Wiki du LAMA (UMR 5127) - Contributions [fr]

INFO006 : Cryptologie et sécurité informatique

2016-11-20T20:05:21Z

Tmart : /* Sujets d'exposés pour l'année 2016/2017 */

== Quelques ressources pour l'étudiant ==

# Cours
#* Support de cours (presentation [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO006/Cours/cours.pdf PDF], article [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO006/Cours/article.pdf PDF])
# Fiches de TD
#* TDs 1 : cryptographie élémentaire [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO006/TDs/td-1.ps PDF]
# TPs et autres travaux pratiques [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO006/Tests/doc/html/index.html Pages des TPs]
# Autres ressources
#* Handbook of Applied Cryptology [http://www.cacr.math.uwaterloo.ca/hac/]
#* Cryptologie en ligne [http://www.apprendre-en-ligne.net/crypto/menu/index.html]
# [[Projets étudiants cryptographie et sécurité]]

== Sujets d'exposés pour l'année 2016/2017 ==

# Carré de Polybe { C. Farnier, B. Lauret }
# Cryptographie sur courbe elliptique (ECC) et l'échange de clés Diffie-Hellman sur une courbe elliptique (ECDH) { P. Clavier }
# Sécurité des réseaux mobiles { G. Charvier, G. Yoccoz } -- [https://lama.univ-savoie.fr/mediawiki/index.php/GSM_Security La sécurité du réseau GSM]
# Sécurité des fichiers de format commun { A. De-Laere, T. Martin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/S%C3%A9curit%C3%A9_des_fichiers_de_format_commun Sécurité des fichiers de format commun]
# Sécurité des appareils mobiles { B. Vaudey, B. Toneghin } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Sécurité_appareil_mobile Sécurité des appareils mobiles]
# Vulnérabilité des réseaux lorawan { H. A. RAKOTOARIVONY, N. Y. P. RANDRIANJATOVO }
# Injections SQL (SQLi) et méthodes de protection { R. Rebillard, L. Robergeon } -- [https://www.lama.univ-savoie.fr/mediawiki/index.php/Injections_SQL_et_m%C3%A9thodes_de_protection WikiSQLi]
# Social engineering { A. Senger, J. Manceaux }
# Courbes elliptiques pour la sécurité informatique {J. Suzan, G. Zablocki }
# Application "textsecure" { F. Ribard, A. Abdelmoumni } -- [https://lama.univ-savoie.fr/mediawiki/index.php/TextSecure WikiTextSecure]
# Cryptographie Visuelle { N. Baudon, G. Gomila, A. Vincent } -- [http://www.lama.univ-savoie.fr/mediawiki/index.php/Cryptographie_Visuelle Cryptographie visuelle]

== Sujets d'exposés pour l'année 2014/2015 ==

# Cryptologie VS NSA { H. Ramamonjy, N.E. Ould Kadi }
# le Bitcoin { H. Helbawi, A. Tang, J. }
# le virus "stuxnet" { N. Challut et T. Chisci }
# Google Recaptcha { A. SAYAH, A. EL-HARRAS }
# La cryptographie dans l'antiquité { Y. Lombardi, G. Badin }
# La sécurité des cartes bancaires { M. Salvat, Y. Salti }
# Cryptolocker { W. Lecable, M. Genovese }
# La machine de Turing et ses variantes { C. Laignel, P.E. Roux }
# La machine ENIGMA { B. Da Silva, G. Ply }
# La stéganographie { K. Deléglise, Y. Rakotonanahary }
# Sécurité des cartes bancaires { A. Bigane, F. Way }
# Le craquage de la cryptographie quantique ? { D. Cauwet, A. Hauguel }
# Le paiement par NFC { J. Maurice, S. Zehnder }

