ESET Glossary Manuel du propriétaire

ESET Glossary
Guide de l'utilisateur
Cliquez ici pour consulter la version de l'aide en ligne de ce document
Droit d’auteur ©2023 par ESET, spol. s r.o.
ESET Glossary a été développé par ESET, spol. s r.o.
Pour plus d’informations, visitez le site https://www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système de
récupération ni transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique,
photocopie, enregistrement, numérisation ou autrement sans l’autorisation écrite de l’auteur.
ESET, spol. s r.o. se réserve le droit de modifier l’un des logiciels d’application décrits sans préavis.
Assistance technique : https://support.eset.com
REV. 2023-04-19
1 Introduction au glossaire ESET .......................................................................................................... 1
1.1 Logiciels publicitaires ................................................................................................................. 1
1.2 Réseau de zombies ..................................................................................................................... 1
1.3 Faux positif (FP) ......................................................................................................................... 2
1.4 Compresseur .............................................................................................................................. 2
1.5 Applications potentiellement dangereuses .................................................................................... 2
1.6 Applications potentiellement indésirables ..................................................................................... 2
1.7 Rançongiciel .............................................................................................................................. 7
1.8 Rootkit ...................................................................................................................................... 7
1.9 Programmation orientée retour .................................................................................................... 8
1.10 Logiciel espion ......................................................................................................................... 8
1.11 Cheval de Troie ......................................................................................................................... 8
1.12 Virus ....................................................................................................................................... 9
1.13 Ver .......................................................................................................................................... 9
1.14 Bourrage d'identifiants ............................................................................................................ 10
1.15 Empoisonnement DNS ............................................................................................................. 10
1.16 Attaques DoS ......................................................................................................................... 10
1.17 Attaques par protocole ICMP .................................................................................................... 10
1.18 Balayage de ports ................................................................................................................... 11
1.19 Relais SMB ............................................................................................................................. 11
1.20 Désynchronisation TCP ............................................................................................................ 12
1.21 Attaque de ver ....................................................................................................................... 12
1.22 Empoisonnement de cache ARP ................................................................................................ 12
2 Menaces de courriel ........................................................................................................................ 12
2.1 Publicités ................................................................................................................................ 13
2.2 Canulars .................................................................................................................................. 13
2.3 Hameçonnage .......................................................................................................................... 14
2.4 Reconnaissance des pourriels .................................................................................................... 14
2.4 Règles ................................................................................................................................. 14
2.4 Liste blanche .......................................................................................................................... 15
2.4 Liste noire ............................................................................................................................. 15
2.4 Exception .............................................................................................................................. 16
2.4 Contrôle côté serveur ................................................................................................................. 16
2.5 Analyseur avancé de la mémoire ................................................................................................ 16
2.6 Protection des paiements bancaires ........................................................................................... 16
2.7 Protection contre les botnets ..................................................................................................... 17
2.8 Détections d'ADN ..................................................................................................................... 17
2.9 ESET LiveGrid® ........................................................................................................................ 18
2.10 Bloqueur d'exploits ................................................................................................................. 19
2.11 Java Exploit Blocker ................................................................................................................ 19
2.12 ESET LiveSense ...................................................................................................................... 19
2.13 Apprentissage machine ........................................................................................................... 20
2.14 Protection contre les attaques réseau ....................................................................................... 21
2.15 Bouclier anti-ransomwares ...................................................................................................... 21
2.16 Protection contre les attaques basées sur le script ..................................................................... 21
2.17 Navigateur sécurisé ................................................................................................................ 21
2.18 Analyseur UEFI ....................................................................................................................... 22
2.19 Fichier canary ........................................................................................................................ 22
2.20 Interblocage ........................................................................................................................... 23
Introduction au glossaire ESET
Le glossaire ESET donne un aperçu complet des menaces actuelles et des technologies ESET qui vous protègent
contre ces menaces.
Les sujets sont divisés selon les chapitres suivants qui décrivent :
• Détections : cette catégorie comprend les virus informatiques, les vers, les chevaux de Troie, les
applications potentiellement indésirables, etc.
• Attaques à distance : Menaces sur des réseaux locaux ou sur Internet
• Menaces par courriel : Menaces comprenant notamment les canulars, le hameçonnage, l'escroquerie, etc.
• Technologies ESET : Il s'agit des caractéristiques des produits disponibles dans les solutions de sécurité
ESET
Logiciels publicitaires
L'expression « logiciels publicitaires » désigne les logiciels soutenus par la publicité. Les programmes qui affichent
des publicités entrent donc dans cette catégorie. Souvent, les logiciels publicitaires ouvrent automatiquement
une nouvelle fenêtre contextuelle contenant de la publicité dans un navigateur Internet ou modifient la page de
démarrage de ce dernier. Ils sont généralement associés à des programmes gratuits et permettent à leurs
créateurs de couvrir les frais de développement de leurs applications (souvent utiles).
En eux-mêmes, les logiciels publicitaires ne sont pas dangereux; tout au plus dérangent-ils les utilisateurs par
l'affichage de publicités. Le danger tient au fait qu'ils peuvent aussi inclure des fonctions d'espionnage (comme les
logiciels espions).
Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement attentif au programme d'installation. La
plupart des programmes d'installation vous avertiront en effet qu'ils installent en plus un programme publicitaire.
Souvent, vous pourrez désactiver cette installation supplémentaire et n'installer que le programme, sans logiciel
publicitaire.
Certains programmes refuseront cependant de s'installer sans leur logiciel publicitaire ou verront leurs
fonctionnalités limitées. Cela signifie que les logiciels publicitaires peuvent souvent accéder au système d'une
manière « légale », dans la mesure où les utilisateurs ont accepté qu'ils soient installés. Dans ce cas, mieux vaut
jouer la carte de la prudence. Si un logiciel publicitaire est détecté sur votre ordinateur, il est préférable de le
supprimer, car le risque est grand qu'il contienne du code malveillant.
Réseau de zombies
Un bot, ou un robot web est un programme malveillant automatisé qui analyse les blocs d'adresses réseau et
infecte les ordinateurs vulnérables. Grâce à ce programme, les pirates informatiques peuvent prendre le contrôle
de plusieurs ordinateurs au même moment et les transformer en bots (aussi appelés zombies). Les pirates
informatiques utilisent généralement les bots pour infecter un grand nombre d'ordinateurs qui forment un réseau
ou un réseau d'ordinateurs zombies. Une fois que le réseau d'ordinateurs zombies accède à votre ordinateur, ce
dernier peut être utilisé pour des attaques par déni de service distribué (DDoS), par mandataire et peut
également être utilisé pour effectuer des tâches automatisées sur Internet sans que vous le sachiez (par exemple
1
l'envoi de pourriels et de virus ou le vol des informations personnelles et privées telles que des informations
bancaires ou des numéros de carte de crédit).
Faux positif (FP)
En pratique, il n'est pas possible de garantir un taux de détection de 100 %. De même il n'est pas possible d'éviter
toute classification erronée des objets propres comme logiciels malveillants.
Un faux positif est un fichier ou une application sans danger classé par erreur comme un logiciel malveillant ou
une application potentiellement indésirable.
Compresseur
Le compresseur est un fichier exécutable à extraction automatique qui regroupe plusieurs types de programmes
malveillants dans un seul ensemble.
