est infecté par un virus et qu'il est impossible de le nettoyer, soumettez-le au laboratoire de recherche d'ESET qui en prendra connaissance. Dans certains cas, les fichiers infectés peuvent être modifiés de manière à empêcher le nettoyage. Ils devront alors être remplacés par une copie propre, sans virus. 6.1.2 Vers Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand en utilisant le réseau. La différence de base entre un virus et un ver est que les vers ont la capacité de se propager par euxmêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Ils se répandent par l'entremise des adresses courriel enregistrées dans votre liste de contacts ou exploitent les failles de sécurité de diverses applications réseau. Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Grâce à Internet, ils peuvent se propager à travers le monde en quelques heures ou minutes après leur lancement. Leur capacité à se répliquer indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants. Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers, dégrader les performances du système ou même désactiver des programmes. De par sa nature, il est qualifié pour servir de « moyen de transport » à d'autres types d'infiltrations. Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés parce qu'ils contiennent probablement du code malicieux. 133 6.1.3 Chevaux de Troie Dans le passé, les programmes troyens (chevaux de Troie) ont été définis comme une catégorie de menaces ayant comme particularité de se présenter comme des programmes utiles pour duper les utilisateurs afin qu'il les exécutent. La catégorie des programmes troyens étant très vaste, elle est souvent divisée en plusieurs sous-catégories : Téléchargeur - Programmes malveillants en mesure de télécharger d'autres infiltrations d'Internet. Injecteur - Programmes malveillants capables de déposer d'autres types de logiciels malveillants sur des ordinateurs infectés. Porte dérobée - Programmes malveillants qui communiquent avec des attaquants distants pour leur permettre d'accéder à l'ordinateur et d'en prendre le contrôle. Enregistreur de frappe - (« keystroke logger ») – Programme qui enregistre chaque touche sur laquelle l'utilisateur appuie avant d'envoyer l'information aux pirates. Composeur - Programmes malveillants destinés à se connecter à des numéros surfacturés plutôt qu'au fournisseur Internet de l'utilisateur. Il est presque impossible qu'un utilisateur remarque qu'une nouvelle connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés. Si un fichier est identifié comme programme troyen sur votre ordinateur, il est recommandé de le supprimer, car il ne contient sans doute que du code malveillant. 6.1.4 Rootkits Les rootkits offrent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir accédé au système (généralement en exploitant une faille), ces programmes utilisent des fonctions du système d'exploitation pour se protéger des logiciels antivirus : ils dissimulent des processus, des fichiers et des données de la base de registre Windows. C'est pour cette raison qu'il est presque impossible de les détecter à l'aide des techniques de vérification ordinaires. Il y a deux niveaux de détection permettant d'éviter les rootkits : 1. lorsqu'ils essaient d'accéder au système : Ils ne sont pas encore installés et sont donc inactifs. Bon nombre d'antivirus sont en mesure de les éliminer à ce niveau (en supposant qu'ils détectent effectivement les fichiers comme infectés). 2. Lorsqu'ils sont inaccessibles aux tests habituels : ESET Smart Security les utilisateurs bénéficient de la technologie Anti-Stealth qui permet de détecter et d'éliminer les rootkits en activité. 6.1.5 Logiciels publicitaires L'expression « logiciels publicitaires » désigne les logiciels soutenus par la publicité. Les programmes qui affichent des publicités entrent donc dans cette catégorie. Souvent, les logiciels publicitaires ouvrent automatiquement une nouvelle fenêtre contextuelle contenant de la publicité dans un navigateur Internet ou modifient la page de démarrage de ce dernier. Ils sont généralement associés à des programmes gratuits et permettent à leurs créateurs de couvrir les frais de développement de leurs applications (souvent utiles). En eux-mêmes, les logiciels publicitaires ne sont pas dangereux; tout au plus dérangent-ils les utilisateurs par l'affichage de publicités. Le danger tient au fait qu'ils peuvent aussi inclure des fonctions d'espionnage (comme les logiciels espions). Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement attentif au programme d'installation. La plupart des programmes d'installation vous avertiront en effet qu'ils installent en plus un programme publicitaire. Souvent, vous pourrez désactiver cette installation supplémentaire et n'installer que le programme, sans logiciel publicitaire. Certains programmes refuseront cependant de s'installer sans leur logiciel publicitaire ou verront leurs fonctionnalités limitées. Cela signifie que les logiciels publicitaires peuvent souvent accéder au système d'une manière « légale », dans la mesure où les utilisateurs ont accepté qu'ils soient installés. Dans ce cas, mieux vaut jouer la carte de la prudence. Si un logiciel publicitaire est détecté sur votre ordinateur, il est préférable de le 134 supprimer, car le risque est grand qu'il contienne du code malveillant. 