NON CLASSIFIÉ
Anti-maliciel
Introduction Un logiciel malveillant (maliciel)
désigne tout code exécutable conçu pour perturber ou
corrompre un système informatique. Il peut s’agir de
virus et vers informatiques, de chevaux de Troie,
d’espiogiciels, de programmes malveillants furtifs
(rootkits) et de certains types de publiciel.
Aperçu Il existe deux modes de fonctionnement
d’un anti-maliciel : la détection et le confinement.
• Détection des maliciels : requiert des antivirus et
anti-maliciels. Ces logiciels peuvent reconnaître des
maliciels en comparant un logiciel suspect avec une
liste de maliciels ou de comportements connus.
• Reconnaissance axée sur les politiques :
identification de types de comportement connus
et suspects et vérification de l’intégrité des
fichiers. Ces produits exigent des mises à jour
fréquentes des fichiers de données utilisés afin
de permettre l’identification des plus récents
maliciels lors des balayages de sécurité réguliers.
• Reconnaissance axée sur le comportement :
identification de maliciel basée sur une activité
de programme suspecte. Le produit observe le
comportement de tous les logiciels et peut
identifier les comportements inappropriés qu’ils
manifestent.
• Intégrité des fichiers : les maliciels sont
souvent confinés dans des fichiers systèmes
corrompus. Les anti-maliciels peuvent détecter
jusqu’à la plus petite modification non autorisée
apportée aux fichiers systèmes essentiels.
• Confinement des maliciels : axé sur la prévention
des dommages causés par des programmes
malveillants. Ce processus recourt à des pratiques
d’informatique sûres telles que :
• la non-exécution de programmes d’origine
inconnue;
• l’utilisation de comptes à ouverture de session
dont les privilèges sont restreints.
Problèmes liés à la sécurité Un programme
malveillant furtif (rootkit) fonctionne au niveau du
système et représente une compromission de la
sécurité des systèmes grave.
On utilise normalement un détecteur de programme
malveillant furtif dans un système infecté;
toutefois,comme ce type de programme est développé
pour éviter toute détection, il est recommandé d’utiliser
plus d’un détecteur. Les programmes malveillants furtifs
sont conçus pour compromettre le système d’exploitation
et sont très difficiles à éradiquer.
Pour nettoyer un système infecté, on recommande
fortement de réinstaller le système d’exploitation.
Pour éviter la détection de leurs maliciels, les auteurs
utilisent différentes méthodes :
• Virus et vers chiffrés : permettent de cacher la
signature du maliciel – l’anti-maliciel devrait pouvoir
détecter les maliciels chiffrés.
• Virus polymorphes : conçus pour modifier leur
contenu chaque fois qu’ils se reproduisent en
changeant leur apparence pour cacher leur signature
et éviter de se faire détecter.
• Compression des virus : technique utilisée
principalement pour masquer la signature du
maliciel; la plupart des virus se propagent en
formats comprimés.
• Couches de compression multiples : un maliciel
peut également être comprimé plusieurs fois à l’aide
de différentes technologies. Les solutions anti-
maliciel devraient pouvoir détecter les maliciels
comprimés.
• Exploit du jour zéro : attaque inconnue à ce jour
et qui ne peut donc pas être détectée par une
analyse conventionnelle des signatures.
Les anti-maliciels axés sur le comportement peuvent
identifier les maliciels en fonction de son comportement,
protègent dans une certaine mesure contre les exploits
du jour zéro et devraient faire partie de toute solution de
défense anti-maliciel.
Pratiques d’informatique sûres Les fichiers de
données anti-maliciel devraient être mis à jour
quotidiennement. Toutefois, l’anti-maliciel n’est qu’un
élément de la solution;
o les politiques internes devrait interdire aux
utilisateurs de télécharger ou d’utiliser tout
logiciel non autorisé;
o on doit restreindre les privilèges d’accès au
système des comptes d’utilisateur;
o les utilisateurs devraient suivre des séances
régulières de sensibilisation à la sécurité pour se
rappeler les politiques et pratiques de sécurité
internes.
www.cse-cst.gc.ca itsclientservices@cse-cst.gc.ca
613-991-7654 CSG-07\L