1.

1 Menaces pour la sécurité

1.1.1 Types de menaces

1.1.1 Types de menaces

1.1.1.1 Logiciels publicitaires, logiciels espions et hameçonnage

Les programmes malveillants (malwares) sont conçus pour nuire à un système.
Il peut s'agir de logiciels publicitaires, de logiciels espions, de
graywares, de logiciels d'hameçonnage, de virus, de vers, de chevaux de Troie
et de rootkits. L'hameçonnage résulte d'une action humaine malveillante
impliquant des logiciels courants et du contenu adapté pour la circonstance.
Ces programmes malveillants s'installent généralement sur un ordinateur à
l'insu de l'utilisateur. Ils peuvent ouvrir des fenêtres indésirables ou
modifier la configuration. Ils sont également capables de modifier les
navigateurs Web pour rediriger l'utilisateur vers des pages indésirables. Ce
procédé s'appelle la redirection. Les programmes malveillants peuvent aussi
récupérer les informations stockées sur l'ordinateur à l'insu de
l'utilisateur.

Logiciel publicitaire

Un logiciel publicitaire est un programme qui affiche de la publicité sur

votre ordinateur. En général, ces logiciels sont distribués avec un logiciel
téléchargé. La plupart du temps, ils s'affichent dans une fenêtre
publicitaire intempestive (pop-up). Ces fenêtres sont parfois difficiles à
contrôler et ouvrent de nouvelles fenêtres plus rapidement que l'utilisateur
ne peut les fermer.

Logiciel espion

Les logiciels espions sont semblables aux logiciels publicitaires. Ils se

copient à l'insu des utilisateurs et sans leur intervention. Une fois qu'il
est installé et qu'il s'exécute, le logiciel espion surveille l'activité de
l'ordinateur. Il envoie ensuite les informations recueillies à l'organisation
ou à l'individu qui l'a lancé.

Grayware

Les graywares sont semblables aux logiciels publicitaires. Ils peuvent être
malveillants et sont parfois installés par l'utilisateur. Par exemple, un
logiciel gratuit peut nécessiter l'installation d'une barre d'outils
publicitaire, qui peut également surveiller l'historique de navigation d'un
utilisateur.

Hameçonnage (Phishing)

L'hameçonnage a lieu lorsqu'un pirate prétend représenter un organisme

légitime, comme une banque. La victime potentielle est contactée par e-mail,
par téléphone ou par SMS. Le pirate demande des informations telles qu'un nom
d'utilisateur ou un mot de passe, la plupart du temps pour « protéger
l'utilisateur ou éviter des événements désastreux ».

1
 De nombreuses attaques de programmes malveillants sont des attaques
d'hameçonnage qui visent à persuader la victime de fournir aux pirates, sans
s'en rendre compte, un accès aux informations personnelles. Lorsque
l'utilisateur remplit le faux formulaire en ligne, les données sont envoyées
au pirate. Un programme malveillant peut être supprimé au moyen d'un
antivirus ou d'outils de suppression de logiciels espions et de logiciels
publicitaires.

REMARQUE : il est rarement nécessaire de donner des informations personnelles

sensibles ou financières en ligne. Les organismes légitimes ne vous
demanderont jamais d'informations personnelles sensibles par e-mail. Soyez
vigilant. En cas de doute, contactez l'organisme par courrier ou téléphone
pour vérifier le bien-fondé de la demande.

1.1.1.2 Virus, vers, chevaux de Troie et rootkits

Virus

Un virus est un programme volontairement malveillant envoyé par des pirates.

Il est transmis à un autre ordinateur via les e-mails, les transferts de
fichiers et la messagerie instantanée. Le virus est caché dans du code, un
logiciel ou des documents. Lorsque l'utilisateur accède au fichier en
question, le virus s'exécute et contamine l'ordinateur. Un virus peut
endommager ou supprimer des fichiers sur un ordinateur, utiliser une adresse
e-mail pour se propager sur d'autres ordinateurs, empêcher l'ordinateur de
démarrer, affecter le fonctionnement des applications, voire effacer
l'intégralité de vos données. Si le virus est transmis à d'autres
ordinateurs, ceux-ci peuvent continuer de le propager.