6.1.6 Logiciel espion Cette catégorie englobe toutes les applications qui envoient des données confidentielles sans le consentement des utilisateurs et à leur insu. Ces applications utilisent des fonctions de traçage pour envoyer diverses données statistiques telles qu'une liste des sites Web consultés, les adresses courriel de la liste de contacts de l'utilisateur ou une liste des touches de frappe utilisées. Les auteurs de ces spyware affirment que ces techniques ont pour but d'en savoir plus sur les besoins et intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les données récupérées ne seront pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels espions peuvent être des codes de sécurité, des NIP, des numéros de compte bancaire, etc. Les logiciels espions sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou d'inciter à l'achat du logiciel. Les utilisateurs sont souvent informés de la présence d'un logiciel espion au cours de l'installation d'un programme afin de les inciter à acquérir la version payante qui en est dépourvue. Parmi les produits logiciels gratuits bien connus qui contiennent des spyware, on trouve les applications clients de réseaux P2P (poste-à-poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une sous-catégorie particulière de logiciels espions : ils semblent être des programmes anti-logiciels espions alors qu'en réalité, ils sont eux-mêmes des logiciels espions. Si un fichier est indiqué comme logiciel publicitaire sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. 6.1.7 Compresseurs Le compresseur est un fichier exécutable à extraction automatique qui regroupe plusieurs types de programmes malveillants dans un seul ensemble. Les compresseurs les plus courants sont UPX, PE_Compact, PKLite et ASPack. Le même programme malveillant peut être détecté différemment lorsqu'il est compressé à l'aide d'un compresseur différent. Les compresseurs sont capables de faire muter leur « signature » au fil du temps, les programmes malveillants deviennent ainsi plus difficiles à détecter et à supprimer. 6.1.8 Applications potentiellement dangereuses Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des fins malveillantes. ESET Smart Security vous offre l'option de détecter de telles menaces. La classification applications potentiellement dangereuses désigne les logiciels commerciaux légitimes. Elle inclut également les programmes d'accès à distance, les applications de craquage de mots de passe ou les enregistreurs de frappe. Si vous découvrez qu'une application potentiellement dangereuse est présente et fonctionne sur votre ordinateur (sans que vous l'ayez installée), consultez votre administrateur réseau et supprimez l'application. 6.1.9 Applications potentiellement indésirables Une application potentiellement indésirable est un programme qui contient des logiciels publicitaires, qui installe des barres d'outils ou qui a d'autres objectifs inavoués. Il y a des situations où un utilisateur peut trouver que les avantages d'une application potentiellement indésirable l'emportent sur les risques. Pour cette raison, ESET attribue à ces applications une catégorie de risque plus faible par rapport à d'autres types de logiciels malveillants, tels que les chevaux de Troie ou les vers. Avertissement - Menace potentielle trouvée Quand une application potentiellement indésirable est détectée, vous serez en mesure de décider des mesures à prendre : 135 1. Nettoyer/Déconnecter: Cette option met fin à l'action et empêche la menace potentielle d'entrer dans votre système. 2. Ignorer : Cette option autorise la menace potentielle à accéder à votre système. 3. Pour permettre à une application de s'exécuter sur votre ordinateur à l'avenir sans interruption, cliquez sur Options avancées puis cochez la case située à côté de Exclure de la détection. Lorsqu'une application potentiellement indésirable est détectée et qu'il n'est pas possible de la nettoyer, la fenêtre de notification L'adresse a été bloquée s'affichera dans le coin inférieur droit de l'écran. Pour plus de renseignements sur cet événement, allez dans Outils > Plus d'outils > Fichiers journaux > Sites Web filtrés à partir du menu principal 136 Applications potentiellement indésirables - Paramètres Lors de l'installation de votre produit ESET, vous pouvez choisir d'activer la détection des applications potentiellement indésirables, comme indiqué ci-dessous : Les applications potentiellement indésirables peuvent installer des logiciels publicitaires, installer des barres d'outils ou contenir d'autres caractéristiques de programme indésirables et dangereux. Ces paramètres peuvent être modifiés dans les paramètres de votre programme à tout moment. Pour activer ou désactiver la détection des applications potentiellement indésirables, dangereuses ou suspectes, suivez les instructions suivantes : 1. Ouvrez votre produit ESET. Comment puis-ouvrir mon produit ESET? 2. Appuyez sur la touche F5 pour accéder à la configuration avancée. 3. Cliquez sur Antivirus et activez ou désactivez les options Activer la détection d'applications potentiellement indésirables, Activer la détection des applications potentiellement dangereuses et Activer la détection des applications suspectes selon vos préférences. Confirmez en cliquant sur OK. 137 Applications potentiellement indésirables - Enveloppeurs de logiciel Un enveloppeur de logiciel est un type spécial de modification d'application utilisé par certains sites Web d'hébergement de fichiers. C'est un outil tiers qui installe le programme que vous avez téléchargé mais ajoute des logiciels complémentaires tels que des barres d'outils ou des logiciels publicitaires. Le logiciel supplémentaire peut également apporter des modifications à la page d'accueil et aux paramètres de recherche de votre navigateur Web. De plus, les sites Web d'hébergement de fichiers n'informent souvent pas l'éditeur du logiciel ou le destinataire du téléchargement des modifications apportées; retirer les modifications n'est pas facile non plus. Pour ces raisons, ESET classe les