== Sujets d'exposés pour l'année 2013/2014 ==

#* Le cryptosystème Bitcoin { Johanny Clerc-Renaud & Clément Montigny }
#* La stéganographie { Bosviel Thomas & Tolron Sebastien}
#* AES { Avet Anthony & Duraz Aurélien }
#* Payement NFC { Montouchet Raphaël & Marois Jeremy }
#* La sécurité dans les box de FAI { Charron Thomas & Mesurolle Anthony }
#* La technologie RFID et la sécurité { CHANTREL Thierry & SEZILLE Aurélien }
#* Le Cloud et la Cryptologie { Capellaro Alexandre & Chabert Cédric }
#* La sécurité et les chaines TV cryptées { CINDOLO Giuseppe & NARETTO Benjamin }
#* Tunneling TCP/IP via SSH {RAHARISON Laurent & JEAN FRANÇOIS Michael}
#* Principes et techniques de génération de nombres aléatoires {BERTHON Yohann & KELFANI Hugo & REY Anthony}
#* Sécurité atypique et empreintes des navigateurs {FONTANA Antonin}
#* La sécurité des monnaies électroniques {BUISSON Valentin & GENY-DUMONT Rémi}

== Sujets d'exposés pour l'année 2012/2013 ==

#* Nouvelle philosophie de partage de fichiers avec MEGA { WAYNTAL David et DOMINATI Nicolas } (ok)
#* La cyberguerre { COLIN François et APPREDERISSE Benjamin } (ok)
#* Octobre Rouge { REGAZZONI Rudy et LOMBARD Adrien } (ok)
#* HTTPS et SSL { ASSIER Aymeric et ROLLINGER Claire } (ok)
#* DMZ { COLLOMB Camille et LAURENT Corantin } (ok)
#* Failles de sécurité des systèmes informatiques de grandes entreprises (LinkedIn, Apple, Sony, ...) { ARNOULD Mickaël et LEMAIRE Noémie } (ok)
#* Biométrie { BACART Aurélien et BAH Abdoulaye } (ok)
#* Sécurité et mobile : nouvelle cible des pirates { GEVET Gwénaël et YANG Yang } (ok)
#* Sécurité et [http://www.infosafe.fr/Armoirefortedin/Armoirefortedin.htm armoire forte ignifuge] pour les sauvegardes de données
#* Injections SQL & faille XSS { GUILLOT Pierre & KRATTINGER Thibaut }
#* La cryptographie militaire { GIUNCHI Ryan & CIMINERA Lary }

== Sujets d'exposés pour l'année 2011/2012 ==

A vous de proposer des sujets d'exposés... Prévoir 15min d'exposé, suivi de 5min de questions.

#* La sécurité des cartes bancaires (ok) { DORIEN Christophe et LAPIERRE Rémy }
#* La cyberguerre (ok) {MAIRE Cyril et MONTCHAL Justine}
#* La sécurité sur les sites Web (ok) {RABARIJAONA Domoina et BERTHET Vincent}
#* Virus et antivirus (ok) {EL AZHAR Said}
#* Présentation et explication de l'attaque par le virus Stuxnet (ok) {PIRAT Victor et MENDES Etienne}
#* Vulnérabilités des smartphones (ok) {Titouan VAN BELLE et Jean-Baptiste PAUMIER}
#* L'histoire de la cryptographie (ok) {Costa Jean-Philippe et Morel Julien}
#* L'Informatique Ambiante et La Sécurité:Quel Protocole? (ok) {Marclin LEON et Farid BOUKHEDDAD}
#* Systèmes physiques de génération de nombres aléatoires : principes et avantages. (ok) {Florent Carral et Julie Tacheau}
#* Présentation des Honeypots (ok) {Adiche Rafik et Jean-François Michel-Patrique}

== Sujets d'exposés pour l'année 2010/2011 ==

# Les exposés auront lieu le mercredi 23/3/2011 après-midi, et jeudi 24/3/2011 à partir de 13h30 selon le nb d'exposés. Prévoir 15min d'exposé, suivi de 5min de questions. L'ordre proposé est celui ci-dessous. N'hésitez pas à échanger entre vous.

#* Sécurité des réseaux sans fils (ok) { ZHONG Jie et GONZALEZ Miguel }
#* La cyberguerre (ok) { SOUBEYRAND Martin et ROBART Laetitia }
#* Le principe de VPN et les attaques de VPN (ok) { DU Peng }
#* La signature numérique (ok) { DJEDDI Abdelkader }
#* Présentation de quelques attaques informatiques et quelques solutions proposées pour y remédier dans les réseaux P2P (ok) { Lila Zane et Ouhemmi }
#* Sécurité dans les cartes à puce (ok) { LAGHA Youssef et Nodari }
#* Evolution de la cryptologie à travers les âges (ok, mais vaste !) { DEBAENE Aurélien et VINCENT Christophe }
#* Biométrie (ok) { ZANE Bania et MENTDAHI Houda }
#* Comparaison de différents logiciels de crackage (ok) { AMBLARD Mathieu }
#* Construire des bons mots de passe { Liu Siqi }
#* La Machine Enigma (ok) { JULLIAN-DESAYES Jeremy et GARDET Nicolas }
#* Calculateurs quantiques et applications en cryptographie { BORCARD Justine et CATHELIN Gaël }
#* Présentation des Honeypots {Adiche Rafik et Jean-François Michel-Patrique}

