ESET SMART SECURITY Manuel utilisateur

Composants intégrés :
ESET NOD32 Antivirus
ESET NOD32 Antispyware
ESET Personal Firewall
ESET Antispam
Nouvelle génération
de technologie NOD32
Guide de l'utilisateur
nous protégeons vos univers numériques
sommaire
1. ESET Smart Security.................................4
1.1 Nouveautés.................................................................... 4
1.2 Configuration minimale requise....................................... 5
2. Installation.............................................6
2.1
2.2
2.3
2.4
2.5
Installation typique........................................................ 6
Installation personnalisée............................................... 7
Utilisation des paramètres d'origine................................. 9
Entrée d'un nom d'utilisateur et d'un mot de passe............. 9
Analyse d'ordinateur à la demande................................... 9
3. Guide du débutant................................ 10
3.1
3.2
3.3
3.4
3.5
Présentation de l'interface utilisateur : les modes.............10
3.1.1
Contrôle du fonctionnement du système................ 10
3.1.2
Que faire lorsque le programme ne fonctionne
pas correctement................................................... 11
Configuration des mises à jour........................................11
Configuration de la zone Fiable.......................................11
Configuration du serveur proxy...................................... 12
Protection des paramètres............................................. 12
4. Utilisation d'ESET Smart Security..............13
4.1
Copyright © 2007 by ESET, spol. s r. o.
ESET Smart Security a été développé par ESET, spol. s r.o.
Pour plus d'informations, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation
ne peut être reproduite, stockée dans un système d'archivage
ou transmise sous quelque forme ou par quelque moyen que
ce soit, électronique, mécanique, photocopie, enregistrement,
numérisation ou autre sans l'autorisation écrite de l'auteur.
ESET, spol. s r.o. se réserve le droit de changer les applications
décrites sans préavis.
Service client Monde : www.eset.eu/support
Service client Amérique du Nord : www.eset.com/support
REV.20080414-001
Protection antivirus et antispyware................................ 13
4.1.1
Protection en temps réel du système de fichiers.......13
4.1.1.1
Configuration du contrôle......................................13
4.1.1.1.1
Supports à analyser ...............................................13
4.1.1.1.2
Analyser quand (Analyse déclenchée par un
événement)...........................................................13
4.1.1.1.3
Autres paramètres ThreatSense pour les fichiers
nouveaux..............................................................13
4.1.1.1.4 Configuration avancée...........................................13
4.1.1.2
Niveaux de nettoyage............................................13
4.1.1.3
Quand faut-il modifier la configuration l
a protection en temps réel ......................................14
4.1.1.4
Vérification de la protection en temps réel ..............14
4.1.1.5
Que faire si la protection en temps réel
ne fonctionne pas..................................................14
4.1.2
Protection du courrier............................................14
4.1.2.1
Contrôle POP3.......................................................14
4.1.2.1.1
Compatibilité........................................................15
4.1.2.2
Intégration à Microsoft Outlook,
Outlook Express et Windows Mail...........................15
4.1.2.2.1 Ajout d'une étiquette au corps d'un message...........15
4.1.2.3
Suppression d'infiltrations......................................16
4.1.3
Protection de l'accès Web.......................................16
4.1.3.1
HTTP.....................................................................16
4.1.3.1.1
Adresses bloquées/exclues.....................................16
4.1.3.1.2 Navigateurs Web...................................................16
4.1.4
Analyse de l'ordinateur........................................... 17
4.1.4.1
Type d'analyse....................................................... 17
4.1.4.1.1 Analyse standard................................................... 17
4.1.4.1.2 Analyse personnalisée............................................ 17
4.1.4.2
Cibles à analyser....................................................18
4.1.4.3
Profils d'analyse.....................................................18
4.1.5
Configuration du moteur ThreatSense....................18
4.1.5.1
Configuration des objets........................................19
4.1.5.2
Options.................................................................19
4.1.5.3
Nettoyage.............................................................19
4.1.5.4
Extensions............................................................ 20
4.1.6
Une infiltration est détectée.................................. 20
4.2 Pare-feu personnel........................................................ 21
4.2.1
Modes de filtrage .................................................. 21
4.2.2
Bloquer tout le trafic : déconnecte le réseau............ 21
4.2.3
Désactiver le filtrage : autoriser tout le trafic........... 21
4.2.4
Configuration et utilisation des règles..................... 21
4.2.4.1
Création de nouvelles règles.................................. 22
4.2.4.2
Modification des règles......................................... 22
4.2.5
Configuration des zones........................................ 22
4.3
4.4
4.5
4.6
4.7
4.8
4.9
4.10
4.11
4.2.6
Etablissement d'une connexion – détection............ 23
4.2.7
La consignation.................................................... 23
Protection antispam......................................................23
4.3.1
Auto-apprentissage d'AntiSpam............................ 24
4.3.1.1
Ajout d'adresses à la liste blanche.......................... 24
4.3.1.2
Marquage de messages comme spam.................... 24
Mise à jour du programme.............................................24
4.4.1
Configuration des mises à jour............................... 25
4.4.1.1
Profils de mise à jour............................................. 25
4.4.1.2
Configuration avancée des mises à jour.................. 25
4.4.1.2.1 Mode de mise à jour.............................................. 25
4.4.1.2.2 Serveur proxy........................................................ 26
4.4.1.2.3 Connexion au réseau local..................................... 26
4.4.1.2.4 Création de copies de mises à jour – miroir............. 27
4.4.1.2.4.1 Mise à jour à partir du miroir.................................. 28
4.4.1.2.4.2 Résolution des problèmes de miroir de mise à jour.... 28
4.4.2
Comment créer des tâches de mise à jour............... 29
Planificateur................................................................ 29
4.5.1
Pourquoi planifier des tâches................................. 29
4.5.2
Création de nouvelles tâches................................. 29
Quarantaine................................................................ 30
4.6.1
Mise de fichiers en quarantaine.............................30
4.6.2
Restaurer depuis la quarantaine............................30
4.6.3
Soumission de fichiers de quarantaine...................30
Fichiers journaux.......................................................... 30
4.7.1
Maintenance des journaux.....................................31
Interface utilisateur...................................................... 31
4.8.1
Alertes et notifications.......................................... 32
ThreatSense.Net...........................................................32
4.9.1
Fichiers suspects................................................... 33
4.9.2
Statistiques.......................................................... 33
4.9.3
Soumission........................................................... 34
Administration à distance..............................................34
Licence.........................................................................35
5. Utilisateur avancé................................. 36
5.1 Configuration du serveur proxy.......................................36
5.2 Importer/exporter des paramètres..................................36
5.2.1
Exporter les paramètres........................................ 36
5.2.2
Importer des paramètres....................................... 36
5.3 Ligne de commande....................................................... 37
6. Glossaire............................................... 38
6.1 Types d'infiltrations........................................................38
6.1.1
Virus.................................................................... 38
6.1.2
Vers..................................................................... 38
6.1.3
Chevaux de Troie................................................... 38
6.1.4
Rootkits............................................................... 38
6.1.5
Logiciels publicitaires............................................ 39
6.1.6
Logiciels espions................................................... 39
6.1.7
Applications potentiellement dangereuses............. 39
6.1.8
Applications potentiellement indésirables.............. 39
6.2 Types d'attaques distantes..............................................39
6.2.1
Attaques DoS....................................................... 39
6.2.2
Empoisonnement DNS.......................................... 39
6.2.3
Attaques de vers................................................... 39
6.2.4
Balayage de ports.................................................40
6.2.5
Désynchronisation TCP.........................................40
6.2.6
Relais SMB...........................................................40
6.2.7
Attaques par protocole ICMP.................................40
6.3 Courrier électronique.................................................... 40
6.3.1
Publicités..............................................................41
6.3.2
Les hoax................................................................41
6.3.3
Hameçonnage.......................................................41
6.3.4
Reconnaissance des spam......................................41
6.3.4.1
Règles...................................................................41
6.3.4.1
Filtre bayésien.......................................................41
6.3.4.2
Liste blanche........................................................ 42
6.3.4.3
Liste noire............................................................ 42
6.3.4.5
Contrôle côté serveur............................................ 42
1. ESET Smart Security
ESET Smart Security est le premier représentant d'une nouvelle
approche de sécurité informatique véritablement intégrée. Il
s'appuie sur le programme ESET NOD32 Antivirus, dont la rapidité et
la précision sont garanties par la dernière version du moteur d'analyse
ThreatSense® combiné à un pare-feu personnel et à des modules
antispams sur mesure. Le résultat est un système intelligent et
constamment en alerte pour protéger votre ordinateur des attaques
et des programmes malveillants.
ESET Smart Security n'est pas un simple assemblage de divers produits,
comme le propose d'autres fournisseurs. C'est le résultat d'un effort de
longue haleine pour tenter d'allier protection maximale et encombrement
minimal. Des technologies avancées basées sur l'intelligence artificielle
sont capables de faire barrage de manière proactive à la pénétration de
virus, de logiciels espions, de chevaux de Troie, de vers, de logiciels
publicitaires, de rootkits et autres attaques provenant d'Internet, sans
réduire les performances ni perturber votre ordinateur.
1.1
Nouveautés
Nos experts ont su faire valoir leur expérience en dotant le programme
ESET Smart Security d'une architecture entièrement nouvelle qui
garantit une protection maximale avec un minimum d'espace occupé
sur le système. Cette solution de sécurité complexe comporte des
modules aux options avancées. La liste ci-dessous vous offre un bref
aperçu de ces modules.
▪▪ Antivirus & antispyware
Ce module est construit sur le noyau d'analyse de ThreatSense®, utilisé
pour la première fois sur le système antivirus primé NOD 32. Le noyau
de ThreatSense® est optimisé et amélioré dans la nouvelle
architecture d'ESET Smart Security.
Fonction
Description
Le système antivirus nettoie et supprime
Nettoyage amélioré désormais la plupart des infiltrations
détectées sans intervention de l'utilisateur.
Mode d'analyse en
L'analyse de l'ordinateur peut être lancée en
arrière-plan
arrière-plan sans réduire les performances.
Grâce aux processus d'optimisation du
Fichiers de mise
noyau, la taille des fichiers de mise à jour est
à jour de taille
réduite par rapport à la version 2.7. En outre, la
réduite
protection des fichiers de mise à jour contre
les dommages a été améliorée.
Il est désormais possible d'analyser les
Protection des
messages entrants non seulement de MS
clients de messagerie
Outlook, mais aussi d'Outlook Express et de
les plus populaires
Windows Mail.
– Accès direct aux systèmes de fichiers pour
une vitesse et un débit élevés.
Autres améliorations
– Accès aux fichiers infectés bloqués
mineures
– Optimisation du Centre de sécurité
Windows, Vista inclus.
▪▪ Pare-feu personnel
Le pare-feu personnel contrôle tout le trafic entre un ordinateur protégé
et d'autres ordinateurs sur le réseau. Vous trouverez ci-dessous une
description des fonctions avancées du pare-feu personnel ESET.
Fonction
Analyse des
communications
sur une couche
inférieure du réseau
4
Description
L'analyse des communications réseau sur la
couche liaison de données permet au parefeu personnel de bloquer des attaques qui
seraient sinon indétectables.
Le pare-feu personnel ESET affiche les
adresses IPv6 et permet aux utilisateurs
de créer des règles pour ces adresses.
Contrôle des modifications des fichiers
Contrôle des fichiers exécutables afin de venir à bout des
exécutables
infections. Il est possible d'autoriser la
modification d'applications signées.
Analyse de fichiers intégrée aux protocoles
Analyse de fichiers
des applications HTTP et POP3. Les utilisateurs
intégrée à HTTP
sont protégés lorsqu'ils naviguent sur Internet
et POP3
ou téléchargent des messages électroniques.
Possibilité de reconnaître le type d'une
Système de
communication sur le réseau et divers
détection des
types d'attaques sur le réseau avec une
intrusions
option pour interdire automatiquement
ces communications.
Les utilisateurs peuvent choisir l'exécution
Prise en charge des
automatique des actions du pare-feu ou
modes interactif,
définir des règles de manière interactive.
automatique
Les communications en mode basé sur
ou basé sur des
des stratégies sont traitées selon des
stratégies
règles prédéfinies par l'utilisateur ou
l'administrateur du réseau.
Remplaçant le pare-feu intégré de Windows,
il interagit également avec le Centre de
Remplace le pare-feu sécurité Windows de sorte que l'utilisateur est
intégré de Windows toujours informé de l'état de la sécurité sur son
ordinateur. L'installation d'ESET Smart Security
désactive par défaut le pare-feu Windows.
Prise en charge IPv6
▪▪ Antispam
ESET Antispam filtre les messages non sollicités et accroît ainsi la
sécurité et le confort des communications électroniques.
Fonction
Description
Tous les messages entrants se voient assigner
une note allant de 0 (le message n'est pas
un spam) à 100 (le message est un spam)
Système de notation
et sont transférés selon le résultat dans le
des messages
dossier des courriers indésirables ou dans
entrants
un dossier personnalisé créé par l'utilisateur.
Parallèlement, il est possible d'analyser les
messages entrants.
– Analyse de Bayes
Prise en charge de
– Analyse basée sur des règles
plusieurs techniques
– Vérification globale de la base de données
d'analyse
d'empreintes digitales
Intégration totale
Une protection antispam est disponible pour
avec les clients de
les utilisateurs des clients Microsoft Outlook,
messagerie
Outlook Express et Windows Mail.
Possibilité de
Il existe une option pour définir les messages
sélection manuelle
comme spam ou non spam.
des spams
1.2
Configuration minimale requise
Pour assurer le bon fonctionnement d'ESET Smart Security et ESET
Smart Security Business Edition, la configuration matérielle et
logicielle minimale requise est la suivante :
ESET Smart Security :
Windows 2000, XP
Windows Vista
400 MHz 32 bits / 64 bits (x86 / x64)
128 Mo de RAM de mémoire système
35 Mo d'espace disque
Super VGA (800 × 600)
1 GHz 32 bits / 64 bits (x86 / x64)
512 Mo de RAM de mémoire système
35 Mo d'espace disque
Super VGA (800 × 600)
ESET Smart Security Business Edition :
Windows 2000,
400 MHz 32 bits / 64 bits (x86 / x64)
2000 Server, XP, 2003 128 Mo de RAM de mémoire système
Server
35 Mo d'espace disque
Super VGA (800 × 600)
Windows Vista,
1 GHz 32 bits / 64 bits (x86 / x64)
Windows Server
512 Mo de RAM de mémoire système
2008
35 Mo d'espace disque
Super VGA (800 × 600)
5
2. Installation
Après l'achat, le programme d'installation d'ESET Smart Security peut
être téléchargé à partir du site web d'ESET. Il se présente sous la forme
d'un module ess_nt**_***.msi (ESET Smart Security) ou essbe_nt**_***.
msi (ESET Smart Security Business Edition). Lancez le programme
d'installation ; l'Assistant Installation vous guidera dans les opérations
de configuration de base. Deux types d'installation sont disponibles,
avec différents niveaux de détails de configuration :
Entrez dans les champs correspondants, votre Nom d'utilisateur et
Mot de passe, c.-à-d. les données d'authentification reçues après
l'achat ou l'enregistrement du produit. Si vos nom d'utilisateur et mot
de passe ne sont pas disponibles, sélectionnez l'option Définir les
paramètres de mise à jour ultérieurement. Les données
d'authentification peuvent être introduites plus tard, directement
à partir du programme.
1.
L'étape suivante de l'installation est la configuration du système
d'avertissement anticipé ThreatSense.Net. Le système d'alerte
anticipé ThreatSense.Net contribue à garantir qu'ESET est
immédiatement et continuellement informé des nouvelles infiltrations
dans le but de protéger ses clients. Le système permet la soumission
de nouvelles menaces au laboratoire d'ESET, où elles sont analysées,
traitées puis ajoutées à la base de signatures de virus.
Installation typique
2. Installation personnalisée
2.1
Installation typique
Une installation typique est recommandée aux utilisateurs qui
souhaitent installer ESET Smart Security avec ses paramètres par
défaut. Les paramètres par défaut du programme fournissent le
niveau maximal de protection, une configuration appréciée par les
utilisateurs qui ne veulent pas entrer dans le paramétrage détaillé.
La première étape (très importante) est la saisie d'un nom d'utilisateur
et d'un mot de passe pour la mise à jour automatique du programme.
Cette mise à jour joue un rôle important dans le maintien d'une
protection constante du système.
Par défaut, la case à cocher Activer le système d'alerte anticipé
ThreatSense.Net est sélectionnée, activant cette fonction. Cliquez
sur Configuration avancée... pour modifier les paramètres détaillés
de soumission de fichiers suspects.
L'étape suivante de l'installation est la configuration de la Détection
des applications potentiellement indésirables. Les applications
potentiellement indésirables ne sont pas destinées à être
malveillantes, mais peuvent d'une certaine manière affecter le
comportement du système d'exploitation.
Ces applications sont souvent associées à d'autres programmes et
peuvent être difficiles à remarquer lors de l'installation. Bien que ces
applications affichent habituellement une notification pendant
l'installation, elles peuvent facilement s'installer sans votre
consentement.
6
La première étape est le choix de l'emplacement du dossier
d'installation. Par défaut, le programme s'installe dans C:\Program
Files\ESET\ESET Smart Security\. Cliquez sur Parcourir… pour changer
d'emplacement (déconseillé).
Activez l'option Activer la détection d'applications potentiellement
indésirables pour permettre à ESET Smart Security de détecter ce type
de menace (recommandé).
La dernière étape de l'installation typique est la confirmation de
l'installation en cliquant sur le bouton Installer.
Ensuite, entrez votre nom d'utilisateur et votre mot de passe. Cette
étape est la même que dans l'Installation typique (voir page 5).
Après la saisie de votre nom d'utilisateur et de votre mot de passe,
cliquez sur Suivant pour Configurer votre connexion Internet.
2.2
Installation personnalisée
L'installation Personnalisée est destinée à des utilisateurs qui ont une
certaine expérience de l'optimisation de programmes, et qui veulent
modifier les paramètres avancés pendant l'installation.
Si vous utilisez un serveur proxy, il doit être correctement configuré
pour que les mises à jour des signatures de virus fonctionnent
correctement. Si vous n'êtes pas sûr d'utiliser un serveur proxy pour la
connexion à Internet, gardez le réglage par défaut Je ne sais pas si ma
connexion Internet utilise un serveur proxy. Utilisez les mêmes
paramètres qu'Internet Explorer et cliquez sur Suivant. Si vous
n'utilisez pas de serveur proxy, sélectionnez l'option correspondante.
7
Pour configurer vos paramètres de serveur proxy, sélectionnez J'utilise
un serveur proxy et cliquez sur Suivant. Entrez l'adresse IP ou
l'adresse URL de votre serveur proxy dans le champ Adresse. Dans le
champ Port, spécifiez le port sur lequel le serveur proxy accepte les
connexions (3128 par défaut). Si le serveur proxy exige une
authentification, un nom d'utilisateur et un mot de passe valides
donnant accès au serveur proxy doivent être entrés. Les paramètres
du serveur proxy peuvent être copiés depuis Internet Explorer. Pour ce
faire, cliquez sur le bouton Appliquer et confirmez la sélection.
REMARQUE : Le redémarrage du système est généralement
nécessaire après la mise à jour des composants du programme.
L'option recommandée est : Si nécessaire, redémarrer l'ordinateur
sans avertissement.
L'étape suivante de l'installation est la saisie d'un mot de passe pour
protéger les paramètres. Choisissez un mot de passe pour protéger le
programme. Tapez de nouveau le mot de passe pour le confirmer.
Cliquez sur Suivant pour continuer vers la fenêtre Configurer les
paramètres de mise à jour automatique . Cette étape vous permet
de spécifier la façon dont seront traitées les mises à jour automatiques
des composants du programme sur votre système. Cliquez sur
Changer pour accéder aux paramètres avancés.
Si vous ne voulez pas que les composants du programme soient mis
à jour, sélectionnez Ne jamais mettre à jour les composants du
programme. L'option Demander avant de télécharger les composants
de programme affiche une fenêtre de confirmation pour télécharger
les composants de programme. Pour activer la mise à jour automatique
des composants du programme sans confirmation, sélectionnez
l'option Effectuer la mise à niveau des composants du programme
si elle est disponible.