Certains virus peuvent être particulièrement dangereux, et être utilisés

notamment pour enregistrer les pressions de touches (keyloggers). Cela permet
aux pirates de s'accaparer des informations sensibles, tels les mots de passe
et les numéros de carte de crédit. Les virus peuvent en effet envoyer les
données récupérées aux pirates. Ils peuvent également altérer ou détruire les
informations d'un ordinateur. Des virus furtifs peuvent contaminer un
ordinateur et rester inactifs jusqu'à ce qu'ils soient appelés par le pirate.

Ver

Un ver est un programme dangereux pour les réseaux, car il se reproduit lui-
même. Il utilise le réseau pour dupliquer son code sur les hôtes, souvent
sans aucune intervention de l'utilisateur. Il est différent d'un virus parce
qu'il n'a pas besoin de se joindre à un programme pour contaminer un hôte.
Les vers se propagent généralement en exploitant automatiquement les
vulnérabilités connues des logiciels légitimes.

Cheval de Troie

Un cheval de Troie est un programme malveillant qui prend la forme d'un

logiciel légitime. En fait, un cheval de Troie est dissimulé dans un logiciel
qui semble effectuer une action, alors qu'il fait autre chose en arrière-
plan. Il peut se reproduire comme un virus et se propager à d'autres
ordinateurs. Les données endommagées, les informations d'identification
piratées et la perte de production peuvent avoir des conséquences
désastreuses. Un technicien doit parfois intervenir pour réparer les dégâts.
Les employés risquent de perdre des données ou de devoir les remplacer. Un
ordinateur contaminé peut envoyer des données critiques à des concurrents,
tout en infectant d'autres ordinateurs du réseau.

2
 Logiciel antivirus

Les logiciels antivirus sont spécifiquement conçus pour détecter, désactiver

et éliminer les virus, vers et chevaux de Troie avant qu'ils ne contaminent
un ordinateur. Toutefois, les logiciels antivirus peuvent rapidement devenir
obsolètes : il incombe au technicien d'installer les mises à jour, les
définitions de virus et les correctifs les plus récents dans le cadre d'un
plan de maintenance régulier. De nombreuses organisations établissent un
règlement écrit interdisant aux employés d'installer tout logiciel non fourni
par l'entreprise. Elles sensibilisent également leurs employés aux dangers de
l'ouverture de pièces jointes d'e-mails, qui pourraient contenir un virus ou
un ver.

Rootkit

Un rootkit est un programme malveillant qui cherche à obtenir un accès

complet à un système informatique. Pour obtenir un accès à un compte
administrateur, une attaque directe est souvent mise en place. Celle-ci
exploite généralement une vulnérabilité ou un mot de passe connus. Lorsque le
rootkit dispose de cet accès, il peut cacher les fichiers, les entrées du
Registre et les dossiers qu'il utilise de façon à ce que les antivirus ou les
programmes anti-espions standard ne détectent pas sa trace. Il est très
difficile de détecter un rootkit, car celui-ci peut contrôler et modifier les
programmes de sécurité qui, en temps normal, décèlent les installations de
logiciels malveillants. Un logiciel spécial de suppression des rootkits peut
être utilisé pour supprimer un rootkit, mais parfois, la réinstallation du
système d'exploitation est nécessaire pour garantir la suppression totale du
rootkit.

REMARQUE : soyez vigilant avec les pièces jointes des e-mails, même si les
messages proviennent d'un contact de confiance. L'ordinateur de l'expéditeur
peut très bien avoir été contaminé par un virus qui essaie de se propager.
Analysez toujours les pièces jointes avec un programme antivirus avant de les
ouvrir.

1.1.1.3 Sécurité sur Internet

Les outils utilisés pour rendre les pages Web polyvalentes et plus puissantes
peuvent également fragiliser les ordinateurs face aux attaques. Voici
quelques exemples d'outils Web :

 ActiveX : technologie créée par Microsoft pour contrôler

l'interactivité des pages Web. Seuls les navigateurs IE et ceux qui
utilisent le moteur IE prenent en charge ActiveX. Si ActiveX est activé
sur une page, un applet ou un petit programme doit être téléchargé pour
que l'accès à la fonctionnalité complète soit possible.