== Déroulement (2009/2010) ==

Les exposés se feront dans l'ordre suivant. Vous pouvez vous mettre d'accord entre vous pour échanger.

# Lundi 14/12 après-midi
#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
# Mardi 15/12 après-midi
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONNET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
# Mercredi 16/12 après-midi
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Securité des réseaux sans fils (ok) {Tounkara Mounina et Philippe Monteiro}

== Sujets d'exposés pour l'année 2009/2010 ==

#* La virtualisation, facteur de sécurité ou de vulnérabilité (ok) { DIMIER Cédric et CARRIE Antoine }
#* Comment Aircrack trouve les clés WEP des réseaux wifi (ok) { LANOISELIER Aurélien et MARCHANOFF Jérôme}
#* Présentation et explication d'une attaque historique (laquelle ?) { FLEUTIAUX Marc et AGUETTAZ Cédric}
#* La biométrie, une solution miracle pour l'authentification ? (ok) { FERNANDES PIRES Anthony et GAYET Eric}
#* Stéganographie(ok) { PONCET Johan et MARTIN Romain}
#* Stéganographie ou les signatures numériques (ok) { TARDY Camille et CASSAGNERES Pierre-André}
#* Sécurité anti-piratage (ok) {CHEVALIER Daniel et REIGNIER David}
#* Tour d'horizon des attaques par Injection SQL. (ok) {MILLER Lucas et VIONET Jean}
#* Tunneling, sécurisation et piratage (ok). {COLLEN Cyril et LAQUA Johann}
#* Attaques sur SSL. (ok) {Ferlay Mathieu et Six Lancelot}
#* Le Phreaking, piratage téléphonique (ok) {Rey Myriam}
#* Fuites de donnée en entreprise (ok) {Tounkara Mounina et Philippe Monteiro}
#* PGP et la sécurité de l'information {Cyrille Mortier}

== Sujets d'exposés pour l'année 2008/2009 ==

Les exposés auront lieu le vendredi 30/1 de 8h à 12h (4CANTONS - 64) et de 13h30 à 17h30 (4CANTONS - 65). Les exposés sont à faire par binôme (ou monôme) et doivent durer 20 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

#* Les Protocoles de sécurité dans les réseaux WiFi (WEP et WPA) <<<< { Mickaël Wang & Arnaud Villevieille } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/Securite-wifi.pdf PDF]
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison { Anis HADJALI & Vlad VESA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/analyse-securite.pdf PDF]
#* Google Hacking { Julien ARNOUX & Jeremy DEPOIL } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ghack.pptx PPTX]
#* Virus et antivirus { Mehdi M. et Christophe M. }
#* 3DSecure { Natalia Lecoeur & Cindy Chiaberto } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/3D_Secure.pdf PDF]
#* Sécurité sous Linux en entreprise { Joël Leroy Ebouele & Barbier Keller }
#* Techniques et outils de chiffrements de partitions [Valat Sebastien & Bouleis Romain]
#* IP Spoofing et DNS Spoofing { Alberic Martel & Fabien Dezempte ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2008-2009/ip-dns-spoofing.ppt PPT]
#* PRA le Plan de Reprise d'Activité {Achraf AMEUR}
#* Les attaques médiatisées sur les systèmes informatiques {Renneville Guybert et Fabrice Noraz}
#* La gestion des DRM {Petithory Thomas & Paccard Charléric}
#* L'introduction SSL,SSH { Julien Roche & Yi Wang }

== Sujets d'exposés pour l'année 2007/2008 ==

Exposés le mardi 26/2 de 8h15 à 11h30 et le mercredi 27/2 de 8h15 à 11h30. Les exposés sont à faire par binôme et doivent durer 25 minutes environ. Ils seront suivis de 5 à 10 minutes de questions. Tout le monde assiste à tous les exposés.

