NON CLASSIFIÉ Anti-maliciel Introduction Un logiciel malveillant (maliciel) désigne tout code exécutable conçu pour perturber ou corrompre un système informatique. Il peut s’agir de virus et vers informatiques, de chevaux de Troie, d’espiogiciels, de programmes malveillants furtifs (rootkits) et de certains types de publiciel. Aperçu Il existe deux modes de fonctionnement d’un anti-maliciel : la détection et le confinement. • Détection des maliciels : requiert des antivirus et anti-maliciels. Ces logiciels peuvent reconnaître des maliciels en comparant un logiciel suspect avec une liste de maliciels ou de comportements connus. • Reconnaissance axée sur les politiques : identification de types de comportement connus et suspects et vérification de l’intégrité des fichiers. Ces produits exigent des mises à jour fréquentes des fichiers de données utilisés afin de permettre l’identification des plus récents maliciels lors des balayages de sécurité réguliers. • Reconnaissance axée sur le comportement : identification de maliciel basée sur une activité de programme suspecte. Le produit observe le comportement de tous les logiciels et peut identifier les comportements inappropriés qu’ils manifestent. • Intégrité des fichiers : les maliciels sont souvent confinés dans des fichiers systèmes corrompus. Les anti-maliciels peuvent détecter jusqu’à la plus petite modification non autorisée apportée aux fichiers systèmes essentiels. • Confinement des maliciels : axé sur la prévention des dommages causés par des programmes malveillants. Ce processus recourt à des pratiques d’informatique sûres telles que : • la non-exécution de programmes d’origine inconnue; • l’utilisation de comptes à ouverture de session dont les privilèges sont restreints. Problèmes liés à la sécurité Un programme malveillant furtif (rootkit) fonctionne au niveau du système et représente une compromission de la sécurité des systèmes grave. On utilise normalement un détecteur de programme malveillant furtif dans un système infecté; www.cse-cst.gc.ca toutefois,comme ce type de programme est développé pour éviter toute détection, il est recommandé d’utiliser plus d’un détecteur. Les programmes malveillants furtifs sont conçus pour compromettre le système d’exploitation et sont très difficiles à éradiquer. Pour nettoyer un système infecté, on recommande fortement de réinstaller le système d’exploitation. Pour éviter la détection de leurs maliciels, les auteurs utilisent différentes méthodes : • • • • • Virus et vers chiffrés : permettent de cacher la signature du maliciel – l’anti-maliciel devrait pouvoir détecter les maliciels chiffrés. Virus polymorphes : conçus pour modifier leur contenu chaque fois qu’ils se reproduisent en changeant leur apparence pour cacher leur signature et éviter de se faire détecter. Compression des virus : technique utilisée principalement pour masquer la signature du maliciel; la plupart des virus se propagent en formats comprimés. Couches de compression multiples : un maliciel peut également être comprimé plusieurs fois à l’aide de différentes technologies. Les solutions antimaliciel devraient pouvoir détecter les maliciels comprimés. Exploit du jour zéro : attaque inconnue à ce jour et qui ne peut donc pas être détectée par une analyse conventionnelle des signatures. Les anti-maliciels axés sur le comportement peuvent identifier les maliciels en fonction de son comportement, protègent dans une certaine mesure contre les exploits du jour zéro et devraient faire partie de toute solution de défense anti-maliciel. Pratiques d’informatique sûres Les fichiers de données anti-maliciel devraient être mis à jour quotidiennement. Toutefois, l’anti-maliciel n’est qu’un élément de la solution; o les politiques internes devrait interdire aux utilisateurs de télécharger ou d’utiliser tout logiciel non autorisé; o on doit restreindre les privilèges d’accès au système des comptes d’utilisateur; o les utilisateurs devraient suivre des séances régulières de sensibilisation à la sécurité pour se rappeler les politiques et pratiques de sécurité internes. [email protected] 613-991-7654 CSG-07\L