Les compresseurs les plus courants sont UPX, PE_Compact, PKLite et ASPack. Le même programme malveillant
peut être détecté différemment lorsqu'il est compressé à l'aide d'un compresseur différent. Les compresseurs
sont capables de faire muter leur « signature » au fil du temps, les programmes malveillants deviennent ainsi plus
difficiles à détecter et à supprimer.
Applications potentiellement dangereuses
Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en
réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des
fins malveillantes. ESET vous offre l'option de détecter de telles applications.
La classification applications potentiellement dangereuses désigne les logiciels commerciaux légitimes. Elle inclut
également les programmes d'accès à distance, les applications de craquage de mots de passe ou les enregistreurs
de frappe.
Si vous découvrez qu'une application potentiellement dangereuse est présente et fonctionne sur votre ordinateur
(sans que vous l'ayez installée), consultez votre administrateur réseau et supprimez l'application.
Applications potentiellement indésirables
Un logiciel gris ou une application potentiellement indésirable (PUA) désigne une vaste catégorie de logiciels,
dont l'intention n'est pas aussi clairement malveillante qu'avec d'autres types de logiciels malveillants, tels que les
virus ou les chevaux de Troie. Il peut cependant installer des logiciels indésirables supplémentaires, modifier le
comportement ou les paramètres de l'appareil numérique ou effectuer des activités non approuvées ou prévues
par l'utilisateur.
Les catégories pouvant être considérées comme des logiciels gris incluent : les logiciels d'affichage publicitaire, les
enveloppes de téléchargement, diverses barres d'outils de navigateur, les logiciels à comportement trompeur, les
logiciels groupés, les logiciels de suivi d’activité, les logiciels mandataires (applications de partage de l'Internet),
les cryptomineurs les nettoyeurs de registre (système d'exploitation Windows uniquement), les logiciels de suivi,
ou tout autre logiciel limite ou logiciel qui utilise des pratiques commerciales illicites ou au moins contraires à
l'éthique (même si cela semble légitime) et qui pourrait être jugé indésirable par un utilisateur final qui a pris
2
connaissance de ce que le logiciel ferait s'il était autorisé à s'installer.
Une application potentiellement dangereuse est une application qui est en elle-même un logiciel légitime (peutêtre commercial) mais qui pourrait être mal utilisé par un pirate. La détection de ces types d'application peut être
activée ou désactivée par les utilisateurs du logiciel ESET.
Il y a des situations où un utilisateur peut trouver que les avantages d'une application potentiellement indésirable
l'emportent sur les risques. Pour cette raison, ESET attribue à ces applications une catégorie de risque plus faible
par rapport à d'autres types de logiciels malveillants, tels que les chevaux de Troie ou les vers.
• Avertissement - Application potentiellement indésirable trouvée
• Paramètres
• Enveloppeurs de logiciel
• Nettoyeurs de registre
• Contenu potentiellement indésirable
Instructions illustrées
Pour analyser et supprimer les applications potentiellement indésirables (PUA) dans les produits ESET
Windows home, consultez notre article de la base de connaissances ESET.
Avertissement - Application potentiellement indésirable trouvée
Quand une application potentiellement indésirable est détectée, vous pouvez décider des mesures à prendre :
1.Nettoyer/Déconnecter : cette option met fin à l'action et empêche l'application potentiellement
indésirable d'entrer dans votre système.
Vous verrez l'option Déconnecter pour les notifications d'applications potentiellement indésirables
pendant le téléchargement à partir d'un site Web et l'option Nettoyer pour les notifications des fichiers sur
disque.
2.Ignorer : Cette option autorise une application potentiellement indésirable à accéder à votre système.
3.Exclure de la détection : pour permettre au fichier détecté qui est déjà sur l'ordinateur de s'exécuter à
l'avenir sans interruption, cliquez sur Options avancées, puis cochez la case située à côté de Exclure de la
détection et ensuite cliquez sur Ignorer.
4.Exclure la signature de la détection : pour permettre à tous les fichiers identifiés par un nom de
détection précis (signature) de s'exécuter sur votre ordinateur à l'avenir sans interruption (à partir de
fichiers existants ou par téléchargement Web), cliquez sur Options avancées, cochez la case en regard de la
signature Exclure la signature de la détection et cliquez sur Ignorer. Si des fenêtres de détection
supplémentaires avec un nom de détection identique sont affichées immédiatement après, cliquez sur
Ignorer pour les fermer (toute fenêtre supplémentaire est liée à une détection qui s'est produite avant que
vous n'ayez exclu la signature de la détection).
3
Paramètres
Lors de l'installation de votre produit ESET, vous pouvez choisir d'activer la détection des applications
potentiellement indésirables, comme indiqué ci-dessous :
Avertissement
Les applications potentiellement indésirables peuvent installer des logiciels publicitaires, installer des
barres d'outils ou contenir d'autres caractéristiques de programme indésirables et dangereux.
Ces paramètres peuvent être modifiés dans les paramètres de votre programme à tout moment. Pour activer ou
4
désactiver la détection des applications potentiellement indésirables, dangereuses ou suspectes, suivez les
instructions suivantes :
1. Ouvrez votre produit ESET.
2. Appuyez sur la touche F5 pour accéder à la configuration avancée.
3. Cliquez sur Moteur de détection (dans les versions précédentes Antivirus ou Ordinateur) et activez ou
désactivez les options Activer la détection d'applications potentiellement indésirables, Activer la détection
des applications potentiellement dangereuses et Activer la détection des applications suspectes selon vos
préférences. Confirmez en cliquant sur OK.
Instructions illustrées
Pour des instructions plus détaillées sur la configuration des produits pour détecter ou ignorer les PUA,
consultez les articles suivants de la base de connaissances ESET :
• ESET NOD32 Antivirus / ESET Internet Security / ESET Smart Security Premium
• ESET Cyber Security pour macOS / ESET Cyber Security Pro pour macOS
• ESET Endpoint Security / ESET Endpoint Antivirus for Windows
• ESET Mobile Security pour Android
Enveloppeurs de logiciel
Un enveloppeur de logiciel est un type spécial de modification d'application utilisé par certains sites Web
d'hébergement de fichiers. C'est un outil tiers qui installe le programme que vous avez téléchargé mais ajoute des
logiciels complémentaires tels que des barres d'outils ou des logiciels publicitaires. Le logiciel supplémentaire
peut également apporter des modifications à la page d'accueil et aux paramètres de recherche de votre
5
navigateur Web. De plus, les sites Web d'hébergement de fichiers n'informent souvent pas l'éditeur du logiciel ou
le destinataire du téléchargement des modifications apportées et masquent parfois l'option de refuser. Pour ces
raisons, ESET classe les enveloppeurs de logiciels comme type d'application potentiellement indésirables afin de
permettre aux utilisateurs d'accepter ou non le téléchargement.
Nettoyeurs de registre
Les nettoyeurs de registre sont des programmes qui régulièrement peuvent suggérer la nécessité d'effectuer une
maintenance ou un nettoyage de la base de données du registre Windows. L'utilisation d'un nettoyeur de registre
peut présenter des risques pour votre système informatique. De plus, certains nettoyeurs de registre font des
déclarations catégoriques, invérifiables ou autrement injustifiables sur leurs avantages et/ou génèrent des
rapports trompeurs sur un système informatique en fonction des résultats d'une « analyse gratuite ». Ces
déclarations et ces rapports trompeurs cherchent à vous persuader d’acheter une version complète ou un
abonnement, généralement sans vous permettre d’évaluer le nettoyeur de registre avant le paiement. Pour ces
raisons, ESET classe ces programmes dans la catégorie des applications potentiellement indésirables et vous offre
la possibilité de les autoriser ou de les bloquer.