 Java : langage de programmation permettant d'exécuter des applets dans

un navigateur Web. Exemples d'applets courants : une calculatrice ou un
compteur de visites.

 JavaScript : langage de programmation développé pour interagir avec le

code source HTML, afin de créer des sites Web interactifs. Les
bannières rotatives et les fenêtres intempestives (pop-ups) par exemple
sont en JavaScript.

3
  Adobe Flash : outil multimédia utilisé pour créer des contenus Web
interactifs. Flash est utilisé pour intégrer des animations, des vidéos
et des jeux à des pages Web.

 Microsoft Silverlight : outil utilisé pour créer des contenus Web

interactifs et enrichis. Silverlight possède de nombreuses
fonctionnalités similaires à Flash.

Les pirates peuvent utiliser l'un de ces outils pour installer un programme
sur un ordinateur. Pour éviter ces attaques, la plupart des navigateurs
disposent de paramètres qui contraignent l'utilisateur à autoriser le
téléchargement ou l'utilisation de ces outils.

Filtrage ActiveX

Sur Internet, il est possible que certaines pages ne s'affichent pas

correctement si aucun contrôle ActiveX n'est installé. Certains contrôles
ActiveX sont rédigés par des tiers et peuvent être malveillants. Le filtrage
ActiveX permet de naviguer sur Internet sans exécuter les contrôles ActiveX.

Une fois un contrôle ActiveX installé pour un site Web, celui-ci est exécuté
sur les autres sites Web. Cela peut dégrader les performances du navigateur
ou impliquer des risques. Lorsque le filtrage ActiveX est activé, vous pouvez
choisir les sites Web autorisés à exécuter des contrôles ActiveX. Les sites
non autorisés n'exécutent pas de contrôles ActiveX et le navigateur n'affiche
pas de notifications vous demandant de les installer ou de les activer.

Une fenêtre intempestive (pop-up), publicitaire ou non, est une fenêtre de

navigateur qui s'ouvre en premier plan, devant la fenêtre principale.
Certaines de ces fenêtres s'affichent lors de la navigation, par exemple
après un clic sur un lien. Une fenêtre peut s'ouvrir pour afficher des
informations supplémentaires ou le zoom de l'image sur laquelle pointe le
curseur. D'autres fenêtres intempestives sont ouvertes par un site Web ou par
un annonceur et sont souvent gênantes et indésirables, en particulier lorsque
plusieurs s'ouvrent simultanément.

Le bloqueur de fenêtres intempestives est un outil intégré à un navigateur,

qui fonctionne comme un programme autonome. Il permet à l'utilisateur de
limiter ou de bloquer l'affichage de ces fenêtres. Celui qui est intégré à
Internet Explorer est activé par défaut à l'installation du navigateur.
Lorsqu'une page Web contient des fenêtres intempestives, un message apparaît
pour signaler que celles-ci ont été bloquées. Un bouton permet à
l'utilisateur d'autoriser cette fenêtre pour cette fois uniquement ou de
modifier les options de blocage pour cette page Web.

Filtre SmartScreen

Le filtre SmartScreen utilise un service Web Microsoft et nécessite que

l'accès au site Web de Microsoft soit autorisé sur le pare-feu et le serveur
proxy. Dans Internet Explorer, le filtre SmartScreen permet de détecter les
sites Web d'hameçonnage, d'analyser les sites Web pour détecter des éléments
suspects, de vérifier les sites Web et de télécharger une liste de sites
connus comme étant malveillants. Le filtre SmartScreen est activé par défaut
à l'installation d'Internet Explorer.

1.1.1.4 Navigation InPrivate

Les navigateurs Web enregistrent des informations sur les pages que vous
visitez, les recherches que vous effectuez, les noms d'utilisateur, les mots

4
 de passe et d'autres informations permettant de vous identifier. Ces
fonctionnalités sont pratiques lorsque l'on utilise un ordinateur domestique
sécurisé par un mot de passe. Cependant, lors de l'utilisation d'un
ordinateur dans un lieu public (par exemple, dans une bibliothèque ou dans un
cybercafé), les informations enregistrées par un navigateur Web peuvent être
récupérées. Une personne utilisant l'ordinateur après vous pourrait très bien
utiliser vos informations pour usurper votre identité, vous voler de l'argent
ou modifier vos mots de passe les plus sensibles.