Les étapes Configuration du système d'alerte anticipé ThreatSense.
Net et Détection des applications potentiellement indésirables
sont les mêmes que dans l'Installation typique et ne sont pas reprises
ici (voir page 5).
La dernière étape de l'installation personnalisée est le choix du mode
de filtrage du pare-feu personnel ESET. Trois modes sont disponibles :
8
▪▪ Automatique
2.4 Entrée d'un nom d'utilisateur et d'un mot de passe
▪▪ Interactif
Le programme doit être mis à jour automatiquement pour assurer un
fonctionnement optimal. Ce n'est possible que si le nom d'utilisateur
et le mot de passe corrects sont entrés dans la configuration des
mises à jour.
▪▪ Basé sur des règles
Si vous n'avez pas entré votre nom d'utilisateur et votre mot de passe
lors de l'installation, vous pouvez le faire maintenant. Dans la fenêtre
principale du programme, cliquez sur Mettre à jour, puis sur Nom
d'utilisateur et mot de passe... Entrez les données reçues avec la
licence du produit dans la fenêtre Détails de la licence.
2.5 Analyse d'ordinateur à la demande
Le mode Automatique est recommandé pour la majorité des utilisateurs.
Toutes les connexions standard sortantes sont autorisées (analysées
automatiquement selon les critères prédéfinis) et les connexions
entrantes non sollicitées sont automatiquement bloquées.
Le mode Interactif ne convient qu'aux utilisateurs expérimentés. Les
communications sont gérées par des règles définies par l'utilisateur. En
l'absence de règle définie pour une communication donnée, le programme
demande à l'utilisateur d'autoriser ou refuser la communication.
Après l'installation d'ESET Smart Security, il y a lieu de procéder à une
analyse de l'ordinateur à la recherche de codes malveillants. Pour
lancer rapidement une analyse, sélectionnez Analyse de l'ordinateur
dans le menu principal, puis sélectionnez Analyse standard dans la
fenêtre principale du programme. Pour plus d'informations sur les
options d'analyse de l'ordinateur, consultez le chapitre « Analyse de
l'ordinateur ».
Le mode Basé sur des règles évalue les communications sur la base
des règles prédéfinies créées par l'administrateur. En l'absence de règle
disponible, la connexion est automatiquement bloquée et l'utilisateur
ne voit aucun message d'avertissement. Nous recommandons de ne
sélectionner le mode basé sur des règles que si vous comptez, en tant
qu'administrateur, configurer les communications réseau.
La dernière étape affiche une fenêtre demandant votre accord pour
l'installation.
2.3
Utilisation des paramètres d'origine
Si vous réinstallez ESET Smart Security, l'option Utiliser les paramètres
actuels s'affiche. Sélectionnez cette option pour transférer les paramètres
de configuration de l'installation d'origine vers la nouvelle installation.
9
3. Guide du débutant
Ce chapitre donne un premier aperçu d'ESET Smart Security et de ses
paramètres de base.
3.1
Le mode Standard donne accès aux fonctionnalités nécessaires aux
opérations ordinaires. Il n'affiche aucune option avancée.
Présentation de l'interface utilisateur : les modes
La fenêtre principale d'ESET Smart Security est divisée en deux
principales sections. La colonne de gauche donne accès au menu
principal convivial. La fenêtre principale du programme, à droite, sert
essentiellement à afficher des informations sur l'option sélectionnée
dans le menu principal.
Voici une description des boutons disponibles dans le menu principal :
État de la protection : fournit, sous une forme conviviale, des
informations concernant l'état de la protection d'ESET Smart Security.
Si le mode avancé est activé, l'état de tous les modules de protection
est affiché. Cliquez sur un module pour voir son état de protection.
Analyse de l'ordinateur : cette option permet de configurer et de
lancer l'Analyse de l'ordinateur à la demande.
Mise à jour : sélectionnez cette option pour accéder au module de
mise à jour qui gère les mises à jour de la base de signatures de virus.
Configuration : sélectionnez cette option pour ajuster le niveau de
sécurité de votre ordinateur. Si le mode Avancé est activé, les sousmenus Protection contre les virus et les logiciels espions, Pare-feu
personnel et Module antispam apparaissent.
Outils : cette option est disponible uniquement en mode Avancé. Elle
permet d'accéder aux fonctions Fichiers journaux, Quarantaine et
Planificateur.
Aide et assistance : sélectionnez cette option pour accéder aux
fichiers d'aide, à la base de connaissances ESET, au site Web d'ESET et
à une demande d'assistance du service client.
L'interface utilisateur d'ESET Smart Security permet également de
basculer entre les modes standard et avancé. Pour basculer entre les
modes, utilisez le lien Affichage situé dans l'angle inférieur gauche de
la fenêtre principale d'ESET Smart Security. Cliquez sur ce bouton pour
sélectionner le mode d'affichage souhaité.
Le passage au mode Avancé ajoute l'option Outils dans le menu
principal. L'option Outils permet d'accéder au Planificateur et à la
Quarantaine et de consulter les fichiers journaux d'ESET Smart
Security.
REMARQUE : Toutes les instructions qui suivent dans ce guide seront
effectuées en mode Avancé.
3.1.1
Contrôle du fonctionnement du système
Pour afficher l'État de la protection, cliquez sur cette option en haut
du menu principal. Un résumé de l'état de fonctionnement d'ESET
Smart Security s'affiche dans la partie droite de la fenêtre, ainsi qu'un
sous-menu avec trois options : Protection contre les virus et les
logiciels espions, Pare-feu personnel et Module antispam.
Sélectionnez une de ces options pour afficher les informations
détaillées sur le module de protection correspondant.
Une marque verte s'affiche en regard de chaque module activé
et fonctionnant correctement. Dans le cas contraire, un point
d'exclamation rouge ou orange et des informations supplémentaires
sur module s'affichent dans la partie supérieure de la fenêtre. Une
suggestion de solution pour corriger le module est également affichée.
Pour changer l'état des différents modules, cliquez sur Configuration
dans le menu principal puis sur le module souhaité.
10
3.1.2
Que faire lorsque le programme ne fonctionne pas
correctement
Si ESET détecte un problème dans l'un des ses modules de protection,
il le signale dans la fenêtre État de la protection. Une solution
potentielle au problème y est également proposée.
La fenêtre Configuration avancée (pour y accéder, appuyez sur F5)
contient d'autres options avancées pour la mises à jour. Serveur de
mise à jour : L'option Serveur de mise à jour doit être configurer sur
Choisir automatiquement. Pour configurer des options avancées de
mise à jour telles que le mode de mise à jour, l'accès au serveur proxy,
l'accès aux mises à jour sur un serveur local et la création de copies de
signatures de virus (ESET Smart Security Business Edition), cliquez sur
le bouton Configuration....
3.3
S'il est impossible de résoudre le problème au moyen de la liste des
problèmes connus et résolus, cliquez sur Aide et assistance pour
accéder aux fichiers d'aide ou effectuer une recherche dans la base
de connaissances. Si vous ne trouvez toujours pas de solution, vous
pouvez envoyer une demande d'assistance au service client ESET. Sur
la base de ce feedback, nos spécialistes peuvent rapidement répondre
à vos questions et vous conseiller efficacement une solution.
3.2
Configuration des mises à jour
Configuration de la zone Fiable
La configuration d'une zone fiable est une étape importante dans
la protection de votre ordinateur dans un environnement de réseau.
Vous pouvez autoriser d'autres utilisateurs à accéder à votre ordinateur
en configurant la zone Fiable de manière à autoriser le partage. Cliquez
sur Configuration > Pare-feu personnel > Modifier le mode de
protection de votre ordinateur sur le réseau... Une fenêtre s'affiche,
vous permettant de configurer les paramètres de votre mode de
protection de l'ordinateur dans le réseau ou la zone actuelle.
La mise à jour de la base de signatures de virus et celle des composants
du programme sont des parties importantes pour assurer une protection
totale contre les attaques des codes malveillants. Il faut donc accorder
une attention particulière à leur configuration et à leur fonctionnement.
Dans le menu principal, sélectionnez Mise à jour, puis cliquez sur
Mettre à jour la base de signatures de virus dans la fenêtre principale
du programme pour vérifier instantanément la disponibilité d'une
mise à jour plus récente de la base de données. Nom d'utilisateur
et mot de passe... affiche une boîte de dialogue permettant d'entrer
le nom d'utilisateur et le mot de passe reçus à l'achat du logiciel.
Si le nom d'utilisateur et le mot de passe ont été entrés lors de l'installation
d'ESET Smart Security, vous ne serez pas invité à les réintroduire à ce stade.
La détection de zones fiables s'effectue après l'installation d'ESET
Smart Security et chaque fois que l'ordinateur est connecté à un
nouveau réseau. Dans la plupart des cas, il n'est donc pas nécessaire
de définir la zone Fiable. Par défaut, une boîte de dialogue s'ouvre à la
détection d'une nouvelle zone afin de permettre d'en définir le niveau
de protection.
11
3.5
Protection des paramètres
Les paramètres ESET Smart Security peuvent être très importants visà-vis de la stratégie de sécurité de votre organisation. Des
modifications non autorisées pourraient mettre en danger la stabilité
et la protection de votre système. Pour protéger par mot de passe les
paramètres de configuration, partez du menu principal et cliquez sur
Configuration > Accéder à la configuration avancée complète... >
Interface utilisateur > Protection des paramètres et cliquez sur le
bouton Entrer le mot de passe....
Entrez un mot de passe, confirmez-le en le tapant de nouveau, puis
cliquez sur OK. Ce mot de passe sera requis pour toute modification
future des paramètres ESET Smart Security.
Avertissement ! Une configuration incorrecte de la zone fiable peut
poser un risque pour la sécurité de votre ordinateur.
REMARQUE : Par défaut, les postes de travail d'une zone Fiable
ont l'autorisation d'accès aux fichiers et imprimantes partagés, la
communication RPC entrante est activée et le partage de bureau
à distance est également disponible.
3.4
Configuration du serveur proxy
Si vous travaillez sur un système avec ESET Smart Security et utilisez
un serveur proxy pour la connexion à Internet, ce dernier doit être
spécifié dans la Configuration avancée (F5). Pour accéder à la fenêtre
de configuration Serveur proxy, cliquez sur Divers > Serveur proxy
dans l'arborescence Configuration avancée. Sélectionnez la case
à cocher Utiliser un serveur proxy et entrez l'adresse IP et le port du
serveur proxy, ainsi que des données d'authentification.
Si ces informations ne sont pas disponibles, vous pouvez tenter une
détection automatique des paramètres de serveur proxy pour ESET
Smart Security en cliquant sur le bouton Détecter le serveur proxy.
REMARQUE : Les options du serveur proxy peuvent varier selon les
profils de mise à jour. Si c'est le cas, configurez le serveur proxy dans la
configuration avancée des mises à jour.
12
4. Utilisation d'ESET Smart Security
4.1
Protection antivirus et antispyware
La protection antivirus vous prémunit des attaques contre le
système en contrôlant les échanges de fichiers et de courrier et
les communications Internet. Si une menace comportant du code
malveillant est détectée, le module Antivirus peut l'éliminer en la
bloquant dans un premier temps, puis en nettoyant, en supprimant
ou en mettant en quarantaine l'objet infecté.
4.1.1
4.1.1.1.3
Protection en temps réel du système de fichiers
La protection en temps réel du système de fichiers contrôle tous les
événements liés à l'antivirus dans le système. Elle analyse tous les
fichiers à la recherche de code malveillant au moment où ces fichiers
sont ouverts, créés ou exécutés sur l'ordinateur. La protection en
temps réel du système de fichiers est lancée au démarrage du
système.
4.1.1.1
L'option Accès disquette contrôle le secteur d'amorçage des
disquettes lors de l'accès au lecteur. L'option Arrêt de l'ordinateur
contrôle les secteurs d'amorçage du disque dur lors de l'arrêt de
l'ordinateur. Bien que les virus d'amorçage soient rares de nos jours,
il est recommandé de laisser ces options activées, car le risque existe
toujours d'une infection par un virus d'amorçage provenant d'autres
sources.
Configuration du contrôle
La protection en temps réel du système de fichiers vérifie touts
les types de supports et le contrôle est déclenché par différents
événements. Le contrôle utilise les méthodes de détection de la
technologie ThreatSense (décrites sous Configuration du moteur
ThreatSense). Le contrôle peut être différent pour les fichiers
nouvellement créés et les fichiers existants. Pour les fichiers
nouvellement créés, il est possible d'appliquer un niveau de
contrôle plus approfondi.
Autres paramètres ThreatSense pour les fichiers
nouveaux
La probabilité d'infection dans les fichiers nouvellement créés est
comparativement supérieure à celle de fichiers existants. C'est
pourquoi le programme vérifie ces fichiers avec des paramètres
d'analyse supplémentaires. Outre les méthodes d'analyse habituelles
basées sur les signatures, il recourt à l'heuristique avancée, qui
améliore sensiblement les taux de détection. En plus des fichiers
nouvellement créés, l'analyse inclut les fichiers auto-extractibles (SFX)
et les runtime packers (des fichiers exécutables compactés en interne).
4.1.1.1.4
Configuration avancée
Pour exercer un impact minimal sur le système lorsque la protection
en temps réel est activée, les fichiers qui ont déjà été analysés ne le
sont plus tant qu'il ne sont pas modifiés. Les fichiers sont immédiatement
réanalysés après chaque mise à jour de la base des signatures de virus.
Ce processus se configure à l'aide de l'option Analyse optimalisée. Si
cette fonction est désactivée, tous les fichiers sont analysés à chaque
fois qu'on y accède.
Par défaut, la protection en temps réel est lancée au démarrage du
système d'exploitation, assurant ainsi une analyse ininterrompue.
Dans des cas particuliers (p. ex. en cas de conflit avec un autre
analyseur en temps réel), il est possible d'arrêter la protection en
temps réel en désactivant l'option Lancement automatique de la
protection en temps réel du système de fichiers.
4.1.1.2
Niveaux de nettoyage
La protection en temps réel offre trois niveaux de nettoyage (pour
y accéder, cliquez sur le bouton Configuration... dans la section
Protection en temps réel du système de fichiers, puis cliquez sur
la branche Nettoyage).
4.1.1.1.1
Supports à analyser
Par défaut, tous les types de supports sont analysés à la recherche de
menaces potentielles.
Disques locaux : contrôle tous les disques durs du système
Supports amovibles : disquettes, périphériques de stockage USB, etc.
Lecteurs réseau : analyse toutes les unités mappées
Nous recommandons de conserver les paramètres par défaut et de ne
les modifier que dans des cas spécifiques, comme lorsque l'analyse de
certains supports ralentit particulièrement les transferts de données.
4.1.1.1.2
▪▪ Le premier niveau affiche une fenêtre d'avertissement qui propose
des options pour chaque infiltration détectée. L'utilisateur doit
choisir une action individuellement pour chaque infiltration. Ce
niveau est conçu pour les utilisateurs expérimentés qui savent que
faire en cas d'infiltration.
▪▪ Le niveau par défaut choisit et exécute automatiquement une
action prédéfinie (selon le type d'infiltration). La détection et la
suppression d'un fichier infecté sont signalées par un message
d'information affiché dans l'angle inférieur droit de l'écran.
Cependant, aucune action automatique n'est exécutée si
l'infiltration se trouve dans une archive qui contient aussi des
fichiers sains ou s'il n'y a pas d'action prédéfinie pour l'objet infecté.
▪▪ Le troisième niveau est le plus « agressif » : tous les fichiers infectés
sont nettoyés. Ce niveau pouvant éventuellement entraîner la
perte de fichiers valides, il n'est recommandé que dans des
situations spécifiques.
Analyser quand (Analyse déclenchée par un
événement)
Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts,
exécutés ou créés. Nous recommandons de conserver les paramètres
par défaut, qui offrent le niveau maximum de protection en temps réel
pour votre ordinateur.
13
Si la protection en temps réel ne se lance pas au démarrage du
système, c'est probablement dû au fait que l'option Lancement
automatique de la protection en temps réel du système de
fichiers‑ est désactivée. Pour activer cette option, ouvrez la
Configuration avancée (F5) et cliquez sur Protection en temps réel
du système de fichiers dans l'arborescence Configuration avancée.
Dans la section Configuration avancée dans le bas de la fenêtre,
assurez-vous que la case à cocher Lancement automatique de la
protection en temps réel du système de fichiers est activée.
4.1.1.3
Quand faut-il modifier la configuration la protection en
temps réel
La protection en temps réel est le composant le plus essentiel de la
sécurisation du système. Il faut donc être très attentif lorsqu'on
modifie les paramètres de ce module. Il est recommandé de ne
changer les paramètres de ce module que dans des cas spécifiques.
Par exemple, lorsqu'il y a conflit avec une autre application ou
l'analyseur en temps réel d'un autre logiciel antivirus.
Après l'installation d'ESET Smart Security, tous les paramètres sont
optimisés pour garantir le niveau maximum de système de sécurité
aux utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur
le bouton Par défaut situé en bas à droite de la fenêtre Protection
en temps réel du système de fichiers (Configuration avancée >
Protection contre les virus et les logiciels espions > Protection en
temps réel du système de fichiers).
4.1.1.4
Vérification de la protection en temps réel
Pour vérifier que la protection en temps réel fonctionne et détecte les
virus, utilisez un fichier de test d'eicar.com. Ce fichier de test est un
fichier spécial inoffensif détectable par tous les programmes antivirus.
Le fichier a été créé par la société EICAR (European Institute for
Computer Antivirus Research) pour tester la fonctionnalité des
programmes antivirus. Le fichier eicar.com est téléchargeable depuis
http://www.eicar.org/download/eicar.com
REMARQUE : Avant d'effectuer une vérification de la protection en
temps réel, il faut désactiver le pare-feu. Si le pare-feu est activé, il
détectera le fichier et empêchera le téléchargement des fichiers de
test.
4.1.1.5
Que faire si la protection en temps réel ne fonctionne pas
Dans le chapitre suivant, nous décrivons des problèmes qui peuvent
survenir lors de l'utilisation de la protection en temps réel et la façon
de les résoudre.
La protection en temps réel est désactivée
Si la protection en temps réel a été désactivée par mégarde par un
utilisateur, elle doit être réactivée. Pour réactiver la protection en
temps réel, choisissez Configuration > Antivirus et antispyware et
cliquez sur Activer dans la section Protection en temps réel du
système de fichiers de la fenêtre principale du programme.
14
Si la protection en temps réel ne détecte et ne nettoie pas les
infiltrations
Assurez-vous qu'aucun autre programme antivirus n'est installé sur
votre ordinateur. Si deux programmes de protection en temps réel
sont activés en même temps, il peut y avoir un conflit entre les deux.
Nous recommandons de désinstaller tout autre antivirus de votre
système.
La protection en temps réel ne démarre pas
Si la protection en temps réel n'est pas lancée au démarrage du
système (et si l'option Lancement automatique de la protection
en temps réel du système de fichiers est activée), le problème peut
provenir de conflits avec d'autres programmes. Dans ce cas, consultez
les spécialistes du service clientèle ESET.
4.1.2
Protection du courrier
La protection du courrier offre le contrôle de la communication
par courrier électronique effectuée via le protocole POP3. Utilisant
l'extension pour Microsoft Outlook, ESET Smart Security assure
le contrôle de toutes les communications impliquant le client de
messagerie (POP3, MAPI, IMAP, HTTP). Lorsqu'il examine les messages
entrants, le programme utilise toutes les méthodes d'analyse avancées
offertes par le moteur d'analyse ThreatSense. Autrement dit, la
détection des programmes malveillants a lieu avant même que
s'effectue la comparaison avec la base des signatures de virus.
L'analyse des communications via le protocole POP3 est indépendante
du client de messagerie utilisé.
4.1.2.1
Contrôle POP3
Le protocole POP3 est le protocole le plus répandu pour la réception de
messages dans un client de messagerie. ESET Smart Security assure la
protection de ce protocole quel que soit le client de messagerie utilisé.