Contenu potentiellement indésirable
Si la détection des applications potentiellement indésirables est activée dans votre produit ESET, les sites Web qui
ont la réputation de promouvoir des PUA ou d'induire les utilisateurs en erreur dans des actions pouvant avoir
des conséquences négatives sur leur système ou leur expérience de navigation seront bloqués, car classé comme
contenu potentiellement indésirable. Si vous recevez une notification indiquant que le site Web que vous tentez
de visiter est classé dans la catégorie des contenus potentiellement indésirables, vous pouvez cliquer sur
Précédent pour quitter la page Web bloquée ou sur Ignorer et continuer pour autoriser le chargement du site.
Vous trouverez de plus amples informations à ce sujet dans cet article de la base de connaissances ESET.
6
Rançongiciel
Un rançongiciel (également connu sous le nom de codeur de fichier) est un type de logiciel malveillant qui
verrouille votre appareil ou qui chiffre le contenu de votre appareil et vous extorque de l'argent pour restaurer
votre accès à ce contenu. Ce type de logiciel malveillant peut également avoir une minuterie intégrée avec un
délai de paiement préprogrammé qui doit être respecté. Si le délai n'est pas respecté, le prix augmente ou
l'appareil devient finalement inaccessible.
Généralement, le périphérique est infecté, puis le codeur de fichier tente de chiffrer les disques partagés sur le
périphérique. Cela peut donner l'impression que le logiciel malveillant se propage sur le réseau, mais ce n'est pas
le cas. Cette situation se produit lorsque le disque partagé d'un serveur de fichiers est chiffré, alors que le serveur
lui-même n'est pas infecté par un logiciel malveillant (sauf s'il est un serveur terminal).
Les auteurs de rançongiciels génèrent une paire de clés, une clé publique, et une clé privée et insèrent ensuite la
clé publique dans le logiciel malveillant. Le rançongiciel lui-même peut faire partie d'un cheval de Troie ou être un
fichier ou une image que vous avez reçu par courriel, sur les réseaux sociaux ou dans des messageries
instantanées. Après avoir infiltré votre ordinateur, le logiciel malveillant génère une clé symétrique aléatoire et
chiffre les données sur l'ordinateur. Il utilise la clé publique du logiciel malveillant pour chiffrer la clé symétrique.
Le rançongiciel exige alors un paiement pour déchiffrer les données. Le message de demande de paiement affiché
sur l'appareil peut être un faux avertissement indiquant que votre système a été utilisé pour des activités illégales
ou contient un contenu illégal. On demande à la victime du rançongiciel de payer la rançon à l'aide d'un éventail
de méthodes de paiement. Les options proposées sont généralement celles qui sont difficiles à tracer, telles que
les monnaies numériques (crypto), les messages SMS surtaxés ou les bons prépayés. Après réception du
paiement, l'auteur du rançongiciel est supposé utiliser sa clé privée pour déchiffrer la clé symétrique et déchiffrer
les données de la victime.
Plus d'informations sur la protection contre les rançongiciels
Les produits ESET utilisent des technologies à plusieurs niveaux qui protègent les périphériques contre les
rançongiciels. Consultez notre article de la base de connaissances ESET pour connaître les meilleures
pratiques pour protéger votre système contre les rançongiciels.
Rootkit
Les rootkits offrent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir
accédé au système (généralement en exploitant une faille), ces programmes utilisent des fonctions du système
d'exploitation pour se protéger des logiciels antivirus : ils dissimulent des processus, des fichiers et des données
de la base de registre Windows. C'est pour cette raison qu'il est presque impossible de les détecter à l'aide des
techniques de vérification ordinaires.
Il y a deux niveaux de détection permettant d'éviter les rootkits :
1.Lorsqu'ils essaient d'accéder au système : Ils ne sont pas encore installés et sont donc inactifs. La plupart
des antivirus sont en mesure de les éliminer à ce niveau (en supposant qu'ils détectent effectivement les
fichiers comme infectés).
2.Lorsqu'ils sont inaccessibles aux tests habituels : les utilisateurs d'ESET bénéficient de la technologie Antiprogramme furtif qui permet de détecter et d'éliminer les rootkits en activité.
7
Programmation orientée retour
La programmation orientée retour (POR) est une attaque typique de réutilisation de code, où un pirate dirige le
flux de contrôle à travers le code existant avec un résultat malveillant. L'attaque ROP représente une version
avancée d'une attaque par débordement de pile. Un débordement de tampon de pile se produit lorsqu'un
programme écrit à une adresse mémoire sur la pile d'appel du programme en dehors de la structure de données
prévue, généralement avec un tampon de longueur fixe.
La POR est une technique d'exploitation qui permet l'exécution de code sur le système cible. En obtenant le
contrôle de la pile d'appels, l'attaquant contrôle le flux du logiciel de confiance existant qui s'exécute sur
l'ordinateur et le manipule pour exécuter une tâche autre que celle prévue.
Logiciel espion
Cette catégorie englobe toutes les applications qui envoient des données confidentielles sans le consentement
des utilisateurs et à leur insu. Ces applications utilisent des fonctions de traçage pour envoyer diverses données
statistiques telles qu'une liste des sites Web consultés, les adresses courriel de la liste de contacts de l'utilisateur
ou une liste des touches de frappe utilisées.
Les auteurs de ces logiciels espions affirment que ces techniques ont pour but d'en savoir plus sur les besoins et
intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction
claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les
données récupérées ne seront pas utilisées à des fins frauduleuses. Les données récupérées par les logiciels
espions peuvent être des codes de sécurité, des NIP, des numéros de compte bancaire, etc. Les logiciels espions
sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou d'inciter à
l'achat du logiciel. Les utilisateurs sont souvent informés de la présence d'un logiciel espion au cours de
l'installation d'un programme afin de les inciter à acquérir la version payante qui en est dépourvue.
Parmi les produits logiciels gratuits bien connus qui contiennent des spyware, on trouve les applications clients de
réseaux P2P (poste-à-poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une sous-catégorie
particulière de logiciels espions : ils semblent être des programmes anti-logiciels espions alors qu'en réalité, ils
sont eux-mêmes des logiciels espions.
Si un fichier est indiqué comme logiciel publicitaire sur votre ordinateur, il est préférable de le supprimer, car le
risque est grand qu'il contienne du code malveillant.
En tant que sous-catégorie de logiciels espions, les enregistreurs de frappe peuvent être matériels ou logiciels. Les
enregistreurs de frappe logiciels ne peuvent collecter que les informations saisies sur un seul site Web ou dans
une seule application. Les enregistreurs de frappe plus sophistiqués peuvent enregistrer tout ce que vous tapez, y
compris les informations que vous copiez/collez. Certains enregistreurs de frappe ciblant les périphériques
mobiles peuvent enregistrer des appels, des informations provenant d'applications de messagerie, des lieux ou
même des captures de micro et de caméra.
Cheval de Troie
Dans le passé, les programmes troyens (chevaux de Troie) ont été définis comme une catégorie de menaces ayant
comme particularité de se présenter comme des programmes utiles pour duper les utilisateurs afin qu'il les
exécutent.
8
La catégorie des programmes troyens étant très vaste, elle est souvent divisée en plusieurs sous-catégories :
• Téléchargeurs : Programmes malveillants en mesure de télécharger d'autres menaces d'Internet.
• Diffuseur : Programmes malveillants capables de diffuser d'autres types de logiciels malveillants sur des
ordinateurs infectés.
