ESET Glossary Manuel du propriétaire

ESET Glossary
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Copyright ©2023 d'ESET, spol. s r.o.
ESET Glossary a été développé par ESET, spol. s r.o.
Pour plus d’informations, consultez le site https://www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de
restitution ou transmise sous quelque forme ou par quelque moyen que ce soit (électronique, mécanique,
photocopie, enregistrement, numérisation ou autre) sans l’autorisation écrite de l’auteur.
ESET, spol. s r.o. se réserve le droit de modifier les logiciels décrits sans préavis.
Assistance technique : https://support.eset.com
RÉV. 19/04/2023
1 Présentation du glossaire ESET ......................................................................................................... 1
1.1 Logiciels publicitaires ................................................................................................................. 1
1.2 Botnet ....................................................................................................................................... 1
1.3 Faux positif (FP) ......................................................................................................................... 2
1.4 Installeur ................................................................................................................................... 2
1.5 Applications potentiellement dangereuses .................................................................................... 2
1.6 Applications potentiellement indésirables ..................................................................................... 2
1.7 Ransomware .............................................................................................................................. 7
1.8 Rootkit ...................................................................................................................................... 7
1.9 ROP (Return-oriented programming) ............................................................................................ 8
1.10 Spyware .................................................................................................................................. 8
1.11 Cheval de Troie ......................................................................................................................... 8
1.12 Virus ....................................................................................................................................... 9
1.13 Ver .......................................................................................................................................... 9
1.14 Credential stuffing (bourrage d'identifiants) .............................................................................. 10
1.15 Empoisonnement DNS ............................................................................................................. 10
1.16 Attaque DoS ........................................................................................................................... 10
1.17 Attaque par protocole ICMP ..................................................................................................... 10
1.18 Balayage de ports ................................................................................................................... 11
1.19 Relais SMB ............................................................................................................................. 11
1.20 Désynchronisation TCP ............................................................................................................ 12
1.21 Attaque de ver ....................................................................................................................... 12
1.22 Empoisonnement du cache ARP (ARP Cache Poisoning) ............................................................... 12
2 Menaces liées aux e-mails .............................................................................................................. 12
2.1 Publicités ................................................................................................................................ 13
2.2 Canulars .................................................................................................................................. 13
2.3 Hameçonnage .......................................................................................................................... 14
2.4 Reconnaissance du courrier indésirable ...................................................................................... 14
2.4 Règles ................................................................................................................................. 14
2.4 Liste blanche .......................................................................................................................... 15
2.4 Liste noire ............................................................................................................................. 15
2.4 Exception .............................................................................................................................. 16
2.4 Contrôle côté serveur ................................................................................................................. 16
2.5 Scanner de mémoire avancé ...................................................................................................... 16
2.6 Protection des transactions bancaires ........................................................................................ 16
2.7 Protection anti-botnet ............................................................................................................... 17
2.8 DNA Detections ........................................................................................................................ 17
2.9 ESET LiveGrid® ........................................................................................................................ 18
2.10 Bloqueur d'exploit ................................................................................................................... 19
2.11 Bloqueur d'exploit Java ............................................................................................................ 19
2.12 ESET LiveSense ...................................................................................................................... 19
2.13 Apprentissage machine ........................................................................................................... 20
2.14 Protection contre les attaques réseau ....................................................................................... 21
2.15 Bouclier anti-ransomwares ...................................................................................................... 21
2.16 Protection contre les attaques basées sur des scripts ................................................................. 21
2.17 Navigateur sécurisé ................................................................................................................ 21
2.18 Analyseur UEFI ....................................................................................................................... 22
2.19 Fichier Canary ........................................................................................................................ 22
2.20 Blocage ................................................................................................................................. 23
Présentation du glossaire ESET
Le glossaire ESET donne un aperçu complet des menaces actuelles et des technologies ESET qui vous protègent
contre celles-ci.
Les thèmes abordés sont organisés en chapitres :
• Détections : il s'agit notamment des virus informatiques, des vers, des chevaux de Troie, des applications
potentiellement indésirables, etc.
• Attaques distantes : il s'agit des menaces qui ont lieu sur des réseaux locaux ou Internet.
• Menaces liées aux e-mails : il s'agit notamment des menaces suivantes : canulars, hameçonnage, scam, et
ainsi de suite.
• Technologies ESET : il s'agit des fonctionnalités de produit disponibles dans les solutions de sécurité ESET.
Logiciels publicitaires
Le terme anglais « adware » désigne les logiciels soutenus par la publicité. Les programmes qui affichent des
publicités entrent donc dans cette catégorie. Les logiciels publicitaires ouvrent généralement une nouvelle
fenêtre contextuelle automatiquement dans un navigateur Internet. Cette fenêtre contient de la publicité ou
modifie la page de démarrage du navigateur. Ils sont généralement associés à des programmes gratuits et
permettent aux développeurs de couvrir les frais de développement de leurs applications (souvent utiles).
Les logiciels publicitaires en tant que tels ne sont pas dangereux ; ils dérangent simplement les utilisateurs en
affichant des publicités. Le danger réside dans le fait qu'ils peuvent également avoir des fonctions d'espionnage
(comme les logiciels espions).
Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement attentif au programme d'installation. La
plupart des programmes d'installation vous avertissent en effet qu'ils installent également un programme
publicitaire. Dans la plupart des cas, vous pourrez désactiver cette installation supplémentaire et installer le
programme sans logiciel publicitaire.
Certains programmes refusent de s'installer sans leur logiciel publicitaire ou voient leurs fonctionnalités limitées.
Cela signifie que les logiciels publicitaires accèdent souvent au système de manière « légale », dans la mesure où
les utilisateurs l'ont accepté. Dans ce cas, il est préférable de procéder avec prudence. Si un logiciel publicitaire
est détecté sur votre ordinateur, il est conseillé de le supprimer, car il est fort probable qu'il contienne du code
malveillant.
Botnet
Un bot ou robot web est un programme malveillant automatisé qui analyse des blocs d'adresses réseau et infecte
les ordinateurs vulnérables. Cela permet aux pirates de prendre le contrôle de nombreux ordinateurs
simultanément et de les transformer en bots (également appelés zombies). Les pirates utilisent généralement des
bots pour infecter un grand nombre d'ordinateurs, qui constituent un réseau ou botnet. Une fois que le botnet
est dans votre ordinateur, il peut être utilisé dans des attaques par déni de service distribué (DDoS) ainsi
qu'exploité pour exécuter des tâches automatiques sur Internet, à votre insu (par exemple l'envoi de courrier
indésirables, de virus ou le vol d'informations personnelles et privées, telles que des informations d'identification
1
bancaires ou des numéros de carte de crédit).
Faux positif (FP)
De façon réaliste, rien ne garantit un taux de détection de 100 %, ni une chance de 0 % d'éviter une catégorisation
incorrecte des objets non infectés en tant que détections.
Un faux positif est une application ou un fichier non infecté qui est incorrectement classé comme logiciel
malveillant ou application potentiellement indésirable.
Installeur
L'installateur est un fichier exécutable auto-extractible qui regroupe plusieurs genres de logiciels malveillants
dans un seul package.
Les installateurs les plus courants sont UPX, PE_Compact, PKLite et ASPack. Le même logiciel malveillant peut être
détecté différemment lorsqu'il est compressé à l'aide d'un installateur différent. Les installateurs sont capables de
faire muter leur « signature » au fil du temps, les logiciels malveillants deviennent ainsi plus difficiles à détecter et
à éliminer.
