COURS 3

NOTION DE BASE DE LA SECURITE INFORMATIQUE

Anime par: Abdoulaye KEBE

 HEMI : Cours SI

scam keylogger Crakers

spim

spyware

Les Malwares
Virus
spam
rootkit

phreaking

 M. Abdoulaye KEBE
 MÉTHODOLOGIE

Enseignant:
Conférence lecture
Etudiants:
 Rédaction de solution

 Exposé briefing
COURS 40 HEURES

1- les caractéristiques de la sécurité informatique;

2- Terminologie de la securite informatique;
3- Les Malwares;
4- le problème de la securite informatique;
5- les causes de l'insécurité informatique;
6- les types d'attaque en securite informatique;
 SOMMAIRE

INTRODUCTION

1. Qu’est-ce qu’un malware

2. Diff érents types de malwares
3. Rappel sur quelques malwares célèbres
4. Les contre-mesures
5. Les Malwarebytes

CONCLUSION
 DESCRIPTION DU COURS
 Cette formation d’analyse de malwares vous permettra d'obtenir une vision
panoramique et globale de l'analyse de malwares.
Prérequis
 Bonnes connaissances en systèmes d'exploitation et réseau
 Bonnes connaissances en cybersécurité
 Connaître un langage de programmation compilé est un bonus

Public concerné
 Les équipes opérationnelles SOC et les équipes de réponse d’incident
 Pentesters et RSSI
 Auditeurs techniques, Analystes de sécurité

Objectifs
 Découvrir la notion de Malware
 Créer un environnement d'analyse de Malware avec les outils adaptés
 Comprendre les mécanismes et les techniques utilisés par les Malwares
 INTRODUCTION

Les objectifs de la sécurité informatique s’appliquent dans différents domaines ou

champs d’applications, chacun faisant appel à des techniques différentes pour
atteindre le ou les mêmes objectifs
 MALWARE
Le Malware est un programme malicieux intentionnellement programmé pour
endommager la machine (ordinateur, serveur) de la victime ou même les
machines d’un réseau informatique. L'intrusion de Malwares prend plusieurs
formes, un code exécutable, un script ou autres.

Le Malware est connu au grand public sous plusieurs appellations, notamment

Virus, Trojan, Ransomware, Spyware, Adware et autres.
 MALWARE

 Pour propager l’attaque (vers, virus)

 Pour utiliser le système (squat, botnets)

 Pour espionner les utilisateurs (spywares)

 Pour revenir plus tard (backdoors)

 LES VECTEURS D’ATTAQUES
 Vecteurs D’attaque : Distants
Clickjacking Détourner le fonctionnement légitime d’un clic pour des fins
malveillantes Pièce jointe piégée / URL via email
Exploitation de logiciel ou de composant système…
 LES VECTEURS D’ATTAQUES
 Vecteurs D’attaque : Locaux
Supports amovibles infectés Vecteur d’attaque ultime si la cible est isolée
d’internet Distribution gratuite de clés USB lors d’un événement
Exemple : le nucléaire iranien
 LES VECTEURS D’ATTAQUES
 Vecteurs d’attaque : Humains
Phishing / hameçonnage Sous forme d’un email provenant d’une entité de
confiance connue par la victime.
 MALWARES

 Les virus sont les programmes qui infectent d'autres programmes en leur ajoutant un code
malveillant. Ce processus s'appelle l'infection.

 Le but principal d'un virus est la diffusion du code malveillant.

 Lors de la diffusion, les virus peuvent supprimer des fichiers ou même le système
d'exploitation, endommager la structure du stockage des données, bloquer l'utilisation de
l'appareil.

 Les vers utilisent les ressources du réseau pour se propager. Cette classe a été appelée
« vers » en raison de sa particularité de « glissement » d'un ordinateur à l'autre via le
réseau, mail et autres canaux d'information.
 MALWARES

 Les spywares (keylogger): sont des logiciels qui permettent de recueillir des informations
sur un utilisateur ou une entreprise, sans qu'ils le sachent.

 Espionner l'activité des utilisateurs sur les ordinateurs.

 Collecter les informations sur le contenu du disque dur. Souvent cela signifie une analyse
des dossiers et de la base de registre afin de créer la liste des applications installées.
 Collecter les informations sur la qualité de la connexion, moyen de la connexion, vitesse de
modem, etc.
 MALWARES

 Les mineurs sont des applications qui utilisent l'appareil de l'utilisateur pour extraire des
pièces virtuelles sans que l'utilisateur le sache. (Bitcoin)
 Le spam ou courrier indésirable sont des mails indésirables envoyés en masse. Par
exemple, les messages de la propagande politique, les mails qui demandent d'aider
quelqu'un.