# Sujets d'exposés (propositions, à étoffer)
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Presentation_cryptologie_PAVLOU_DALLA_COSTA_512.mov MOV]
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Cryptologie_et_securite_informatique_-_Fernandes.pdf PDF]
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Les_attaques_mediatisees_-_PIPARO_HUMBERT.pdf PDF]
#* La mise en place de la sécurité informatique au niveau national et international : CERTs, sites AntiSPAM
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE ) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Expose_securite_sur_le_XSS_-_Roche_et_Serra.pdf PDF]
#* Virus et antivirus
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, CIMINERA } [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Watermarking_Ciminera_Maeseele.pdf PDF]
#* La gestion des DRM
#* Les certificats (PGP, X509) et les infrastructures de gestion de clés
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* IPsec
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Les outils d'analyse de la sécurité des réseaux : renifleur, scanneurs de ports, outils de détection d'intruison
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA} [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/presentation_VIALA_FOLLIET.pdf PDF]
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/OpenBSD_-_Revelin-Errochdi.pdf PDF]
#* Sécurité GPRS <<<<<< (PEHME et REY) [http://www.lama.univ-savoie.fr/~lachaud/Cours/INFO913/Prez-2007/Securite_GPRS_-PEHME_REY.pdf PDF]
# Planning des exposés Mardi 12/2/2008
#* Vulnérabilité du protocole A5/1 des mobiles GSM. <<<<< {FERNANDES}
# Mardi 27/2/2008, 8h15 -> 11h30
#* OpenBSD : aspects sécurité <<<<<< (REVELIN et ERROCHDI)
#* Secure shell (SSH) : protocole, applications, tunnelling <<<< {BODIN}
#* Sécuriser un réseau : pare-feu, zone démilitarisée, protection des serveurs, adressage local <<<<<< {FOLLIET et VIALA}
#* Sécurité des réseaux sans fil : authentification, chiffrement, WEP, WPA =>Bugnard/Berthet
#* Vulnérabilité du protocole WEP et de RC4 pour les réseaux WiFi <<<< { PAVLOU, DALLACOSTA }
# Planning des exposés Mercredi 28/2/2008, 8h15 -> 11h30
#* Sécurité GPRS <<<<<< (PEHME et REY)
#* Les attaques médiatisées sur les systèmes informatiques : Attaque de Mitnick, Morris Worm, DDOS Mafia Boy, etc <<<< { PIPARO, HUMBERT }
#* IP Spoofing et DNS Spoofing <<<< { DEMOLIS & JUMEAU )
#* Attaques par injection de code XSS, parades <<<< { SERRA & ROCHE )
#* Le tatouage d'image et de document (watermarking) <<<< {MAESEELE, ??? }

Sécurité des fichiers de format commun

2016-11-20T20:02:23Z

Tmart :

= Introduction=
Dans la plupart des cas les virus ou malware se cache dans des programmes malveillant, ces programmes se cachent donc dans des fichiers ayant les extensions .exe ou .bin.

On peux donc se demandais si d'autre fichiers tel que des documents word,des images ou des fichiers pdf peuvent être malveillant. Cette page nous permettra de répondre à cette question.

= Macrovirus =
'''Qu'est-ce qu'un virus macro ?'''

Un virus macro est un virus informatique qui modifie ou remplace une macro, à savoir un ensemble de commandes utilisées par des logiciels pour exécuter des actions courantes. Par exemple, l'action « ouvrir un document » dans de nombreux logiciels de traitement de texte dépend d'une macro pour fonctionner, car le processus comporte plusieurs étapes distinctes. Le virus macro modifie cet ensemble de commandes, de sorte qu'il puisse s'exécuter à chaque lancement de la macro.

'''Origines des virus macro'''

Les virus macro se trouvent principalement dans des documents ou intégrés en tant que code malveillant dans des logiciels de traitement de texte. Ils peuvent provenir de documents joints à des e-mails, ou le code peut être téléchargé dès lors que l'utilisateur clique sur des liens de phishing dans des bannières publicitaires ou à partir d'URL. Ils sont difficiles à détecter, car ils restent inactifs tant qu'une macro infectée n'est pas lancée. Ce n'est qu'à ce moment-là qu'ils exécutent une série de commandes. Un virus macro est similaire à un cheval de Troie dans le sens où il peut paraître bénin et où les utilisateurs ne remarquent pas immédiatement d'effets néfastes. En revanche, contrairement aux chevaux de Troie, les virus macro peuvent se reproduire et infecter d'autres ordinateurs.