Applications potentiellement dangereuses
Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en
réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des
fins malveillantes. ESET permet de détecter ces applications.
Applications potentiellement dangereuses est la classification utilisée pour les logiciels commerciaux légitimes.
Cette classification comprend les programmes d'accès à distance, les applications de résolution de mot de passe
ou les keyloggers (programmes qui enregistrent chaque frappe au clavier de l'utilisateur).
Si vous découvrez qu'une application potentiellement dangereuse est présente et fonctionne sur votre ordinateur
(sans que vous ne l'ayez installée), consultez l'administrateur réseau ou supprimez l'application.
Applications potentiellement indésirables
Un grayware (ou application potentiellement indésirable) est un type de logiciel dont l'objectif n'est pas
nécessairement malveillant, contrairement à d'autres types de logiciels malveillants comme les virus et les
chevaux de Troie. Il peut toutefois installer d'autres logiciels non souhaités, modifier le comportement de
l'appareil numérique, ou effectuer des activités non approuvées ou non attendues par l'utilisateur.
Cette catégorie comprend : logiciels qui affichent des publicités, wrappers de téléchargement, diverses barres
d'outils de navigateur, logiciels avec un comportement trompeur, bundleware, trackware, proxyware
(applications de partage Internet) crypto-miners, nettoyeurs de registre (systèmes d'exploitation Windows
uniquement) ou tout autre logiciel limite ou logiciel qui utilise des pratiques commerciales illicites ou contraires à
l'éthique (bien qu'il apparaisse légitime) et peut être considéré comme indésirable par un utilisateur final.
Une application potentiellement dangereuse peut être légitime (application commerciale), mais elle peut être mal
utilisée par un attaquant. La détection de ces types d'applications peut être activée ou désactivée par les
2
utilisateurs des logiciels ESET.
Dans certains cas, un utilisateur peut estimer que les avantages offerts par une application potentiellement
indésirable dépassent de loin les risques. Pour cette raison, ESET classe les applications de ce type dans une
catégorie à faible risque par rapport aux autres types de logiciels malveillants (chevaux de Troie ou vers, par
exemple).
• Avertissement : détection d'applications potentiellement indésirables
• Paramètres
• Wrappers logiciels
• Nettoyeurs de registre
• Contenu potentiellement indésirable
Instructions illustrées
Pour rechercher des applications potentiellement indésirables et les supprimer dans les produits ESET
Windows pour les particuliers, consultez cet article de la base de connaissances ESET.
Avertissement : détection d'applications potentiellement indésirables
Lorsqu'une application potentiellement indésirable est détectée, vous pouvez choisir l'action à exécuter :
1.Nettoyer/Déconnecter : cette option met fin à l'action et empêche l'application potentiellement
indésirable de pénétrer dans le système.
L'option Déconnecter s'affiche pour les notifications d'applications potentiellement indésirables lors du
téléchargement depuis un site Web. L'option Nettoyer apparaît pour les notifications d'un fichier sur le
disque.
2.Ignorer : cette option permet à une application potentiellement indésirable de pénétrer dans le système.
3.Exclure de la détection : pour permettre l'exécution sans interruption du fichier détecté se trouvant déjà
sur l'ordinateur, cliquez sur Options avancées, puis cochez la case en regard de l'option Exclure de la
détection et cliquez sur Ignorer.
4.Exclure la signature de la détection : pour permettre à l'avenir l'exécution sans interruption sur votre
ordinateur de tous les fichiers identifiés par un nom de détection spécifique (signature) (fichiers existants
ou téléchargement Web), cliquez sur Options avancées, cochez la case en regard de l'option Exclure la
signature de la détection et cliquez sur Ignorer. Si des fenêtres de détection supplémentaires avec un nom
de détection identique sont affichées immédiatement après, cliquez sur Ignorer pour les fermer (toute
fenêtre supplémentaire est liée à une détection survenue avant que vous ayez exclu la signature de la
détection).
3
Paramètres
Lorsque vous installez votre produit ESET, vous pouvez choisir d'activer ou non la détection des applications
potentiellement indésirables, comme illustré ci-dessous:
Avertissement
Les applications potentiellement indésirables peuvent installer des logiciels publicitaires et des barres
d'outils ou contenir d'autres fonctionnalités indésirables ou dangereuses.
Ces paramètres peuvent être modifiés à tout moment dans les paramètres du programme. Pour activer ou
4
désactiver la détection des applications potentiellement indésirables, dangereuses ou suspectes, procédez
comme suit :
1. Ouvrez votre produit ESET.
2. Appuyez sur la touche F5 pour accéder à Configuration avancée.
3. Cliquez sur Moteur de détection (Antivirus ou Ordinateur dans les versions précédentes), puis activez ou
désactivez les options Activer la détection des applications potentiellement indésirables, Activer la détection
d'applications potentiellement dangereuses et Activer la détection d'applications suspectes, selon vos
préférences. Cliquez ensuite sur OK pour confirmer.
Instructions illustrées
Pour obtenir des instructions plus détaillées pour configurer des produits afin de détecter ou ignorer les
applications potentiellement indésirables, consultez les articles de la base de connaissances ESET suivants :
• ESET NOD32 Antivirus / ESET Internet Security / ESET Smart Security Premium
• ESET Cyber Security pour macOS / ESET Cyber Security Pro pour macOS
• ESET Endpoint Security / ESET Endpoint Antivirus for Windows
• ESET Mobile Security pour Android
Wrappers logiciels
Un wrapper logiciel est un type spécial de modification d'application qui est utilisé par certains sites web
d'hébergement de fichiers. Il s'agit d'un outil tiers qui installe le programme que vous avez téléchargé tout en
ajoutant d'autres logiciels comme des barres d'outils ou des logiciels publicitaires. Les autres logiciels peuvent
également apporter des modifications à la page d'accueil de votre navigateur web et aux paramètres de
5
recherche. De plus, les sites web d'hébergement de fichiers n'avertissent pas l'éditeur ou le destinataire du
téléchargement que des modifications ont été apportées et masquent souvent les options d'annulation. Pour ces
raisons, ESET classe les wrappers logiciels comme un type d'application potentiellement indésirable afin que les
utilisateurs puissent accepter ou non de les télécharger.
Nettoyeurs de registre
Les nettoyeurs de registre sont des programmes pouvant suggérer que la base de données de registre de
Windows requiert une maintenance ou un nettoyage régulier. L'utilisation d'un nettoyeur de registre peut
introduire des risques au sein du système de votre ordinateur. De plus, certains nettoyeurs de registre font des
déclarations non confirmées impossibles à vérifier quant à leurs avantages et/ou génèrent des rapports
concernant le système d'un ordinateur reposant sur les résultats d'une « analyse gratuite ». Ces déclarations et
rapports trompeurs sont destinés à vous convaincre d'acheter la version complète ou un abonnement,
généralement sans vous permettre d'évaluer le nettoyeur de registre avant paiement. C'est pour ces raisons
qu'ESET classe de tels programmes comme des programmes potentiellement indésirables et propose de les
autoriser ou de les bloquer.