• Porte dérobée : Programmes malveillants qui communiquent avec des attaquants distants pour leur
permettre d'accéder à l'ordinateur et d'en prendre le contrôle.
• Enregistreur de frappe - (« keystroke logger ») : Programme qui enregistre chaque touche sur laquelle
l'utilisateur appuie avant d'envoyer l'information aux pirates.
• Composeur : Programmes malveillants destinés à se connecter à des numéros surfacturés plutôt qu'au
fournisseur Internet de l'utilisateur. Il est presque impossible qu'un utilisateur remarque qu'une nouvelle
connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant des modems
par ligne commutée, qui sont de moins en moins utilisés.
Si un fichier est identifié comme programme troyen sur votre ordinateur, il est recommandé de le supprimer, car
il ne contient sans doute que du code malveillant.
Virus
Un virus informatique est un code malveillant qui a été ajouté à des fichiers se trouvant déjà sur votre ordinateur.
Les virus informatiques sont comparables aux virus biologiques parce qu'ils utilisent des techniques similaires
pour se propager d'un ordinateur à l'autre. En ce qui concerne le terme « virus », il est souvent utilisé
incorrectement pour décrire tout type de menace. On tend aujourd'hui à le remplacer progressivement par un
terme plus précis, soit « logiciel malveillant » ou « malware » en anglais.
Les virus informatiques attaquent principalement les fichiers et documents exécutables. En bref, un virus
informatique fonctionne comme ceci : l'exécution d'un fichier infecté a pour effet d'appeler le code malveillant
qui est alors exécuté, avant que ne s'exécute l'application originale. Un virus peut infecter tout fichier pour lequel
l'utilisateur actuel possède des droits en écriture.
L'activité et la gravité des virus varient. Certains sont extrêmement dangereux parce qu'ils ont la capacité de
supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas de véritables
dommages : ils ne servent qu'à ennuyer l'utilisateur et à démontrer les compétences techniques de leurs auteurs.
Si votre ordinateur est infecté par un virus et qu'il est impossible de le nettoyer, soumettez-le au laboratoire de
recherche d'ESET qui en prendra connaissance. Dans certains cas, les fichiers infectés peuvent être modifiés de
manière à empêcher le nettoyage. Ils devront alors être remplacés par une copie propre, sans virus.
Ver
Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand en
utilisant le réseau. La différence de base entre un virus et un ver est que les vers ont la capacité de se propager
par eux-mêmes. Ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Ils se répandent par
l'entremise des adresses courriel enregistrées dans votre liste de contacts ou exploitent les failles de sécurité de
diverses applications réseau.
Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Grâce à Internet, ils peuvent se
9
propager à travers le monde en quelques heures ou minutes après leur lancement. Leur capacité à se répliquer
indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants.
Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers,
dégrader les performances du système ou même désactiver des programmes. De par sa nature, un ver
informatique peut servir de « moyen de transport » à d'autres types d'infiltrations.
Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés parce qu'ils
contiennent probablement du code malicieux.
Bourrage d'identifiants
Le bourrage d'identifiants est une forme de cyberattaque qui utilise des données provenant de bases de données
d'identifiants ayant fait l'objet de fuites. Les pirates utilisent des robots et d'autres méthodes d'automatisation
pour se connecter à des comptes sur de nombreux sites Web à l'aide des données divulguées. Les pirates visent
principalement les utilisateurs qui recyclent leurs identifiants de connexion sur plusieurs sites Web et services.
Lorsque l'attaque réussit, les pirates peuvent obtenir un accès complet au compte et aux données des utilisateurs
stockées dans ce compte. Les pirates peuvent exploiter cet accès pour voler des données personnelles à des fins
d'usurpation d'identité, de transactions frauduleuses, de distribution de pourriel ou d'autres actions
malveillantes.
Empoisonnement DNS
Avec la méthode d'empoisonnement DNS (Domain Name Server), des pirates peuvent faire croire au serveur DNS
d'un ordinateur que les fausses données qui leur sont transmises sont légitimes et authentiques. Ces fausses
données sont ensuite mises en cache pendant un certain temps, ce qui permet aux pirates de réécrire les
réponses DNS des adresses IP. De cette manière, les utilisateurs qui tentent d'accéder à des sites internet
téléchargeront des virus ou des vers au lieu du contenu original de ces sites.
Attaques DoS
L'attaque DoS, ou attaque par Déni de service, vise à rendre un ordinateur ou un réseau indisponible pour les
utilisateurs prévus. La communication entre les utilisateurs affectés est obstruée et ne peut plus continuer
normalement. Les ordinateurs qui ont subi une attaque DoS doivent généralement redémarrer, faute de quoi ils
ne fonctionnent plus correctement.
Le plus souvent, les cibles sont des serveurs Web et l'objectif est de les rendre inutilisables pendant un certain
temps.
Attaques par protocole ICMP
L'ICMP (Internet Control Message Protocol) est un protocole Internet très commun et très utilisé. Il est surtout
utilisé par les ordinateurs en réseau pour envoyer différents messages d'erreur.
Les attaquants distants tentent d'exploiter la faiblesse du protocole ICMP. Ce protocole est conçu pour les
communications à sens unique n'exigeant pas d'authentification. Il permet donc aux attaquants distants de
déclencher ce qu'on appelle les attaques par déni de service ou des attaques qui donnent à différentes personnes
non autorisées l'accès aux paquets entrants et sortants.
10
Le Ping Flood (inonder par flux de ping), l'ICMP_ECHO flood et le smurf sont des exemples typiques d'attaques
ICMP. Les ordinateurs exposés aux attaques ICMP sont considérablement ralentis (affecte toutes les applications
utilisant Internet) et ont des problèmes de connexion Internet.
Balayage de ports
Le balayage de ports est utilisé pour déterminer quels ports de l'ordinateur sont ouverts sur un hôte de réseau. Le
logiciel utilisé à cette fin s'appelle le scanneur de port.
Le port d'un ordinateur est un point virtuel qui traite les données entrantes et sortantes. C'est un point crucial
pour la sécurité. Sur un réseau de grande taille, les données recueillies par le scanneur de ports peuvent
permettre d'identifier les failles potentielles. Cette utilisation est bien sûr tout à fait légale.
D'un autre côté, le balayage de ports est souvent utilisé par les pirates qui tentent de compromettre la sécurité.
Ils envoient d'abord des paquets à chaque port. En fonction du type de réponse, il est possible de déterminer
quels ports sont utilisés. Si le balayage lui-même ne cause aucun dommage, cette activité peut révéler les failles
potentielles et permettre aux pirates de prendre le contrôle d'ordinateurs distants.
Nous conseillons aux administrateurs du réseau de bloquer tous les ports non utilisés et de protéger ceux qui sont
utilisés des accès non autorisés.
Relais SMB
SMB Relay et SMB Relay 2 sont des programmes spéciaux capables d'effectuer des attaques contre des
ordinateurs distants. Les programmes utilisent le protocole de partage de fichiers SMB (Server Message Block)
situé sur NetBIOS. Lorsqu'un utilisateur partage des dossiers ou des répertoires sur un réseau local, il y a de
grandes chances qu'il utilise ce protocole de partage de fichiers.
Les empreintes numériques des mots de passe sont échangées lors des communications sur le réseau local.