'''Facteurs de risque'''

Le risque principal des virus macro est leur capacité à se propager rapidement. Dès qu'une macro infectée est lancée, tous les autres documents sur l'ordinateur de l'utilisateur sont à leur tour infectés. Certains de ces virus provoquent des anomalies dans les documents de texte, comme l'omission ou l'ajout de mots, tandis que d'autres accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l'utilisateur, qui vont à leur tour ouvrir ces fichiers et y accéder, puisqu'ils sont envoyés par une source de confiance.

Ces virus peuvent également être conçus dans le but d'effacer ou de compromettre des données stockées. En outre, il est important de noter que les virus macro se propagent indépendamment de la plate-forme : ils peuvent infecter les systèmes Windows et Mac à l'aide du même code. Tout logiciel utilisant des macros peut servir d'hôte, et toute copie d'un logiciel infecté, qu'elle soit envoyée par e-mail, stockée sur un disque ou sur une clé USB, sera elle aussi porteuse du virus.

Pour supprimer ces virus, vous devez vous appuyer sur un logiciel de sécurité doté d'outils spécifiques de détection et de suppression des virus macro. Effectuez des analyses régulières pour nettoyer tous les documents éventuellement infectés et vous assurer que de nouveaux virus informatiques ne sont pas téléchargés.

== Moyen de Protection ==
'''1) Protégez vos emails'''

Se protéger contre les macrovirus commence principalement avec une forte sécurisation de la messagerie, puisque la grande majorité des pièces-jointes, fichiers et liens sont envoyés par email. Toutes les bonnes pratiques standards liées aux emails peuvent être mises en place, mais ne négligez pas des fonctionnalités telles que l’analyse et le scan des pièces-jointes, associées à des outils de contrôle de dangerosité et de réputation des liens.

'''2) Désactivez les macros (là où vous pouvez)'''

En fin de compte, il est rare que vous puissiez bloquer l’intégralité des macros, mais vous pouvez établir des groupes d’utilisateurs avec des droits spécifiques pour n’autoriser leur usage qu’à vos collaborateurs qui en ont vraiment besoin. En effet, la majeure partie de vos employés n’auront jamais à utiliser une macro de leur vie

'''3) Protégez les postes utilisateurs avec des solutions modernes'''

Dans les cas où vous ne pouvez pas bloquer toutes les macros (et si vous pouvez, faites-le simplement en protection additionnelle), vous devez vous assurer que votre solution de sécurité informatique a des fonctions de sécurité heuristiques, basées sur la réputation et le comportement des programmes malveillants. Vous aurez la garantie que tous les fichiers malveillants déjà détectés à travers le monde seront automatiquement bloqués, et que ces vilains virus « zero-day » seront bloqués grâce à l’analyse de leur fonctionnement et de leur comportement.

'''4) Gardez votre suite Office à jour'''

La plupart des macrovirus sont des fichiers au format « .doc », très fréquents pour Microsoft Office 2007 et les versions antérieures. Par conséquent, utiliser la dernière version de la suite Office semble être une bonne idée, puisqu’elle intègre de meilleures protections contre ces attaques. Par exemple, elle peut détecter les tentatives de dissimulation des fichiers qui ont une extension en « .docm » et « .xslm ».

'''5) Sensibilisez vos employés : N’ouvrez pas d’emails ou de pieces-jointes suspects !'''

Application d’une bonne pratique standard de la sécurité des emails : demandez à vos utilisateurs de supprimer les emails suspects et de ne jamais ouvrir de pièces-jointes provenant d’expéditeurs inconnus – Surtout s’ils ne savent pas pourquoi ils les ont reçus.

'''6) Sensibilisez vos employés 2 : N’activez pas les macros sur votre ordinateur !'''

A l’inverse des traditionnels kits “d’exploit”, les macrovirus requièrent le consentement de l’utilisateur pour s’activer. Finalement, dire à vos employés de ne pas activer les macros peut faire la différence entre « être infecté » et « l’échapper belle ».