Toutefois, il est possible de surfer sur Internet sans que l'ordinateur

utilisé enregistre des informations personnelles sur votre identité ou votre
utilisation du Web. Cela est possible grâce à la navigation InPrivate. Cette
fonctionnalité interdit au navigateur de stocker les informations suivantes :

 Noms d'utilisateur

 Mots de passe

 Cookies

 Historique de navigation

 Fichiers Internet temporaires

 Données de formulaires

Pendant la navigation, le navigateur stockera des informations (par exemple

des fichiers temporaires et des cookies), mais ces fichiers seront effacés
dès que la session InPrivate sera terminée.

Le démarrage de la navigation InPrivate entraîne l'ouverture d'une nouvelle

fenêtre de navigateur. Seule cette fenêtre est concernée par la navigation
InPrivate. Cependant, les nouveaux onglets ouverts dans cette fenêtre seront
également protégés. Les autres fenêtres du navigateur ne sont alors pas
protégées par la fonction InPrivate. La fermeture de la fenêtre InPrivate met
un terme à la session de navigation InPrivate.

1.1.1.5 Courrier indésirable

Un courrier indésirable (ou « spam ») est un e-mail non sollicité. Dans la
plupart des cas, le courrier indésirable est une forme de publicité.
Cependant, il peut être utilisé pour diffuser des liens ou des programmes
malveillants, ainsi que des contenus visant à obtenir des informations
personnelles (par exemple, un numéro de sécurité sociale ou de compte
bancaire).

Lorsqu'un courrier indésirable est utilisé pour une attaque, il peut contenir
des liens vers un site Web contaminé ou une pièce jointe qui pourrait
contaminer l'ordinateur. Ces liens ou ces pièces jointes peuvent entraîner
l'ouverture d'une grande quantité de fenêtres intempestives (pop-ups) conçues
pour attirer votre attention et vous rediriger vers des sites publicitaires.
Ces fenêtres peuvent rapidement recouvrir l'intégralité de l'écran et
consommer énormément de ressources. L'ordinateur peut par conséquent être
ralenti par ces fenêtres. Dans des cas extrêmes, les fenêtres intempestives
peuvent entraîner le blocage d'un ordinateur, qui peut par exemple afficher
un écran bleu.

5
 De nombreux antivirus ou programmes de messagerie détectent et suppriment
automatiquement le courrier indésirable de la boîte de réception. La plupart
des FAI (fournisseurs d'accès à Internet) filtrent également le courrier
indésirable. Cependant, certains messages passent entre les mailles du filet.
Soyez vigilant et vérifiez les éléments suspects suivants :

 E-mail sans objet

 E-mail demandant des informations sur un compte

 E-mail très mal rédigé, avec de nombreuses fautes d'orthographe ou

d'erreurs de ponctuation

 E-mail contenant des liens très longs ou difficiles à lire

 E-mail usurpant l'identité d'un organisme légitime

 E-mail demandant expressément d'ouvrir une pièce jointe

La plupart des courriers indésirables sont envoyés par des ordinateurs ou des
réseaux contaminés par un virus ou un ver. Ces ordinateurs envoient autant
d'e-mails que possible.

1.1.1.6 Attaques TCP/IP

La suite de protocoles TCP/IP est utilisée pour contrôler toutes les

communications sur Internet. Malheureusement, certaines fonctionnalités des
protocoles TCP/IP peuvent être détournées et créer des failles sur le réseau.

Déni de service (DoS)

Le déni de service (DoS, Denial of Service) est une forme d'attaque qui
empêche les utilisateurs d'accéder normalement à des services tels que la
messagerie électronique ou un serveur Web, car le système est occupé à
répondre à un nombre de requêtes anormalement élevé. Cette attaque envoie un
très grand nombre de requêtes à une ressource système pour que le service
requis soit surchargé et cesse de fonctionner.