SMB Relay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés par le client et le
serveur, et les modifie. Après connexion et authentification, le client est déconnecté. SMB Relay crée une
nouvelle adresse virtuelle IP, à laquelle il est possible d'accéder à l'aide de la commande « net use
\\192.168.1.1 ». L'adresse peut ensuite être utilisée par n'importe quelle fonction de réseau de Windows. SMB
Relay relaie les communications du protocole SMB, sauf la négociation et l'authentification. Les pirates peuvent
utiliser l'adresse IP tant que l'ordinateur client est connecté.
SMB Relay 2 fonctionne selon le même principe que SMB Relay, si ce n'est qu'il utilise les noms NetBIOS plutôt
que les adresses IP. Tous deux peuvent effectuer des attaques de type « l'homme du milieu » (man-in-themiddle). Ces attaques permettent à des pirates de lire les messages échangés entre deux points de
communication sans être remarqué, ainsi que d'y insérer des données et de les modifier à distance. Les
ordinateurs exposés à ce type d'attaque arrêtent souvent de répondre ou redémarrent de manière impromptue.
Pour éviter de telles attaques, nous vous recommandons d'utiliser des mots de passe ou des clés
d'authentification.
11
Désynchronisation TCP
La désynchronisation TCP est une technique utilisée pour les détournements de session TCP (TCP Hijacking). Elle
est déclenchée par un processus dans lequel le numéro séquentiel de paquets entrants diffère du numéro
attendu. Les paquets dont le numéro séquentiel diffère du numéro attendu sont rejetés (ou enregistrés dans la
mémoire tampon, s'ils sont présents dans la fenêtre de communication active).
Lors de la désynchronisation, les deux points d'extrémité de communication refusent les paquets reçus, ce qui
permet aux attaquants distants de pouvoir infiltrer des paquets et de les fournir, avec un numéro séquentiel. Les
attaquants peuvent même manipuler ou modifier les communications.
Les détournements de session TCP visent à interrompre les communications serveur-client ou les communications
poste à poste. De nombreuses attaques peuvent être évitées par l'authentification de chaque segment TCP. Il est
également conseillé d'utiliser les configurations recommandées pour vos périphériques réseau.
Attaque de ver
Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand par un
réseau. Les vers de réseau exploitent les failles de sécurité de diverses applications. Et, grâce à Internet, ils
peuvent se propager à travers le monde en quelques heures seulement.
La plupart des attaques de ver (Sasser, SqlSlammer) peuvent être évitées en utilisant les paramètres de sécurité
par défaut du pare-feu ou en bloquant les ports non protégés et non utilisés. Il est également essentiel de mettre
votre ordinateur à jour en installant les correctifs de sécurité les plus récents.
Empoisonnement de cache ARP
Le protocole de résolution d'adresses (ARP) assure la traduction entre les adresses de la couche de liaison de
données (adresses MAC) et de la couche réseau (adresses IP). Une attaque par empoisonnement du cache ARP
permet aux pirates d'intercepter les communications entre les périphériques du réseau en corrompant les tables
ARP du réseau (mappages des périphériques MAC vers IP).
Le pirate envoie un faux message de réponse ARP à la passerelle réseau par défaut, informant que l'adresse MAC
est associée à l'adresse IP d'une autre cible. Lorsque la passerelle par défaut reçoit ce message et diffuse les
modifications à tous les autres périphériques du réseau, tout le trafic de la cible vers tout autre périphérique du
réseau passe par l'ordinateur du pirate. Cela permet au pirate d'inspecter ou de modifier le trafic avant de le
transmettre à la destination prévue.
Menaces de courriel
Le courriel est une forme de communication qui offre beaucoup d'avantages.
Malheureusement, le grand anonymat des courriels et d'Internet a laissé libre champ à beaucoup d'activités
illégales telles que le pollupostage. Le pourriel comprend les publicités indésirables, les canulars et les logiciels
malveillant. Les désagréments et le danger pour l'utilisateur ont augmenté tout simplement du fait que l'envoi de
tels messages ne coûte presque rien et que les auteurs du pourriel disposent de bon nombre d'outils pour
acquérir facilement de nouvelles adresses courriel. En plus, le volume et les différents types de pourriel ne
facilitent pas la règlementation. Plus longtemps vous utilisez votre adresse courriel, plus vous augmentez la
12
possibilité qu'elle finisse par être ajoutée dans la base de données d'un moteur de pourriel.
Quelques conseils à titre de prévention :
• Si possible, ne publiez pas votre adresse de courriel sur Internet
• Ne donnez votre adresse courriel qu'à des personnes fiables.
• Si possible, n'utilisez pas de pseudonyme commun : plus le pseudonyme est complexe, moins grande est la
probabilité de traçage.
• Ne répondez pas aux pourriels déjà présents dans votre boîte de réception
• Faites attention lorsque vous remplissez des formulaires Internet : soyez particulièrement attentif aux
cases à cocher du type « Oui, je voudrais recevoir des informations ».
• Utilisez des adresses de messagerie « spécialisées », par exemple, une professionnelle, une pour
communiquer avec vos amis, etc.
• Changez périodiquement votre adresse courriel
• Utilisez une solution antipourriel.
Publicités
La publicité par Internet est une des formes de publicité les plus en vogue. Ses coûts minimaux et sa grande
efficacité en sont les principaux avantages marketing, tout comme le fait que ces messages soient transmis
presque immédiatement. Nombre d'entreprises utilisent des outils de marketing par courriel pour communiquer
de manière efficace avec leurs clients et clients éventuels.
Ce type de publicité est légitime, car l'utilisateur pourrait souhaiter recevoir des informations commerciales sur
certains produits. De nombreuses entreprises envoient également en masse des messages commerciaux non
sollicités. La publicité par courriel dépasse alors les limites et devient du pourriel.
La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe
d'accalmie. Les auteurs de messages non sollicités tentent souvent de déguiser le pourriel sous des dehors de
messages légitimes.
Canulars
Un canular se définit comme de la désinformation diffusée sur Internet. Les canulars sont généralement envoyés
par courriel ou par des outils de communication tels ICQ et Skype. Le message en lui-même est souvent une
blague ou une légende urbaine.
Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à
croire qu'ils ont un « virus indétectable » en train de supprimer tous les fichiers et de récupérer les mots de passe
ou d'effectuer une activité nuisible sur leur système.
Certains canulars se propagent parce qu'ils invitent les destinataires à réacheminer les messages reçus à leurs
contacts, ce qui perpétue leur cycle de vie. On y retrouve notamment des canulars liés aux téléphones cellulaires,
des « demandes d'aide », des personnes qui vous proposent de vous envoyer de l'argent de l'étranger, etc. Dans
13
bon nombre de cas, il est impossible de traquer l'intention du créateur.
Si un message vous demande de le réacheminer à toutes vos connaissances, il est fort possible qu'il s'agisse d'un
canular. On retrouve, sur Internet, bon nombre de sites qui permettent de vérifier si un message est légitime ou
non. Avant de réacheminer un message, faites une recherche sur Internet si vous avez des doutes quant à un
message reçu.
Hameçonnage
Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse utilisant des techniques de
piratage psychologique qui consistent à manipuler les utilisateurs pour obtenir des données confidentielles. Son
but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc.
La technique consiste généralement à envoyer un courriel en se faisant passer pour une personne ou une
entreprise digne de confiance (institution financière, compagnie d'assurance). Le message peut sembler très
authentique et contenir des graphiques et contenus qui proviennent véritablement de la source dont il se
réclame. Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations financières),
certaines de vos données personnelles, vos numéros de compte bancaire ou nom d'utilisateur et mot de passe.