Le module qui assure ce contrôle est automatiquement lancé au
démarrage du système d'exploitation et reste ensuite actif en
mémoire. Pour que le module fonctionne correctement, assurez-vous
qu'il est activé – le contrôle POP3 s'effectue automatiquement sans
qu'il faille reconfigurer le client de messagerie. Par défaut, toute
communication sur le port 110 est soumise à une analyse, mais
d'autres ports de communication peuvent être ajoutés au besoin.
Les numéros de ports doivent être séparés par des virgules.
Les communications cryptées ne sont pas contrôlées.
4.1.2.2
4.1.2.1.1
Compatibilité
Certains programmes de messagerie peuvent avoir des problèmes de
filtrage POP3 (p. ex. si vous recevez des messages sur une connexion
Internet lente, la vérification peut entraîner des dépassements de
délai). Dans ce cas, essayez de modifiez la façon dont le contrôle est
effectué. Une diminution du niveau de contrôle peut améliorer le
processus de nettoyage. Pour modifier le niveau de contrôle du filtrage
POP3, choisissez Protection contre les virus et les logiciels espions >
Protection du courrier > POP3 > Compatibilité.
Intégration à Microsoft Outlook, Outlook Express et
Windows Mail
L'intégration d'ESET Smart Security aux clients de messagerie
augmente le niveau de protection active contre le code malveillant
dans les messages électroniques. Si votre client de messagerie est pris
en charge, cette intégration peut être activée dans ESET Smart
Security. Lorsque l'intégration est activée, la barre d'outils ESET
Smart Security Antispam est insérée directement dans le client
de messagerie, contribuant ainsi à une protection plus efficace du
courrier. Les paramètres d'intégration se trouvent dans Configuration
> Accéder à l'arborescence de configuration avancée complète… >
Divers >Intégration aux clients de messagerie. Cette boîte de
dialogue permet à l'utilisateur d'activer l'intégration aux clients de
messagerie pris en charge. Les clients de messagerie actuellement
pris en charge comprennent Microsoft Outlook, Outlook Express et
Windows Mail.
La protection du courrier s'active en sélectionnant la case
correspondante dans Configuration avancée (F5) > Protection
contre les virus et les logiciels espions > Protection du courrier.
Si vous activez l'option Efficacité maximale, les infiltrations sont
supprimées des messages infectés et des informations concernant
l'infiltration sont insérées au début de l'objet initial du message (les
options Supprimer ou Nettoyer doivent être activées, ou le niveau de
nettoyage Strict ou Par défaut doit être activé)
Une compatibilité moyenne modifie la façon dont les messages
sont reçus. Les messages sont progressivement envoyés au client
de messagerie -- une fois que la dernière partie du message a été
transférée, le message est analysé à la recherche d'infiltrations.
Cependant, avec ce niveau de contrôle, le risque d'infection est accru.
Le niveau de nettoyage et la gestion des « étiquettes » (notes d'alerte
ajoutées à l'objet et au corps des messages) sont identiques à ceux
utilisés avec le paramètre d'efficacité maximale.
Avec la Compatibilité maximale, l'utilisateur est averti par l'affichage
d'une fenêtre qui signale la réception d'un message infecté. Aucune
information concernant les fichiers infectés n'est ajoutée à l'objet ni au
corps des messages et les infiltrations ne sont pas automatiquement
supprimées. Il incombe à l'utilisateur de supprimer les infiltrations
à partir de son client de messagerie.
4.1.2.2.1
Ajout d'une étiquette au corps d'un message
Chaque message contrôlé par ESET Smart Security peut être marqué
par l'ajout d'une mention (une « étiquette ») à l'objet ou au corps du
message. Cette fonction augmente la crédibilité pour le destinataire
et, en cas de détection d'une infiltration, elle fournit des informations
précieuses sur le niveau de menace d'une message/expéditeur donné.
Les options de cette fonction se trouvent sous Configuration avancée
> Protection contre les virus et les logiciels espions > Protection du
courrier. Le programme peut Ajouter une étiquette aux messages
reçus et lus, ainsi qu'Ajouter une étiquette aux messages envoyés.
15
L'utilisateur peut aussi décider si des notes doivent être ajoutées
à tous les messages, aux messages infectés uniquement ou à aucun
message. ESET Smart Security permet aussi d'ajouter des notifications
à l'objet initial des messages infectés. Pour ce faire, sélectionnez les
options Ajouter une note à l'objet des messages infectés reçus et
lus et Ajouter une note à l'objet des messages infectés envoyés.
Le contenu de ces notes peut être modifié dans le champ Modèle et
ajouté à l'objet des messages infectés. Les modifications en question
permettent d'automatiser le filtrage des messages infectés, en
permettant de définir un filtre (si votre client de messagerie le
permet) qui place dans un dossier distinct les messages ayant
un objet spécifique.
4.1.2.3
Suppression d'infiltrations
En cas de réception d'un message infecté, une fenêtre d'alerte
s'affiche. Cette fenêtre indique le nom de l'expéditeur, son message et
le nom de l'infiltration. Dans partie inférieure de la fenêtre, les options
Nettoyer, Supprimer ou Laisser sont disponibles pour l'objet détecté.
Dans la plupart des cas, nous recommandons de sélectionner
Nettoyer ou Supprimer. Dans les situations particulières où vous
souhaitez vraiment recevoir le fichier infecté, sélectionnez Laisser. Si
le niveau Nettoyage strict est activé, une fenêtre d'information sans
options s'affiche.
4.1.3
Protection de l'accès Web
La connexion Internet est une fonctionnalité standard dans un
ordinateur personnel. Malheureusement, elle est devenue le principal
moyen de transfert de codes malveillants. C'est pour cela qu'il est
essentiel de tenir compte attentivement de la protection de l'accès
Web. Nous recommandons vivement d'activer l'option Activer la
protection de l'accès Web. Cette option se trouve dans
Configuration avancée (F5) > Protection contre les virus et les
logiciels espions > Protection de l'accès Web.
4.1.3.1
Adresses bloquées/exclues
La configuration du contrôle HTTP permet de créer des listes utilisateur
d'adresses URL (Uniform Resource Locator) bloquées et exclues.
Ces deux boîtes de dialogue contiennent des boutons Ajouter,
Modifier, Supprimer et Exporter, qui permettent de gérer et mettre
à jour facilement les listes d'adresses spécifiées. Si une adresse demandée
par l'utilisateur figure dans la liste des adresses bloquées, il ne pourra
pas accéder à l'adresse en question. À l'inverse, les adresses figurant
dans la liste d'adresses exclues sont accessibles sans aucun contrôle
de code malveillant. Dans les deux listes, vous pouvez utiliser les
caractères génériques * (astérisque) et ? (point d'interrogation).
L'astérisque remplace n'importe quelle chaîne de caractères, tandis
que le point d'interrogation remplace n'importe quel autre caractère
individuel. Un soin particulier doit être pris dans la spécification des
adresses exclues, car la liste ne devrait contenir que des adresses sûres
et fiables. De même, il faut veiller à employer correctement les
symboles * et ? dans cette liste.
HTTP
La fonction essentielle de la protection de l'accès au Web est de
surveiller les communications entre les navigateurs Internet et les
serveurs distants, selon les règles du protocole HTTP (Hypertext
Transfer Protocol). Par défaut, ESET Smart Security est configuré pour
utiliser les standards HTTP de la plupart des navigateurs Internet.
Cependant, les options de configuration du contrôle HTTP peuvent être
partiellement modifiées dans la section Protection de l'accès Web >
HTTP. Dans la fenêtre Configuration du filtre HTTP, vous pouvez
activer ou désactiver le contrôle HTTP à l'aide de l'option Activer la
vérification HTTP. Vous pouvez aussi définir les numéros de ports
utilisés par le système pour la communication HTTP. Par défaut, les
numéros de ports 80, 8080 et 3128 sont utilisés. Le trafic HTTP sur
n'importe quel port peut être automatiquement détecté et analysé par
l'ajout de numéros de ports supplémentaires, séparés par des virgules.
16
4.1.3.1.1
4.1.3.1.2
Navigateurs Web
ESET Smart Security contient une fonction Navigateurs Web qui
permet de définir si une application donnée est un navigateur ou
non. Si une application est marquée par l'utilisateur comme étant un
navigateur, toutes les communications provenant de cette application
sont contrôlées, quels que soient les numéros de ports impliqués dans
la communication.
La fonction Navigateurs Web complète la fonction de contrôle HTTP,
laquelle ne s'applique qu'à des ports prédéfinis. Or, de nombreux
services Internet utilisent des numéros de ports qui changent de
manière dynamique ou sont inconnus. Pour prendre cela en compte,
la fonction Navigateurs Web permet de contrôler les communications
sur les ports quels que soient les paramètres de connexion.
Nous recommandons d'exécuter une analyse à la demande au moins
une ou deux fois par mois. L'analyse peut être configurée comme tâche
planifiée dans Outils > Planificateur.
4.1.4.1
Type d'analyse
Deux types sont disponibles. L'Analyse standard analyse le système
sans exiger une reconfiguration des paramètres d'analyse. L'Analyse
personnalisée… permet à l'utilisateur de sélectionner un des profils
d'analyse prédéfinis, ainsi que de choisir des objets d'analyse dans
l'arborescence.
La liste des applications désignées comme navigateurs est accessible
directement à partir du sous-menu Navigateurs Web de la branche
HTTP. Cette section contient également le sous-menu Mode actif,
qui définit le mode de contrôle des navigateurs Internet. L'intérêt du
Mode actif est que les données transférées sont examinées dans
leur ensemble. Si l'option n'est pas activée, la communication des
applications est contrôlée progressivement, par lots. La vérification
des données est alors moins efficace, mais la compatibilité avec les
applications répertoriées est meilleure. Si le Mode actif ne pose pas de
problèmes, nous recommandons de l'activer en sélectionnant la case
à cocher en regard de l'application voulue.
4.1.4.1.1
Analyse standard
L'analyse standard est une méthode conviviale qui permet à l'utilisateur
de lancer rapidement une analyse de l'ordinateur et de nettoyer les
fichiers infectés sans intervention de sa part. Les principaux avantages
sont la facilité d'utilisation et l'absence d'une configuration détaillée
de l'analyse. L'analyse standard vérifie tous les fichiers sur les disques
locaux et nettoie ou supprime automatiquement les infiltrations
détectées. Le niveau de nettoyage est automatiquement réglé à sa
valeur par défaut. Pour plus d'informations sur les types de nettoyage,
reportez-vous à la section Nettoyage (voir page 18).
Le profil d'analyse standard est conçu pour les utilisateurs qui
souhaitent analyser rapidement et facilement leurs ordinateurs. Il
offre une solution d'analyse et de nettoyage efficace sans exiger une
configuration détaillée.
4.1.4.1.2
Analyse personnalisée
L'analyse personnalisée est une solution optimale si vous souhaitez
spécifier des paramètres d'analyse tels que les cibles et les méthodes
d'analyse. L'avantage de l'analyse personnalisée est la possibilité de
configurer les paramètres de manière détaillée. Les configurations
définies peuvent être enregistrées dans des profils d'analyse utilisateur,
utiles pour effectuer régulièrement une analyse avec les mêmes
paramètres.
4.1.4
Analyse de l'ordinateur
Si vous pensez que votre ordinateur peut être infecté (en raison d'un
comportement anormal), exécutez une analyse à la demande pour
rechercher d'éventuelles infiltrations. Pour votre sécurité, il est
essentiel que l'ordinateur soit analysé non seulement en cas de
suspicion d'une infection, mais aussi régulièrement dans le cadre
de mesures de sécurité routinières. Une analyse régulière assure la
détection d'infiltrations non détectées par l'analyseur en temps réel
lors de leur enregistrement sur le disque. Cela peut se produire si
l'analyseur en temps réel est désactivé au moment de l'infection ou
si la base de signatures de virus est obsolète.
Pour sélectionner les cibles à analyser, utilisez le menu déroulant de la
fonction de ciblage rapide ou sélectionnez des cibles dans l'arborescence
des périphériques de l'ordinateur. Vous pouvez aussi choisir parmi trois
niveaux de nettoyage en cliquant sur Configuration... > Nettoyage.
Si vous souhaitez uniquement une analyse du système, sans autre
action, sélectionnez l'option Analyse sans nettoyage.
L'exécution d'analyses en mode Personnalisé s'adresse à des utilisateurs
expérimentés ayant déjà utilisé des programmes antivirus.
17
4.1.4.2
Cibles à analyser
Le menu déroulant Cibles à analyser permet de sélectionner les
fichiers, dossiers et périphériques (disques) à soumettre à l'analyse
antivirus.
Les paramètres d'analyse rapide permettent de sélectionner les cibles
suivantes :
Disques locaux : contrôle tous les disques durs du système
Supports amovibles : disquettes, périphériques de stockage USB,
CD/DVD
Lecteurs réseau : analyse toutes les unités mappées
4.1.5
Configuration du moteur ThreatSense
ThreatSense est une technologie qui comprend des méthodes de
détection de menaces complexes. C'est une technologie proactive :
elle fournit également une protection durant les premières heures de
propagation d'une nouvelle menace. Elle utilise une combinaison de
plusieurs méthodes (analyse de code, émulation de code, signatures
génériques, signatures de virus) qui se conjuguent pour améliorer
sensiblement la sécurité du système. Ce moteur d'analyse est capable
de contrôler plusieurs flux de données simultanément, maximisant
ainsi l'efficacité et le taux de détection. Cette technologie élimine avec
succès les rootkits.
Les options de configuration de la technologie ThreatSense
permettent de spécifier plusieurs paramètres d'analyse :
▪▪ les types de fichiers et les extensions à analyser
▪▪ la combinaison de plusieurs méthodes de détection
▪▪ les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configurer… situé
dans n'importe quelle fenêtre de configuration de module qui utilise la
technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité
exige une configuration différente. Sachant cela, ThreatSense est
configurable individuellement pour les modules de protection
suivants :
▪▪ Protection en temps réel du système de fichiers
▪▪ Contrôle des fichiers de démarrage du système
Une cible d'analyse peut aussi être spécifiée plus précisément en
entrant le chemin du dossier ou des fichiers à inclure dans l'analyse.
Sélectionnez les cibles dans l'arborescence des périphériques de
l'ordinateur.
4.1.4.3
Profils d'analyse
Vos paramètres d'analyse préférés peuvent être enregistrés dans des
profils. L'avantage des profils d'analyse est qu'ils peuvent être
régulièrement réutilisés pour des analyses futures. Nous
recommandons de créer autant de profils (avec différentes cibles,
méthodes et autres paramètres d'analyse) que vous en utilisez
régulièrement.
Pour créer un profil utilisable pour des analyses futures, choisissez
Configuration avancée (F5) > Analyse‑ d'ordinateur à la demande.
Cliquez sur le bouton Profils... à droite de l'écran pour afficher la liste
des profils d'analyse existants et l'option permettant d'en créer un
nouveau. La rubrique Configuration du moteur ThreatSense
ci-dessous décrit chacun des paramètres d'analyses configurables.
Elle vous aidera à créer un profil d'analyse adapté à vos besoins.
Exemple :
imaginez que vous vouliez créer votre propre profil d'analyse et que la
configuration associée au profil Smart scan vous convienne en partie.
Vous ne souhaitez toutefois pas analyser les runtime packers ni les
applications potentiellement risquées et voulez appliquer un Nettoyage
strict. Dans la fenêtre Profils de configuration, cliquez sur le bouton
Ajouter.... Entrez le nom du nouveau profil dans le champ Nom du
profil et sélectionnez Smart scan dans le menu déroulant Copier les
paramètres depuis le profil :. Adaptez ensuite les autres paramètres
à vos besoins.
18
▪▪ Protection du courrier
▪▪ Protection de l'accès Web
▪▪ Analyse d'ordinateur à la demande
Les paramètres ThreatSense sont très optimisés pour chaque module
et leur modification peut affecter significativement le fonctionnement
du système. Par exemple, en modifiant les paramètres pour toujours
analyser compacteurs exécutables, ou pour autoriser l'heuristique
avancée dans la protection en temps réel du système de fichiers, vous
pouvez dégrader les performances du système (normalement, seuls
les fichiers nouvellement créés sont analysés par ces méthodes). Il est
donc recommandé de laisser les paramètres par défaut de ThreatSense
inchangés pour tous les modules à l'exception du module Analyse de
l'ordinateur.
4.1.5.1
Configuration des objets
La section Objets permet de définir les composants de l'ordinateur et
fichiers à analyser.
Logiciels espions/publicitaires/à risque : cette catégorie couvre les
logiciels qui collectent diverses informations confidentielles sur les
utilisateurs sans leur consentement informé. Cette catégorie inclut
également les logiciels qui affichent des publicités.
Applications potentiellement risquées : cette option couvre les
logiciels commerciaux légitimes. Elle inclut des programmes tels que
les outils d'accès à distance, raison pour laquelle cette option est
activée par défaut.
Applications potentiellement indésirables : les applications
potentiellement indésirables ne sont pas nécessairement malveillantes,
mais peuvent affecter négativement les performances de votre
ordinateur. Ces applications sont habituellement installées après
consentement. Si elles sont présentes sur votre ordinateur, votre
système se comporte différemment (par rapport à son état avant
l'installation). Les changements les plus significatifs concernent les
fenêtres contextuelles, l'activation et l'exécution de processus cachés,
l'utilisation accrue des ressources système, des changements dans les
résultats de recherche et la communication avec des serveurs
distants.
Mémoire de travail : détecte les menaces qui portent sur la mémoire
de travail du système.
Secteurs d'amorçage : analyse les secteurs d'amorçage à la recherche
de virus dans l'enregistrement d'amorçage principal
Fichiers : analyse tous les types de fichiers courants (programmes,
images, musiques, vidéos, bases de données, etc.)
Fichiers de messages : analyse les fichiers spéciaux contenant les
messages électroniques
Archives : analyse les fichiers compactés dans des archives
(.rar, .zip, .arj, .tar, etc.)
Archives auto-extractibles : analyse les fichiers contenus dans des
fichiers d'archive auto-extractibles, généralement présentés avec une
extension .exe
4.1.5.3
Runtime packers : les runtime packers (à l'inverse des types d'archives
standard) se décompactent en mémoire, comme les packers statiques
standard (UPX, yoda, ASPack, FGS, etc.).
Les paramètres de nettoyage déterminent le comportement de
l'analyseur lors du nettoyage des fichiers infectés. Trois niveaux de
nettoyage sont possibles :
4.1.5.2
Nettoyage
Options
La section Options permet de sélectionner les méthodes à utiliser lors
de la recherche d'infiltrations sur le système. Les options suivantes
sont disponibles :
Signatures : l'option Signatures permet de détecter et identifier de
manière précise et fiable toute infiltration par son nom grâce aux
signatures de virus.
Heuristique : l'heuristique est un algorithme qui analyse l'activité
(malveillante) des programmes. Le principal avantage de la détection
heuristique est la possibilité de détecter de nouveaux logiciels
malveillants qui n'existaient pas précédemment ou ne figuraient pas
dans la liste des virus connus (base des signatures de virus).
Heuristique avancée : l'option Heuristique avancée désigne un
algorithme heuristique unique développé par ESET et optimisé pour la
détection de vers informatiques et de chevaux de Troie écrits dans des
langages de programmation de haut niveau. L'heuristique avancée
augmente sensiblement l'intelligence de détection du programme.
19
Ne pas nettoyer
Les fichiers infectés ne sont pas nettoyés automatiquement. Le
programme affiche alors une fenêtre d'avertissement et laisse
l'utilisateur choisir une action.
Niveau par défaut
Le programme tente de nettoyer ou supprimer automatiquement tout
fichier infecté. S'il n'est pas possible de sélectionner automatiquement
l'action correcte, le programme propose une sélection d'actions de
suivi. Cette sélection s'affiche également si une action prédéfinie ne
peut être menée à bien.
Nettoyage strict
Le programme nettoie ou supprime tous les fichiers infectés (y compris
les archives). Les seules exceptions sont les fichiers système. S'il n'est
pas possible de les nettoyer, une fenêtre d'avertissement s'affiche avec
une proposition d'action utilisateur.