Déni de service distribué

Une attaque par déni de service distribué (DDoS) utilise un grand nombre
d'ordinateurs contaminés, appelés des zombies ou des botnets, pour lancer une
attaque. L'objectif est de bloquer l'accès au service visé. Les botnets sont
généralement répartis sur toute la planète, ce qui rend difficile
l'identification de l'origine de l'attaque.

Attaque par inondation SYN

La requête SYN est la communication initiale envoyée pour établir une

connexion TCP. Une attaque par inondation SYN consiste à ouvrir des ports TCP
au hasard et à inonder de fausses requêtes SYN les périphériques réseau ou
l'ordinateur ciblé. Cela entraîne un déni de service. Une attaque par
inondation SYN est un type d'attaque DoS.

6
 Mystification

Dans le cadre d'une attaque par mystification, un ordinateur usurpe

l'identité d'un ordinateur autorisé pour accéder à certaines ressources. Il
utilise une fausse adresse MAC ou IP pour se faire passer pour un ordinateur
autorisé sur le réseau.

L'homme du milieu (Man in the Middle)

Un pirate peut lancer une attaque de l'homme du milieu (HDM, ou Man-in-the-

Middle en anglais) en interceptant les communications entre plusieurs
ordinateurs pour voler les informations en transit sur le réseau. Ce type
d'attaque peut également être utilisé pour manipuler les messages et relayer
de fausses informations entre les hôtes, car ceux-ci ne savent pas que les
messages ont été modifiés.

Rejeu

Lors d'une attaque par « rejeu » (ou « replay attack » en anglais), les
transmissions de données sont interceptées et enregistrées par un pirate. Ces
transmissions sont ensuite envoyées à l'ordinateur de destination. Ce dernier
agit comme si ces transmissions étaient authentiques et envoyées par la
source d'origine. Le pirate a alors accès au système ou au réseau.

Empoisonnement DNS

Les enregistrements DNS d'un système sont modifiés pour qu'ils pointent vers
des serveurs malveillants. L'utilisateur tente d'accéder à un site légitime,
mais le trafic est redirigé vers un site malveillant. Ce site est utilisé
pour enregistrer des informations confidentielles telles que des noms
d'utilisateur et des mots de passe. Un pirate peut ensuite récupérer ces
informations.

1.1.2 Accès aux données et à l'équipement

1.1.2.1 Manipulation psychologique

La manipulation psychologique est une arme qui peut être utilisée par un
pirate pour obtenir l'accès à un équipement ou à un réseau en trompant les
gens pour qu'ils divulguent des informations confidentielles. Souvent, le
pirate gagne la confiance d'un employé et le persuade de divulguer son nom
d'utilisateur et son mot de passe.

Un pirate utilisant la manipulation psychologique peut se faire passer pour

un technicien pour entrer dans un bâtiment. À l'intérieur, il peut observer
les utilisateurs pour obtenir des informations, chercher des papiers sur
lesquels seraient écrits des mots de passe et des numéros de téléphone, ou
accéder aux adresses e-mail de l'entreprise.

Voici quelques précautions de base pour vous protéger contre la manipulation

psychologique :

 Ne divulguez jamais votre mot de passe.

 Vérifiez toujours l'identité des inconnus.

 Limitez l'accès des visiteurs.

7
  Accompagnez tous les visiteurs.

 N'affichez jamais votre mot de passe dans votre espace de travail.

 Verrouillez votre ordinateur si vous quittez votre bureau.

 Ne laissez personne vous suivre derrière une porte qui nécessite une
carte d'accès.

1.1.2.2 Effacement des données, destruction des disques durs et

recyclage

Supprimer des fichiers d'un disque dur ne suffit pas pour les effacer
définitivement. En réalité, le système d'exploitation supprime simplement la
référence au fichier dans la table d'allocation, mais les données restent
intactes. Elles ne seront totalement effacées que lorsque le disque dur
stockera de nouvelles données au même endroit (en les remplaçant donc). Pour
que la récupération des données soit impossible, il faut effacer entièrement
le contenu du disque dur au moyen d'un logiciel spécial. Une fois cette
opération terminée, ce disque peut être détruit ou recyclé.