Toutes ces données, si elles sont soumises, peuvent facilement être volées et utilisées à des fins illégales.
Notez que les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais les noms
d'utilisateur et mots de passe dans un message non sollicité.
Reconnaissance des pourriels
Peu d'indicateurs permettent généralement d'identifier les pourriels (messages non sollicités) dans une boîte aux
lettres. Si un message satisfait au moins l'un des critères suivants, c'est probablement un pourriel.
• L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts.
• On vous offre une importante somme d'argent, mais vous devez en fournir une petite somme avant.
• On vous demande d'entrer, sous divers prétextes (vérification de données, opérations financières),
certaines de vos données personnelles : numéros de compte bancaire ou noms d'utilisateur et mots de
passe.
• Le message est écrit dans une langue étrangère.
• On vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez d'acheter quand même,
assurez-vous que l'expéditeur du message est un vendeur sérieux (consultez le fabricant original du produit).
• Certains mots sont mal écrits afin de pouvoir passer à travers le filtre de pourriel. Par exemple « vaigra »
au lieu de « viagra ».
Règles
Dans le contexte des solutions antipourriel et des clients de messagerie, les règles permettent de manipuler les
fonctions de messagerie. Elles se composent de deux parties logiques :
14
1.La condition (par exemple, un message entrant provenant d'une certaine adresse ou avec un certain
objet de courriel)
2.L'action (par exemple, la suppression du message ou son transfert vers un dossier particulier).
Le nombre de règles et leurs combinaisons varient en fonction de la solution antipourriel. Ces règles servent de
protection contre les pourriels (messages non sollicités). Exemples caractéristiques :
1. condition : un message entrant contient des mots habituellement utilisés dans les pourriels
2. Action : supprimer le message
1. condition : un message entrant contient une pièce jointe comportant l'extension .exe
2. Action : supprimer la pièce jointe et livrer le message dans la boîte aux lettres
1. condition : un message entrant de votre employeur
2. Action : déplacer le message dans le dossier « Travail ».
Afin de faciliter l'administration et de filtrer plus efficacement les pourriels, nous vous recommandons d'utiliser
une combinaison des règles des programmes antipourriels.
Liste blanche
En général, une liste blanche est une liste d'éléments ou de personnes qui ont été acceptées ou ont obtenu
l'autorisation. Le terme « liste blanche de messagerie » (adresse autorisées) définit une liste de contacts dont
l'utilisateur veut recevoir les messages. Ces listes blanches sont basées sur des mots-clés recherchés dans des
adresses courriel, des noms de domaines ou des adresses IP.
Si une liste blanche fonctionne en « mode exclusif », les messages de toutes les autres adresses, domaines ou
adresses IP seront écartés. Si elle fonctionne en mode non exclusif, ces messages ne seront pas supprimés, mais
filtrés d'une autre façon.
Une liste blanche fonctionne sur le principe inverse d'une liste noire. Les listes blanches sont relativement faciles
à maintenir, plus que les listes noires. Pour un meilleur filtrage des pourriels, il est recommandé d'utiliser des
listes blanches et des listes noires.
Liste noire
Une liste noire se définit généralement comme une liste d'éléments ou de personnes non acceptés ou interdits.
Dans le monde virtuel, c'est une technique qui permet d'accepter des messages de tous les utilisateurs qui ne
figurent pas sur cette liste.
Il existe deux types de listes noires : celles qui sont créées par les utilisateurs par l'entremise de leur application
antipourriel et les listes noires professionnelles, créées et régulièrement mises à jour par des organismes
spécialisés, que l'on peut trouver sur Internet.
15
Il est essentiel d'utiliser les listes pour bloquer le pourriel, mais elles peuvent être difficiles à tenir à jour, car de
nouveaux éléments à bloquer apparaissent chaque jour. Nous vous recommandons d'utiliser tant une liste
blanche qu'une liste noire pour filtrer le pourriel de la façon la plus efficace.
Exception
La liste des exceptions contient généralement des adresses courriels qui peuvent être falsifiées et utilisées pour
envoyer des pourriels. Les messages provenant des adresses répertoriées dans la liste d'exceptions sont toujours
inclus à l'analyse visant à identifier le pourriel. Par défaut, la liste d'exceptions contient les adresses de
messagerie figurant dans vos comptes de messagerie existants.
Contrôle côté serveur
Le contrôle côté serveur est une technique permettant d'identifier le pourriel de masse d'après le nombre de
messages reçus et les réactions des utilisateurs. Chaque message laisse sur le serveur une « empreinte »
numérique unique en fonction de son contenu. Le numéro d'ID unique ne dit rien à propos du contenu du
message. Deux messages identiques auront une empreinte identique, alors que des messages différents auront
une empreinte différente.
Si un message est marqué comme pourriel, son empreinte est envoyée au serveur. Si le serveur reçoit plusieurs
empreintes identiques (correspondant à un certain message de pourriel), cette empreinte est stockée dans la
base d'empreintes de pourriel. Lorsqu'il analyse des messages entrants, le programme envoie les empreintes de
ces messages au serveur. Le serveur renvoie de l'information indiquant quelles empreintes correspondent à des
messages déjà identifiés comme pourriels par d'autres utilisateurs.
Analyseur de mémoire avancé
L'Analyseur avancé de la mémoire fonctionne avec Exploit Blocker pour renforcer la protection contre les logiciels
malveillants qui ont été conçus pour contourner la détection par les protection anti-logiciels malveillants en
utilisant l'obscurcissement et/ou le chiffrement. Lorsque l'émulation ordinaire ou l'heuristique ne parvient pas à
détecter une menace, l'Analyseur avancé de la mémoire est capable d'identifier un comportement suspect et
d'analyser les menaces lorsqu'elles se révèlent dans la mémoire système. Cette solution est efficace contre les
logiciels malveillants les plus obscurcis.
Contrairement à l'Exploit Blocker, l'Analyseur avancé de la mémoire est une méthode post-exécution. Cela signifie
qu'il existe un risque qu'une activité malveillante ait été exécutée avant sa détection d'une menace; toutefois,
lorsque les autres techniques de détection ont échoué, cette méthode apporte une couche de sécurité
supplémentaire.
Protection des paiements bancaires
La protection des opérations bancaires et des paiements représente un niveau de protection supplémentaire
conçue pour la protection de vos données financières lors des transactions effectuées en ligne.
ESET Smart Security Premium et ESET Internet Security contient une liste intégrée de sites Web prédéfinis qui
déclencheront l'ouverture d'un navigateur sécurisé. Vous pouvez ajouter un site Web à la liste ou modifier la liste
de sites Web dans la configuration de produit.
16
Activez l'option Sécuriser tous les navigateurs pour démarrer tout les navigateurs Web pris en charge en mode
sécurisé.
Pour plus de détails sur cette fonction, veuillez consulter les articles suivants dans la base de connaissances
d'ESET :
• Comment utiliser la protection des opérations bancaires et des paiements ?
• Suspendre ou désactiver Protection des opérations bancaires et des paiements dans les produits ESET
Windows Home
• Protection des opérations bancaires et des paiements - Erreurs courantes
L'utilisation de la communication chiffrée HTTPS est nécessaire pour effectuer une navigation protégée. Les
navigateurs suivants prennent en charge la protection des paiements bancaires :
• Internet Explorer 8.0.0.0
• Microsoft Edge 83.0.0.0
• Google Chrome 64.0.0.0
• Firefox 24.0.0.0
Ouvrir Protection des paiements bancaires dans votre navigateur préféré
Lorsque vous ouvrez Protection des paiements bancaires à partir de l'onglet Outils dans le menu des produits, il
s'ouvre dans le navigateur Web que vous avez défini par défaut dans Windows. Sinon, lorsque vous ouvrez votre
navigateur Web préféré (pas à partir du menu du produit), les sites Web de la liste des sites protégés sont dirigés
vers le même type de navigateur Web sécurisé par ESET.