Contenu potentiellement indésirable
Si la détection des programmes potentiellement indésirables est activée dans votre produit ESET, les sites Web
ayant la réputation de faire la promotion de programmes potentiellement indésirables ou de tromper les
utilisateurs en les incitant à réaliser des actions susceptibles d'avoir une incidence négative sur leur système ou
leur expérience de navigation seront bloqués en tant que contenu potentiellement indésirable. Si vous recevez
une notification indiquant qu'un site Web que vous essayez de visiter est catégorisé comme un contenu
potentiellement indésirable, vous pouvez cliquer sur Retour pour quitter la page Web bloquée ou sur Ignorer et
continuer pour autoriser le site à se charger.
6
Vous trouverez des informations supplémentaires sur ce sujet dans cet article de la base de connaissances ESET.
Ransomware
Un ransomware (également appelé filecoder) est un type de logiciel malveillant qui verrouille votre appareil ou
chiffre le contenu de celui-ci et vous extorque de l'argent pour restaurer l'accès à votre contenu. Ce type de
logiciel malveillant peut également comporter un minuteur intégré avec un délai de paiement préprogrammé à
respecter. Si le délai n'est pas respecté, le montant augmente ou l'appareil devient inaccessible.
Lorsque l'appareil est infecté, le filecoder peut tenter de chiffrer les lecteurs partagés sur l'appareil. Ce processus
peut donner l'impression que le logiciel malveillant se propage sur le réseau, mais ce n'est pas le cas. Cette
situation se produit lorsque le lecteur partagé sur un serveur de fichiers est chiffré, mais que le serveur ne
contient pas de logiciel malveillant (sauf s'il s'agit d'un serveur Terminal Server).
Les créateurs d'un ransomware génèrent une paire de clés, publique et privée, et insèrent la clé publique dans le
logiciel malveillant. Le ransomware peut faire partie d'un cheval de Troie ou peut sembler être un fichier ou une
image que vous pourriez recevoir par e-mail, via des réseaux sociaux ou par messagerie instantanée. Après avoir
infiltré votre ordinateur, le logiciel malveillant génère une clé symétrique aléatoire et chiffre les données sur
l'appareil. Il utilise la clé publique contenue dans le logiciel malveillant pour chiffrer la clé symétrique. Le
ransomware demande alors de verser une somme d'argent pour déchiffrer les données. Le message de demande
de paiement affiché sur l'appareil peut constituer un faux avertissement selon lequel votre système a été utilisé
pour des activités illégales ou contient un contenu illégal. Il est demandé à la victime du ransomware de payer la
rançon à l'aide de diverses méthodes de paiement. Les options sont généralement celles qui sont difficiles à
détecter, telles que les monnaies numériques (crypto), les SMS à tarif majoré ou les bons prépayés. Après avoir
reçu le paiement, le créateur du ransomware doit déverouiller l'appareil ou utiliser sa clé privée pour déchiffrer la
clé symétrique et les données de la victime. Cette opération n'est toutefois pas garantie.
Informations supplémentaires sur la protection contre les ransomwares
Les produits ESET utilisent plusieurs technologies multicouches qui protègent les appareils contre les
ransomwares. Pour connaître les meilleures pratiques afin de protéger votre système contre les
ransomwares, consultez cet article de la base de connaissances ESET.
Rootkit
Les rootkits sont des programmes malveillants qui procurent aux pirates un accès illimité à un système tout en
dissimulant leur présence. Après avoir accédé au système (généralement en exploitant une faille), les rootkits
utilisent des fonctions du système d'exploitation pour se protéger des logiciels antivirus : ils dissimulent des
processus, des fichiers et des données de la base de registre Windows. Pour cette raison, il est presque impossible
de les détecter à l'aide des techniques de test ordinaires.
Il existe deux niveaux de détection permettant d'éviter les rootkits :
1.Lorsqu'ils essaient d'accéder au système : Ils ne sont pas encore installés et donc inactifs. La plupart des
antivirus sont en mesure d'éliminer les rootkits à ce niveau (en supposant qu'ils détectent effectivement les
fichiers comme infectés).
2.Lorsqu'ils sont inaccessibles aux tests habituels : les utilisateurs ESET bénéficient de la technologie AntiStealth qui permet de détecter et d'éliminer les rootkits en activité.
7
ROP (Return-oriented programming)
La ROP (Return-oriented programming) est une attaque typique de réutilisation de code, où un attaquant redirige
le flux de contrôle à travers le code existant avec un résultat malveillant. L'attaque ROP représente une version
avancée d'une attaque par débordement de pile. Un débordement de tampon de pile se produit lorsqu'un
programme écrit à une adresse mémoire sur la pile des appels du programme en dehors de la structure de
données prévue, généralement avec un tampon de longueur fixe.
La ROP est une technique d'exploitation qui permet l'exécution de code sur le système cible. En obtenant le
contrôle de la pile des appels, l'attaquant contrôle le flux du logiciel approuvé existant qui s'exécute sur
l'ordinateur et le manipule pour exécuter une tâche autre que celle prévue.
Logiciels espions
Cette catégorie englobe toutes les applications qui envoient des informations confidentielles sans le
consentement des utilisateurs et à leur insu. Les logiciels espions utilisent des fonctions de traçage pour envoyer
diverses données statistiques telles que la liste des sites Web visités, les adresses e-mail de la liste de contacts de
l'utilisateur ou la liste des touches du clavier utilisées.
Les auteurs de ces logiciels espions affirment que ces techniques ont pour but d'en savoir plus sur les besoins et
intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction
claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les
informations récupérées ne sont pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels
espions peuvent être des codes de sécurité, des codes secrets, des numéros de compte bancaire, etc. Les logiciels
espions sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou
d'inciter à l'achat du logiciel. Les utilisateurs sont souvent informés de la présence d'un logiciel espion au cours de
l'installation d'un programme qui vise à les inciter à acquérir la version payante qui en est dépourvue.
Parmi les produits logiciels gratuits bien connus qui contiennent des logiciels espions, on trouve les applications
clients de réseaux P2P (poste à poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une souscatégorie spécifique de logiciels espions : ils semblent être des programmes antispyware alors qu'ils sont en
réalité eux-mêmes des logiciels espions.
Si un fichier est détecté comme logiciel espion sur votre ordinateur, il est préférable de le supprimer, car il est fort
probable qu'il contienne du code malveillant.
En tant que sous-catégorie de spywares, les enregistreurs de frappe peuvent être matériels ou logiciels. Les
enregistreurs de frappe logiciels ne peuvent collecter que les informations saisies sur un seul site Web ou dans
une seule application. Les enregistreurs de frappe plus sophistiqués peuvent enregistrer tout ce que vous tapez, y
compris les informations que vous copiez/collez. Certains enregistreurs de frappe ciblant les appareils mobiles
peuvent enregistrer des appels, des informations provenant d'applications de messagerie, des lieux, voire des
captures de micro et de caméra.
Cheval de Troie
Les chevaux de Troie ont été définis comme une catégorie de menaces dont la particularité est de se présenter
comme des programmes utiles pour duper ensuite les utilisateurs qui acceptent de les exécuter.
La catégorie étant très vaste, elle est souvent divisée en plusieurs sous-catégories :
8
• Téléchargeur – Programmes malveillants qui sont en mesure de télécharger d'autres menaces sur
Internet.
• Dropper – Programmes malveillants qui sont en mesure de déposer d'autres types de logiciels malveillants
sur des ordinateurs infectés.