Avertissement :
dans le mode Défaut, le fichier d'archive n'est entièrement supprimé
que si tous les fichiers qu'il contient sont infectés. S'il contient aussi
des fichiers légitimes, il n'est pas supprimé. Si un fichier d'archive
infecté est détecté dans le mode Nettoyage strict, le fichier entier
est supprimé, même s'il contient aussi des fichiers intacts.
4.1.5.4
Extensions
L'extension est la partie du nom de fichier située après le point. Elle
définit le type et le contenu du fichier. Cette section de la configuration
des paramètres ThreatSense vous permet de définir les types de
fichiers à analyser.
Par défaut, tous les fichiers sont analysés quelle que soit leur extension.
N'importe quelle extension peut être ajoutée à la liste des fichiers
exclus de l'analyse. Si l'option Analyser tous les fichiers est désactivée,
la liste change et affiche toutes les extensions de fichiers actuellement
analysées. Les boutons Ajouter et Supprimer permettent d'activer ou
d'empêcher l'analyse des fichiers portant certaines extensions.
Pour activer l'analyse de fichiers sans extension, activez Analyser les
fichiers sans extension.
L'exclusion de fichiers de l'analyse peut être utile lorsque certains types
de fichiers provoquent un fonctionnement incorrect du programme
utilisant ces extensions. Par exemple, il peut être judicieux d'exclure les
extensions .edb, .eml et .tmp si vous utilisez le serveur MS Exchange.
4.1.6
Une infiltration est détectée
Des infiltrations peuvent atteindre le système à partir de différents
points d'entrée : pages Web, dossiers partagés, courrier électronique
ou périphériques amovibles (USB, disques externes, CD, DVD,
disquettes, etc.).
20
Si votre ordinateur montre des signes d'infection par un logiciel
malveillant (ralentissement, blocages fréquents, etc.), nous
recommandons d'effectuer les opérations suivantes :
▪▪ Ouvrez ESET Smart Security et cliquez sur Analyse de l'ordinateur
▪▪ Cliquez sur Analyse standard
(pour plus d'informations, reportez-vous à la section Analyse
standard).
▪▪ Lorsque l'analyse est terminée, consultez le journal pour connaître
le nombre de fichiers analysés, infectés et nettoyés.
Si vous ne souhaitez analyser qu'une certaine partie de votre disque,
cliquez sur Analyse personnalisée et sélectionnez des cibles
à analyser.
Pour donner un exemple général de la façon dont les infiltrations sont
traitées dans ESET Smart Security, supposons qu'une infiltration soit
détectée par la protection en temps réel du système de fichiers, qui
utilise le niveau de nettoyage par défaut. Le programme tente de
nettoyer ou de supprimer le fichier. Si aucune action n'est prédéfinie
pour le module de protection en temps réel, vous êtes invité
à sélectionner une option dans une fenêtre d'avertissement.
Généralement, les options Nettoyer, Supprimer et Laisser sont
disponibles. Il n'est pas recommandé de sélectionner Laisser, car
les fichiers infectés seraient conservés tels quels. La seule exception
concerne les situations où vous êtes sûr que le fichier est inoffensif
et a été détecté par erreur.
Nettoyage et suppression
Utilisez le nettoyage si un fichier sain a été attaqué par un virus qui
y a joint du code malveillant. Dans ce cas, tentez d'abord de nettoyer
le fichier infecté pour le restaurer dans son état d'origine. Si le fichier
se compose uniquement de code malveillant, il sera supprimé.
Si un fichier infecté est « verrouillé » ou utilisé par un processus
du système, il n'est généralement supprimé qu'après avoir été
déverrouillé (généralement, après un redémarrage du système).
Suppression de fichiers dans des archives
En mode de nettoyage Défaut, l'archive entière n'est supprimée que si
elle ne contient que des fichiers infectés et pas de fichiers sains. Autrement
dit, les archives ne sont pas supprimées si elles contiennent aussi des
fichiers sains. Cependant, soyez prudent si vous choisissez un
nettoyage strict : en mode de Nettoyage strict, l'archive sera
supprimée si elle contient au moins un fichier infecté, quel que
soit l'état des autres fichiers qu'elle contient.
4.2 Pare-feu personnel
Le pare-feu personnel contrôle tout le trafic réseau entrant et sortant
du système. Cela est accompli en autorisant ou en refusant les
différentes connexions réseau en se basant sur les règles de filtrage
spécifiées. Il fournit une protection contre les attaques en provenance
d'ordinateurs distants et permet de bloquer certains services. Il fournit
également une protection antivirus pour les protocoles HTTP et POP3.
Cette fonctionnalité représente un élément important de la sécurité
d'un ordinateur.
4.2.1
Modes de filtrage
Le pare-feu personnel d'ESET Smart Security comprend trois modes
de filtrage. Le comportement du pare-feu change selon le mode
sélectionné. Les modes de filtrage affectent le niveau d'interaction
requis de l'utilisateur.
Le filtrage peut être réalisé dans l'un des trois modes suivants :
▪▪ Le mode de filtrage automatique est le mode par défaut. Il
convient aux utilisateurs qui préfèrent un usage pratique du parefeu sans nécessité de définir des règles. Le mode automatique
autorise tout trafic sortant du système donné et bloque toutes
les nouvelles connexions en provenance du côté distant.
▪▪ Le mode de filtrage interactif permet une configuration sur
mesure du Pare-feu personnel. Lorsqu'une communication est
détectée et qu'aucune règle associée à cette communication
n'existe, une boîte de dialogue s'affiche pour signaler une connexion
inconnue. Cette boîte de dialogue permet à l'utilisateur d'autoriser
ou de refuser cette communication. Cette décision d'autoriser ou
de refuser peut être mémorisée comme une nouvelle règle au
Pare-feu personnel. Si l'utilisateur choisit d'en faire une règle,
toutes les connexions futures de ce type seront autorisées ou
refusées selon cette règle.
▪▪ Le mode de filtrage Basé sur des règles bloque toutes les
connexions qui n'ont pas de règles qui les autorisent. Ce mode
permet aux utilisateurs expérimentés de définir des règles qui
n'autorisent que des connexions souhaitées et sures. Toute autre
connexion non spécifiée sera bloquée par le Pare-feu personnel.
4.2.2
Bloquer tout le trafic : déconnecte le réseau
La seule option pour bloquer tout le trafic réseau est Bloquer tout
le trafic réseau : déconnecter le réseau. Toute communication
entrante et sortante est bloquée par le Pare-feu personnel sans aucun
message d'avertissement. N'utiliser cette option qu'en cas de soupçon
de risques critiques de sécurité qui nécessitent la déconnexion du
système du réseau.
4.2.3
Désactiver le filtrage : autoriser tout le trafic
L'option Désactiver le filtrage est la configuration opposée de l'option
bloquer toutes les communications, citée ci-dessus. Si cette option
est activée, toutes les options de filtrage du Pare-feu personnel sont
désactivées et toutes les connexions entrantes et sortantes sont
autorisées. Pour tout ce qui concerne le réseau, c'est comme si le
pare-feu personnel n'existe pas.
4.2.4
Configuration et utilisation des règles
Les règles représentent un ensemble de conditions utilisées pour
tester de façon significative toutes les connexions réseau ainsi que
toutes les actions affectées à ces conditions. Dans le Pare-feu
personnel, on décide de l'action à prendre si une connexion définie
par une règle est établie.
Pour accéder à la configuration des règles de filtrage, allez à Configuration
avancée (F5) > Pare-feu personnel. Pour afficher la configuration
actuelle, cliquez sur Configuration... dans la section Éditeur de
zones et de règles (si le Pare-feu personnel est configuré en mode
de filtrage automatique, ces paramètres ne sont pas disponibles).
Un aperçu des règles ou des zones est affiché dans la fenêtre
Configuration des zones et des règles (en fonction de l'onglet actuel
sélectionné). La fenêtre est divisée en deux sections. La section
supérieure donne un aperçu résumé de chaque règle. La section
inférieure affiche les détails de la règle sélectionnée dans la section
supérieure. Tout en bas figurent les boutons Nouveau, Modifier et
Supprimer, qui permettent à l'utilisateur de configurer les règles.
21
En tenant compte du sens de la communication, les connexions
peuvent être divisées en connexions entrantes et sortantes. Les
connexions entrantes sont initiées par un ordinateur distant qui
tente d'établir une connexion avec le système local. Les connexions
sortantes fonctionnent dans le sens opposé - le côté local contacte
l'ordinateur distant.
Si une nouvelle communication inconnue est détectée, il faut décider
prudemment s'il faut l'autoriser ou la rejeter. Les connexions non
sollicitées, non sures ou totalement inconnues posent un risque de
sécurité au système. Si une telle connexion est établie, il est recommandé
de faire très attention au côté distant et aux applications qui tentent de
se connecter à votre ordinateur. Beaucoup d'infiltrations essaient
d'obtenir et d'envoyer des données personnelles ou de télécharger
d'autres applications malveillantes aux postes de travail hôtes. Le
Pare-feu personnel permet à l'utilisateur de détecter et mettre fin
à de telles connexions.
4.2.4.1
Création de nouvelles règles
Une nouvelle règle doit être créée à chaque installation de nouvelle
application accessible au réseau, ou en cas de modification de
connexion existante (côté distant, numéro de port, etc.).
Un bon exemple d'ajout de nouvelle règle est d'autoriser le navigateur
Internet à accéder au réseau. Dans ce cas, les informations suivantes
doivent êtres fournies :
▪▪ Dans l'onglet Général, activez les communications sortantes via
le protocole TCP & UDP
▪▪ Dans l'onglet Local, ajoutez le processus représentant le
navigateur (pour Internet Explorer, iexplore.exe).
▪▪ Dans l'onglet Distant, activez le port numéro 80 pour n'autoriser
que le service World Wide Web
4.2.4.2
Pour ajouter une nouvelle règle, vérifiez que l'onglet Règles est
sélectionné. Cliquez sur le bouton Nouveau dans la fenêtre Configuration
des zones et des règles. Une nouvelle boîte de dialogue s'ouvre pour
permettre d'entrer les caractéristiques de la nouvelle règle. La partie
supérieure de la fenêtre contient trois onglets :
▪▪ Général : spécifie le nom de la règle, le sens, l'action et le protocole.
Le sens peut être entrant ou sortant (ou les deux). L'action consiste
à autoriser ou refuser la connexion en question.
▪▪ Local : affiche des informations sur le côté local de la connexion,
donc le numéro du port local ou l'intervalle des ports ainsi que le
nom de l'application communicante.
▪▪ Distant : cet onglet comprend des informations concernant le port
distant (intervalle de ports). Il permet également à l'utilisateur de
définir une liste des adresses IP ou zones distantes pour la règle en
question.
Modification des règles
Pour modifier une règle existante, cliquez sur le bouton Modifier. Tous
les paramètres ci-dessus cités (qui sont aussi décrits dans le chapitre
« Création de nouvelles règles ») peuvent être modifiés.
Une modification s'impose chaque fois qu'un paramètre de contrôle
change. Dans le cas contraire, la règle ne remplira pas les conditions
et ses actions prédéfinies ne peuvent pas être appliquées. Enfin, la
connexion donnée risque d'être refusée et cela peut engendrer des
problèmes de fonctionnement de l'application en question. Un
exemple est le changement d'adresse ou le numéro de port du côté
distant.
4.2.5
Configuration des zones
Une zone représente un groupe d'adresses réseau formant un groupe
logique. Chaque adresse d'un groupe donné se voit attribuer les
mêmes règles définies au niveau global du groupe. La zone Fiable est
un exemple de groupe. La zone Fiable représente un groupe d'adresses
réseau qui sont totalement fiables pour l'utilisateur et qui ne sont
d'aucune manière bloquées par le Pare-feu personnel.
Ces zones peuvent être configurées au moyen de l'onglet Zones de la
fenêtre Configuration des zones et des règles, en cliquant sur le
bouton Nouveau. Entrez le nom de la zone, sa description et la liste
d'adresses réseau dans la nouvelle fenêtre qui s'est ouverte.
22
4.2.6
Etablissement d'une connexion – détection
Le Pare-feu personnel détecte toute nouvelle connexion au réseau.
Le mode pare-feu actif (Automatique, Interactif, Basé sur des règles)
détermine les actions à exécuter pour la nouvelle règle. Le Pare-feu
personnel exécutera les actions prédéfinies sans intervention utilisateur
lorsque le mode Automatique ou Basé sur des règles est actif. Le mode
interactif affiche une fenêtre d'information qui signale la détection
d'une nouvelle connexion réseau, complétée d'informations détaillées
sur la connexion. L'utilisateur peut choisir d'autoriser la connexion ou
la refuser (bloquer). Si vous autorisez toujours la même connexion
dans la boîte de dialogue, il est recommandé de créer une nouvelle
règle pour la connexion. Pour ce faire, sélectionnez l'option Mémoriser
l'action (créer une règle) et sauvegardez l'action comme une nouvelle
règle pour le Pare-feu personnel. Si le pare-feu personnel reconnaît la
même connexion plus tard, il appliquera la règle existante.
Pour proliférer, les infiltrations aux ordinateurs utilisent souvent des
connexions masquées et Internet pour infecter les systèmes distants.
Si les règles sont correctement configurées, le Pare-feu personnel
devient un important outil de protection contre diverses attaques des
codes malveillants.
4.2.7
La consignation
Le pare-feu personnel intégré dans ESET Smart Security enregistre
tous les événements importants dans un journal, accessible directement
à partir du menu du programme. Cliquez sur Outils > Fichiers
journaux, puis sélectionnez Journal du pare-feu personnel ESET
dans le menu déroulant Journal.
Les fichiers journaux doivent faire l'objet d'une attention particulière
car ils sont un outil inestimable pour la détection des erreurs et la
révélation des intrusions au système. Le journal du Pare-feu personnel
d'ESET contient les données suivantes :
▪▪ la date et l'heure de l'événement
▪▪ le nom de l'événement
Il faut être très attentif lors de la création de nouvelles règles et
n'autoriser que les connexions sûres. Si toutes les connexions sont
autorisées, le Pare-feu personnel n'a aucune raison d'exister. Voici les
paramètres importants pour les connexions :
▪▪ Côté distant : n'autorisez que les connexions aux adresses fiables
et connues
▪▪ Application locale : il n'est pas conseillé d'établir des connexions
à des applications et processus inconnus
▪▪ Numéro de port : les communications via les ports communs
sont généralement sûres (par ex. le port web numéro 80)
▪▪ l'adresse réseau source et cible
▪▪ le protocole de communication réseau
▪▪ la règle appliquée, ou le nom du ver s'il est identifié
▪▪ l'application concernée
Une analyse approfondie de ces données peut contribuer à détecter
les tentatives qui risquent de compromettre la sécurité du système.
Beaucoup d'autres facteurs peuvent informer l'utilisateur sur les
risques potentiels de sécurité et l'aident à minimiser leur effet : trop de
connexions en provenance de sites inconnus, plusieurs tentatives
d'établissement de connexions, des communications issues
d'applications inconnues oul'utilisation de numéros de ports
inhabituels.
4.3
Protection antispam
De nos jours, le courrier non sollicité, ou spam, constitue l'un des plus
grands problèmes liés à la communication électronique. Il représente
jusqu'à 80 % de toutes les communications par messagerie
électronique. La protection antispam sert à vous prémunir de ce
problème. En combinant plusieurs principes très efficaces, le module
antispam garantit un meilleur filtrage.
23
4.3.1.2
Marquage de messages comme spam
Tout message affiché dans votre client de messagerie peut être marqué
comme du spam. Pour ce faire, utilisez le menu contextuel (clic droit) et
cliquez sur ESET Smart Security > Reclassifier les messages
sélectionnés comme spam) ou cliquez sur Spam dans la barre d'outils
ESET Smart Security Antispam située dans votre client de messagerie.
Un principe important dans la détection de spam est la possibilité
de reconnaître le courrier non sollicité d'après des listes prédéfinies
d'adresses fiables (liste blanche) et de spam (liste noire). Toutes les
adresses de votre client de messagerie sont automatiquement
ajoutées à la liste blanche, ainsi que toutes les autres adresses
que vous désignez comme sûres.
La principale méthode utilisée pour détecter du spam est l'analyse
des propriétés des messages. Les messages reçus sont analysés selon
des critères antispam de base (définitions de messages, heuristique
statistique, algorithmes de reconnaissance et d'autres méthodes
uniques) et l'indice qui en résulte détermine si un message est du
spam ou non.
Le filtre bayésien est également utilisé dans le filtrage du spam. En
marquant les messages comme étant du spam ou non-spam, l'utilisateur
crée une base de données de mots utilisés dans ces catégories respectives.
Plus la base de données est étoffée, plus les résultats sont précis.
Une combinaison des méthodes ci-dessus permet d'obtenir un taux
élevé de détections Antispam.
ESET Smart Security prend en charge la protection antispam pour
Microsoft Outlook, Outlook Express et Windows Mail.
4.3.1
Auto-apprentissage d'AntiSpam
L'auto-apprentissage d'antispam est lié au filtre bayésien évoqué plus
haut. L'importance des différents mots varie au cours de processus
d'apprentissage consistant à marquer des messages individuels
comme du spam ou non-spam. De même, plus nombreux sont les
messages classifiés (comme spam ou non-spam), plus précis sont les
résultats obtenus avec le filtre bayésien.
Ajoutez des adresses connues à la liste blanche pour éviter que les
messages provenant de ces adresses soient classifiés comme spam.
4.3.1.1
Ajout d'adresses à la liste blanche
Les adresses électroniques des personnes avec lesquelles vous
échangez fréquemment du courrier peuvent être ajoutées à la liste
des adresses « sûres » (Liste blanche). Aucun message provenant d'une
adresse de la liste blanche n'est jamais classifié comme du spam. Pour
ajouter une adresse à la liste blanche, cliquez avec le bouton droit sur
le message et sélectionnez « Ajouter à la liste blanche » dans l'option
du menu contextuel « ESET Smart Security » ou sélectionnez « Adresse
fiable » dans la barre d'outils ESS dans le haut de votre programme de
messagerie. Ce processus s'applique de la même façon aux adresses de
spam. Si une adresse figure dans la liste noire, tous les messages
provenant de cette adresse sont classifiés comme du spam.
24
Les messages reclassifiés sont automatiquement déplacés vers le
dossier SPAM, mais l'adresse de l'expéditeur n'est pas ajoutée à la liste
noire. De même, les messages peuvent être marqués comme « nonspam ». Si des messages du dossier Junk E‑mail sont classés comme
non-spam, ils sont déplacés vers leur dossier d'origine. Lorsqu'un message
est marqué comme spam, l'adresse de l'expéditeur n'est pas
automatiquement ajoutée à la liste blanche.
4.4 Mise à jour du programme
La mise à jour régulière du système est le fondement de base pour
garantir le niveau de sécurité maximum fourni par ESET Smart
Security. Le module de mise à jour assure que le programme est
toujours à jour. Ceci se fait de deux manières : en mettant à jour la
base de signatures de virus et en mettant à jour toutes les
composantes installées du système.
Les informations concernant l'état de la mise à jour actuelle s'obtiennent
en cliquant sur Mise à jour, y compris la version actuelle de la base de
signatures de virus et la nécessité ou non d'une mise à jour. En outre,
l'option permettant d'activer le processus de mise à jour immédiate
devient disponible (Mettre à jour la base de signatures de virus),
ainsi que des options de base pour la configuration des mises à jour
telles que le nom d'utilisateur et mot de passe pour l'accès aux serveurs
de mise à jour d'ESET.
La fenêtre d'information contient également la date et l'heure de la
dernière mise à jour réussie, et le numéro de la base des signatures
de virus. Cette indication numérique est un lien actif vers le site Web
d'ESET, qui permet de voir toutes les signatures ajoutées dans cette
mise à jour.
4.4.1.1
Profils de mise à jour
L'utilisateur peut créer des profils de mise à jour qu'il utilise avec les
tâches de mise à jour en fonction de la configuration de mise à jour.