enveloppeurs de logiciels comme type d'application potentiellement indésirables afin de permettre aux utilisateurs d'accepter ou non le téléchargement. Veuillez consulter cet article de la Base de connaissances ESET pour obtenir une version à jour de cette page d'aide. 6.1.10 Réseau d'ordinateurs zombies Un bot, ou un robot web est un programme malveillant automatisé qui analyse les blocs d'adresses réseau et infecte les ordinateurs vulnérables. Grâce à ce programme, les pirates informatiques peuvent prendre le contrôle de plusieurs ordinateurs au même moment et les transformer en bots (aussi appelés zombies). Les pirates informatiques utilisent généralement les bots pour infecter un grand nombre d'ordinateurs qui forment un réseau ou un réseau d'ordinateurs zombies. Une fois que le réseau d'ordinateurs zombies accède à votre ordinateur, ce dernier peut être utilisé pour des attaques par déni de service distribué (DDoS), par mandataire et peut également être utilisé pour effectuer des tâches automatisées sur Internet sans que vous le sachiez (par exemple l'envoi de pourriels et de virus ou le vol des informations personnelles et privées telles que des informations bancaires ou des numéros de carte de crédit). 138 6.2 Types d'attaques distantes Il existe diverses techniques permettant à des pirates de mettre en péril des systèmes distants. Elles se divisent en plusieurs catégories. 6.2.1 Attaques DoS L'attaque DoS, ou attaque par Déni de service, vise à rendre un ordinateur ou un réseau indisponible pour les utilisateurs prévus. La communication entre les utilisateurs affectés est obstruée et ne peut plus continuer normalement. Les ordinateurs qui ont subi une attaque DoS doivent généralement redémarrer, faute de quoi ils ne fonctionnent plus correctement. Le plus souvent, les cibles sont des serveurs Web et l'objectif est de les rendre inutilisables pendant un certain temps. 6.2.2 Empoisonnement DNS Avec la méthode d'empoisonnement DNS (Domain Name Server), des pirates peuvent faire croire au serveur DNS d'un ordinateur que les fausses données qui leur sont transmises sont légitimes et authentiques. Ces fausses données sont ensuite mises en cache pendant un certain temps, ce qui permet aux pirates de réécrire les réponses DNS des adresses IP. De cette manière, les utilisateurs qui tentent d'accéder à des sites internet téléchargeront des virus ou des vers au lieu du contenu original de ces sites. 6.2.3 Attaques de vers Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand par un réseau. Les vers de réseau exploitent les failles de sécurité de diverses applications. Et, grâce à Internet, ils peuvent se propager à travers le monde en quelques heures seulement. La plupart des attaques de ver (Sasser, SqlSlammer) peuvent être évitées en utilisant les paramètres de sécurité par défaut du pare-feu ou en bloquant les ports non protégés et non utilisés. Il est également essentiel de mettre votre ordinateur à jour en installant les correctifs de sécurité les plus récents. 6.2.4 Balayage de ports Le balayage de ports est utilisé pour déterminer quels ports de l'ordinateur sont ouverts sur un hôte de réseau. Le logiciel utilisé à cette fin s'appelle le scanneur de port. Le port d'un ordinateur est un point virtuel qui traite les données entrantes et sortantes. C'est un point crucial pour la sécurité. Sur un réseau de grande taille, les données recueillies par le scanneur de ports peuvent permettre d'identifier les failles potentielles. Cette utilisation est bien sûr tout à fait légale. D'un autre côté, le balayage de ports est souvent utilisé par les pirates qui tentent de compromettre la sécurité. Ils envoient d'abord des paquets à chaque port. En fonction du type de réponse, il est possible de déterminer quels ports sont utilisés. Si le balayage lui-même ne cause aucun dommage, cette activité peut révéler les failles potentielles et permettre aux pirates de prendre le contrôle d'ordinateurs distants. Nous conseillons aux administrateurs du réseau de bloquer tous les ports non utilisés et de protéger ceux qui sont utilisés des accès non autorisés. 139 6.2.5 Désynchronisation TCP La désynchronisation TCP est une technique utilisée pour les détournements de session TCP (TCP Hijacking). Elle est déclenchée par un processus dans lequel le numéro séquentiel de paquets entrants diffère du numéro attendu. Les paquets dont le numéro séquentiel diffère du numéro attendu sont rejetés (ou enregistrés dans la mémoire tampon, s'ils sont présents dans la fenêtre de communication active). Lors de la désynchronisation, les deux points d'extrémité de communication refusent les paquets reçus, ce qui permet aux attaquants distants de pouvoir infiltrer des paquets et de les fournir, avec un numéro séquentiel. Les attaquants peuvent même manipuler ou modifier les communications. Les détournements de session TCP visent à interrompre les communications serveur-client ou les communications poste à poste. De nombreuses attaques peuvent être évitées par l'authentification de chaque segment TCP. Il est également conseillé d'utiliser les configurations recommandées pour vos périphériques réseau. 