Effacement des données

L'effacement des données, ou effacement sécurisé, est une procédure visant à

supprimer définitivement les données du disque dur. Cette opération est
souvent effectuée sur des disques durs contenant des données sensibles, par
exemple des informations financières. Il ne suffit pas de supprimer les
fichiers, ni même de formater le disque. Des logiciels peuvent être utilisés
pour récupérer des dossiers, des fichiers et même des partitions entières si
les données n'ont pas été effacées correctement. Utilisez un logiciel
spécialisé pour remplacer plusieurs fois les données, afin qu'elles
deviennent inutilisables. Important : l'effacement des données est
irréversible et celles-ci ne pourront plus être récupérées.

L'effacement complet d'un disque par un logiciel spécialisé prend beaucoup de

temps. De nombreux programmes offrent plusieurs options de remplacement du
contenu. Des séquences de données particulières (formées de 0 et de 1), des
algorithmes mathématiques, des bits aléatoires et des écrasements successifs
peuvent être utilisés. Avec des disques atteignant les 2 To, l'effacement des
données par écrasements successifs peut être complexe et très long, en
particulier s'il faut traiter plusieurs disques. Les données étant stockées
par le biais d'un procédé magnétique sur un disque dur, des aimants peuvent
être utilisés pour les effacer.

Démagnétisation

La démagnétisation consiste à perturber ou à éliminer le champ magnétique

d'un disque dur qui permet le stockage des données. Un électroaimant peut
être utilisé. Il s'agit en fait d'un aimant qui, lorsqu'il reçoit du courant,
émet un champ magnétique très puissant. Un outil de démagnétisation peut
coûter 15 300 euros, voire plus. Cette solution n'est donc pas à la portée de
tout le monde. La démagnétisation d'un disque prend environ 10 secondes.
Cette technique s'avère donc plus efficace et plus rentable si un grand
nombre de disques durs doivent être traités.

Certains dispositifs de démagnétisation peuvent également être utilisés pour

des opérations de petite envergure. Ces dispositifs utilisent des aimants

8
puissants au lieu d'électroaimants, ce qui limite leur coût. Pour écraser les
données d'un disque dur avec ce type de procédé, il suffit de démonter le
disque dur et de placer l'appareil au-dessus des plateaux pendant 2 minutes.

Destruction des disques durs

Les entreprises qui possèdent des données sensibles doivent toujours établir
des stratégies claires en matière d'élimination des disques durs. Il est
important de savoir que le formatage et la réinstallation d'un système
d'exploitation sur un ordinateur ne permettent pas de garantir que les
informations antérieures ne pourront pas être récupérées. La destruction du
disque dur est la meilleure solution pour ces entreprises. Percer des trous
dans les plateaux d'un disque n'est pas toujours la méthode la plus efficace
pour le détruire. Des données peuvent toujours être récupérées en utilisant
un logiciel sophistiqué. Pour garantir avec certitude que les données d'un
disque dur ne pourront pas être récupérées, il faut briser soigneusement les
plateaux avec un marteau et éliminer convenablement les morceaux.

Disques SSD

Les disques SSD sont composés d'une mémoire Flash, contrairement aux plateaux
magnétiques des disques durs classiques. Les techniques courantes
d'écrasement des données comme la démagnétisation et la destruction ne sont
donc pas efficaces pour ces disques. Pour s'assurer que les données ne
peuvent pas être récupérées sur un disque SSD, effectuez un écrasement
sécurisé ou broyez le disque en petites pièces.

Les autres supports de stockage, tels que les disques optiques et les
disquettes, doivent également être détruits. Utilisez un broyeur adapté à ce
type de support.

Recyclage des disques durs

Les disques durs qui ne contiennent pas de données sensibles peuvent être
réutilisés dans d'autres ordinateurs. Le lecteur peut ainsi être reformaté et
un nouveau système d'exploitation installé. Deux types de formatage peuvent
être effectués :

 Formatage standard : également appelé formatage de haut niveau. Un

secteur de démarrage est créé et un système de fichiers est configuré
sur le disque. Un formatage standard ne peut être effectué qu'après un
formatage de bas niveau.

 Formatage de bas niveau : la surface du disque est marquée avec des

indicateurs de secteur représentant les emplacements pour le stockage
des données. Les pistes sont également créées. Le formatage de bas
niveau est généralement effectué en usine, après la fabrication du
disque dur.