Protection contre les botnets
La protection contre les ordinateurs zombies détecte les logiciels malveillants grâce à l'analyse de ses protocoles
de communication réseau. Les logiciels malveillants d'ordinateurs zombies changent fréquemment,
contrairement aux protocoles de réseaux qui n'ont pas changés au cours des deux dernières années. Cette
nouvelle technologie permet à ESET de contrer les logiciels malveillants qui essaient d'éviter la détection et
tentent de connecter votre ordinateur à un réseau d'ordinateurs zombies.
Détections d'ADN
Les types de détection vont des hachages très spécifiques aux détections d'ADN d'ESET, qui sont des définitions
complexes de comportements malveillants et de caractéristiques de programmes malveillants. Bien que le code
malveillant puisse facilement être modifié ou obscurci par des attaquants, le comportement des objets ne peut
pas être modifié aussi facilement et les solutions de détection d'ADN d'ESET sont conçues pour tirer parti de ce
principe.
Nous effectuons une analyse approfondie du code et extrayons les « gènes » responsables de son comportement.
Grâce à cela, nous construisons les solutions de détection d'ADN d'ESET qui sont utilisées pour évaluer le code
potentiellement suspect, que ce soit sur le disque ou dans la mémoire du processus en cours. Les détections
17
d'ADN peuvent identifier des échantillons de logiciels malveillants connus spécifiques, de nouvelles variantes
d'une famille de logiciels malveillants connus ou même des programmes malveillants jamais rencontrés ou
inconnus qui contiennent des gènes indiquant un comportement malveillant.
ESET LiveGrid®
ESET LiveGrid® (fondé sur le système avancé d'avertissement anticipé ESET ThreatSense.Net) utilise les données
soumises par les utilisateurs ESET de partout dans le monde avant de les envoyer au laboratoire de recherche
d'ESET. En fournissant des métadonnées et des échantillons suspects provenant de partout, ESET LiveGrid® nous
permet de réagir immédiatement aux besoins de nos clients et de préserver la réactivité d'ESET aux menaces les
plus récentes.
Les chercheurs d'ESET spécialisés dans les logiciels malveillants utilisent les informations pour produire un
instantané précis de la nature et de la portée des menaces mondiales, qui nous permet de nous concentrer sur les
bonnes cibles. Les données ESET LiveGrid® jouent un rôle important dans la définition des priorités dans notre
traitement automatisé.
De plus, la technologie implémente un système de réputation qui contribue à améliorer l'efficacité globale de nos
solutions contre les logiciels malveillants. Un utilisateur peut vérifier la réputation des processus en cours
d'exécution et des fichiers directement à partir de l'interface du programme ou du menu contextuel, des
informations supplémentaires étant disponibles à partir de ESET LiveGrid®. Lors de l'inspection d'un fichier
exécutable ou d'une archive sur le système d'un utilisateur, son mot-clic est d'abord comparé à une base de
données d'éléments indiqués sur liste blanche et noire. S'il figure sur la liste blanche, le fichier inspecté est
considéré comme propre et marqué pour être exclu des analyses futures. S'il est sur la liste noire, des mesures
appropriées sont prises en fonction de la nature de la menace. En l'absence de correspondance, le fichier est
analysé complètement. Sur la base des résultats de cette analyse, les fichiers sont catégorisés ou non comme
menaces. Cette approche à une incidence positive importante sur la performance des analyses. Ce système de
réputation permet une détection efficace des échantillons de logiciels malveillants avant même que leurs
signatures ne soient transmises à l'ordinateur de l'utilisateur grâce à une base de données de virus mise à jour (ce
qui se produit plusieurs fois par jour).
En plus du système de réputation d'ESET LiveGrid®, le système de rétroaction d'ESET LiveGrid® recueille sur votre
ordinateur des données concernant de nouvelles menaces détectées. Ces données comprennent un échantillon
ou une copie du fichier dans lequel la menace est apparue, le chemin du fichier, le nom du fichier, la date et
l'heure, le processus par lequel la menace est apparue sur votre ordinateur et de l'information sur le système
d'exploitation de votre ordinateur.
Serveurs ESET LiveGrid®
Nos serveurs ESET LiveGrid® sont situés à Bratislava, à Vienne et à San Diego, mais ce sont seulement les
serveurs qui répondent aux demandes des clients. Le traitement des échantillons envoyés s'effectue à
Bratislava en Slovaquie.
Activer ou désactiver ESET LiveGrid® dans les produits ESET
Pour des instructions plus détaillées et illustrées sur l'activation ou la désactivation de ESET LiveGrid® dans
les produits ESET, consultez cet article de la base de connaissances ESET.
18
Bloqueur d'exploits
Le bloqueur d'exploit est conçu pour renforcer les types d’applications couramment exploités (navigateurs,
lecteurs de fichiers PDF, clients de messagerie et composants Microsoft Office) et offrir une protection contre les
attaques par POR. Le bloqueur d'exploit est disponible et activé par défaut dans tous les produits ESET Windows
pour les entreprises, les produits ESET pour Windows Server et les produits Endpoint ESET pour Windows.
Il fonctionne en surveillant le comportement de processus pour détecter une activité suspecte qui pourrait
indiquer un exploit.
Quand le Bloqueur d'exploits identifie un processus suspect, il l'arrête immédiatement et enregistre des données
à propos de la menace, qui sont ensuite envoyées au système en nuage ESET LiveGrid®. Ces données sont traitées
par le laboratoire de recherche d'ESET et utilisées pour mieux protéger tous les utilisateurs des menaces
inconnues et des attaques du jour zéro (nouveaux logiciels malveillants publiés pour lesquels il n'existe aucune
solution pré-configurée).
Java Exploit Blocker
Java Exploit Blocker est une extension à la technologie de bloqueur d'exploits existante. Elle surveille Java à la
recherche de comportement semblables aux exploits. Les échantillons bloqués peuvent être signalés à des
analystes de logiciels malveillants afin qu'ils puissent créer des signatures pour les bloquer sur différentes couches
(blocage d'URL, téléchargement de fichiers, etc).
ESET LiveSense
ESET utilise de nombreuses technologies de protection en couches uniques et propriétaires qui fonctionnent
ensemble sous le nom d’ESET LiveSense. La figure ci-dessous présente certaines des technologies de base d’ESET
et indique approximativement quand et où elles peuvent détecter, et éventuellement bloquer, une menace au
cours de son cycle de vie dans le système.
19
Apprentissage machine
Depuis 1990, ESET travaille avec des algorithmes d'apprentissage machine pour détecter et bloquer les menaces.
Les réseaux neuronaux ont été ajoutés au moteur de détection des produits ESET en 1998.
L'apprentissage machine inclut les détections d'ADN, qui utilisent des modèles basés sur l'apprentissage machine
pour travailler efficacement avec ou sans connexion au nuage. Les algorithmes d'apprentissage machine sont
également une partie essentielle du tri et de la classification initiale des échantillons entrants, ainsi que de leur
placement sur la « carte de la cybersécurité » imaginaire.