== Exemple de Retrovirus ==
'''Melissa'''

Melissa est un virus informatique qui a sévi à partir du 26 mars 1999.

Cette infection avait deux conséquences :

*Saturation des systèmes de messagerie

*Tous les documents infectés d'une entreprise ou d'un particulier étaient envoyés à de multiples adresses, qu'ils soient confidentiels ou non.

Le montant estimé des dégâts est de 385 millions de dollars (source : International Computer Security Association). Symantec indique que ce virus ne contenait pas de fonctions destructrices, mais que dès juin 1999, un nouveau virus, ExploreZip apparaissait qui lui avait des fonctions destructrices.

L'auteur du virus (l'américain David L. Smith) a été identifié grâce au champ GUID dans les documents infectés. Avec les versions de Windows de l'époque, lorsqu'il était généré, ce champ contenait l'adresse MAC de l'ordinateur ayant servi à la création du document. Au cours de la propagation du virus, le champ était recopié par le logiciel Word ou par le virus lui-même. Dans les versions suivantes de Windows, l'algorithme qui génère le GUID a été modifié pour respecter la vie privée des utilisateurs, les 48 bits de l'adresse MAC ont été retirés.

'''Locky'''

Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données.

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc".

Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.

Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.

[[Fichier:Locky_word.png]]

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l'argent

Locky supprime aussi les sauvegardes interne ("shadow copies") que Windows fait par l'intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

= Fichier PDF infecté=

Un fichier pdf ne peut être accéder qu'en lecteur par l'utilisateur, ce dernier ne peut donc pas lancer de macrocommande malveillante(voir macrovirus) ou exécuter une action malveillante.
Il existe cependant des fichiers pdf malveillant,ces fichiers PDF malveillants utilisent des failles découvertes dans les lecteurs PDF (typiquement Acrobat Reader) pour forcer ces derniers à exécuter un code arbitraire au moment où le fichier PDF est ouvert. Ces failles sont généralement des débordements de buffer qui se produisent lorsque le lecteur PDF analyse un fichier spécifiquement construit. Ces failles peuvent typiquement se trouver :

-Dans des primitives PDF. Par exemple, un appel à la primitive PDF "/Colors" avec un argument plus grand que 2^24 provoque un débordement de tas dans Adobe Reader 9.3 (cf. CERT-IST/AV-2009.469, CVE-2009-3459)

-Dans l'interpréteur JavaScript qui est inclus dans le lecteur PDF. Par exemple un appel à la méthode JavaScript "Collab.getIcon" peut provoquer un débordement de pile dans Acrobat Reader 9.0 (cf. CERT-IST/AV-2009.078, CVE-2009-0927)

Afin de tirer partie d'un débordement mémoire pour exécuter du code, l'attaquant a besoin de connaitre l'organisation mémoire du lecteur PDF au moment où le débordement se produit. Mais le plus souvent il utilise plutot un code JavaScript qui réalise un "heap spray" (une "pulvérisation sur le tas") avant de déclencher la vulnérabilité Cette technique permet d’exécuter du code arbitraire sans connaître l'endroit exact à modifier en mémoire. L'attaquant remplit alors la mémoire avec de multiples instructions de saut vers son code d'attaque, augmentant la probabilité que l'une d‘entre elles soit exécutée au moment où le débordement mémoire se produit.

Donc, même si ce n'est pas absolument nécessaire, la plupart des fichiers PDF malveillants contiennent un code JavaScript :

*Soit parce que la vulnérabilité exploitée se trouve dans l'interpréteur Javascript,
*Soit parce que la technique d'attaque utilise JavaScript (par exemple pour réaliser un "heap-spay").