6.2.6 Relais SMB SMB Relay et SMB Relay 2 sont des programmes spéciaux capables d'effectuer des attaques contre des ordinateurs distants. Les programmes utilisent le protocole de partage de fichiers SMB (Server Message Block) situé sur NetBIOS. Lorsqu'un utilisateur partage des dossiers ou des répertoires sur un réseau local, il y a de grandes chances qu'il utilise ce protocole de partage de fichiers. Les empreintes numériques des mots de passe sont échangées lors des communications sur le réseau local. SMB Relay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés par le client et le serveur, et les modifie. Après connexion et authentification, le client est déconnecté. SMB Relay crée une nouvelle adresse virtuelle IP, à laquelle il est possible d'accéder à l'aide de la commande « net use \\192.168.1.1 ». L'adresse peut ensuite être utilisée par n'importe quelle fonction de réseau de Windows. SMB Relay relaie les communications du protocole SMB, sauf la négociation et l'authentification. Les pirates peuvent utiliser l'adresse IP tant que l'ordinateur client est connecté. SMB Relay 2 fonctionne selon le même principe que SMB Relay, si ce n'est qu'il utilise les noms NetBIOS plutôt que les adresses IP. Tous deux peuvent effectuer des attaques de type « l'homme du milieu » (man-in-the-middle). Ces attaques permettent à des pirates de lire les messages échangés entre deux points de communication sans être remarqué, ainsi que d'y insérer des données et de les modifier à distance. Les ordinateurs exposés à ce type d'attaque arrêtent souvent de répondre ou redémarrent de manière impromptue. Pour éviter de telles attaques, nous vous recommandons d'utiliser des mots de passe ou des clés d'authentification. 6.2.7 Attaques par protocole ICMP L'ICMP (Internet Control Message Protocol) est un protocole Internet très commun et très utilisé. Il est surtout utilisé par les ordinateurs en réseau pour envoyer différents messages d'erreur. Les attaquants distants tentent d'exploiter la faiblesse du protocole ICMP. Ce protocole est conçu pour les communications à sens unique n'exigeant pas d'authentification. Il permet donc aux attaquants distants de déclencher ce qu'on appelle les attaques par déni de service ou des attaques qui donnent à différentes personnes non autorisées l'accès aux paquets entrants et sortants. Le Ping Flood (inonder par flux de ping), l'ICMP_ECHO flood et le smurf sont des exemples typiques d'attaques ICMP. Les ordinateurs exposés aux attaques ICMP sont considérablement ralentis (affecte toutes les applications utilisant Internet) et ont des problèmes de connexion Internet. 140 6.3 Technologie ESET 6.3.1 Exploit Blocker Exploit Blocker est conçu pour protéger les types d'applications souvent exploités, comme les navigateurs, les lecteurs PDF, les clients de messagerie et les composants MS Office. Il fonctionne en surveillant le comportement de processus pour détecter une activité suspecte qui pourrait indiquer un exploit. Quand Exploit Blocker identifie un processus suspect, il peut l'arrêter immédiatement et enregistrer des données à propos de la menace, qui sont ensuite envoyées au système en nuage ThreatSense. Ces données sont traitées par le laboratoire de recherche d'ESET et utilisées pour mieux protéger tous les utilisateurs des menaces inconnues et des attaques immédiates (nouveaux logiciels malveillants publiés pour lesquels il n'existe aucun remède préconfiguré). 6.3.2 Analyseur de mémoire avancé L'Analyseur avancé de la mémoire fonctionne avec Exploit Blocker pour renforcer la protection contre les logiciels malveillants qui ont été conçus pour contourner la détection par les protection anti-logiciels malveillants en utilisant l'obscurcissement et/ou le chiffrement. Lorsque l'émulation ordinaire ou l'heuristique ne parvient pas à détecter une menace, l'Analyseur avancé de la mémoire est capable d'identifier un comportement suspect et d'analyser les menaces lorsqu'elles se révèlent dans la mémoire système. Cette solution est efficace contre les logiciels malveillants les plus obscurcis. Contrairement à l'Exploit Blocker, l'Analyseur avancé de la mémoire est une méthode post-exécution. Cela signifie qu'il existe un risque qu'une activité malveillante ait été exécutée avant sa détection d'une menace; toutefois, lorsque les autres techniques de détection ont échoué, cette méthode apporte une couche de sécurité supplémentaire. 6.3.3 Bouclier anti-vulnérabilités Le Bouclier anti-vulnérabilités est une extension du Pare-feu personnel qui améliore la détection des vulnérabilités connues au niveau du réseau. En implémentant des détections des vulnérabilités courantes dans des protocoles largement utilisés, tels que SMB, RPC et RDP, cette fonctionnalité offre une autre couche de protection importante contre la propagation des logiciels malveillants, des attaques de réseau et des exploitations de vulnérabilités pour lesquelles aucun correctif n'a encore été publié ou déployé. 6.3.4 ThreatSense Fondé sur le système avancé d'avertissement anticipé ThreatSense.Net®, ESET LiveGrid® utilise les données soumises par les utilisateurs ESET de partout dans le monde avant de les envoyer au laboratoire de recherche d'ESET. En fournissant des métadonnées et des échantillons suspects provenant de partout, ESET LiveGrid® nous permet de réagir immédiatement aux besoins de nos clients et de préserver la réactivité d'ESET aux menaces les plus récentes. Les chercheurs d'ESET spécialisés dans les logiciels malveillants utilisent les informations pour produire un instantané précis de la nature et de la portée des menaces mondiales, qui nous permet de nous concentrer sur les bonnes cibles. ESET LiveGrid® les données jouent un rôle important dans la définition des priorités dans notre traitement automatisé. De plus, la technologie implémente un système de réputation qui contribue à améliorer l'efficacité globale de nos solutions contre les logiciels malveillants. Lors de l'inspection d'un fichier exécutable ou d'une archive sur le système d'un utilisateur, son code de hachage est d'abord comparé à une base de données d'éléments indiqués sur liste blanche et noire. S'il figure sur la liste blanche, le fichier inspecté est considéré comme propre et marqué pour être exclu des analyses futures. S'il est sur la liste noire, des mesures appropriées sont prises en fonction de la nature de la menace. En l'absence de correspondance, le fichier est analysé complètement. Sur la base des résultats de cette analyse, les fichiers sont catégorisés ou non comme menaces. Cette approche à un impact positif significatif sur la performance des analyses. Ce système de réputation permet une détection efficace d'échantillons de logiciels malveillants même avant que leurs signatures arrivent sur l'ordinateur de l'utilisateur par la mise à jour de la base de données des virus (mise à 141 jour qui se produit plusieurs fois par jour). 