• Backdoor – Programmes malveillants qui communiquent avec des pirates distants, leur permettant
d'accéder à l'ordinateur et d'en prendre le contrôle.
• Keylogger – Programme qui enregistre chaque touche sur laquelle tape l'utilisateur et envoie les
informations aux pirates.
• Composeur – Programmes malveillants destinés à se connecter à des numéros surtaxés au lieu du
fournisseur de services Internet de l'utilisateur. Il est presque impossible qu'un utilisateur remarque la
création d'une nouvelle connexion. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant
des modems par ligne commutée, qui sont de moins en moins utilisés.
Si un fichier est identifié comme cheval de Troie sur votre ordinateur, il est recommandé de le supprimer, car il
est fort probable qu'il ne contienne rien d'autre que du code malveillant.
Virus
Un virus d'ordinateur est un fragment de code malveillant ajouté à des fichiers qui sont sur votre ordinateur. Les
virus informatiques sont comparables aux virus biologiques parce qu'ils utilisent des techniques similaires pour se
propager d'un endroit à un autre. Le terme « virus » est quant à lui souvent utilisé de manière abusive pour
décrire tout type de menace. On tend à le remplacer progressivement par le terme « logiciel malveillant » ou
« malware » en anglais.
Les virus informatiques attaquent principalement les fichiers et documents exécutables. En bref, un virus
informatique fonctionne de la manière suivante : après l'exécution d'un fichier infecté, le code malveillant est
appelé et exécuté avant l'exécution de l'application originale. Un virus peut infecter tous les fichiers pour lesquels
l'utilisateur a des droits d'écriture.
Les virus peuvent varier en fonction de leur gravité et de leur cible. Certains sont extrêmement dangereux parce
qu'ils ont la capacité de supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas
de réels dommages : ils ne servent qu'à gêner l'utilisateur et à démontrer les compétences techniques de leurs
auteurs.
Si votre ordinateur est infecté par un virus et qu'il est impossible de le nettoyer, soumettez-le au laboratoire de
recherche ESET pour examen. Dans certains cas, les fichiers infectés peuvent avoir subi des modifications telles,
qu'il est impossible de les nettoyer. Il faut alors les remplacer par une copie propre.
Ver
Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se propage via un
réseau. La différence fondamentale entre les virus et les vers réside dans le fait que les vers ont la capacité de se
propager par eux-mêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Les vers se
propagent par l'intermédiaire des adresses de messagerie de votre liste de contacts ou exploitent les
vulnérabilités de sécurité des applications réseau.
Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Par le biais d'Internet, ils peuvent
9
se propager à travers le monde en quelques heures seulement et parfois en quelques minutes. Leur capacité à se
répliquer indépendamment et rapidement les rend plus dangereux que les autres types de programmes
malveillants.
Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers,
dégrader les performances du système ou même désactiver certains programmes. Par nature, il peut servir de
« moyen de transport » à d'autres types d'infiltrations.
Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés, car ils contiennent
probablement du code malveillant.
Credential stuffing (bourrage d'identifiants)
Le « Credential stuffing » (bourrage d'identifiants) est une cyberattaque qui utilise les données provenant de
bases de données d'identifiants divulguées. Les attaquants utilisent des bots et d'autres méthodes
d'automatisation pour se connecter à des comptes sur de nombreux sites web à l'aide des données divulguées.
Les attaquants profitent des utilisateurs qui utilisent leurs identifiants de connexion sur plusieurs sites web et
services. Lorsque l'attaque réussit, les attaquants peuvent obtenir un accès complet au compte et aux données
des utilisateurs stockées dans ce compte. Ils peuvent exploiter cet accès pour voler des données personnelles à
des fins d'usurpation d'identité, de transactions frauduleuses, de distribution de courrier indésirable ou d'autres
actions malveillantes.
Empoisonnement DNS
En utilisant l'empoisonnement DNS, les pirates peuvent faire croire au serveur DNS de tout ordinateur que les
fausses données qui leur sont transmises sont légitimes et authentiques. Ces fausses informations sont ensuite
mises en cache pendant un certain temps, ce qui permet aux attaquants de réécrire les réponses DNS des
adresses IP. De cette manière, les utilisateurs qui tentent d'accéder à des sites internet téléchargeront des virus
ou des vers au lieu du contenu original de ces sites.
Attaque DoS
L'attaque DoS, ou attaque par déni de service, vise à rendre un ordinateur ou un réseau indisponible pour ses
utilisateurs. La communication entre les utilisateurs affectés est obstruée et ne peut plus continuer normalement.
Les ordinateurs qui ont subi une attaque DoS doivent généralement redémarrer pour fonctionner correctement.
Dans la plupart des cas, le déni de service cible les serveurs Web et cherche à les rendre inutilisables pendant un
certain temps.
Attaque par protocole ICMP
ICMP (Internet Control Message Protocol) est un protocole Internet populaire et largement utilisé. Il est
essentiellement utilisé par des ordinateurs en réseau pour envoyer divers messages d'erreur.
Les attaquants distants tentent d'exploiter la faiblesse du protocole ICMP. Le protocole ICMP est conçu pour les
communications à sens unique n'exigeant pas d'authentification. Ceci permet aux attaquants distants de
déclencher des « attaques DoS » (Denial of Service (déni de service)). Il s'agit d'attaques qui permettent aux
personnes non autorisées d'accéder à des paquets entrants et sortants.
10
Le Ping Flood (inondation par flux de ping), l'ICMP_ECHO flood et le smurf sont des exemples typiques d'attaques
ICMP. Les ordinateurs exposés aux attaques ICMP sont considérablement ralentis (ceci est valable pour toutes les
applications qui utilisent Internet) et ont des problèmes de connexion Internet.
Balayage de ports
Le balayage de ports permet de déterminer les ports ouverts sur un ordinateur ou un hôte du réseau. Le logiciel
utilisé à cette fin s'appelle scanneur de ports.
Le port d'un ordinateur est un point virtuel qui traite les données entrantes et sortantes. C'est un point crucial
pour la sécurité. Sur un réseau de grande taille, les informations collectées par le scanneur de ports peuvent
permettre d'identifier les failles potentielles. Cette utilisation est bien sûr tout à fait légale.
Néanmoins, le balayage de ports est souvent utilisé par les pirates qui tentent de compromettre la sécurité. Ils
envoient d'abord des paquets à chaque port. En fonction du type de réponse, ils parviennent à déterminer les
ports qui sont utilisés. Si le balayage lui-même ne cause aucun dommage, cette activité peut révéler les failles
potentielles et permettre aux pirates de prendre le contrôle d'ordinateurs distants.
Nous conseillons aux administrateurs du réseau de bloquer tous les ports non utilisés et de protéger ceux qui sont
utilisés des accès non autorisés.
Relais SMB
SMB Relay et SMB Relay 2 sont des programmes spéciaux permettant de mener une attaque contre des
ordinateurs distants. Les programmes tirent parti du protocole de partage de fichiers SMB (Server Message Block)
situé sur NetBIOS. Lorsqu'un utilisateur partage des dossiers ou répertoires sur un réseau local, il utilise très
probablement ce protocole de partage de fichiers.
Au cours des communications sur le réseau local, les empreintes numériques des mots de passe sont échangées.