Les propriétés des connexions Internet étant variables, la création de
différents profils de mise à jour devient particulièrement utile pour les
utilisateurs mobiles. En modifiant la tâche de mise à jour, les utilisateurs
mobiles peuvent spécifier un profil alternatif lorsque la mise à jour
n'est pas possible à l'aide de la configuration spécifiée dans Mon Profil.
Le menu déroulant Profil sélectionné affiche le profil actuellement
sélectionné. Par défaut, cette entrée est configurée sur l'option Mon
profil. Pour créer un nouveau profil, cliquez sur le bouton Profils puis
sur le bouton Ajouter et entrez votre Nom de profil. Lors de création
d'un nouveau profil, il est possible de copier les paramètres d'un profil
existant en le sélectionnant dans le menu déroulant Copier les
paramètres depuis le profil :.
REMARQUE : Le nom d'utilisateur et le mot de passe sont fournis par
ESET après l'achat d'ESET Smart Security.
4.4.1
Configuration des mises à jour
La section de la configuration des mises à jour permet de spécifier les
informations concernant les sources des mises à jour, telles que les
serveurs de mise à jour et les données d'authentification donnant
accès à ces serveurs. Par défaut, le champ Serveur de mise à jour est
configuré sur Choisir automatiquement. Ce paramètre garantit que
les fichiers de mise à jour seront téléchargés à partir du serveur ESET
avec une charge de trafic minimale pour le réseau. Les options de
configuration des mises à jour sont disponibles dans Options de
configuration avancées (F5), sous Mise à jour.
Dans le profil, vous pouvez spécifier le serveur de mises à jour auquel
le programme se connectera pour télécharger les mises à jour ; tout
serveur de la liste des serveurs disponibles peut être utilisé, et un
nouveau peut être ajouté. La liste des serveurs de mise à jour existants
est accessible via le menu déroulant Serveur de mise à jour. Pour
ajouter un nouveau serveur de mise à jour, cliquez sur Modifier… dans
la section Mettre à jour les paramètres du profil sélectionné, puis
cliquez sur le bouton Ajouter.
4.4.1.2
Configuration avancée des mises à jour
Pour voir la section Configuration avancée des mises à jour, cliquez
sur le bouton Configuration.... Les options de Configuration avancée
des mises à jour comprennent la configuration du Mode de mise à jour,
Proxy HTTP, Réseau local et Miroir.
4.4.1.2.1
Mode de mise à jour
L'onglet Mode de mise à jour contient les options concernant la mise
à jour des composants du programme.
Dans la section Mise à jour des composants du programme, trois
options sont disponibles :
La liste des serveurs de mise à jour actuellement existants est
accessible via le menu déroulant Serveur de mise à jour. Pour ajouter
un nouveau serveur de mise à jour, cliquez sur Modifier dans la section
Mettre à jour les paramètres du profil sélectionné, puis cliquez sur
le bouton Ajouter.
L'authentification d'accès aux serveurs de mise à jour se fait par le
Nom d'utilisateur et le Mot de passe qui ont été générés et envoyés
à l'utilisateur par ESET après l'achat de licence du produit.
▪▪ Ne jamais mettre à jour les composants du programme
▪▪ Toujours mettre à jour les composants du programme
▪▪ Demander avant de télécharger les composants du
programme
La sélection de l'option Ne jamais mettre à jour les composants du
programme garantit qu'après la publication par ESET d'une nouvelle
mise à jour d'un composant du programme, ce dernier ne sera pas
téléchargé et aucune mise à jour n'aura lieu sur le poste de travail
en question. L'option Toujours mettre à jour les composants du
programme signifie que les mises à jour des composants du programme
seront effectuées chaque fois qu'une nouvelle version est disponible
dans les serveurs de mise à jour d'ESET et que les composants du
programme seront au même niveau que la version téléchargée.
25
Sélectionnez la troisième option, Demander avant de télécharger
des composants de programme pour vous assurer que le programme
demandera à l'utilisateur une confirmation avant de télécharger les
mises à jour des composants du programme. Dans ce cas apparaît une
boîte de dialogue contenant des informations concernant les mises
à jour disponibles des composants du programme et une option pour
les accepter ou les refuser. En cas de confirmation, les mises à jour
seront téléchargées et les nouveaux composants du programme
seront installés.
L'option Utiliser les paramètres globaux de serveur proxy utilise
toutes les options de configuration du serveur proxy déjà spécifiées
dans la branche Divers > Serveur proxy de l'arborescence de la
configuration avancée.
L'option par défaut de mise à jour des composants du programme est
Demander avant de télécharger les composants du programme.
Sélectionnez l'option Ne pas utiliser de serveur proxy pour définir
explicitement qu'aucun serveur proxy ne sera utilisé pour la mise
à jour d'ESET Smart Security.
Après l'installation de mises à jour de composants du programme, il
faut redémarrer le système afin d'obtenir la pleine fonctionnalité de
tous les modules. La section Redémarrer après une mise à jour des
composants du programme permet à l'utilisateur de choisir l'une des
trois options suivantes :
▪▪ Ne jamais redémarrer l'ordinateur
L'option Connexion via un serveur proxy doit être choisie si la mise
à jour d'ESET Smart Security utilise un serveur proxy et que celui-ci
diffère du serveur proxy spécifié dans les paramètres globaux (Divers >
Serveur proxy). Si c'est le cas, les paramètres doivent être spécifiés
ici : l'adresse du Serveur proxy, le Port de communication et, si
nécessaire, le Nom d'utilisateur et le Mot de passe du serveur proxy.
Cette option doit également être sélectionnée si les paramètres du
serveur proxy ne sont pas définis globalement, mais qu'ESET Smart
Security doit se connecter à un serveur proxy pour les mises à jour.
▪▪ Proposer le redémarrage de l'ordinateur si nécessaire
L'option par défaut pour le serveur proxy est Utiliser les paramètres
globaux de serveur proxy.
▪▪ Si nécessaire, redémarrer l'ordinateur sans avertissement
4.4.1.2.3
L'option par défaut de redémarrage est Proposer le redémarrage de
l'ordinateur si nécessaire. La sélection des options les plus
appropriées pour les mises à jour des composants du programme de
l'onglet Mode de mise à jour dépend de chaque poste de travail,
puisque c'est sur ces postes que les paramètres vont êtres appliqués.
Notez qu'il existe des différences entre les postes de travail et les
serveurs. P. ex., le redémarrage d'un serveur automatiquement après
une mise à jour du programme peut causer de sérieux dommages.
Lors de mise à jour depuis un serveur local sous le système
d'exploitation NT, une authentification est par défaut exigée pour
chaque connexion réseau. Dans la plupart des cas, un compte système
local n'a pas suffisamment de droits pour accéder au dossier miroir
(contenant des copies des fichiers de mise à jour). Dans ce cas, entrez
un nom d'utilisateur et un mot de passe dans la section de
configuration des mises à jour ou spécifiez un compte existant avec
lequel le programme peut accéder au serveur de mise à jour (Miroir).
4.4.1.2.2
Serveur proxy
Pour accéder aux options du serveur proxy pour un profil de mise à jour
donné : Cliquez sur Mise à jour dans l'arborescence de configuration
avancée (F5), puis cliquez sur le bouton Configuration... à droite de
Configuration avancée des mises à jour. Cliquez sur l'onglet Proxy
HTTP et sélectionnez une des trois options suivantes :
▪▪ Utiliser les paramètres globaux de serveur proxy
▪▪ Ne pas utiliser de serveur proxy
▪▪ Connexion via un serveur proxy (connexion définie par
Propriétés de la connexion)
26
Connexion au réseau local
Pour configurer ce compte, cliquez sur l'onglet Réseau local. La
section Se connecter au réseau comme offre les options Compte
système (par défaut), Utilisateur actuel et Utilisateur spécifié.
Les options de configuration du serveur miroir local sont accessibles
(après l'ajout d'une clé de licence valide dans le gestionnaire de licences
situé dans la section de configuration avancée d'ESET Smart Security
Business Edition) dans la section Configuration avancée des mises
à jour (pour accéder à cette section, appuyez sur F5 et cliquez sur Mise
à jour dans l'arborescence de la configuration avancée. Cliquez sur le
bouton Configuration... face à Configuration avancée des mises
à jour et sélectionnez l'onglet Miroir).
Sélectionnez l'option Compte système pour utiliser le compte
système pour l'authentification. Normalement, aucun processus
d'authentification n'a lieu si des données d'authentification ne sont
pas fournies dans la section principale de configuration des mises
à jour.
Pour s'assurer que le programme s'autorise à utiliser le compte de
l'utilisateur actuellement connecté, sélectionnez Utilisateur actuel.
L'inconvénient de cette solution est que le programme est dans
l'impossibilité de se connecter au serveur de mise à jour si aucun
utilisateur n'est actuellement connecté.
Sélectionnez Utilisateur spécifié si vous voulez que le programme
utilise un compte utilisateur spécifié pour l'authentification.
L'option par défaut pour une connexion au réseau local est Compte
système.
Avertissement :
Si l'une des options Utilisateur actuel ou Utilisateur spécifié est
activée, une erreur peut se produire en cas de changement de l'identité
du programme pour l'utilisateur souhaité. C'est pour cela que nous
recommandons d'entrer les données d'authentification du réseau local
dans la section de configuration des mises à jour. Dans cette section
de configuration des mises à jour, les données d'authentification doivent
être entrées comme suit : nom_de_domaine\utilisateur (dans le cas
d'un groupe de travail, entrez nom_de_groupe_de_travail\utilisateur)
et le mot de passe de l'utilisateur. La mise à jour de la version HTTP du
serveur local n'exige aucune authentification.
4.4.1.2.4
Création de copies de mises à jour – miroir
La première étape de configuration du miroir consiste à sélectionner
la case à cocher Créer un miroir de mise à jour. Cette option active
d'autres options de configuration du miroir, telles que la manière
d'accéder aux fichiers de mise à jour et le chemin des fichiers miroir.
Les méthodes d'activation du miroir sont décrites en détail dans le
chapitre suivant « Différentes méthodes d'accès au miroir ». Pour le
moment, notez qu'il existe deux méthodes différentes d'accès au
miroir : le dossier miroir des fichiers de mise à jour peut être considéré
comme un dossier réseau partagé, ou le miroir peut être considéré
comme un serveur HTTP.
Le dossier dédié aux fichiers de mise à jour du miroir peut être défini
dans la section Dossier de stockage des fichiers miroir. Cliquez sur
Dossier… pour naviguer jusqu'au dossier souhaité sur un ordinateur
local ou un dossier réseau partagé.. Si une autorisation pour le dossier
spécifié est requise, les données d'authentification doivent être entrées
dans les champs Nom d'utilisateur et Mot de passe. Le Nom d'utilisateur
et le Mot de passe doivent être entrés sous le format Domaine/Utilisateur
ou Workgroup/Utilisateur. N'oubliez pas de fournir les mots de passe
correspondants.
Lors de la configuration détaillée du miroir, l'utilisateur peut également
spécifier les différentes langues des copies de mises à jour à télécharger.
La configuration de la langue de version est accessible dans la section
Fichiers > Versions disponibles.
ESET Smart Security Business Edition permet de créer des copies des
fichiers de mises à jour, qui peuvent être utilisées pour la mise à jour
d'autres postes de travail du réseau. La mise à jour de postes de travail
à partir d'un miroir optimise l'équilibre de la charge réseau et libère les
bandes passantes des connexions Internet.
27
4.4.1.2.4.1 Mise à jour à partir du miroir
Deux méthodes différentes permettent d'accéder au miroir : le dossier
miroir des fichiers de mise à jour peut être considéré comme un dossier
réseau partagé, ou le miroir peut être considéré comme un serveur HTTP.
Accès au miroir au moyen de serveur HTTP interne
C'est la configuration par défaut, spécifiée dans la configuration
prédéfinie du programme. Pour permettre l'accès au miroir via le
serveur HTTP, choisissez Configuration avancée des mises à jour
(onglet Miroir) et sélectionnez l'option Créer un miroir de mise à jour.
Dans la section Configuration avancée de l'onglet Miroir, vous pouvez
spécifier le Port du serveur d'écoute du serveur HTTP ainsi que le type
d'Authentification utilisée par le serveur HTTP. Par défaut, le port de
serveur défini est 2221. L'option Authentification définit la méthode
d'authentification utilisée pour accéder aux fichiers de mise à jour. Les
options suivantes sont disponibles : NONE, Basic et NTLM. Sélectionnez
Basic pour utiliser le codage base64 avec l'authentification de base du
nom d'utilisateur et mot de passe. L'option NTLM fournit un codage
utilisant une méthode de codage fiable. L'utilisateur créé sur le poste
de travail partageant les fichiers de mise à jour sera utilisé pour
l'authentification. L'option par défaut est NONE. Elle autorise
l'accès aux fichiers des mises à jour sans exiger d'authentification.
Avertissement :
L'accès aux fichiers des mises à jour au moyen du serveur HTTP exige
que le dossier miroir doit être sur le même ordinateur que l'instance
ESET Smart Security qui l'a créé.
Configurez ensuite l'accès au miroir dans la section Configuration
avancée des mises à jour (onglet Miroir ) en désactivant l'option
Fournir les fichiers de mise à jour via un serveur HTTP interne.
Cette option est activée par défaut lors de l'installation du
programme.
Si le dossier partagé se trouve sur un autre ordinateur du réseau, une
authentification est nécessaire pour accéder à l'autre ordinateur. Pour
spécifier les données d'authentification, accédez à la configuration
avancée dans ESET Smart Security (F5) et cliquez sur la branche Mise
à jour. Cliquez sur le bouton Configuration..., puis cliquez sur l'onglet
Réseau local. Ce paramètre est le même que celui de la mise à jour,
comme décrit dans le chapitre « Se connecter au réseau local ».
Une fois la configuration du miroir terminée, continuez avec les postes
de travail en spécifiant \\UNC\CHEMIN comme serveur de mise à jour.
Voici comment réaliser cette opération :
▪▪ ouvrez la configuration avancée dans ESET Smart Security et
cliquez sur Mise à jour
▪▪ cliquez sur Modifier… en regard de Serveur de mise à jour et
ajoutez un nouveau serveur dans le format \\UNC\CHEMIN.
▪▪ dans la liste des serveurs de mise à jour, sélectionnez le serveur
nouvellement ajouté
REMARQUE :
Pour un fonctionnement correct, le chemin du dossier miroir doit être
spécifié comme un chemin UNC. Les mises à jour à partir de lecteurs
mappés peuvent ne pas fonctionner.
4.4.1.2.4.2 Résolution des problèmes de miroir de mise à jour
Différents types de problèmes peuvent se produire selon la méthode
d'accès au dossier miroir. Dans la plupart des cas, les problèmes lors
d'une mise à jour depuis un serveur miroir sont dus à une ou plusieurs
des causes suivantes : une mauvaise spécification des options du dossier
miroir, des données d'authentification incorrectes pour l'accès au
dossier miroir, une mauvaise configuration des postes de travail qui
cherchent à télécharger des fichiers de mise à jour du miroir ou une
combinaison des raisons citées précédemment. Nous donnons ici un
aperçu des problèmes les plus fréquents qui peuvent se produire lors
d'une mise à jour depuis le miroir :
Une fois la configuration du miroir terminée, ajoutez aux postes de travail
un nouveau serveur de mise à jour dans le format http://adresse_IP_de_
votre_serveur:2221. Pour ce faire, exécutez les étapes suivantes :
▪▪ ouvrez Configuration avancée d'ESET Smart Security et cliquez
sur la branche Mise à jour.
▪▪ cliquez sur Modifier… à droite du menu déroulant Serveur de
mise à jour et ajoutez un nouveau serveur dans le format : http://
adresse_IP_de_votre_serveur:2221
▪▪ dans la liste des serveurs de mise à jour, sélectionnez le serveur
nouvellement ajouté
Accès au miroir via le partage des systèmes
Un dossier partagé doit d'abord être créé sur un lecteur local ou
réseau. Lors de la création du dossier pour le miroir, il est nécessaire
d'octroyer le droit d'écriture à l'utilisateur qui va sauvegarder les
fichiers dans le dossier et le droit de lecture aux utilisateurs qui vont
utiliser le dossier miroir pour la mise à jour d'ESET Smart Security.
28
▪▪ ESET Smart Security signale une erreur de connexion au
serveur miroir – probablement causée par une spécification
incorrecte du serveur de mise à jour (chemin réseau du dossier
miroir) à partir duquel les postes de travail locaux téléchargent les
mises à jour. Pour vérifier le dossier, cliquez sur le menu Démarrer
de Windows, cliquez sur Exécuter, entrez le nom du dossier et
cliquez sur OK. Le contenu du dossier doit s'afficher.
▪▪ ESET Smart Security exige un nom d'utilisateur et un mot de
passe – probablement causée par l'entrée dans la section mise
à jour de données d'authentification incorrectes (Nom d'utilisateur
et Mot de passe). Le Nom d'utilisateur et le Mot de passe donnent
accès au serveur de mise à jour, à partir duquel le programme se
télécharge. Assurez-vous que les données d'authentification sont
correctes et entrées dans le bon format. Par exemple, Domaine/
Nom d'utilisateur ou Workgroup/Nom d'utilisateur, en plus des mots
de passe correspondants. Si le serveur miroir est accessible à « Tous »,
cela ne veut pas dire que tout utilisateur est autorisé à y accéder.
« Tous » ne veut pas dire tout utilisateur non autorisé, cela veut
tout simplement dire que le dossier est accessible à tous les
utilisateurs du domaine. Par conséquent, si le dossier est accessible
à « Tous », un nom d'utilisateur du domaine et un mot de passe
sont toujours nécessaires et doivent être entrés dans la
configuration des mises à jour.
▪▪ ESET Smart Security signale une erreur de connexion au
serveur miroir – le port de communication défini pour l'accès au
miroir via HTTP est bloqué.
4.4.2
Comment créer des tâches de mise à jour
Les mises à jour peuvent être déclenchées manuellement en cliquant
sur Mettre à jour la base de signatures de virus dans la fenêtre
d'information affichée après avoir cliqué sur Mise à jour dans le menu
principal..
Les mises à jour peuvent également être réalisées par des tâches
planifiées – pour configurer une tâche planifiée, cliquez sur Outils >
Planificateur. Par défaut, les tâches suivantes sont activées dans ESET
Smart Security :
▪▪ Mise à jour automatique régulière
▪▪ Mise à jour automatique après une connexion commutée
▪▪ Mise à jour automatique après ouverture de session utilisateur
Chacune des tâches de mise à jour susmentionnées peut être modifiée
selon les besoins de l'utilisateur. Outre les tâches de mise à jour
par défaut, vous pouvez en créer des nouvelles avec vos propres
paramètres. Pour plus d'informations sur la création et la configuration
des tâches de mise à jour, consulter le chapitre « Planificateur ».
4.5 Planificateur
4.5.1
Pourquoi planifier des tâches
Le planificateur gère et lance les tâches planifiées qui ont été
préalablement définies et configurées. La configuration et les
propriétés de ces tâches comprennent des informations telles que la
date et l'heure ainsi que des profils spécifiques à utiliser pendant
l'exécution de ces tâches.
4.5.2
Création de nouvelles tâches
Pour créer une nouvelle tâche dans le Planificateur, cliquez sur le
bouton Ajouter... ou cliquez avec le bouton droit et sélectionnez
Ajouter... dans le menu contextuel. Cinq types de tâches planifiées
sont disponibles :
▪▪ Exécuter une application externe
▪▪ Maintenance des journaux
▪▪ Contrôle des fichiers de démarrage du système
▪▪ Analyse d'ordinateur à la demande
▪▪ Mettre à jour
Le planificateur est disponible lorsque l'option Mode Avancé est
activée dans ESET Smart Security. Le Planificateur se trouve dans le
menu principale d'ESET Smart Security sous Outils. Il contient un
résumé de toutes les tâches planifiées avec leurs propriétés de
configuration telles que la date prédéfinie, l'heure et le profil d'analyse
utilisé.
Puisque les tâches Analyse de l'ordinateur à la demande et Mise
à jour sont les tâches planifiées les plus utilisées, nous allons expliquer
comment ajouter une nouvelle tâche de mise à jour.