Ce code JavaScript est déclenché (à l'ouverture du document, ou plus tard lors de l'arrivée d'un événement précis) par les primitives PDF "/OpenAction" ou "/AA" (Additional Action).
==Exemple==
'''MiniDuke'''

Pour s’attaquer à leurs victimes, ils font appel à des techniques de “social engineering” extrêmement efficaces, consistant à envoyer à leurs cibles des documents PDF infectés. Ces documents paraissent de prime abord légitimes, avec un contenu soigneusement conçu, relatif à des séminaires sur les droits de l’Homme (dans le cadre de l’ASEM), à la politique étrangère de l’Ukraine ou à des plans d’adhésion à l’OTAN. Les fichiers PDF malveillants sont destinés à exploiter des failles dans Adobe Reader versions 9, 10 et 11, en contournant son Bac à sable (« s andbox »). Le kit d’outils utilisé pour ce faire paraît être identique à celui employé lors de la récente attaque signalée par FireEye. Cependant, les failles exploitées par les attaques MiniDuke le sont à d’autres fins et au moyen d’un malware personnalisé spécifique.

Une fois le système infiltré, un programme de téléchargement très compact (20 Ko) est placé sur le disque dur de la victime. Ce « downloader » est spécifique à chaque système et contient une backdoor personnalisée, écrite en assembleur. Une fois chargé au démarrage du système, il réalise une série de calculs mathématiques pour déterminer l’empreinte propre à l’ordinateur, une information dont il se servira par la suite pour crypter ses communications. Le downloader est également programmé pour échapper aux analyses opérées par les outils intégrés à certains environnements, tels que VMware. S’il détecte leur présence, il se met en sommeil au sein de l’environnement au lieu de passer à l’étape suivante et de démasquer ses autres fonctionnalités. Cela indique que ses auteurs connaissent exactement les techniques mises en œuvre par les professionnels de la protection antivirus et de la sécurité informatique pour analyser et identifier les malwares.

Si le système cible répond à des conditions prédéfinies, le malware se connecte à Twitter (à l’insu de l’utilisateur) et recherche, sur des comptes créés préalablement par les opérateurs de commande et de contrôle (C&C) de MiniDuke, des tweets spécifiques contenant des URL cryptées destinées aux backdoors. Ces URL donnent accès aux serveurs C&C, lesquels adressent ensuite d’éventuelles commandes et transmissions cryptées de backdoors supplémentaires qui s’installent sur le système par l’intermédiaire de fichiers GIF.

Une fois que le système infecté a localisé le serveur C&C, il reçoit des backdoors cryptés, dissimulés sous forme d’images dans des fichiers GIF qui se retrouvent sur la machine de la victime. Ceux-ci peuvent télécharger à leur tour un backdoor plus volumineux qui effectue plusieurs opérations élémentaires : copie, déplacement ou suppression de fichier, création de répertoire, terminaison de processus et, bien entendu, téléchargement et exécution de nouveau malware.

Sécurité des fichiers de format commun

2016-11-20T20:01:42Z

Tmart :

= Introduction=
Dans la plupart des cas les virus ou malware se cache dans des programmes malveillant, ces programmes se cachent donc dans des fichiers ayant les extensions .exe ou .bin.

On peux donc se demandais si d'autre fichiers tel que des documents word,des images ou des fichiers pdf peuvent être malveillant. Cette page nous permettra de répondre à cette question.

= Macrovirus =
'''Qu'est-ce qu'un virus macro ?'''

Un virus macro est un virus informatique qui modifie ou remplace une macro, à savoir un ensemble de commandes utilisées par des logiciels pour exécuter des actions courantes. Par exemple, l'action « ouvrir un document » dans de nombreux logiciels de traitement de texte dépend d'une macro pour fonctionner, car le processus comporte plusieurs étapes distinctes. Le virus macro modifie cet ensemble de commandes, de sorte qu'il puisse s'exécuter à chaque lancement de la macro.

'''Origines des virus macro'''

Les virus macro se trouvent principalement dans des documents ou intégrés en tant que code malveillant dans des logiciels de traitement de texte. Ils peuvent provenir de documents joints à des e-mails, ou le code peut être téléchargé dès lors que l'utilisateur clique sur des liens de phishing dans des bannières publicitaires ou à partir d'URL. Ils sont difficiles à détecter, car ils restent inactifs tant qu'une macro infectée n'est pas lancée. Ce n'est qu'à ce moment-là qu'ils exécutent une série de commandes. Un virus macro est similaire à un cheval de Troie dans le sens où il peut paraître bénin et où les utilisateurs ne remarquent pas immédiatement d'effets néfastes. En revanche, contrairement aux chevaux de Troie, les virus macro peuvent se reproduire et infecter d'autres ordinateurs.