6.3.5 Protection contre un réseau d'ordinateurs zombies La protection contre les ordinateurs zombies détecte les logiciels malveillants grâce à l'analyse des ses protocoles de communication réseau. Les logiciels malveillants d'ordinateurs zombies changent fréquement, contrairement aux protocoles de réseaux qui n'ont pas changés au cours des dernières années. Cette nouvelle téchonologie permet à ESET de contrer les logiciels malveillants qui essaient d'éviter la détection et tentent de se connecter votre ordinateur à un réseau d'ordinateurs zombies. 6.3.6 Java Exploit Blocker Java Exploit Blocker est une extension à la protection Exploit Blocker existante. Elle surveille Java à la recherche de comportement semblables aux exploits. Les échantillons bloqués peuvent être signalés à des analystes de programmes malveillants afin qu'ils puissent créer des signatures pour les bloquer sur différentes couches (de blocage d'URL, téléchargement de fichiers, etc). 6.3.7 Protection des opérations bancaires et des paiements La protection des opérations bancaires et des paiements représente un niveau de protection supplémentaire pour les transactions effectuées en ligne car votre navigateur non sécurisé pourrait être compromis pendant une transaction. ESET Smart Security contient une liste intégrée de sites Web prédéfinis qui déclencheront l'ouverture d'un navigateur protégé. Vous pouvez ajouter un site Web à la liste ou modifier la liste de sites Web dans la configuration de produit. L'utilisation de communication HTTPS chiffrée est nécessaire pour garantir une navigation protégée. Pour utiliser la navigation sécurisée, votre navigateur Internet doit répondre aux exigences minimales décrites ci-dessous. Il est recommandé de fermer votre navigateur sécurisé après avoir terminé vos translations ou vos paiements en ligne. Le numéro de la version du navigateur indiquée ci-dessous, ou une version ultérieure, est requise pour utiliser la navigation sécurisée : Mozilla Firefox 24 Internet Explorer 8 Google Chrome 30 142 6.4 Courriel Le courriel est une forme de communication moderne qui offre beaucoup d'avantages. Il est souple, rapide et direct et a joué un rôle crucial dans l'expansion d'Internet au début des années 1990. Malheureusement, le grand anonymat des courriels et d'Internet a laissé libre champ à beaucoup d'activités illégales telles que le pollupostage. Le pourriel comprend les publicités indésirables, les canulars et les logiciels malveillants. Les désagréments et le danger pour l'utilisateur ont augmenté tout simplement du fait que l'envoi de tels messages ne coûte presque rien et que les auteurs du pourriel disposent de bon nombre d'outils pour acquérir facilement de nouvelles adresses courriel. En plus, le volume et les différents types de pourriel ne facilitent pas la règlementation. Plus longtemps vous utilisez votre adresse courriel, plus vous augmentez la possibilité qu'elle finisse par être ajoutée dans la base de données d'un moteur de pourriel. Quelques conseils à titre de prévention : Si possible, n'indiquez pas votre adresse courriel sur Internet. Ne donnez votre adresse courriel qu'à des personnes fiables. N'utilisez pas de pseudonymes communs, si possible. Lorsque les pseudonymes sont compliqués, la probabilité de les retracer est plus faible. Ne répondez pas aux pourriels déjà entrés dans votre boîte de réception. Faites attention lorsque vous remplissez des formulaires Internet : soyez particulièrement attentif aux cases à cocher du type « Oui, je voudrais recevoir des informations concernant... ». Utilisez des adresses de messagerie « spécialisées », par ex., une pour le travail, une pour communiquer avec vos amis, etc. Changez vos adresses courriel de temps en temps. Utilisez une solution antipourriel. 6.4.1 Publicités La publicité par Internet est une des formes de publicité les plus en vogue. Ses coûts minimaux et sa grande efficacité en sont les principaux avantages marketing, tout comme le fait que ces messages soient transmis presque immédiatement. Nombre d'entreprises utilisent des outils de marketing par courriel pour communiquer de manière efficace avec leurs clients et clients éventuels. Ce type de publicité est légitime, car l'utilisateur pourrait souhaiter recevoir des informations commerciales sur certains produits. De nombreuses entreprises envoient également en masse des messages commerciaux non sollicités. La publicité par courriel dépasse alors les limites et devient du pourriel. La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe d'accalmie. Les auteurs de messages non sollicités tentent souvent de déguiser le pourriel sous des dehors de messages légitimes. 6.4.2 Canulars Un canular se définit comme de la désinformation diffusée sur Internet. Les canulars sont généralement envoyés par courriel ou par des outils de communication tels ICQ et Skype. Le message en lui-même est souvent une blague ou une légende urbaine. Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à croire qu'ils ont un « virus indétectable » en train de supprimer tous les fichiers et de récupérer les mots de passe, ou d'effectuer une activité nuisible sur leur système. Certains canulars se propagent parce qu'ils invitent les destinataires à réacheminer les messages reçus à leurs contacts, ce qui perpétue leur cycle de vie. On y retrouve notamment des canulars liés aux téléphones cellulaires, des « demandes d'aide », des personnes qui vous proposent de vous envoyer de l'argent de l'étranger, etc. Dans bon nombre de cas, il est impossible de traquer l'intention du créateur. Si un message vous demande de le réacheminer à toutes vos connaissances, il est fort possible qu'il s'agisse d'un canular. On retrouve, sur Internet, bon nombre de sites qui permettent de vérifier si un message est légitime ou non. Avant de réacheminer un message, faites une recherche sur Internet si vous avez des doutes quant à un message reçu. 143 6.4.3 Hameçonnage Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse utilisant des techniques de piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des données confidentielles. Son but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. La technique consiste généralement à envoyer un courriel en se faisant passer pour une personne ou une entreprise digne de confiance (institution financière, compagnie d'assurance). Le message peut sembler très authentique et contenir des graphiques et contenus qui proviennent véritablement de la source dont il se réclame. Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles numéros de compte bancaire ou noms d'utilisateur et mots de passe. Toutes ces données, si elles sont soumises, peuvent facilement être volées et utilisées à des fins illégales. Notez que les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais les noms d'utilisateur et mots de passe dans un message non sollicité. 6.4.4 Reconnaissance des pourriels Peu d'indicateurs permettent généralement d'identifier les pourriels (messages non sollicités) dans une boîte aux lettres. Si un message satisfait au moins l'un des critères suivants, c'est probablement un pourriel. L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts. On vous offre une importante somme d'argent, mais vous devez en fournir une petite somme avant. On vous demande d'entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles : numéros de compte bancaire ou noms d'utilisateur et mots de passe. Le message est écrit dans une langue étrangère. On vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez d'acheter quand même, assurez-vous que l'expéditeur du message est un vendeur sérieux (consultez le fabricant original du produit). Quelques mots sont mal écrits pour pouvoir passer à travers le filtre de pourriel. Par exemple « vaigra » au lieu de « viagra », etc. 6.4.4.1 Règles Dans le contexte des solutions antipourriel et des clients de messagerie, les règles sont des outils permettant de manipuler les fonctions de messagerie. Elles se composent de deux parties logiques : 1. la condition (par exemple, un message entrant provenant d'une certaine adresse) 2. l'action (par exemple, la suppression du message ou son déplacement vers un dossier particulier). Le nombre de règles et leurs combinaisons varient en fonction de la solution antipourriel. Ces règles servent de protection contre les pourriels (messages non sollicités). Exemples caractéristiques : 1. condition : un message entrant contient des mots habituellement utilisés dans les pourriels 2. Action : supprimer le message 1. condition : un message entrant contient une pièce jointe comportant l'extension .exe 2. Action : supprimer la pièce jointe et livrer le message dans la boîte aux lettres 1. condition : un message entrant de votre employeur 2. Action : déplacer le message dans le dossier « Travail ». Il est recommandé d'utiliser une combinaison de règles dans les programmes antipourriel afin de faciliter l'administration et mieux filtrer les pourriels. 144 6.4.4.2 Liste blanche En général, une liste blanche est une liste d'éléments ou de personnes qui ont été acceptées ou ont obtenu l'autorisation. Le terme « liste blanche de messagerie » définit une liste de contacts dont l'utilisateur veut recevoir les messages. Ces listes blanches sont basées sur des mots-clés recherchés dans des adresses courriel, des noms de domaines ou des adresses IP. Si une liste blanche fonctionne en « mode exclusif », les messages de toutes les autres adresses, domaines ou adresses IP seront écartés. Si elle fonctionne en mode non exclusif, ces messages ne seront pas supprimés, mais filtrés d'une autre façon. Une liste blanche fonctionne sur le principe inverse d'une liste noire. Les listes blanches sont relativement faciles à maintenir, plus que les listes noires. Pour un meilleur filtrage des pourriels, il est recommandé d'utiliser des listes blanches et des listes noires. 6.4.4.3 Liste noire Une liste noire se définit généralement comme une liste d'éléments ou de personnes non acceptés ou interdits. Dans le monde virtuel, c'est une technique qui permet d'accepter des messages de tous les utilisateurs qui ne figurent pas sur cette liste. Il existe deux types de listes noires : celles qui sont créées par les utilisateurs par l'entremise de leur application antipourriel et les listes noires professionnelles, créées et régulièrement mises à jour par des organismes spécialisés, que l'on peut trouver sur Internet. Il est essentiel d'utiliser les listes pour bloquer le pourriel, mais elles peuvent être difficiles à tenir à jour, car de nouveaux éléments à bloquer apparaissent chaque jour. Nous vous recommandons d'utiliser tant une liste blanche qu'une liste noire pour filtrer le pourriel de la façon la plus efficace. 