▪▪ Mise à jour automatique après une connexion commutée
Dans le menu déroulant Tâche planifiée :, sélectionnez Mise à jour.
Cliquez sur Suivant puis entrez le nom de la tâche dans le champ
Nom de la tâche. Sélectionnez la fréquence de la tâche. Les options
suivantes sont disponibles : Une fois, Plusieurs fois, Quotidiennement,
Chaque semaine et Déclenchée par un événement. Selon la
fréquence sélectionnée, vous serez invité à choisir différents
paramètres de mise à jour. On peut définir ensuite l'action
à entreprendre si la tâche ne peut pas être effectuée ou terminée
à l'heure planifiée. Les trois options suivantes sont disponibles :
▪▪ Mise à jour automatique après ouverture de session utilisateur
▪▪ Attendre le prochain moment planifié
▪▪ Vérification automatique des fichiers de démarrage
▪▪ Exécuter la tâche dès que possible
▪▪ Vérification automatique des fichiers de démarrage après la
mise à jour réussie de la base des signatures de virus
▪▪ Exécuter la tâche immédiatement si le temps écoulé depuis la
dernière exécution dépasse l'intervalle spécifié (l'intervalle peut
être défini immédiatement à l'aide de la zone de liste déroulante
Intervalle de la tâche).
Par défaut, les tâches planifiées suivantes s'affichent dans le
Planificateur :
▪▪ Mise à jour automatique régulière
Pour modifier la configuration d'une tâche planifiée existante (par
défaut ou définie par l'utilisateur), cliquez avec le bouton droit sur la
tâche et cliquez sur Modifier... , ou sélectionnez la tâche à modifier et
cliquez sur le bouton Modifier....
29
La prochaine étape affiche un résumé concernant la tâche planifiée
courante ; l'option Exécuter la tâche avec des paramètres spécifiques
doit être automatiquement activée. Cliquez sur le bouton Terminer.
Une boîte de dialogue s'ouvre pour permettre de choisir le profil
à utiliser avec la tâche planifiée. Vous pouvez spécifier ici un profil
primaire et un secondaire qui sera utilisé si la tâche ne peut s'exécuter
en utilisant le profil primaire. Confirmez en cliquant sur OK dans la
fenêtre Profils de mise à jour. La nouvelle tâche planifiée sera ajoutée
à la liste des tâches planifiées.
4.6.3
Soumission de fichiers de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le
programme ou si un fichier a été considéré infecté par erreur (ex. par
l'analyse heuristique du code) et placé en quarantaine, envoyez ce
fichier au laboratoire d'Eset. Pour soumettre un fichier de la quarantaine,
cliquez dessus avec le bouton droit et sélectionnez Soumettre pour
analyse dans le menu contextuel.
4.6 Quarantaine
La principale fonction de la quarantaine est le stockage en toute
sécurité des fichiers infectés. Les fichiers doivent être placés en
quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou
déconseillé de les supprimer ou s'ils sont erronément détectés par
ESET Smart Security.
L'utilisateur peut placer en quarantaine n'importe quel fichier. C'est
conseillé si un fichier se comporte de façon suspecte mais n'a pas été
détecté par l'analyseur antivirus. Les fichiers de la quarantaine
peuvent être soumis pour analyse au laboratoire d'ESET.
4.7
Fichiers journaux
Les fichiers journaux contiennent tous les événements importants qui
se sont produits et fournissent un aperçu des menaces détectées. La
consignation représente un puissant outil pour l'analyse système, la
détection de menaces et le dépannage. La consignation est toujours
active en arrière-plan sans interaction de l'utilisateur. Les informations
sont enregistrées en fonction des paramètres actifs de verbosité. Il est
possible de consulter les messages texte et les journaux directement
à partir de l'environnement ESET Smart Security ainsi que d'archiver
les journaux.
Les fichiers du dossier de quarantaine peuvent être visualisés dans une
table qui affiche la date et l'heure de mise en quarantaine, le chemin
de l'emplacement d'origine du fichier infecté, sa taille en octets, la
raison (ajouté par l'utilisateur…) et le nombre de menaces (ex. s'il
s'agit d'une archive contenant plusieurs infiltrations).
4.6.1
Mise de fichiers en quarantaine
Le programme déplace automatiquement les fichiers supprimés en
quarantaine (si vous n'avez pas annulé cette option dans la fenêtre
d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine
tout fichier suspect en cliquant sur le bouton Ajouter.... Dans ce cas, le
fichier d'origine n'est pas supprimé de son emplacement initial. Il est
également possible d'utiliser le menu contextuel à cette fin ; cliquez avec
le bouton droit dans la fenêtre de quarantaine et sélectionnez Ajouter...
4.6.2
Restaurer depuis la quarantaine
Les fichiers mis en quarantaine peuvent aussi être restaurés à leur
emplacement d'origine. Pour ce faire, utilisez la fonctionnalité Restaurer
du menu contextuel après avoir cliqué avec le bouton droit sur un fichier
dans la fenêtre de quarantaine. Le menu contextuel offre également
l'option Restaurer vers, qui permet de restaurer des fichiers vers un
emplacement autre que celui d'origine dont ils ont été supprimés.
REMARQUE :
Si le programme place en quarantaine, par erreur, un fichier inoffensif,
il convient de le restaurer, de l'exclure de l'analyse et de l'envoyer au service
client d'ESET.
30
Les fichiers journaux sont accessibles à partir de la fenêtre principale
d'ESET Smart Security en cliquant sur Outils > Fichiers journaux.
Sélectionnez le type de journal souhaité à l'aide du menu déroulant
Journal: en haut de la fenêtre. Les journaux suivants sont disponibles :
1.
Menaces détectées : cette option permet de consulter toutes les
informations concernant les événements liés à la détection
d'infiltrations.
2. Événements : cette option permet aux administrateurs système
et aux utilisateurs de résoudre des problèmes. Toutes les actions
importantes exécutées par ESET Smart Security sont enregistrées
dans les journaux d'événements.
3. OnAnalyse de l'ordinateur à la demande : les résultats de toutes
les analyses effectuées sont affichés dans cette fenêtre. Doublecliquez sur n'importe quelle entrée pour afficher les détails de
l'analyse à la demande correspondante.
4. Journal du pare-feu personnel ESET : contient des
enregistrements de tous les faits détectés par le pare-feu
personnel. L'analyse du journal du pare-feu peut permettre de
détecter à temps des tentatives d'intrusion sur le système et ainsi
permettre de bloquer les accès non autorisés.
L'information affichée dans chaque section peut être directement
copiée dans le Presse-papiers, il suffit de sélectionner l'entrée
souhaitée puis de cliquer sur Copier. Vous pouvez sélectionner
plusieurs entrées à l'aide des touches Ctrl et Maj.
4.7.1
Maintenance des journaux
La configuration de la consignation d'ESET Smart Security est
accessible à partir de la fenêtre principale du programme. Cliquez sur
Configuration > Accéder à l'arborescence de configuration avancée
complète... > Outils > Fichiers journaux. Les options suivantes
peuvent être spécifiées pour les fichiers journaux :
▪▪ Supprimer automatiquement les entrées : les entrées journaux
vieilles de plus que le nombre de jours spécifiés seront
automatiquement supprimées
▪▪ Optimiser automatiquement les fichiers journaux : permet
la défragmentation automatique des fichiers journaux si le
pourcentage d'enregistrements inutilisés a été dépassé
▪▪ Verbosité minimale des journaux : spécifie le niveau minimum
de verbosité des journaux. Options disponibles :
–
Erreurs critiques : consigne uniquement les erreurs critiques
(erreurs produites au lancement de la Protection antivirus,
Pare-feu personnel, etc.)
–
Erreurs : seuls les messages « Erreur de téléchargement de
fichier » et les erreurs critiques sont consignés
–
Avertissements : enregistre toutes les erreurs critiques,
les erreurs et les messages d'avertissement
–
Entrées informatives : consigne tous les messages
d'information, y compris les mises à jour réussies et toutes
les entrées citées ci-dessus
–
Entrées de diagnostic : consigne toutes les informations
nécessaires pour un réglage détaillé du programme ainsi que
tous les enregistrements cités ci-dessus
4.8 Interface utilisateur
La configuration de l'interface utilisateur d'ESET Smart Security peut
être modifiée de manière à pouvoir ajuster l'environnement de travail
selon vos besoins. Ces options de configuration sont accessibles dans
la branche Interface utilisateur de l'arborescence de la configuration
avancée ESET Smart Security.
La section Éléments de l'interface utilisateur permet de basculer
vers le mode Avancé. Le mode Avancé affiche des paramètres détaillés
et des commandes supplémentaires pour ESET Smart Security.
L'option Interface utilisateur graphique doit être désactivée si les
éléments graphiques ralentissent les performances de l'ordinateur
ou causent d'autres problèmes. L'interface utilisateur graphique devra
peut-être aussi être désactivée pour les utilisateurs malvoyants, car
elle peut créer un conflit avec les applications spéciales utilisées pour
la lecture de textes affichés à l'écran.
Pour désactiver l'écran de démarrage d'ESET Smart Security,
désactivez l'option Afficher l'écran de démarrage.
En haut de la fenêtre principale d'ESET Smart Security, se trouve un
menu standard qui peut être activé ou désactivé en fonction de
l'option Utiliser le menu standard.
Si l'option Afficher les infobulles est activée, une petite description de
toute option sera affichée si le curseur est placé au-dessus de l'option.
L'option Sélectionner l'élément de contrôle actif oblige le système
à mettre en surbrillance tout élément qui se trouve sous la zone active
du curseur de la souris. L'élément en surbrillance sera activé une fois
cliqué.
Pour augmenter ou diminuer la vitesse des effets animés, sélectionnez
l'option Contrôles animés et déplacez le curseur Vitesse vers la
gauche ou la droite.
Pour permettre l'utilisation d'icônes animées affichant la progression
de diverses opérations, sélectionnez la case à cocher Icônes animées....
Si vous souhaitez que le programme émette un avertissement
lorsqu'un événement important se produit, sélectionnez l'option
Signal sonore.
31
le bouton Configurer les notifications.... Pour prévisualiser le
comportement des notifications, cliquez sur le bouton Aperçu. Pour
configurer la durée d'affichage des infobulles, utilisez l'option Afficher
les infobulles dans la barre des tâches (en sec.).
Les fonctions de l'Interface utilisateur comprennent aussi une option
de protection par mot de passe des paramètres de configuration
d'ESET Smart Security. Cette option se trouve dans le sous-menu
Protection des paramètres, sous Interface utilisateur. Il est essentiel
que le programme soit correctement configuré pour garantir le
maximum de sécurité au système. Tout changement non autorisé
peut faire perdre des données importantes. Pour définir un mot de
passe pour protéger les paramètres de la configuration, cliquez sur
Entrer un mot de passe….
La section inférieure de la fenêtre de configuration Alertes
et notifications comprend l'option Afficher uniquement les
notifications exigeant une intervention de l'utilisateur. Cette
option permet d'activer/désactiver l'affichage des alertes et des
notifications qui n'exigent aucune intervention de l'utilisateur. La
dernière fonctionnalité de cette section est la spécification d'adresses
de notification dans un environnement multi-utilisateurs.
Le champ Sur les systèmes multi-utilisateurs, afficher les
notifications sur l'écran de l'utilisateur : permet de définir quel
utilisateur recevra les notifications importantes d'ESET Smart Security.
Normalement, il doit s'agir de l'administrateur système ou de
l'administrateur réseau. Cette option est particulièrement utile pour
les serveurs de terminaux, pour autant que toutes les notifications
système soient envoyées à l'administrateur.
4.9 ThreatSense.Net
4.8.1
Alertes et notifications
La section Configurer les alertes et notifications sous Interface
utilisateur permet de configurer le mode de traitement des messages
d'alerte et des notifications système par ESET Smart Security.
La première option est Afficher les alertes. Lorsqu'elle est désactivée,
aucune fenêtre d'alerte ne s'affiche, ce qui ne convient qu'à un nombre
limité de situations particulières. Nous recommandons à la majorité
des utilisateurs de garder l'option par défaut (activée).
Pour fermer automatiquement les fenêtres d'alerte après un certain
délai, sélectionnez l'option Fermer automatiquement la boîte de
messages après (s). Si les fenêtres d'alerte ne sont pas fermées
manuellement par l'utilisateur, elles le sont automatiquement une
fois que le laps de temps spécifié est écoulé.
Les notifications sur le bureau et les infobulles sont des moyens
d'information uniquement et n'exigent aucune interaction avec
l'utilisateur. Elles s'affichent dans la barre d'état système dans l'angle
inférieur droit de l'écran. Pour activer l'affichage des notifications sur
le bureau, sélectionnez l'option Afficher les notifications sur le bureau.
D'autres options détaillées (la durée d'affichage des notifications et la
transparence de la fenêtre) peuvent être modifiées en cliquant sur
32
Le système d'avertissement anticipé ThreatSense.Net est un outil
qui maintient ESET immédiatement et continuellement informée des
nouvelles infiltrations. Le système d'alerte anticipé bidirectionnel n'a
qu'un seul objectif : améliorer la protections que nous vous offrons. Le
meilleur moyen d'être sûr de voir les nouvelles menaces dès qu'elles
apparaissent est d'être en contact permanent avec le plus grand
nombre de nos clients et de les utiliser comme des éclaireurs de
menaces. Deux options sont possibles :
▪▪ Vous pouvez décider de ne pas activer le système d'avertissement
anticipé ThreatSense.Net. Vous ne perdez rien de la fonctionnalité
du logiciel et vous aurez toujours la meilleure protection que nous
offrons.
▪▪ Vous pouvez configurer le système d'avertissement anticipé pour
envoyer des informations anonymes concernant de nouvelles
menaces où le code menaçant se trouve dans un seul fichier. Ce
fichier peut être envoyé à ESET pour une analyse détaillée. En
étudiant ces menaces, ESET améliore ses capacités à détecter les
menaces. Le système d'alerte anticipé ThreatSense.Net collecte
sur votre ordinateur des informations concernant de nouvelles
menaces détectées. Ces informations comprennent un échantillon
ou une copie du fichier dans lequel la menace est apparue, le
chemin du fichier, le nom du fichier, la date et l'heure, le processus
par lequel la menace est apparue sur votre ordinateur et des
informations sur le système d'exploitation de votre ordinateur.
Certaines de ces informations peuvent comprendre des données
particulières à votre ordinateur, telles que le chemin de dossier, etc.
Bien qu'il y ait une probabilité de divulgation de certaines informations
relatives à vous ou à votre ordinateur, ici dans le laboratoire d'ESET, ces
informations ne seront pas utilisées à AUCUNE autre fin autre que
celle de nous aider à répondre immédiatement aux menaces.
Par défaut, ESET Smart Security est configuré pour demander avant de
soumettre les fichiers suspects pour une analyse détaillée au
laboratoire d'ESET. Notez que les fichiers avec les extensions .doc ou .
xls sont toujours exclus, même si une menace a été détectée dans de
tels fichiers. Vous pouvez ajouter d'autres extensions à la liste
d'exclusion, dont vous ou votre organisation souhaitez éviter l'envoi.
La configuration de ThreatSense.Net est accessible depuis la
configuration avancée complète, dans Outils > ThreatSense.Net.
Sélectionnez la case à cocher Activer le système d'alerte anticipé
ThreatSense.Net. Ceci vous permettra de l'activer. Ensuite, cliquez
sur le bouton Configuration avancée....
Si vous ne voulez soumettre aucun fichiers, sélectionnez l'option Ne
pas soumettre pour analyse. Notez que la soumission des fichiers
pour analyse n'affecte pas les informations statistiques de soumission
à ESET. Les informations statistiques sont configurées dans une
section qui leur est propre et qui est décrite dans le chapitre suivant.
Quand soumettre
Les fichiers suspects seront envoyés pour analyse aux laboratoires
d'ESET dès que possible. Ceci est recommandé lorsqu'une connexion
Internet permanente est disponible et que les fichiers suspects
peuvent être livrés très rapidement. L'autre option est de livrer les
fichiers suspects Pendant la mise à jour. Si cette option est
sélectionnée, les fichiers suspects sont collectés et téléversés, pendant
la mise à jour, sur les serveurs du Système d'Avertissement Anticipé.
Filtre d'exclusion
Tous les fichiers ne sont pas soumis pour analyse. Le filtre d'exclusion
permet d'exclure certains fichiers/dossiers de la soumission. Par
exemple, il est utile d'exclure des fichiers qui peuvent comporter des
informations confidentielles potentielles, tels que des documents ou
des feuilles de calcul. Les fichiers les plus ordinaires sont exclus par
défaut (Microsoft Office, OpenOffice). La liste des fichiers exclus peut
être étendue à votre gré.
Adresse e-mail de contact
L'adresse de contact envoyée avec les fichiers suspects à ESET et peut
être utilisée pour vous contacter si des informations complémentaires
sur les fichiers soumis sont nécessaires pour l'analyse. Notez que vous
ne recevrez pas de réponse d'ESET, sauf si des informations
complémentaires s'avèrent nécessaires.
4.9.2
4.9.1
Fichiers suspects
L'onglet Fichiers suspects permet de configurer la manière dont les
menaces sont soumises pour analyse au laboratoire d'Eset.
Si vous avez trouvé un fichier suspect, vous pouvez le soumettre pour
analyse à notre laboratoire. S'il s'avère que ce fichier est une
application malveillante, il sera ajouté à la prochaine mise à jour de la
base des signatures de virus.
La soumission de fichiers peut être configurée pour qu'elle soit
automatique sans poser de question. Si cette option est sélectionnée,
les fichiers suspects seront envoyés en arrière-plan. Si vous voulez
connaître les fichiers envoyés pour analyse et confirmer leur
soumission, sélectionnez l'option Demander avant de soumettre.
Statistiques
Le système d'avertissement anticipé ThreatSense.Net collecte sur
votre ordinateur des informations anonymes concernant de nouvelles
menaces détectées. Ces informations peuvent inclure le nom de
l'infiltration, la date et l'heure de détection, la version d'ESET Smart
Security ainsi que des informations sur la version du système
d'exploitation de votre ordinateur et ses paramètres régionaux. Les
statistiques sont normalement fournies au serveur d'ESET une ou deux
fois par jour.
Voici un exemple d'informations statistiques envoyées :
# utc_time=2005‑04‑14 07:21:28
# country=“Slovakia“
# language=“ENGLISH“
# osver=5.1.2600 NT
# engine=5417
# components=2.50.2
# moduleid=0x4e4f4d41
# filesize=28368
# filename=C:\Documents and Settings\Administrator\
Local Settings\Temporary Internet Files\Content.IE5\
C14J8NS7\rdgFR1463[1].exe
Quand soumettre
Dans la section Quand soumettre, vous pouvez définir le moment
de l'envoi des informations statistiques. Si vous choisissez d'envoyer
Dès que possible, les informations statistiques seront envoyées
immédiatement après leur création. Ce choix convient si une connexion
Internet est disponible en permanence. Si l'option Pendant la mise
à jour est sélectionnée, les informations statistiques seront conservées
puis envoyées simultanément pendant la prochaine mise à jour.
33
4.10 Administration à distance
L'administration à distance est un outil très puissant pour maintenir
une politique de sécurité et avoir une vue d'ensemble de la gestion de
la sécurité globale du réseau. Elle est particulièrement utile pour les
grands réseaux. L'administration à distance ne fait pas qu'augmenter
le niveau de sécurité, mais offre une administration d'utilisation simple
d'ESET Smart Security sur les postes de travail client.
Les options de configuration de l'administration à distance sont
accessibles à partir de la fenêtre principale d'ESET Smart Security.
Cliquez sur Configuration > Accéder à l'arborescence de configuration
avancée complète... > Divers > Administration à distance.
4.9.3
Soumission
Dans cette section, on peut choisir si les fichiers et les informations
statistiques seront soumis à l'aide de l'Administrateur Distant ESET
ou directement à ESET. Pour s'assurer que les fichiers suspects et les
informations statistiques seront livrés à ESET, sélectionnez l'option
Via la Console d'administration à distance (RA) ou directement
à ESET. Si cette option est sélectionnée, les fichiers et les informations
statistiques seront soumis à l'aide de tout moyen disponible. La soumission
de fichiers suspects au moyen de l'Administrateur Distant livre les
fichiers et les informations statistiques au serveur d'administration
à distance, qui assure leur acheminement vers le laboratoire d'Eset.