 Les rootkits : sont des outils utilisés pour dissimuler une activité malveillante. Ils cachent la
présence d'un malware afin d'éviter sa détection par un logiciel antivirus

 Cheval de Troie Prend l’apparence d’un programme inoffensif et ne se dupliquent pas.

 MALWARES

 Backdoor Permet à un utilisateur distant d’accéder à discrètement à un système

 Le spam ou courrier indésirable sont des mails indésirables envoyés en masse. Par
exemple, les messages de la propagande politique, les mails qui demandent d'aider
quelqu'un.
 Adware :Cette famille n'est généralement par très agressive.

Elle se contente de modifier la page de démarrage de votre navigateur internet, ou d'installer

un plug-in de recherche sur Internet. Son but ?
Vous faire venir sur un site web, vous montrer de la publicité (ce qui rémunère l'auteur de
l'Adware), et éventuellement de vous voler des informations concernant votre vie privée
(comme par exemple connaître les sites que vous visitez le plus souvent ou les mots clés de
recherche que vous utilisez).
 MALWARES

 Downloader : Ce malware se présente en général sous la forme d'un petit exécutable. Une
fois exécuté sur votre machine celui-ci va se connecter sur un site web, FTP, IRC, etc. De ce
site, il va télécharger un autre programme, en général beaucoup plus agressif, tel un Ver ou
un Rootkit.

 Les Droppers sont des fichiers exécutables qui paraissent anodins mais qui, en fait,
installent un ou plusieurs malwares. Techniquement, ils en profitent par exemple pour
lancer le malware au démarrage de la machine, ou à l'ouverture d'un navigateur Internet.
 RAPPEL SUR QUELQUES MALWARES CÉLÈBRES

Petya Wannacry
Ransomware apparu en 2016 qui chiffre la table de Ransomware utilisé en 2017 lors de la
fichiers et remplace le MBR
cyberattaque mondiale

Zeus
Cheval de Troie découvert en
Stuxnet
Vers informatique découvert en 2010 créé par la 2009
NSA
permettant de voler des infos

bancaires
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES

Wannacry

Petya

Zeus
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES

 Wannacry
Ransomware utilisé en 2017 lors de la cyberattaque mondiale a touché environ 230 000 ordinateurs à
l'échelle mondiale pertes s’élevant à 4 milliards de dollars au niveau mondial.
 Les utilisateurs d'ordinateur ont été victimes de l'attaque WannaCry parce
qu'ils n'avaient pas mis à jour leur système d'exploitation Microsoft
Windows.
 S'ils l'avaient fait régulièrement, ils auraient bénéficié du correctif de sécurité
publié par Microsoft avant l'attaque.
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES

Petya 2016 :chiffre certains fichiers sur votre ordinateur, puis demande une rançon en échange

d'une clé de déchiffrement. Cependant, alors que de nombreuses autres souches de ransomware se

concentrent sur des fichiers personnels comme des documents ou des photos, Petya peut verrouiller

l'ensemble de votre disque dur, empêchant ainsi votre ordinateur de démarrer

Au final, l'attaque de NotPetya en 2017 a causé plus de 10 milliards de dollars

de dommages.
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES

Stuxnet
est un ver informatique mis au point conjointement par les services de
renseignement américains et israéliens pour saboter le programme nucléaire
iranien, lancé à la fin des années 2000.
Le ver a été spécialement conçu pour détruire les équipements SCADA utilisés
par le gouvernement iranien dans ses processus d’enrichissement du
combustible nucléaire. L’attaque a réussi, détruisant du matériel sur plusieurs
sites.

« C’était notre Graal. Il s’est avéré qu’il y a toujours un idiot qui ne

réfléchit pas trop à la clé USB qu’il transporte. »
RAPPEL SUR QUELQUES MALWARES CÉLÈBRES
Le cheval de Troie Zeus est un type de programme malveillant qui cible Microsoft
Windows et bien souvent utilisé pour dérober des données financières.
Détecté au départ en 2007, le cheval de Troie Zeus, souvent appelé Zbot, est devenu
l'un des botnets les plus efficaces au monde, infectant des millions de machines et
engendrant de nombreux

Il crée tout d’abord un botnet, à savoir un réseau de machines infectées contrôlées en secret
par une commande et un serveur de contrôle que gère le propriétaire du programme
malveillant. Un botnet permet au propriétaire de recueillir des quantités astronomiques
d'informations ou d'exécuter des attaques à grande échelle.
 QUELQUES PRÉCAUTIONS SIMPLES, ACCESSIBLES, PERMETTENT
HEUREUSEMENT DE LIMITER LES RISQUES

Un ordinateur connecté à Internet est potentiellement soumis à de nombreuses

menaces extérieures.