6.4.4.4 Liste des exceptions La liste des exceptions contient généralement des adresses courriels qui peuvent être falsifiées et utilisées pour envoyer des pourriels. Les messages provenant des adresses répertoriées dans la liste d'exceptions sont toujours inclus à l'analyse visant à identifier le pourriel. Par défaut, la liste d'exceptions contient les adresses de messagerie figurant dans vos comptes de messagerie existants. 6.4.4.5 Contrôle côté serveur Le contrôle côté serveur est une technique permettant d'identifier le pourriel de masse d'après le nombre de messages reçus et les réactions des utilisateurs. Chaque message laisse sur le serveur une « empreinte » numérique unique en fonction de son contenu. Le numéro d'ID unique ne dit rien à propos du contenu du message. Deux messages identiques auront une empreinte identique, alors que des messages différents auront une empreinte différente. Si un message est marqué comme pourriel, son empreinte est envoyée au serveur. Si le serveur reçoit plusieurs empreintes identiques (correspondant à un certain message de pourriel), cette empreinte est stockée dans la base d'empreintes de pourriel. Lorsqu'il analyse des messages entrants, le programme envoie les empreintes de ces messages au serveur. Le serveur renvoie de l'information indiquant quelles empreintes correspondent à des messages déjà identifiés comme pourriels par d'autres utilisateurs. 145 7. Questions fréquentes Cette section couvre les questions les plus fréquemment posées et les problèmes les plus fréquents. Cliquez sur l'intitulé d'une rubrique pour apprendre comment résoudre le problème : Comment effectuer la mise à jour de ESET Smart Security Comment éliminer un virus de mon ordinateur Comment autoriser la communication pour une certaine application Comment activer le contrôle parental pour un compte Comment créer une nouvelle tâche dans le Planificateur Comment programmer une tâche d'analyse (toutes les 24 heures) Si votre problème n'est pas abordé dans la liste des pages d'aide indiquées ci-dessus, essayez de faire une recherche dans les pages d'aide de ESET Smart Security. Si vous ne trouvez pas la solution à votre problème/question dans les pages d'aide, consultez la base de connaissances ESET en ligne qui est régulièrement mise à jour. Vous trouverez ci-dessous des liens vers les articles les plus populaires de notre base de connaissances afin de vous aider à régler des problèmes communs : Je reçois une erreur d'activation lorsque j'installe le produit ESET. Qu'est-ce que ça signifie? Comment puis-je entrer mon nom d'utilisateur et mon mot de passe dans ESET Smart Security/ESET NOD32 Antivirus? Je reçois un message selon lequel mon installation d'ESET s'est arrêtée prématurément Que dois-je faire après avoir renouvelé ma licence? (utilisateurs de la version résidentielle) Et si je change d'adresse courriel? Comment démarrer Windows en Mode sans échec ou Mode sans échec avec prise en charge réseau? Au besoin, vous pouvez communiquer avec notre assistance à la clientèle pour soumettre vos questions ou problèmes. Le formulaire se trouve dans l'onglet Aide et assistance de ESET Smart Security. 7.1 Comment effectuer la mise à jour de ESET Smart Security La mise à jour de ESET Smart Security peut être effectuée manuellement ou automatiquement. Pour déclencher la mise à jour, cliquez sur Mettre à jour maintenant dans la section Mettre à jour. L'installation par défaut crée une tâche de mise à jour automatique qui s'exécute chaque heure. Si vous devez modifier l'intervalle, il faut aller dans Outils > Planificateur (pour plus d'information sur le Planificateur, cliquez ici). 7.2 Comment éliminer un virus de mon ordinateur Si votre ordinateur montre des signes d'infection par un logiciel malveillant (ralentissement, blocages fréquents, etc.), nous recommandons d'effectuer les opérations suivantes : 1. De la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur. 2. Cliquez sur Analyse de votre ordinateur pour lancer l'analyse de votre système. 3. Une fois l'analyse terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. 4. Si vous ne souhaitez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez les cibles à analyser. Pour des détails supplémentaires, veuillez consulter notre article tiré de la base de connaissances ESET qui est régulièrement mis à jour. 146 7.3 Comment autoriser la communication pour une certaine application Si une nouvelle connexion est détectée en mode interactif et qu'aucune règle ne correspond à la communication, une boîte de dialogue vous demandera d'autoriser ou de refuser la connexion. Si vous voulez que ESET Smart Security exécute la même action chaque fois que l'application tente d'établir une connexion, cochez la case Mémoriser l'action (créer une règle). Vous pouvez créer de nouvelles règles de pare-feu personnel pour les applications avant qu'elles ne soient détectées par ESET Smart Security dans la fenêtre Configuration du pare-feu personnel, située sous Réseau > Parefeu personnel > Règles et zones > Configuration. Pour que l'onglet Règles puisse être disponible dans Configuration des zones et des règles, régler le mode de filtrage du pare-feu personnel à Interactif. Dans l'onglet Général, entrez le nom, le sens et le protocole de communication de la règle. La fenêtre vous permet de définir l'action à prendre lorsqu'une règle est appliquée. Dans l'onglet Local, entrez le chemin de l'exécutable de l'application ainsi que le port local de communication. Dans l'onglet Distant, entrez l'adresse et le port distants (le cas échéant). La règle nouvellement créée sera appliquée dès que l'application tentera de communiquer de nouveau. 