Si l'option Directement à ESET est sélectionnée, tous les fichiers
suspects et les informations statistiques seront livrés directement
par le programme au laboratoire d'ESET.
La fenêtre de configuration permet d'activer le mode Administration
à distance en sélectionnant d'abord la case à cocher Connecter au
Serveur d'Administration à Distance. Vous pouvez alors accéder aux
autres options décrites ci-dessous :
▪▪ Adresse du serveur : c'est l'adresse du serveur réseau où le serveur
d'administration à distance est installé.
▪▪ Port : ce champ contient le port du serveur prédéfini utilisé pour la
connexion. Nous recommandons de laisser le port prédéfini à 2222.
▪▪ Intervalle entre deux connexions au serveur (min.) : spécifie
la fréquence avec laquelle ESET Smart Security se connecte au
serveur ERA pour envoyer les données. Autrement dit, les informations
sont envoyées aux intervalles définis ici. Si la valeur est 0, les
informations sont envoyées toutes les 5 secondes.
▪▪ Le serveur d'administration à distance exige une
authentification : permet d'entrer un mot de passe pour
la connexion au serveur d'administration à distance.
Si des fichiers sont en attente de soumission, le bouton Soumettre
maintenant sera activé dans cette fenêtre de configuration. Cliquez
sur ce bouton pour soumettre immédiatement les fichiers et les
informations statistiques.
Sélectionnez la case à cocher Activer la journalisation pour consigner
la soumission des fichiers et des informations statistiques. Dans ce
cas, après chaque soumission des fichiers et des informations statistiques,
une entrée dans le journal d'événements est créée.
34
Cliquez sur OK pour confirmer les modifications et appliquer les
paramètres. ESET Smart Security utilisera ces paramètres pour se
connecter au serveur distant.
4.11 Licence
La branche Licence permet de gérer les clés de licence ESET Smart
Security et d'autres produits ESET tels que l'Administrateur Distant
ESET, ESET NOD32 pour Microsoft Exchange etc. Après l'achat, les clés
de licence sont envoyées avec le Nom d'utilisateur et le Mot de passe.
Pour Ajouter/Supprimer une clé de licence, cliquez sur le bouton
correspondant dans la fenêtre du gestionnaire de licences. Le
gestionnaire de licences est accessible à partir de Configuration
avancée complète sous Divers > Licences.
Une clé de licence est un fichier texte contenant des informations
concernant le produit acheté : son propriétaire, le nombre de licences
et la date d'expiration.
La fenêtre du gestionnaire de licences permet à l'utilisateur de charger
et de voir le contenu de la clé de licence à l'aide du bouton Ajouter… ;
les informations contenues seront affichées dans la fenêtre du
gestionnaire. Pour supprimer des clés de licence de la liste, cliquez sur
Supprimer.
Si une clé de licence est expirée et que vous êtes intéressé par le
renouvellement de l'achat, cliquez sur le bouton Commander… ;
vous serez dirigé vers le site Web de la boutique en ligne.
35
5. Utilisateur avancé
Ce chapitre décrit des fonctions d'ESET Smart Security qui peuvent
être utiles aux utilisateurs avancés. Les options de configuration de
ces fonctions sont accessibles uniquement en mode Avancé. Pour
basculer vers le mode Avancé, cliquez sur Basculer en mode Avancé
en bas à gauche de la fenêtre principale du programme ou appuyez sur
CTRL + M au clavier.
5.1
Configuration du serveur proxy
Dans ESET Smart Security, la configuration du serveur proxy est
disponible en deux endroits différents de l'arborescence de la
configuration avancée.
Premièrement, les paramètres de serveur proxy peuvent être configurés
sous Divers > Serveur proxy. La spécification du serveur proxy à ce
niveau définit les paramètres de serveur proxy globaux pour tout ESET
Smart Security. Les paramètres définis ici seront utilisés par tous les
modules exigeant une connexion à Internet.
Pour spécifier des paramètres de serveur proxy à ce niveau, sélectionnez
la case à cocher Utiliser un serveur proxy, puis entrez l'adresse du
serveur proxy dans le champ Serveur proxy ainsi que le numéro de
Port de ce serveur proxy.
5.2
Importer/exporter des paramètres
L'exportation et l'importation de la configuration ESET Smart Security
actuelle sont disponibles en mode Avancé sous Configuration.
Les deux fonctions utilisent le format de fichier .xml. Elles sont utiles si
vous devez sauvegarder la configuration ESET Smart Security actuelle
pour la réutiliser plus tard (quelle que soit la raison). La fonction
d'exportation sera également appréciée par ceux qui souhaitent
utiliser leur configuration ESET Smart Security favorite sur plusieurs
systèmes : il leur suffit d'importer leur fichier .xml.
Si la communication avec le serveur proxy exige une authentification,
sélectionnez la case à cocher Le serveur proxy exige une authentification
et entrez un Nom d'utilisateur et un Mot de passe valides dans les
champs correspondants. Cliquez sur le bouton Détecter le serveur
proxy pour détecter et insérer automatiquement les paramètres du
serveur proxy. Les paramètres spécifiés dans Internet Explorer sont
alors copiés. Notez que cette fonction ne récupère pas les données
d'authentification (Nom d'utilisateur et Mot de passe), qui doivent
être fournies par l'utilisateur.
Les paramètres de serveur proxy peuvent aussi être définis dans la
branche Configuration avancée des mises à jour de l'arborescence
de la configuration avancée. Cette configuration s'applique au profil
de mise à jour concerné et est recommandée pour les ordinateurs
portables, qui reçoivent souvent les mises à jour des signatures de
virus de différents endroits. Pour plus d'informations sur cette
configuration, voir la Section 4.4, « Mise à jour du système ».
5.2.1
Exporter les paramètres
L'exportation de la configuration est très facile. Si vous souhaitez
enregistrer la configuration ESET Smart Security actuelle, cliquez
sur Configuration > Importer et exporter les paramètres...
Sélectionnez l'option Exporter les paramètres et entrez le nom du
fichier de configuration. Utilisez le navigateur pour sélectionner un
emplacement de votre ordinateur où enregistrer le fichier de
configuration.
5.2.2
Importer des paramètres
La procédure d'importation d'une configuration est très semblable.
De nouveau, sélectionnez Importer et exporter les paramètres,
puis sélectionnez l'option Importer les paramètres. Cliquez sur le
bouton ... et localisez le fichier de configuration à importer.
36
5.3
Ligne de commande
Il est possible de peut lancer le module antivirus ESET Smart Security
de la ligne de commande ; manuellement (avec la commande « ecls »)
ou au moyen d'un fichier de traitement par lots (« bat »).
Les paramètres et commutateurs suivants peuvent être utilisés lors de
l'exécution de l'analyseur à la demande à partir de la ligne de commande :
Options générales :
– help
afficher l'aide et quitter
– versionafficher les informations de la version
et quitter
– base‑dir = DOSSIERcharger les modules à partir du
DOSSIER
– quar‑dir = DOSSIER
DOSSIER quarantaine
– aind
afficher l'indicateur d'activité
Cibles :
– fichiers
analyser les fichiers (valeur par défaut)
– no‑files
ne pas analyser les fichiers
– bootsanalyser les secteurs d'amorçage
(valeur par défaut)
– no‑bootsne pas analyser les secteurs
d'amorçage
– archanalyser les archives (valeur par
défaut)
– no‑arch
ne pas analyser les archives
– max‑archive‑level = NIVEAUNIVEAU d'imbrication maximum
d'archives
– scan‑timeout = LIMITEanalyser les archives pendant un
maximum de LIMITE secondes. Si la
durée d'analyse atteint cette limite,
l'analyse de l'archive est arrêtée et
l'analyse continue avec le fichier
suivant
– max‑arch‑size=TAILLEanalyser uniquement les TAILLE
premiers octets des archives (valeur
par défaut 0 = illimité)
– mailanalyser les fichiers de courriers
électroniques
– no‑mailne pas analyser les fichiers de
courriers électroniques
– sfx
analyser les archives auto-extractibles
– no‑sfxne pas analyser les archives autoextractibles
– rtpanalyser les fichiers exécutables
compressés
– no‑rtpne pas analyser les fichiers
exécutables compressés
– exclude = DOSSIER
exclure le DOSSIER de l'analyse
– subdiranalyser les sous-dossiers (valeur par
défaut)
– no‑subdir
ne pas analyser les sous-dossiers
– max‑subdir‑level = NIVEAUNIVEAU d'imbrication maximum de
sous-dossiers (valeur par défaut
0 = illimité)
– symlinksuivre les liens symboliques (valeur
par défaut)
– no‑symlink
ignorer les liens symboliques
– ext‑remove = EXTENSIONS
– ext‑exclude = EXTENSIONSexclure de l'analyse les EXTENSIONS
délimitées par deux-points
–
–
–
–
–
–
–
–
unwantedrechercher les applications
potentiellement indésirables
no‑unwantedne pas rechercher les applications
potentiellement indésirables
pattern
utiliser les signatures
no‑pattern
ne pas utiliser les signatures
heur
activer l'heuristique
no‑heur
désactiver l'heuristique
adv‑heur
activer l'heuristique avancée
no‑adv‑heur
désactiver l'heuristique avancée
Nettoyage :
– action = ACTIONappliquer l'ACTION aux objets
infectés. Actions disponibles :
none, clean, prompt (aucune,
nettoyer, demander)
– quarantinecopier les fichiers infectés en
quarantaine (complète ACTION)
– no‑quarantinene pas copier les fichiers infectés en
quarantaine
Journaux :
– log‑file=FICHIERconsigner les résultats dans le
FICHIER
– log‑rewrite
écraser le fichier de résultats
(valeur par défaut - ajouter)
– log‑all
également consigner les fichiers sains
– no‑log‑all
ne pas consigner les fichiers sains
(valeur par défaut)
Les différents codes sortie d'analyse :
0
1
10
101
102
103
– aucune menace détectée
– menace détectée mais pas nettoyée
– certains fichiers infectés sont restés
– erreur d'archive
– erreur d'accès
– erreur interne
REMARQUE :
Un code sortie supérieur à 100 signale un fichier non analysé, qui peut
donc être infecté.
Méthodes :
– logiciel publicitairerechercher les logiciels espions/
publicitaires/à risque
– no‑adwarene pas rechercher les logiciels espions/
publicitaires/à risque
– unsaferechercher les applications
potentiellement dangereuses
– no‑unsafene pas rechercher les applications
potentiellement dangereuses
37
6. Glossaire
6.1
Types d'infiltrations
Une infiltration est un morceau de logiciel malveillant qui tente de
s'introduire dans l'ordinateur d'un utilisateur ou de l'endommager.
6.1.1
Virus
Un virus est une infiltration qui endommage les fichiers existants de
votre ordinateur. Les virus informatiques sont comparables aux virus
biologiques, parce qu'ils utilisent des techniques similaires pour se
propager d'un ordinateur à l'autre.
Les virus informatiques attaquent principalement les fichiers et
documents exécutables. Pour proliférer, un virus attache son « corps »
à la fin d'un fichier cible. En bref, un virus informatique fonctionne
comme ceci : après exécution du fichier infecté, le virus s'active luimême (avant l'application originale) et exécute sa tâche prédéfinie.
C'est après seulement que l'application originale peut s'exécuter. Un
virus ne peut pas infecter un ordinateur à moins qu'un utilisateur
exécute ou ouvre lui-même (accidentellement ou délibérément) le
programme malveillant.
L'activité et la sévérité des virus varient. Certains sont extrêmement
dangereux parce qu'ils ont la capacité de supprimer délibérément des
fichiers du disque dur. D'autres en revanche ne causent pas de réels
dommages : ils ne servent qu'à ennuyer l'utilisateur et à démontrer
les compétences techniques de leurs auteurs.
Il est important de noter que les virus sont (par rapport aux chevaux
de Troie et aux logiciels espions) de plus en plus rares, parce qu'ils ne
sont pas commercialement très attrayants pour les auteurs de
programmes malveillants. En outre, le terme « virus » est souvent
utilisé mal à propos pour couvrir tout type d'infiltrations. On tend
aujourd'hui à le remplacer progressivement par le terme « logiciel
malveillant » ou « malware » en anglais.
Si votre ordinateur est infecté par un virus, il est nécessaire de
restaurer les fichiers infectés à leur état original, c'est-à-dire de les
nettoyer à l'aide d'un programme anti-virus.
Dans la catégorie des virus, on peut citer : OneHalf, Tenga et Yankee
Doodle.
6.1.2
Vers
Un ver est un programme contenant un code malveillant qui attaque
les ordinateurs hôtes et se propage via un réseau. La différence de base
entre un virus et un ver est que les vers ont la capacité de se répliquer
et de voyager par eux-mêmes. Ils ne dépendent pas des fichiers hôtes
(ou des secteurs d'amorçage).
Les vers prolifèrent par le biais de courriers électroniques ou de
paquets sur le réseau. Ils peuvent ainsi être catégorisés de deux
manières :
▪▪ les vers de courrier électronique qui se distribuent eux-mêmes
dans les adresses de messagerie trouvées sur la liste de contacts
de l'utilisateur et
▪▪ les vers de réseau qui exploitent les failles de sécurité de diverses
applications.
Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que
les virus. Par le biais d'Internet, ils peuvent se propager à travers le
monde en quelques heures seulement et parfois même en quelques
minutes. Leur capacité à se répliquer indépendamment et rapidement
les rendent plus dangereux que les autres types de programmes
malveillants comme les virus.
Un ver activé dans un système peut être à l'origine de plusieurs
dérèglements : il peut supprimer des fichiers, dégrader les performances
du système ou même désactiver certains programmes. De par sa nature
il est qualifié pour servir de « moyen de transport » à d'autres types
d'infiltrations.
38
Si votre ordinateur est infecté par un ver, il est recommandé de supprimer
les fichiers infectés parce qu'ils contiennent probablement du code
malicieux.
Parmi les vers les plus connus, on peut citer : Lovsan/Blaster,
Stration/Warezov, Bagle et Netsky.
6.1.3
Chevaux de Troie
Dans le passé, les chevaux de Troie ont été définis comme une
catégorie d'infiltrations dont la particularité est de se présenter
comme des programmes utiles pour duper ensuite les utilisateurs qui
acceptent de les exécuter. Il est cependant important de remarquer
que cette définition s'applique aux anciens chevaux de Troie. Aujourd'hui,
il ne leur est plus utile de se déguiser. Leur unique objectif est de
trouver la manière la plus facile de s'infiltrer pour accomplir leurs
desseins malveillants. « Cheval de Troie » est donc devenu un terme
très général qui décrit toute infiltration qui n'entre pas dans une
catégorie spécifique.
La catégorie étant très vaste, elle est souvent divisée en plusieurs
sous-catégories. Les plus connues sont :
▪▪ downloader : programme malveillant qui est en mesure de
télécharger d'autres infiltrations sur l'Internet.
▪▪ dropper : type de cheval de Troie conçu pour déposer d'autres
types de logiciels malveillants sur des ordinateurs infectés.
▪▪ backdoor : application qui communique à distance avec les pirates
et leur permet d'accéder à un système et d'en prendre le contrôle.
▪▪ keylogger (keystroke logger) : programme qui enregistre chaque
touche sur laquelle tape l'utilisateur avant d'envoyer les
informations aux pirates.
▪▪ dialer : programme destiné à se connecter aux numéros à revenus
partagés. Il est presque impossible qu'un utilisateur remarque
qu'une nouvelle connexion a été créée. Les dialers ne peuvent
porter préjudice qu'aux utilisateurs ayant des modems par ligne
commutée, qui sont de moins en moins utilisés.
Les chevaux de Troie prennent généralement la forme de fichiers
exécutables avec l'extension .exe. Si un fichier est identifié comme
cheval de Troie sur votre ordinateur, il est recommandé de le
supprimer car il contient sans doute du code malveillant.
Parmi les chevaux de Troie les plus connus, on peut citer : NetBus,
Trojandownloader.Small.ZL, Slapper
6.1.4
Rootkits
Les rootkits sont des programmes malveillants qui procurent aux
pirates un accès illimité à un système tout en dissimulant leur présence.
Après avoir accédé au système (généralement en exploitant une faille),
les rootkits utilisent des fonctions du système d'exploitation pour se
protéger des logiciels antivirus : ils dissimulent des processus, des
fichiers et des données de la base de registre Windows. Pour cette
raison, il est presque impossible de les détecter à l'aide des techniques
de test ordinaires.
Souvenez-vous donc que pour se protéger des rootkits, il existe deux
niveaux de détection :
1.
Lorsqu'ils essaient d'accéder au système. Ils ne sont pas encore
installés et donc inactifs. La plupart des antivirus sont en mesure
d'éliminer les rootkits à ce niveau (en supposant qu'ils détectent
effectivement les fichiers comme infectés).
2. Lorsqu'ils sont inaccessibles aux tests habituels. Les utilisateurs du
système anti-virus ESET bénéficient de la technologie Anti-Stealth
qui permet de détecter et d'éliminer les rootkits en activité.
6.1.5
Logiciels publicitaires
Le terme anglais « adware » désigne les logiciels soutenus par la
publicité. Les programmes qui affichent des publicités tombent
donc dans cette catégorie. Souvent, les logiciels publicitaires ouvrent
automatiquement une nouvelle fenêtre contextuelle contenant
de la publicité dans un navigateur Internet ou modifient la page
de démarrage de ce dernier. Ils sont généralement associés à des
programmes gratuits et permettent à leurs créateurs de couvrir
les frais de développement de leurs applications (souvent utiles).
En soi, les logiciels publicitaires ne sont pas dangereux ; tout au plus
dérangent-ils les utilisateurs par l'affichage de publicités. Le danger
tient dans le fait qu'ils peuvent aussi avoir des fonctions d'espionnage
(comme les logiciels espions).
Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement
attentif au programme d'installation. La plupart des programmes
d'installation vous avertiront en effet qu'ils installent en plus un
programme publicitaire. Souvent, vous pourrez désactiver cette
installation supplémentaire et installer le programme sans logiciel
publicitaire. Cependant, certains programmes refuseront de s'installer
sans leur logiciel publicitaire ou verront leurs fonctionnalités limitées.
Bref, les logiciels publicitaires accèdent souvent au système d'une
manière « légale », dans la mesure où les utilisateurs l'ont accepté.
Dans ce cas, mieux vaut jouer la sécurité.
Les applications potentiellement risquées rentrent dans une classification
utilisée pour les logiciels légitimement commerciaux. Cette classification
comprend les programmes d'accès à distance, les applications de
crackage des mots de passe, ou les keyloggers (programmes qui
enregistrent chaque frappe au clavier de l'utilisateur).
Si vous découvrez qu'une application potentiellement dangereuse est
présente et fonctionne sur votre ordinateur (sans que vous l'ayez installée),
consultez votre administrateur réseau et supprimez l'application.
6.1.8
Applications potentiellement indésirables
Les applications potentiellement indésirables ne sont pas nécessairement
malveillantes, mais elles sont susceptibles d'affecter les performances
de votre ordinateur. Ces applications sont habituellement installées
après consentement. Si elles sont présentes sur votre ordinateur, votre
système se comporte différemment (par rapport à son état avant
l'installation). Les changements les plus significatifs sont :
▪▪ de nouvelles fenêtres que vous n'avez jamais vues s'ouvrent
▪▪ des processus cachés sont activés et exécutés
▪▪ l'utilisation des ressources système est plus importante
▪▪ les résultats de recherche sont modifiés
Si un fichier est identifié comme logiciel publicitaire sur votre
ordinateur, il est recommandé de le supprimer car il contient sans
doute du code malveillant.
▪▪ l'application communique avec des serveurs distants
6.1.6
Il existe diverses techniques permettant à des pirates de mettre en péril
des systèmes distants. Elles se divisent en plusieurs catégories.