SMB Relay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés par le client et le
serveur, et les modifie. Après connexion et authentification, le client est déconnecté. SMB Relay crée une
nouvelle adresse virtuelle IP. Il est possible d'y accéder à l'aide de la commande "net use \\192.168.1.1". L'adresse
peut ensuite être utilisée par n'importe quelle fonction de réseau de Windows. SMB Relay relaie les
communications du protocole SMB, sauf la négociation et l'authentification. Les pirates peuvent utiliser l'adresse
IP tant que l'ordinateur client est connecté.
SMB Relay 2 fonctionne selon le même principe que SMB Relay, si ce n'est qu'il utilise les noms NetBIOS plutôt
que les adresses IP. Les deux programmes peuvent mener des attaques de type « man-in-the-middle ». Ces
attaques permettent à des pirates de lire, d'insérer des données et de modifier à distance les messages échangés
entre deux points de communication sans être remarqués. Les ordinateurs exposés à ce type d'attaque arrêtent
souvent de répondre ou redémarrent de manière impromptue.
Pour éviter de telles attaques, nous vous recommandons d'utiliser des mots de passe ou des clés
d'authentification.
11
Désynchronisation TCP
La désynchronisation TCP est une technique utilisée dans les attaques de piratage TCP. Elle est déclenchée par un
processus qui associe aux paquets entrants un numéro séquentiel différent du numéro attendu. Ces paquets sont
alors rejetés (ou enregistrés en mémoire tampon, s'ils se trouvent dans la fenêtre de communication active).
Lorsqu'il y a désynchronisation, les deux extrémités de la communication refusent les paquets reçus. C'est ici que
les pirates peuvent intervenir à distance pour infiltrer et fournir des paquets dont le numéro séquentiel est
correct. Les pirates peuvent même manipuler ou modifier la communication.
Les détournements de session TCP visent à interrompre les communications serveur-client ou les communications
poste à poste. De nombreuses attaques peuvent être évitées par l'authentification de chaque segment TCP. Il est
également conseillé d'utiliser les configurations recommandées pour vos périphériques réseau.
Attaque de ver
Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se propage via un
réseau. Les vers de réseau exploitent les failles de sécurité de diverses applications. Par le biais d'Internet, ils
peuvent se propager à travers le monde en quelques heures seulement
La plupart des attaques de ver (Sasser, SqlSlammer) peuvent être évitées en utilisant les paramètres de sécurité
par défaut du pare-feu ou en bloquant les ports non protégés et non utilisés. Il est également essentiel
d'appliquer les derniers correctifs de sécurité au système d'exploitation.
Empoisonnement du cache ARP (ARP Cache Poisoning)
Le protocole ARP (Address Resolution Protocol) assure la traduction entre les adresses de la couche liaison de
données (adresses MAC) et de la couche réseau (adresses IP). Une attaque par empoisonnement du cache ARP
permet aux attaquants d'intercepter les communications entre les appareils du réseau en corrompant les tables
ARP du réseau (mappages des appareils MAC vers IP).
L'attaquant envoie un faux message de réponse ARP à la passerelle réseau par défaut, informant que l'adresse
MAC est associée à l'adresse IP d'une autre cible. Lorsque la passerelle par défaut reçoit ce message et diffuse les
modifications à tous les autres appareils du réseau, tout le trafic de la cible vers tout autre appareil du réseau
passe par l'ordinateur de l'attaquant. Cette action permet à l'attaquant d'inspecter ou de modifier le trafic avant
de le transférer vers la destination prévue.
Menaces liées aux e-mails
L'e-mail est une forme de communication qui offre beaucoup d'avantages.
Malheureusement, le grand anonymat des e-mails et Internet a laissé libre champ aux activités illégales telles que
le « spamming » (le fait d'envoyer des messages indésirables à un grand nombre de personnes). Les courriers
indésirables comprennent les publicités indésirables, les canulars et les logiciels malveillants. Les désagréments et
le danger augmentent, car l'envoi de tels messages ne coûte rien et les auteurs de courrier indésirable disposent
de nombreux outils qui leur permettent de se procurer facilement de nouvelles adresses e-mail. Par ailleurs, le
volume et la variété du courrier indésirable ne facilitent pas la réglementation. Plus vous utilisez votre adresse email, plus vous augmentez la possibilité d'aboutir dans un moteur de base de données de courrier indésirable.
12
Voici quelques conseils de prévention :
• Évitez de publier votre adresse e-mail sur Internet.
• Ne donnez votre adresse de messagerie qu'à des personnes fiables.
• Évitez d'utiliser des pseudonymes communs : un pseudonyme compliqué est moins susceptible d'être
suivi.
• Ne répondez pas à des courriers indésirables déjà parvenus dans votre boîte de réception.
• Faites attention lorsque vous remplissez des formulaires sur Internet : soyez particulièrement attentif aux
options du type « Oui, je voudrais recevoir des informations concernant ... ».
• Utilisez des adresses de messagerie « spécialisées », par exemple une adresse pour votre travail, une autre
pour communiquer avec vos amis, etc.
• Changez régulièrement votre adresse e-mail.
• Utilisez une solution antispam.
Publicités
La publicité via Internet est une des formes de publicité les plus en vogue. D'un point de vue marketing, la
publicité présente plusieurs avantages : ses coûts sont minimes, elle est très directe et les messages sont transmis
presque immédiatement. De nombreuses entreprises utilisent des outils de marketing par courrier électronique
pour communiquer de manière efficace avec leurs clients et prospects.
Ce mode de publicité est légitime, car vous pourriez être intéressé par la réception d'informations commerciales
sur certains produits. Toutefois, de nombreuses entreprises envoient des masses de messages commerciaux non
sollicités. La publicité par e-mail dépasse alors les limites et devient du courrier indésirable, ou spam.
La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe
de ralentissement. Les auteurs de messages non sollicités tentent souvent de déguiser le courrier indésirable sous
des dehors de messages légitimes.
Canulars
Un canular (ou hoax) est un message propagé sur Internet. Il est envoyé généralement avec le courrier et parfois
par des outils de communication tels que ICQ et Skype. Le message est souvent une blague ou une légende
urbaine.
Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à
croire qu'un « virus indétectable » supprime tous les fichiers et récupère les mots de passe, ou effectue une
activité nuisible sur leur système.
Certains canulars demandent aux destinataires de transmettre des messages à leurs contacts, ce qui a pour
conséquence de propager les canulars. Même les téléphones portables reçoivent des canulars et des demandes
d'aide (des personnes proposant par exemple de vous envoyer de l'argent depuis l'étranger). Il est souvent
impossible de déterminer l'intention du créateur.
13
Si un message vous demande de le faire suivre à toutes vos connaissances, il peut très bien s'agir d'un canular. Sur
Internet, de nombreux sites spécialisés peuvent vérifier la légitimité d'un courrier. Avant de retransmettre un
message que vous soupçonnez d'être un canular, faites d'abord une recherche sur Internet à son sujet.
Hameçonnage
Le terme d'hameçonnage (phishing en anglais) désigne une activité frauduleuse utilisant des techniques de
piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des informations confidentielles.
Son but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, codes secrets, etc.
La technique consiste généralement à envoyer un message électronique en se faisant passer pour une personne
ou une entreprise digne de confiance (institution financière, compagnie d'assurance par exemple). Le message
peut sembler tout à fait authentique et contenir des graphiques et contenus qui proviennent véritablement de la
source dont il se réclame. Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations
financières), certaines de vos données personnelles : numéros de compte en banque ou noms d'utilisateur et
mots de passe. Toutes ces données, si elles sont soumises, peuvent facilement être volées et utilisées à des fins
illégales.