ESET a développé son propre moteur d'apprentissage machine en interne. Il utilise la puissance combinée des
réseaux neuronaux (tels que l'apprentissage profond et la mémoire court et long terme) et un groupe de six
algorithmes de classification triés sur le volet. Cela lui permet de générer une sortie consolidée et d'aider à
étiqueter correctement l'échantillon entrant comme étant sans danger, potentiellement indésirable ou
malveillant.
Le moteur d'apprentissage automatique d'ESET est affiné pour fonctionner avec d'autres technologies de
protection telles que l'ADN, le bac à sable et l'analyse de la mémoire, ainsi qu'avec l'extraction de caractéristiques
comportementales, afin d'offrir les meilleurs taux de détection et le plus faible taux possible de faux positifs.
Configuration de l'analyseur dans la configuration avancée des produits ESET
• Produits ESET Windows Home (à partir de la version 13.1)
20
• Produits ESET Windows Endpoint (à partir de la version 7.2)
Protection contre les attaques réseau
La protection contre les attaques réseau est une extension du pare-feu qui améliore la détection des failles à la
recherche des vulnérabilités connues au niveau du réseau. En mettant les détections des vulnérabilités courantes
en œuvre dans des protocoles largement utilisés, tels que SMB, RPC et RDP, cette fonctionnalité offre une autre
couche de protection importante contre la propagation des logiciels malveillants, des attaques de réseau et des
exploitations des failles pour lesquelles aucun correctif n'a encore été publié ou déployé.
Bouclier anti-ransomwares
Le bouclier contre les rançongiciels est une technique de détection basée sur le comportement qui surveille le
comportement des applications et des processus qui tentent de modifier les fichiers d'une façon commune aux
rançongiciels ou aux codeurs de fichiers. Si le comportement d'une application est considéré comme malveillant
ou si une analyse basée sur la réputation montre qu'il faut se méfier de cette application, alors l'application est
bloquée ou l'utilisateur est invité à la bloquer ou à l'autoriser.
ESET LiveGrid® doit être activé pour que le bouclier contre les rançongiciels fonctionne correctement.
Consultez notre article de la base de connaissances ESET pour vous assurer que ESET LiveGrid® est activé et
fonctionne dans votre produit ESET.
Protection contre les attaques basées sur le script
La protection contre les attaques basées sur le script est composée d'une protection contre JavaScript dans les
navigateurs Web et de la protection Antimalware Scan Interface (AMSI) contre les scripts en PowerShell.
HIPS
HIPS doit être activé pour que cette protection fonctionne.
La protection contre les attaques basées sur le script fonctionne avec les navigateurs suivants :
• Mozilla Firefox
• Google Chrome
• Internet Explorer
• Microsoft Edge
Utiliser un navigateur Web pris en charge
Les plus petites versions des navigateurs Web prises en charge peuvent varier parce que la signature de
fichier des navigateurs change souvent. La dernière version du navigateur Web est toujours prise en
charge.
Navigateur sécurisé
Le navigateur sécurisé est une couche de protection supplémentaire conçue pour protéger vos données sensibles
lors de la navigation en ligne (par exemple, les données financières lors des transactions en ligne).
21
ESET Endpoint Security 8 et les versions ultérieures contiennent une liste intégrée de sites Web prédéfinis qui
déclencheront l'ouverture d'un navigateur protégé. Vous pouvez ajouter un site Web à la liste ou modifier la liste
de sites Web dans la configuration de produit. Le navigateur sécurisé est désactivé par défaut après l'installation.
Pour plus de détails sur cette fonction, veuillez consulter l'article suivant dans la base de connaissances d'ESET.
L'utilisation de communication HTTPS chiffrée est nécessaire pour garantir une navigation protégée. Pour utiliser
le navigateur sécurisé, votre navigateur Internet doit répondre aux exigences minimales décrites ci-dessous :
• Internet Explorer 8.0.0.0
• Microsoft Edge 83.0.0.0
• Google Chrome 64.0.0.0
• Firefox 24.0.0.0
Seuls Firefox et Microsoft Edge sont pris en charge sur les périphériques équipés de processeurs ARM.
Ouvrez le navigateur sécurisé d'ESET dans votre navigateur préféré
Lorsque vous ouvrez le navigateur sécurisé d'ESET à partir de l'onglet Outils dans le menu des produits, il s'ouvre
dans le navigateur Web que vous avez défini par défaut. Sinon, lorsque vous ouvrez votre navigateur Web préféré
(pas à partir du menu du produit), la liste interne d'ESET sera redirigée vers le même type de navigateur Web
sécurisé par ESET.
Analyseur UEFI
L'analyseur UEFI (Unified Extensible Firmware Interface) fait partie du système HIPS (Host Intrusion Prevention
System) qui protège le micrologiciel UEFI sur votre ordinateur. Le micrologiciel UEFI se charge en mémoire au
début du processus de démarrage. Le code est sur une puce de mémoire flash soudée sur la carte mère. En
l'infectant, les attaquants peuvent déployer des logiciels malveillants qui survivent aux réinstallations et
redémarrages du système. Les logiciels malveillants peuvent facilement passer inaperçus pour les solutions antilogiciels malveillants car la plupart d'entre elles n'analysent pas cette couche.
L'analyseur UEFI est activé automatiquement. Vous pouvez également lancer une analyse manuelle de
l'ordinateur à partir de la fenêtre principale du programme en cliquant sur Analyse de l'ordinateur > Analyses
avancées > Analyse personnalisée et en sélectionnant la cible Secteurs de démarrage/UEFI.
Si votre ordinateur a déjà été infecté par un logiciel malveillant UEFI, lisez l'article suivant de la base de
connaissances d'ESET :
Mon ordinateur est infecté par un logiciel malveillant UEFI, que dois-je faire?
Fichier canary
Un fichier canary est un document informatique fictif placé parmi des documents réels dont le but est de faciliter
la détection précoce d'un accès non autorisé à des données, de leur copie ou de leur modification.
22
Interblocage
Un interblocage est une situation dans laquelle chaque processus informatique attend une ressource qui est
attribuée à un autre processus. Dans cette situation, aucun des processus ne peut être exécuté puisque la
ressource requise est détenue par un autre processus qui attend également la libération d'une autre ressource. Il
est important de prévenir un interblocage avant qu'il ne se produise. Un interblocage peut être détecté par le
planificateur de ressources, qui aide le système d'exploitation à garder la trace de toutes les ressources allouées
aux différents processus. Un interblocage peut se produire si les quatre conditions suivantes sont réunies
simultanément :
• Aucune action préventive : une ressource ne peut être libérée que volontairement par le processus qui la
détient, une fois que ce processus a terminé sa tâche.
• Exclusion mutuelle : un type spécial de sémaphore binaire utilisé pour contrôler l'accès à la ressource
partagée. Il permet de bloquer les tâches courantes les plus prioritaires pendant le temps le plus court
possible.
• Maintien et attente : dans cette condition, il faut empêcher les processus de détenir une ou plusieurs
ressources tout en attendant simultanément une ou plusieurs autres.
• Attente circulaire : elle impose un ordre total de tous les types de ressources. L'attente circulaire exige
également que chaque processus demande des ressources dans l'ordre croissant de l'énumération.
Il existe trois façons de gérer un interblocage :
• ne pas laisser le système dans un état d'interblocage.
• laisser l'interblocage se produire, puis faire de la préemption pour le gérer lorsqu'il se produit.
• en cas d'interblocage, redémarrer le système.
23