S'ils parviennent à percer les défenses de votre système, peuvent prendre le contrôle et
causer des dégâts irréparables allant de la suppression de toutes vos données
personnelles jusqu'à la récupération frauduleuse de vos coordonnées bancaires ou de
vos identifiants de messagerie voir même vous demandez une rançon.
 QUELQUES PRÉCAUTIONS SIMPLES, ACCESSIBLES, PERMETTENT
HEUREUSEMENT DE LIMITER LES RISQUES

Utiliser un anti-virus et un pare-feu efficaces et Maintenir l'ensemble du

système à jour

 Beaucoup de logiciels anti-virus performants souvent associés à un

abonnement payant, comme par exemple Kaspersky ou Bitdefender.

 Ces programmes offrent un niveau de protection intéressant, incluant un scan

régulier de l'ensemble de votre système ou encore un check-up automatique de
tous les fichiers que vous pourriez être amené à télécharger.

 La mise à jour est susceptible de vous protéger contre un code malveillant

détecté très récemment et en pleine expansion.
 EN CAS D'INFECTION VIRALE AVÉRÉE :

Il est tout d'abord nécessaire de limiter les dégâts potentiels en vous

déconnectant immédiatement du réseau sans oublier de couper l'accès au
Wi-Fi.
Vous devez ensuite identifier précisément le programme malveillant dont
vous êtes victime.
 EN CAS D'INFECTION VIRALE AVÉRÉE :
Reconnaître les signes d'une infection virale

1. Ralentissement significatif et inexpliqué de l'ordinateur, voire blocage complet

nécessitant une réinitialisation.

2. Redémarrages intempestifs et non sollicités par l'utilisateur.

3. Les programmes ne parviennent plus à s'exécuter, ou génèrent des messages

d'erreur étranges.

4. La souris qui bouge toute seule Ouverture de fenêtres en permanence…

 LA CHECKLIST
La checklist
 Quel est le but du malware ?
 Comment il est arrivé sur le poste ?
 Quelle est la source qui nous prend pour cible ?
 Est-ce qu’ils sont très compétents ?
 Comment puis-je m’en débarrasser ?
 Qu’est ce qu’ils ont volé ?
 Depuis combien de temps ?
 Se propage-t-il tout seul ?
 Comment puis-je le trouver sur les autres machines ?
 Comment puis-je me prémunir pour éviter que ça arrive encore une fois dans le futur ?
 LES CONTRE-MESURES

Anti-virus Veille
vpn
firewall

monitoring IPS/IDS

cryptographie
 LES MALWAREBYTES

Malwarebytes est une société spécialisée dans l'édition et la

commercialisation d'Anti Malwares pour Windows, MacOS,
Android et iOS est un exemple concret de l'importance de ce
secteur tant pour les individus que pour les entreprises.
 LES MALWAREBYTES

Malwarebytes est un logiciel créé pour détecter et supprimer les logiciels

malveillants. les menaces et les sites infectés.
 Nettoie les appareils infectés
 Outils de prévention contre les infections par logiciels malveillants
 Arrête les attaques de ransomware
 Protège les systèmes vulnérables des virus nouveaux et inconnus utilitaires de
désinfection
 Kaspersky
 McAfee
 Symantec...
 LA CHECKLIST 32.
Quel est le but du malware ? Comment il est arrivé sur le poste ?

Quelle est la source qui nous prend pour cible ? Est-ce qu’ils sont très
compétents ?
Comment puis-je m’en débarrasser ? Qu’est ce qu’ils ont volé ?
Depuis combien de temps ? Se propage-t-il tout seul ?
Comment puis-je le trouver sur les autres machines ?
Comment puis-je me prémunir pour éviter que ça arrive encore une fois dans le
futur ?

FA/PDP – DAKAR 2015

QUESTIONS?
CONCLUSION
 La cyber sécurité est un problème mondial qui doit être traitée au niveau mondial par tous
les gouvernements en commun

 Aucun gouvernement ne peut lutter contre la cybercriminalité ou sécuriser son

cyberespace dans l'isolement

 La coopération internationale est essentielle pour assurer le cyberespace

 Il est pas un problème technologique qui peut être « résolu »; il est un risque d'être géré
par une combinaison de la technologie de défense