Les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais de noms d'utilisateur et de
mots de passe dans un message non sollicité.
Reconnaissance du courrier indésirable
Généralement, peu d'indicateurs contribuent à identifier le courrier indésirable (messages non sollicités) dans une
boîte à lettres. Si un message remplit au moins l'un des critères suivants, il s'agit probablement de courrier
indésirable.
• L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts.
• Le contenu du message concerne une grosse somme d'argent qui vous est offerte. Pour toucher cette
somme, vous devez néanmoins fournir au préalable une petite somme.
• Vous devez entrer, sous divers prétextes (vérification de données, opérations financières), certaines de
vos données personnelles : numéros de compte en banque ou noms d'utilisateur et mots de passe.
• Le message est écrit dans une langue étrangère.
• Le message vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez d'acheter le
produit, vérifiez que l'expéditeur du message est un vendeur sérieux (consultez le fabricant original du
produit).
• Quelques mots sont mal écrits pour pouvoir passer à travers le filtre de courrier indésirable. Par exemple,
« vaigra » au lieu de « viagra ».
Règles
Dans le contexte des solutions de protection antispam et des clients de messagerie, les règles permettent de
manipuler les fonctions de messagerie. Elles se composent de deux parties logiques :
14
1.La condition (par exemple, un message entrant provenant d'une certaine adresse ou avec un objet d'email spécifique)
2.L'action (par exemple, la suppression du message ou son transfert vers un dossier spécifique)
Le nombre de règles et leurs combinaisons varient en fonction de la solution de protection antispam. Ces règles
servent de protection antispam (messages non sollicités). Exemples caractéristiques :
1. Condition : un message entrant contient des mots habituellement utilisés dans le courrier indésirable
2. Action : supprimer le message
1. Condition : un message entrant contient une pièce jointe comportant l'extension .exe
2. Action : supprimer la pièce jointe et livrer le message dans la boîte aux lettres
1. Condition : un message entrant arrive de votre employeur
2. Action : déplacer le message dans le dossier Travail
Pour faciliter l'administration et filtrer le courrier indésirable plus efficacement, nous vous recommandons
d'utiliser une combinaison de règles des programmes antispam.
Liste blanche
En général, une liste blanche est une liste de personnes ou d'éléments qui ont été acceptés ou ont obtenu une
autorisation d'accès. Le terme liste blanche de messagerie (adresses autorisées) définit la liste des contacts dont
l'utilisateur souhaite recevoir les messages. Ces listes blanches sont basées sur des mots-clés recherchés dans une
adresse e-mail, des noms de domaines ou des adresses IP.
Si une liste blanche fonctionne en « mode exclusif », les messages de toutes les autres adresses, domaines ou
adresses IP sont écartés. Si elle fonctionne en mode non exclusif, ces messages ne sont pas supprimés, mais filtrés
d'une autre façon.
Une liste blanche fonctionne sur le principe opposé de la liste noire. Les listes blanches sont relativement faciles à
maintenir, plus que les listes noires. Pour un meilleur filtrage du courrier indésirable, nous vous recommandons
d'utiliser des listes blanches et des listes noires.
Liste noire
En général, une liste noire répertorie les personnes ou les éléments non acceptés ou interdits. Dans le monde
virtuel, c'est une technique qui permet d'accepter des messages de tous les utilisateurs qui ne figurent pas sur
cette liste.
Il existe deux types de listes noires : les listes créées par les utilisateurs dans l'application de protection antispam
et les listes professionnelles mises à jour régulièrement. Ces dernières sont créées par des institutions spécialisées
et sont disponibles sur Internet.
15
Il est essentiel d'utiliser les listes noires pour bloquer le courrier indésirable, mais elles sont très difficiles à tenir à
jour, car de nouveaux éléments à bloquer apparaissent tous les jours. Nous recommandons d'utiliser à la fois une
liste blanche et une liste noire pour mieux filtrer le courrier indésirable.
Exception
La liste des exceptions contient généralement des adresses e-mail qui peuvent être usurpées et utilisées pour
l'envoi de courrier indésirable. Les messages provenant des adresses répertoriées dans la liste des exceptions sont
toujours inclus à l'analyse visant à identifier le courrier indésirable. Par défaut, la liste des exceptions contient les
adresses e-mail figurant dans vos comptes de client de messagerie existants.
Contrôle côté serveur
Le contrôle côté serveur est une technique permettant d'identifier le courrier indésirable de masse d'après le
nombre de messages reçus et les réactions des utilisateurs. Chaque message laisse une empreinte numérique
unique en fonction de son contenu. Le numéro d'identification unique ne donne aucune information sur le
contenu du message. Deux messages identiques ont une empreinte identique, tandis que des messages différents
ont une empreinte différente.
Si un message est marqué comme courrier indésirable, son empreinte est envoyée au serveur. Si le serveur reçoit
plusieurs empreintes identiques (correspondant à un certain message de courrier indésirable), cette empreinte
est stockée dans la base des empreintes de courrier indésirable. Lorsqu'il analyse des messages entrants, le
programme envoie les empreintes de ces messages au serveur. Le serveur renvoie des informations indiquant les
empreintes qui correspondent à des messages déjà identifiés comme courrier indésirable par d'autres
utilisateurs.
Scanner de mémoire avancé
Le scanner de mémoire avancé fonctionne avec le bloqueur d'exploit afin de renforcer la protection contre les
logiciels malveillants qui ne sont pas détectés par les produits anti-logiciels malveillants grâce à l'obscurcissement
et/ou au chiffrement. Dans les cas où l'émulation ou l'heuristique classique ne détecte pas la menace, le scanner
de mémoire avancé est en mesure d'identifier le comportement suspect et il analyse les menaces lorsqu'elles
apparaissent dans la mémoire système. Cette solution est efficace même sur les logiciels malveillants fortement
obscurcis.
Contrairement au bloqueur d'exploit, le scanneur de mémoire avancé est une méthode ultérieure à l'exécution.
Cela signifie que des activités malveillantes ont pu avoir le temps de s'exécuter avant que cette menace soit
détectée. Toutefois, si les autres techniques de détection ont échoué, il apporte une couche supplémentaire de
sécurité.
Protection des transactions bancaires
La protection des transactions bancaires constitue une couche supplémentaire de protection conçue pour
protéger vos données financières lors des transactions en ligne.
ESET Smart Security Premium et ESET Internet Security contiennent la liste des sites web prédéfinis qui
déclencheront l'ouverture d'un navigateur sécurisé. Vous pouvez ajouter un site web ou modifier cette liste dans
16
la configuration du produit.
Activez l'option Sécuriser tous les navigateurs pour démarrer tous les navigateurs web pris en charge en mode
sécurisé.
Pour obtenir plus d'informations sur cette fonctionnalité, veuillez consulter les articles de la base de
connaissances ESET suivants :
• Comment utiliser la fonctionnalité Protection des paiements et bancaire d'ESET ?