7.4 Comment activer le contrôle parental pour un compte Pour activer le contrôle parental pour un compte utilisateur particulier, effectuez les étapes ci-dessous : 1. Par défaut, le contrôle parental est désactivé dans ESET Smart Security. Deux méthodes permettent d'activer le contrôle parental : o Cliquez sur dans Configuration > Outils de sécurité > Contrôle parental à partir de la fenêtre principale du programme et faites passer l'état du contrôle parental à activé. o Appuyez sur la touche F5 pour accéder à l'arbre de Configuration avancée, allez à Web et courriel > Contrôle parental, puis actionnez le commutateur à côté de Intégration au système. 2. Cliquez sur Configuration > Outils de sécurité > Contrôle parental à partir de la fenêtre principale du programme. Même si Activé s'affiche à côté de Contrôle parental, vous devez configurer le contrôle parental pour le compte souhaité en cliquant sur Protéger ce compte. Dans la fenêtre Configuration de compte, entrez un âge, afin de 147 déterminer le niveau d'accès et les pages Web adaptées à l'âge qui sont recommandées. Le contrôle parental est désormais activé pour le compte spécifié. Cliquez sur Contenu autorisé et interdit... sous un nom de compte pour personnaliser les catégories que vous souhaitez autoriser ou bloquer dans l'onglet Catégories. Pour autoriser ou bloquer des pages Web personnalisées ne correspondant à aucune catégorie, cliquez sur l'onglet Exceptions. 7.5 Comment créer une nouvelle tâche dans le Planificateur Pour créer une nouvelle tâche dans Outils > Planificateur, cliquez sur Ajouter... ou cliquez à droite et sélectionnez Ajouter... dans le menu contextuel. Cinq types de tâches planifiées sont disponibles : Exécuter une application externe - Planifie l'exécution d'une application externe. Maintenance des journaux - Les fichiers journaux contiennent les restes des enregistrements supprimés. Cette tâche optimise les enregistrements dans les fichiers journaux de façon régulière, afin qu'ils puissent fonctionner de façon efficace. Contrôle des fichiers de démarrage du système - Vérifier les fichiers qui peuvent être exécutés au démarrage du système ou lors de l'ouverture de session. Créer un instantané de l'état de l'ordinateur - Crée un instantané de l'ordinateur ESET SysInspector - recueille de l'information détaillée sur les composants système (pilotes, applications, par ex.) et évalue le niveau de risque de chacun des composants. Analyse de l'ordinateur à la demande - Effectue l'analyse des fichiers et dossiers de votre ordinateur. Première analyse - Par défaut, une analyse de l'ordinateur sera effectuée 20 minutes après l'installation ou tout redémarrage comme tâche de priorité faible. Mise à jour - Planifie une tâche de mise à jour en mettant à jour la base de données des signatures de virus et les modules du programme. Puisque la mise à jour est l'une des tâches planifiées les plus souvent utilisées, nous expliquerons ci-après comment ajouter une nouvelle tâche de mise à jour : 148 Dans le menu déroulant Tâche planifiée, sélectionnez Mise à jour. Entrez le nom de la tâche dans le champ Nom de la tâche puis cliquez sur Suivant. Sélectionnez la fréquence de la tâche. Les options suivantes sont disponibles : Une fois, Plusieurs fois, Quotidiennement, Chaque semaine et Déclenchée par un événement. Sélectionnez Ignorer la tâche lorsque l'ordinateur portable fonctionne sur batterie afin de minimiser les ressources systèmes sous ce mode d'alimentation. La tâche sera exécutée à la date et à l'heure indiquées dans les champs Exécution de la tâche. On peut ensuite définir l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. Les options suivantes sont disponibles : À la prochaine heure planifiée Dès que possible Immédiatement, si le temps écoulé depuis la dernière exécution dépasse une valeur spécifique (l'intervalle peut être défini à l'aide de la case de défilement Heure depuis la dernière exécution (en heures)) Dans l'étape suivante, une fenêtre de résumé des informations sur la tâche planifiée en cours s'affiche. Cliquez sur Terminer une fois les modifications terminées. Une boîte de dialogue s'ouvre pour permettre de choisir les profils à utiliser pour la tâche planifiée. Ici, vous pouvez définir le profil principal et le profil secondaire. Le profil secondaire est utilisé lors que la tâche ne peut pas se terminer en utilisant le profil principal. Confirmez en cliquant sur Terminer et la nouvelle tâche planifiée sera ajoutée à la liste des tâches actuellement planifiées. 7.6 Comment planifier une analyse hebdomadaire d'un ordinateur Pour planifier une tâche régulière, ouvrez la fenêtre principale du programme et cliquez sur Outils > Planificateur. Vous trouverez ci-dessous un guide abrégé sur la manière de programmer une tâche qui lancera l'analyse des disques locaux toutes les 24 heures. Reportez-vous à notre article de la base de connaissances ESET pour obtenir des instructions plus détaillées. Pour programmer une tâche : 1. cliquez sur Ajouter dans la fenêtre principale du Planificateur. 2. Sélectionnez Analyse de l'ordinateur à la demande dans le menu déroulant. 3. Entrez un nom pour cette tâche et sélectionnez Hebdomadaire pour la fréquence de la tâche. 4. Réglez le jour et l'heure auxquels la tâche sera déclenchée. 5. Sélectionnez Exécuter la tâche dès que possible pour exécuter la tâche plus tard dans le cas où l'exécution d'une tâche planifiée ne démarre pas pour une raison quelconque (par exemple, l'ordinateur était éteint). 6. Passez en revue le résumé de la tâche programmée, puis cliquez sur Terminer. 7. Dans le menu déroulant Cibles, sélectionnez Disques locaux. 8. Cliquez sur Terminer pour appliquer la tâche. 149