Logiciels espions
Cette catégorie englobe toutes les applications qui envoient des
informations confidentielles sans le consentement des utilisateurs
et à leur insu. Elles utilisent des fonctions de traçage pour envoyer
diverses données statistiques telles qu'une liste des sites Web visités,
les adresses e-mail de la liste de contacts de l'utilisateur ou une liste de
touches de frappe enregistrées.
Les auteurs de ces logiciels espions affirment que ces techniques ont
pour but d'en savoir plus sur les besoins et intérêts des utilisateurs afin
de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas
de distinction claire entre les applications utiles et les applications
malveillantes, et que personne ne peut garantir que les informations
récupérées ne seront pas utilisées à des fins frauduleuses. Les données
récupérées par les logiciels espions peuvent être des codes de sécurité,
des codes secrets, des numéros de compte en banque, etc. Les logiciels
espions sont souvent intégrés aux versions gratuites d'un programme
dans le but de générer des gains ou d'inciter à l'achat du logiciel. Les
utilisateurs sont souvent informés de la présence du logiciel espion
au cours de l'installation du programme. On espère ainsi les pousser
à acquérir la version payante qui en est dépourvue.
Parmi les produits logiciels gratuits bien connus qui contiennent des
logiciels espions, on trouve les applications clients de réseaux P2P
(poste à poste) . Spyfalcon ou Spy Sheriff (et beaucoup d'autres)
appartiennent à une sous-catégorie spécifique de logiciels espions :
ils semblent être des programmes anti-logiciel espion alors qu'ils sont
en réalité eux-mêmes des logiciels espions.
Si un fichier est identifié comme logiciel espion sur votre ordinateur, il
est recommandé de le supprimer car il contient sans doute du code
malveillant.
6.1.7
Applications potentiellement dangereuses
Il existe de nombreux programmes authentiques qui permettent de
simplifier l'administration des ordinateurs en réseau. Toutefois, s'ils
tombent entre de mauvaises mains, ces programmes sont susceptibles
d'être utilisés à des fins malveillantes. C'est pourquoi ESET a créé cette
catégorie spéciale. Nos clients ont maintenant la possibilité de choisir
si le système antivirus doit ou non détecter ce type de menaces.
6.2 Types d'attaques distantes
6.2.1
Attaques DoS
L'attaque DoS, ou attaque par déni de service (Denial of Service), est
une tentative de rendre les ressources d'un ordinateur ou d'un réseau
indisponibles pour ses utilisateurs. La communication entre les
utilisateurs affectés est obstruée et ne peut plus continuer normalement.
Les ordinateurs qui ont subi une attaque DoS doivent généralement
redémarrer pour fonctionner correctement.
Le plus souvent, les cibles sont des serveurs Web et l'objectif est de les
rendre inutilisables pendant un certain temps.
6.2.2
Empoisonnement DNS
Avec la méthode d'empoisonnement DNS (Domain Name Server),
les pirates tentent de faire croire au serveur DNS de tout ordinateur
que les fausses données qui leur sont transmises sont légitimes et
authentiques. Ces fausses informations sont ensuite mises en cache
pendant un certain temps, permettant aux agresseurs de réécrire les
réponses DNS des adresses IP. De cette manière, les utilisateurs qui
tentent d'accéder à des sites internet téléchargeront des virus ou des
vers au lieu du contenu original de ces sites.
6.2.3
Attaques de vers
Un ver est un programme contenant un code malveillant qui attaque
les ordinateurs hôtes et se propage via un réseau. Les vers de réseau
exploitent les failles de sécurité de diverses applications. Par le biais
d'Internet, ils peuvent se propager à travers le monde en quelques
heures seulement et parfois même en quelques minutes.
La plupart des attaques de ver (Sasser, SqlSlammer) peuvent être
évitées en utilisant les paramètres de sécurité par défaut du pare-feu
ou en bloquant les ports non protégés et non utilisés. Il est également
essentiel de mettre à jour votre système d'exploitation avec les
correctifs de sécurité les plus récents.
39
6.2.4
Balayage de ports
Le balayage de ports permet de contrôler si les ports de certains
ordinateurs sont ouverts sur un hôte de réseau. Le logiciel utilisé
à cette fin s'appelle le scanneur de port.
exposés à ce type d'attaque arrêtent souvent de répondre ou
redémarrent de manière impromptue.
Pour éviter de telles attaques, nous vous recommandons d'utiliser des
mots de passe ou des clés d'authentification.
Le port d'un ordinateur est un point virtuel qui traite les données
entrantes et sortantes. C'est un point crucial pour la sécurité. Sur un
réseau de grande taille, les informations collectées par le scanneur de
ports peuvent permettre d'identifier les failles potentielles. Cette
utilisation est bien sûr tout à fait légale.
6.2.7
D'un autre côté, le balayage de ports est souvent utilisé par les pirates
qui tentent de compromettre la sécurité. Ils envoient d'abord des
paquets à chaque port. En fonction du type de réponse, il est possible
de déterminer quels ports sont utilisés. Si le balayage lui-même ne
cause aucun dommage, cette activité peut révéler les failles potentielles
et permettre aux pirates de prendre le contrôle d'ordinateurs distants.
Les attaquants distants tentent d'exploiter la faiblesse du protocole
ICMP. Le protocole ICMP est conçu pour les communications à sens
unique n'exigeant pas d'authentification. Ceci permet aux attaquants
distants de déclencher ce qu'on appelle les attaques DoS (Denial of
Service (déni de service)), ou des attaques qui permettent différents
accès non autorisés aux paquets entrants et sortants.
Nous conseillons aux administrateurs du réseau de bloquer tous les
ports non utilisés et de protéger ceux qui sont utilisés des accès non
autorisés.
Le Ping Flood (inonder par flux de ping), l'ICMP_ECHO flood et le smurf
sont des exemples typiques d'attaques ICMP. Les ordinateurs exposés
aux attaques ICMP sont considérablement ralentis (ceci est valable
pour toutes les applications qui utilisent Internet) et ont des
problèmes de connexion Internet.
6.2.5
Désynchronisation TCP
Attaques par protocole ICMP
L'ICMP (Internet Control Message Protocol) est un protocole Internet
très utilisé. Il est surtout utilisé par les ordinateurs en réseau pour
envoyer différents messages d'erreur.
La désynchronisation TCP est une technique utilisée pour les
détournements de session TCP (TCP Hijacking). Elle est déclenchée par
un processus dans lequel le numéro séquentiel de paquets entrants
diffère du numéro attendu. Les paquets dont le numéro séquentiel est
différent de celui attendu sont rejetés (ou enregistrés dans la mémoire
tampon, s'ils sont présents dans la fenêtre de communication active).
6.3
Lorsqu'il y a désynchronisation, les deux extrémités de la communication
rejettent les paquets reçus. C'est ici que les pirates peuvent intervenir
à distance pour infiltrer et fournir des paquets dont le numéro
séquentiel est correct. Les pirates peuvent même manipuler la
communication à l'aide de leurs commandes ou la modifier d'une
autre manière.
Malheureusement, le grand anonymat des courriers électroniques et
Internet a laissé libre champ à beaucoup d'activités illégales telles que
le spamming (c'est le fait d'exposer volontairement un grand nombre
de personnes à un message indésirable). En gros, les spams comprennent
les publicités indésirables, les hoax et les logiciels malveillants. Les
désagréments et le danger pour l'utilisateur ont augmenté tout
simplement par le fait que l'envoi de tels messages ne coûte rien,
et que les auteurs des spam disposent d'outils disponible et prêts
à l'emploi qui peuvent acquérir facilement de nouvelles adresses de
messagerie. En plus, le volume et la variété des spam ne facilite pas la
règlementation. Plus vous utilisez votre adresse de messagerie, plus
vous augmentez la possibilité de tomber dans un moteur de base de
spam. Quelques conseils pour la prévention :
Les détournements de session TCP visent à interrompre les
communications serveur-client ou les communications poste à poste.
De nombreuses attaques peuvent être évitées par l'authentification de
chaque segment TCP. Il est également conseillé d'utiliser les configurations
recommandées pour vos périphériques réseau.
6.2.6
Relais SMB
SMBRelay et SMBRelay2 sont des programmes spéciaux permettant
de mener une attaque contre des ordinateurs distants. Les programmes
tirent parti du protocole de partage de fichiers SMB (Server Message
Block) situé sur NetBIOS. Lorsqu'un utilisateur partage des dossiers ou
répertoires sur un réseau local, il y a de grandes chances qu'il utilise ce
protocole de partage de fichiers.
Au cours des communications sur le réseau local, les empreintes
numériques des mots de passe sont échangées.
SMBRelay reçoit une connexion sur les ports UDP 139 et 445, relaie
les paquets échangés par le client et le serveur, et les modifie. Après
connexion et authentification, le client est déconnecté. SMBRelay crée
une nouvelle adresse virtuelle IP, à laquelle il est possible d'accéder à l'aide
de la commande « net use \\192.168.1.1 ». L'adresse peut ensuite être
utilisée par n'importe quelle fonction de réseau de Windows. SMBRelay
relaie les communications du protocole SMB, sauf la négociation et
l'authentification. Les pirates peuvent utiliser l'adresse IP tant que
l'ordinateur client est connecté.
SMBRelay2 fonctionne selon le même principe que SMBRelay, si ce
n'est qu'il utilise les noms NetBIOS plutôt que les adresses IP. Tous
deux peuvent mener des attaques dites de « l'homme du milieu »
(man-in-the-middle). Ces attaques permettent à des pirates de lire,
d'insérer des données et de modifier à distance les messages échangés
entre deux points de communication sans être remarqué. Les ordinateurs
40
Courrier électronique
Le courrier électronique est une forme de communication moderne
qui offre beaucoup d'avantages. Il est flexible, rapide et direct. Le
courrier électronique a joué un rôle crucial dans l'expansion d'Internet
au début des années 90.
▪▪ Ne publiez pas votre adresse de messagerie sur Internet, si
possible.
▪▪ Ne donnez votre adresse de messagerie qu'à des personnes fiables.
▪▪ N'utilisez pas des pseudonymes communs, si possible – lorsque les
pseudonymes sont compliqués, la probabilité de les traquer
devient faible.
▪▪ Ne répondez pas aux spam qui sont déjà arrivés dans votre boîte
à lettre.
▪▪ Faites attention lorsque vous remplissez des formulaires Internet –
soyez particulièrement attentif aux cases à cocher du type « Oui, je
voudrais recevoir des informations concernant ....dans ma boîte
à lettre ».
▪▪ Utilisez des adresses de messagerie « spécialisées » - ex. une pour
votre travail, une pour communiquer avec vos amis, etc.
▪▪ Changez vos adresses de messagerie de temps en temps.
▪▪ Utilisez une solution antispam.
6.3.1
Publicités
La publicité via Internet est une des formes de publicité les plus en
vogue. La publicité par e-mail utilise le courrier électronique comme
moyen de contact. Ses principaux avantages pour le marketing sont
ses coûts nuls, le caractère très direct et la grande efficacité ; qui plus
est, les messages sont transmis quasi immédiatement. Nombre
d'entreprises utilisent des outils de marketing par e-mail pour
communiquer de manière efficace avec leurs clients et prospects.
Ce mode de publicité est légitime, car l'utilisateur pourrait être
intéressé par la réception d'informations commerciales sur certains
produits. Mais le fait est que de nombreuses entreprises envoient en
masse des messages commerciaux non sollicités. La publicité par
e-mail dépasse alors les limites et devient du spam.
6.3.4
Reconnaissance des spam
Généralement peu d'indicateurs contribuent à identifier les spam
(messages non sollicités) dans une boîte à lettres. Si un message remplit
au moins l'un des critères suivants, il est probablement un spam.
▪▪ l'adresse de l'expéditeur n'est pas sur la liste de vos contacts
▪▪ on vous offre une grande somme d'argent, mais vous devez en
fournir une petite somme avant
▪▪ on vous demande d'entrer, sous divers prétextes (vérification de
données, opérations financières), certaines de vos données
personnelles : numéros de compte en banque ou noms
d'utilisateur et mots de passe.
La quantité de messages publicitaires non sollicités est devenue un
réel problème, car elle ne montre aucun signe d'accalmie. Les auteurs
de messages non sollicités tentent naturellement de déguiser le spam
sous les dehors de messages légitimes. D'autre part, des publicités
légitimes distribuées en grandes quantités peuvent provoquer des
réactions négatives.
▪▪ le message est écrit en langue étrangère
6.3.2
▪▪ quelques mots sont mal écrits pour pouvoir passer à travers le
filtre des spam. Par exemple « vaigra » au lieu de « viagra », etc.
Les hoax
Un hoax est message propagé à travers Internet. Il est envoyé
généralement avec le courrier et parfois par des outils de communication
tels que ICQ et Skype. Le message est souvent une blague ou une
légende urbaine.
Les virus Hoax essaient de provoquer chez les destinataires de la peur,
de l'incertitude et du doute, les amenant à croire qu'ils ont un « virus
indétectable » en train de supprimer tous les fichiers et de récupérer
les mots de passe, ou d'effectuer une activité nuisible sur leur système.
Quelques hoax sont conçus pour provoquer chez les autres des
troubles émotionnels. Les destinataires sont généralement invités
à réacheminer de tels messages à tous leurs contacts, et c'est ce qui
perpétue le cycle de vie des hoax. Même les téléphones portables ont
leurs hoax, les « pleas for help », des personnes vous proposent de vous
envoyer de l'argent de l'étranger, etc. Dans la plus part des cas il est
impossible de traquer l'intention du créateur.
En principe, si un message vous demande de le réacheminer à toutes
vos connaissances, il se pourrait très bien être un hoax. Sur Internet, il
y a beaucoup de sites spécialisés qui peuvent vérifier si un courrier est
légitime ou pas. Faites une recherche sur Internet sur tout message
suspecté d'être un hoax avant de le réacheminer.
6.3.3
Hameçonnage
Le terme d'hameçonnage (phishing en anglais) désigne une activité
frauduleuse utilisant des techniques de piratage psychologique qui
consistent à manipuler les utilisateurs pour obtenir des informations
confidentielles. Son but est d'accéder à des données sensibles, telles
que numéros de comptes bancaires, codes secrets, etc.
La technique consiste généralement à envoyer un message
électronique en se faisant passer pour une personne ou une entreprise
digne de confiance (institution financière, compagnie d'assurance). Le
message peut sembler très authentique et contenir des graphiques et
contenus qui proviennent véritablement de la source dont il se réclame.
On vous demande d'entrer, sous divers prétextes (vérification de
données, opérations financières), certaines de vos données personnelles :
numéros de compte en banque ou noms d'utilisateur et mots de passe.
Toutes ces données, si elles sont soumises, peuvent facilement être
volées et utilisées à des fins illégales.
▪▪ on vous demande d'acheter un produit qui ne vous intéresse pas.
Si vous décidez d'acheter quand même, vérifiez que l'expéditeur du
message est un vendeur sérieux (consultez le fabricant original du
produit).
6.3.4.1
Règles
Dans le contexte des solutions antispams et des clients de messagerie,
les règles sont des outils permettant de manipuler les fonctions de
messagerie. Elles se composent de deux parties logiques :
1.
la condition (par exemple, un message entrant provenant d'une
certaine adresse)
2. l'action (par exemple, la suppression du message ou son
déplacement vers un dossier spécifique).
Le nombre de règles et leurs combinaisons varient en fonction de la
solution antispam. Ces règles servent de protection contre les spams
(messages non sollicités). Exemples caractéristiques :
▪▪ 1. condition : un message entrant contient des mots
habituellement utilisés dans les spams
2. action : supprimer le message
▪▪ 1. condition : un message entrant contient une pièce jointe
comportant l'extension .exe
2. action : supprimer la pièce jointe et livrer le message dans la
boîte aux lettres
▪▪ 1. condition : un message entrant arrive de votre employeur
2. action : déplacer le message dans le dossier « Travail ».
Nous vous recommandons d'utiliser une combinaison de règles des
programmes antispams afin de faciliter l'administration et mieux
filtrer les spams (messages non sollicités).
6.3.4.1
Filtre bayésien
Le filtrage bayésien est une méthode très efficace de filtrage des
messages, utilisée par la plupart des produits antispam. Il permet
d'identifier les messages non sollicités avec un haut degré de précision.
Le filtre bayésien peut s'adapter à chaque utilisateur.
Notez que les banques, compagnies d'assurance et autres sociétés
légales ne demandent jamais de noms d'utilisateur et de mots de
passe dans un message non sollicité.
41
Le principe est le suivant : il y a d'abord une phase d'apprentissage.
L'utilisateur doit désigner un nombre suffisant de messages entrants
comme étant des messages légitimes ou du spam (normalement
200/200). Le filtre analyse les deux catégories et apprend, par exemple,
que le spam contient généralement des mots tels que « rolex » ou
« viagra », tandis que les messages légitimes sont envoyés par des
parents ou à partir d'adresses de la liste de contacts de l'utilisateur.
Si un grand nombre de messages sont traités, le filtre bayésien peut
affecter un certain « indice de spam » à chaque message et déterminer
s'il est ou non un spam.
Le principal avantage est sa souplesse. Par exemple, si un utilisateur
est biologiste, tous les messages entrants concernant la biologie ou
des champs d'étude apparentés recevront généralement un indice
de probabilité moindre. Si un message comprend des mots qui le
classeraient comme non sollicités mais est envoyé par un membre de
la liste de contacts, il sera marqué comme légitime dans la mesure où
les expéditeurs d'une liste de contacts réduisent la probabilité générale
qu'il s'agisse d'un spam.
6.3.4.2
Liste blanche
En général, une liste blanche est une liste d'éléments ou de personnes
qui ont été acceptées ou ont obtenu une autorisation d'accès. Le terme
« liste blanche de messagerie » définit une liste de contacts dont
l'utilisateur désire recevoir les messages. Ces listes blanches sont
basées sur des mots-clés recherchés pour une adresse électronique,
des noms de domaines ou des adresses IP.
Si une liste blanche fonctionne en « mode exclusif », les messages de
toutes les autres adresses, domaines ou adresses IP seront écartés.
Si elle fonctionne en mode non exclusif, ces messages ne seront pas
supprimés, mais filtrés d'une autre façon.
Une liste blanche fonctionne sur le principe opposé d'une liste noire.
Les listes blanches sont relativement faciles à maintenir, plus que
les listes noires. Pour un meilleur filtrage des spams, nous vous
recommandons d'utiliser des listes blanches et des listes noires.
6.3.4.3
Liste noire
Généralement, une liste noire est une liste d'éléments ou de personnes
non acceptées ou interdites. Dans le monde virtuel, c'est une technique
qui permet d'accepter des messages de tous les utilisateurs qui ne
figurent pas sur cette liste.
Il existe deux types de listes noires. D'une part, les utilisateurs peuvent
créer leur propre liste noire dans leur programme antispam. D'autre
part, on peut trouver sur Internet de nombreuses listes noires
professionnelles régulièrement mises à jour, créées par des institutions
spécialisées.
Une liste noire repose sur le principe opposé à celui d'une liste blanche.
Il est essentiel d'utiliser des listes noires pour bloquer efficacement le
spam, mais ces listes très difficiles à tenir à jour car de nouveaux éléments
à bloquer apparaissent jour après jour. Nous recommandons d'utiliser
à la fois la liste blanche et la liste noire pour mieux filtrer le spam.
42
6.3.4.5
Contrôle côté serveur
Le contrôle côté serveur est une technique permettant d'identifier le
spam de masse d'après le nombre de messages reçus et les réactions
des utilisateurs. Chaque message laisse sur le serveur une empreinte
numérique unique en fonction de son contenu. En fait, c'est un
numéro d'identification unique qui ne dit rien sur le contenu du
message. Deux messages identiques auront une empreinte identique,
alors que des messages différents auront une empreinte différente.
Si un message est marqué comme spam, son empreinte est envoyée
au serveur. Si le serveur reçoit plusieurs empreintes identiques
(correspondant à un certain message de spam), cette empreinte
est stockée dans la base d'empreintes de spam. Lorsqu'il analyse
des messages entrants, le programme envoie les empreintes de ces
messages au serveur. Le serveur renvoie des informations indiquant
quelles empreintes correspondent à des messages déjà identifiés
comme spam par d'autres utilisateurs.
">