• Interrompre ou désactiver la Protection des transactions bancaires dans les produits pour particuliers ESET
Windows
• Protection des transactions bancaires ESET – erreurs courantes
Il est nécessaire d’utiliser des communications chiffrées HTTPS pour bénéficier de la navigation protégée. La
protection des transactions bancaires est prise en charge par les navigateurs suivants :
• Internet Explorer 8.0.0.0
• Microsoft Edge 83.0.0.0
• Google Chrome 64.0.0.0
• Firefox 24.0.0.0
Ouvrir la protection des transactions bancaires dans votre navigateur web
préféré
Lorsque vous ouvrez la protection des transactions bancaires directement depuis l’onglet Outils dans le menu du
produit, elle est ouverte dans le navigateur web que vous avez défini comme navigateur par défaut dans
Windows. Sinon, lorsque vous ouvrez votre navigateur web préféré (pas depuis le menu du produit), les sites web
de la liste des sites web protégés sont redirigés vers le même type de navigateur sécurisé par ESET.
Protection anti-botnet
La protection anti-botnet découvre les logiciels malveillants par l'analyse de ses protocoles de communication
réseau. Les logiciels malveillants de type botnet changent fréquemment par rapport aux protocoles réseau, qui
n'ont pas changé ces quelques dernières années. Cette nouvelle technologie permet à ESET de vaincre des
logiciels malveillants qui essaient d'éviter la détection et de connecter votre ordinateur à un réseau botnet.
DNA Detections
Les types de détection vont des hachages très spécifiques aux détections ESET DNA Detections, qui sont des
définitions complexes de comportements malveillants et de caractéristiques de programmes malveillants. Bien
que le code malveillant puisse facilement être modifié ou obscurci par des pirates, le comportement des objets ne
peut pas être modifié aussi facilement. ESET DNA Detections est conçu pour tirer parti de ce principe.
Nous effectuons une analyse approfondie du code et extrayons les « gènes » responsables de son comportement.
Nous élaborons des détections ESET DNA Detections, qui sont utilisées pour évaluer le code potentiellement
17
suspect, qu'il ait été détecté sur le disque ou dans la mémoire du processus en cours. Les détections DNA
Detections peuvent identifier des échantillons de logiciels malveillants connus spécifiques, de nouvelles variantes
de logiciels malveillants connus ou des programmes malveillants inconnus qui contiennent des gènes indiquant un
comportement malveillant.
ESET LiveGrid®
ESET LiveGrid® (conçu sur le système d'avertissement anticipé ThreatSense.Net) collecte les données soumises
par les utilisateurs ESET du monde entier avant de les envoyer au laboratoire de recherche d'ESET. En fournissant
des métadonnées et des exemples suspects, ESET LiveGrid® nous permet de réagir immédiatement aux besoins
de nos clients et de répondre aux dernières menaces.
Les chercheurs ESET spécialisés dans les logiciels malveillants utilisent ces informations pour concevoir un
instantané précis de la nature et de l'ampleur des menaces. Nous pouvons alors nous concentrer sur les cibles
pertinentes. Les données ESET LiveGrid® jouent un rôle important dans la configuration des priorités de notre
traitement automatisé.
Par ailleurs, elles permettent de mettre en œuvre un système de réputation qui améliore l'efficacité globale de
nos solutions de protection contre les programmes malveillants. Un utilisateur peut vérifier la réputation des
processus en cours et des fichiers directement à partir de l'interface du programme ou du menu contextuel, avec
des informations supplémentaires disponibles dans ESET LiveGrid®. Lorsqu'une archive ou un fichier exécutable
est inspecté sur le système d'un ordinateur, son hashtag est d'abord comparé à une base de données d'éléments
répertoriés sur une liste noire et une liste blanche. S'il figure dans la liste blanche, le fichier inspecté est considéré
comme étant nettoyé et il est identifié de manière à être exclu des prochaines analyses. S'il figure dans la liste
noire, les mesures appropriées sont prises en fonction de la nature de la menace. Si aucune correspondance n'est
trouvée, le fichier est analysé intégralement. En fonction des résultats de cette analyse, les fichiers sont classés
comme menaces ou non-menaces. Cette approche améliore considérablement les performances des analyses. Ce
système de réputation améliore l'efficacité de la détection des échantillons de logiciels malveillants, avant même
que leur signature atteigne l'ordinateur de l'utilisateur par l'intermédiaire d'une base de signatures de virus mise
à jour (cette opération s'effectue plusieurs fois par jour).
En plus du système de réputation ESET LiveGrid®, le système de commentaires ESET LiveGrid® collecte sur votre
ordinateur des informations concernant les nouvelles menaces détectées. Ces informations comprennent un
échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin et le nom du fichier, la date et
l'heure, le processus par lequel la menace est apparue sur votre ordinateur et des informations sur le système
d'exploitation de votre ordinateur.
Serveurs ESET LiveGrid®
Nos serveurs ESET LiveGrid® sont situés à Bratislava, Vienne et San Diego. Cependant, il s'agit uniquement
des serveurs qui répondent aux demandes des clients. Les échantillons soumis sont traités à Bratislava, en
Slovaquie.
Activer ou désactiver ESET LiveGrid® dans les produits ESET
Pour obtenir des instructions plus détaillées et illustrées pour activer ou désactiver ESET LiveGrid® dans les
produits ESET, consultez cet article de la base de connaissances ESET.
18
Bloqueur d'exploit
Le bloqueur d'exploit est conçu pour renforcer les types d'applications connues pour être très vulnérables aux
exploits (navigateurs, lecteurs de fichiers PDF, clients de messagerie et composants Microsoft Office) et pour les
protéger contre les attaques ROP. Il est disponible et activé par défaut dans tous les produits pour les particuliers
ESET Windows, les produits ESET pour Windows Server et les produits endpoint ESET pour Windows.
Il surveille le comportement des processus et recherche toute activité suspecte pouvant indiquer un exploit.
Lorsqu'il identifie un processus suspect, le bloqueur d'exploit l'arrête immédiatement. Il enregistre les données
concernant la menace et les envoie au système ESET LiveGrid® dans le cloud. Ces données sont traitées par le
laboratoire de recherche ESET et permettent de mieux protéger tous les utilisateurs contre les menaces
inconnues et les attaques zero-day (logiciels malveillants très récents sans aucun remède préconfiguré).
Bloqueur d'exploit Java
Le bloqueur d'exploit Java est une extension de la technologie de bloqueur d'exploit existante. Il surveille Java et
recherche les comportements de type exploit. Les échantillons bloqués peuvent être signalés aux analystes de
logiciels malveillants pour leur permettre de créer des signatures afin de les bloquer sur différentes couches
(blocage d'URL, téléchargement de fichiers, etc.).
ESET LiveSense
ESET utilise de nombreuses technologies de protection uniques et exclusives qui fonctionnent ensemble sous le
nom d'ESET LiveSense. La figure ci-dessous présente certaines des technologies de base d'ESET et indique
approximativement quand et où elles peuvent détecter, et éventuellement bloquer, une menace au cours de son
cycle de vie dans le système.
19
Apprentissage machine
ESET utilise des algorithmes d'apprentissage machine pour détecter et bloquer les menaces depuis 1990. Des
réseaux de neurones ont été ajoutés au moteur de détection du produit ESET en 1998.
L'apprentissage machine comprend les détections d'ADN qui utilisent des modèles basés sur l'apprentissage
machine pour fonctionner efficacement avec ou sans connexion cloud. Les algorithmes d'apprentissage machines
sont également un élément essentiel du tri initial et de la classification des échantillons entrants ainsi que de leur
placement dans la « carte de cybersécurité » imaginaire.
ESET a développé son propre moteur d'apprentissage machine en interne. Il combine la puissance des réseaux de
neurones (tels que l'apprentissage en profondeur et la mémoire à court terme) avec un groupe de six algorithmes
de classification. Il peut ainsi générer une sortie consolidée et permettre d'étiqueter correctement l'échantillon
entrant comme non infecté, potentiellement indésirable ou malveillant.
Le moteur d'apprentissage machine ESET fonctionne conjointement avec d'autres technologies de protection
(ADN, sandbox et analyse de mémoire) ainsi qu'avec l'extraction des caractéristiques comportementales, pour
offrir les meilleurs taux de détection et le plus petit nombre possible de faux positifs.
Configuration du scanner dans les configurations avancées du produit ESET
• Produits pour les particuliers ESET Windows (à partir de la version 13.1)
• Produits Endpoint ESET Windows (à partir de la version 7.2)
20
Protection contre les attaques réseau
La protection contre les attaques réseau est une extension du pare-feu qui améliore la détection des exploits
connus dans tout le réseau. En mettant en œuvre des détections pour les exploits les plus courants, dans des
protocoles largement utilisés tels que SMB, RPC et RDP, ce bouclier constitue une autre couche importante de
protection contre la propagation des logiciels malveillants, des attaques réseau et des exploitations de
vulnérabilités qui ne bénéficient pas encore d'un correctif pouvant être déployé.
Bouclier anti-ransomwares
Le bouclier anti-ransomwares est une détection basée sur le comportement qui permet de surveiller le
comportement des applications et des processus qui tentent de modifier les fichiers d'une manière courante pour
les ransomware/filecoders. Si le comportement d'une application est considéré comme malveillant ou si une
analyse basée sur la réputation indique qu'une application est malveillante, celle-ci est bloquée et le processus
est arrêté ou l'utilisateur se voit demander de la bloquer ou de l'activer.
Pour que le Bouclier anti-ransomwares fonctionne correctement, ESET LiveGrid® doit être activé. Consultez
cet article de base de connaissances ESET pour vous assurer qu'ESET LiveGrid® est activé et fonctionne dans
votre produit ESET.
Protection contre les attaques basées sur des scripts
La protection contre les attaques basées sur des scripts comprend une protection contre les scripts JavaScript
dans les navigateurs Web et la protection AMSI (Antimalware Scan Interface) contre les scripts dans PowerShell.
HIPS
Pour que cette fonctionnalité puisse être utilisée, le système HIPS doit être activé.
La protection contre les attaques basées sur des scripts prend en charge les navigateurs Web suivants :
• Mozilla Firefox
• Google Chrome
• Internet Explorer
• Microsoft Edge
Utilisation d'un navigateur web pris en charge
Les versions postérieures prises en charge des navigateurs web peuvent varier en raison de la modification
fréquente de la signature de fichier des navigateurs. La version la plus récente du navigateur web est en
revanche toujours prise en charge.
Navigateur sécurisé
Le Navigateur sécurisé constitue une couche supplémentaire de protection conçue pour protéger vos données
sensibles lors de la navigation en ligne (données financières lors des transactions en ligne, par exemple).
ESET Endpoint Security 8 et les versions ultérieures contiennent la liste des sites web prédéfinis qui déclencheront
l'ouverture d'un navigateur protégé. Vous pouvez ajouter un site web ou modifier cette liste dans la configuration
21
du produit. Le Navigateur sécurisé est désactivé par défaut après l'installation.
Pour obtenir plus d'informations sur cette fonctionnalité, veuillez consulter l'article de la base de connaissances
ESET suivant.
Il est nécessaire d'utiliser les communications chiffrées HTTPS pour bénéficier de la navigation sécurisé. Pour
utiliser la navigation sécurisée, votre navigateur Internet doit répondre aux exigences minimales suivantes :
• Internet Explorer 8.0.0.0
• Microsoft Edge 83.0.0.0
• Google Chrome 64.0.0.0
• Firefox 24.0.0.0
Seuls Firefox et Microsoft Edge sont pris en charge sur les appareils dotés de processeurs ARM.
Ouvrir le Navigateur sécurisé ESET dans votre navigateur web préféré
Lorsque vous ouvrez le Navigateur sécurisé ESET directement depuis l’onglet Outils dans le menu du produit, il est
ouvert dans le navigateur web que vous avez défini comme navigateur par défaut. Sinon, lorsque vous ouvrez
votre navigateur web préféré (pas depuis le menu du produit), la liste interne ESET est redirigée vers le même
type de navigateur sécurisé par ESET.
Analyseur UEFI
L'analyseur UEFI (Unified Extensible Firmware Interface) fait partie du système HIPS (Host-based Intrusion
Prevention System) qui protège le microprogramme UEFI sur votre ordinateur. Le microprogramme UEFI se
charge en mémoire au début du processus de démarrage. Le code se trouve sur une puce de mémoire flash
soudée sur la carte mère. En l'infectant, les pirates informatiques peuvent déployer un logiciel malveillant qui
survit aux réinstallations et redémarrages du système. Le logiciel malveillant peut également ne pas être détecté
par les solutions anti-programmes malveillants, car la plupart d'entre eux n'analysent pas cette couche.
L'analyseur UEFI est automatiquement activé. Vous pouvez également lancer manuellement une analyse de
l'ordinateur depuis la fenêtre principale du programme en cliquant sur Analyse de l'ordinateur > Analyses
avancées > Analyse personnalisée et en sélectionnant la cible Secteurs de démarrage/UEFI.
Si votre ordinateur a déjà été infecté par un logiciel malveillant UEFI, lisez l'article suivant de la base de
connaissances ESET :
Mon ordinateur est infecté par un logiciel malveillant UEFI. Que dois-je faire ?
Fichier Canary
Un fichier Canary est un faux document informatique placé parmi des documents réels afin de faciliter la
détection précoce d'un accès, d'une copie ou d'une modification non autorisés de données.
22
Blocage
Un blocage est une situation dans laquelle chaque processus informatique attend une ressource qui est attribuée
à un autre processus. Dans cette situation, aucun des processus ne peut être exécuté puisque la ressource requise
est détenue par un autre processus qui attend également la libération d'une autre ressource. Il est important de
prévenir un blocage avant qu'il ne se produise. Un blocage peut être détecté par le planificateur de ressources,
qui permet au système d'exploitation de garder la trace de toutes les ressources allouées aux différents
processus. Un blocage peut se produire si les quatre conditions suivantes sont réunies simultanément :
• Aucune action préemptive : une ressource ne peut être libérée que volontairement par le processus qui la
détient après que celui-ci ait terminé sa tâche.
• Exclusion mutuelle : type spécial de sémaphore binaire utilisé pour contrôler l'accès à la ressource
partagée. Il permet de bloquer les tâches actuelles dont la priorité est plus élevée pendant le moins de
temps possible.
• Retenir et attendre : dans cette condition, les processus doivent être empêchés de retenir une ou
plusieurs ressources tout en attendant simultanément une ou plusieurs autres.
• Attente circulaire : elle impose un ordonnancement total de tous les types de ressources. L'attente
circulaire requiert également que chaque processus demande des ressources dans l'ordre croissant de
l'énumération.
Trois méthodes permettent de gérer un blocage :
• Ne pas laisser le système dans un état de blocage.
• Laisser le blocage se produire, puis faire de la préemption pour le gérer lorsqu’il se produit.
• Si un blocage se produit, redémarrer le système.
23
">