'''Facteurs de risque'''

Le risque principal des virus macro est leur capacité à se propager rapidement. Dès qu'une macro infectée est lancée, tous les autres documents sur l'ordinateur de l'utilisateur sont à leur tour infectés. Certains de ces virus provoquent des anomalies dans les documents de texte, comme l'omission ou l'ajout de mots, tandis que d'autres accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l'utilisateur, qui vont à leur tour ouvrir ces fichiers et y accéder, puisqu'ils sont envoyés par une source de confiance.

Ces virus peuvent également être conçus dans le but d'effacer ou de compromettre des données stockées. En outre, il est important de noter que les virus macro se propagent indépendamment de la plate-forme : ils peuvent infecter les systèmes Windows et Mac à l'aide du même code. Tout logiciel utilisant des macros peut servir d'hôte, et toute copie d'un logiciel infecté, qu'elle soit envoyée par e-mail, stockée sur un disque ou sur une clé USB, sera elle aussi porteuse du virus.

Pour supprimer ces virus, vous devez vous appuyer sur un logiciel de sécurité doté d'outils spécifiques de détection et de suppression des virus macro. Effectuez des analyses régulières pour nettoyer tous les documents éventuellement infectés et vous assurer que de nouveaux virus informatiques ne sont pas téléchargés.

== Moyen de Protection ==
'''1) Protégez vos emails'''

Se protéger contre les macrovirus commence principalement avec une forte sécurisation de la messagerie, puisque la grande majorité des pièces-jointes, fichiers et liens sont envoyés par email. Toutes les bonnes pratiques standards liées aux emails peuvent être mises en place, mais ne négligez pas des fonctionnalités telles que l’analyse et le scan des pièces-jointes, associées à des outils de contrôle de dangerosité et de réputation des liens.

'''2) Désactivez les macros (là où vous pouvez)'''

En fin de compte, il est rare que vous puissiez bloquer l’intégralité des macros, mais vous pouvez établir des groupes d’utilisateurs avec des droits spécifiques pour n’autoriser leur usage qu’à vos collaborateurs qui en ont vraiment besoin. En effet, la majeure partie de vos employés n’auront jamais à utiliser une macro de leur vie

'''3) Protégez les postes utilisateurs avec des solutions modernes'''

Dans les cas où vous ne pouvez pas bloquer toutes les macros (et si vous pouvez, faites-le simplement en protection additionnelle), vous devez vous assurer que votre solution de sécurité informatique a des fonctions de sécurité heuristiques, basées sur la réputation et le comportement des programmes malveillants. Vous aurez la garantie que tous les fichiers malveillants déjà détectés à travers le monde seront automatiquement bloqués, et que ces vilains virus « zero-day » seront bloqués grâce à l’analyse de leur fonctionnement et de leur comportement.

'''4) Gardez votre suite Office à jour'''

La plupart des macrovirus sont des fichiers au format « .doc », très fréquents pour Microsoft Office 2007 et les versions antérieures. Par conséquent, utiliser la dernière version de la suite Office semble être une bonne idée, puisqu’elle intègre de meilleures protections contre ces attaques. Par exemple, elle peut détecter les tentatives de dissimulation des fichiers qui ont une extension en « .docm » et « .xslm ».

'''5) Sensibilisez vos employés : N’ouvrez pas d’emails ou de pieces-jointes suspects !'''

Application d’une bonne pratique standard de la sécurité des emails : demandez à vos utilisateurs de supprimer les emails suspects et de ne jamais ouvrir de pièces-jointes provenant d’expéditeurs inconnus – Surtout s’ils ne savent pas pourquoi ils les ont reçus.

'''6) Sensibilisez vos employés 2 : N’activez pas les macros sur votre ordinateur !'''

A l’inverse des traditionnels kits “d’exploit”, les macrovirus requièrent le consentement de l’utilisateur pour s’activer. Finalement, dire à vos employés de ne pas activer les macros peut faire la différence entre « être infecté » et « l’échapper belle ».

== Exemple de Retrovirus ==
'''Melissa'''

Melissa est un virus informatique qui a sévi à partir du 26 mars 1999.

Cette infection avait deux conséquences :

*Saturation des systèmes de messagerie

*Tous les documents infectés d'une entreprise ou d'un particulier étaient envoyés à de multiples adresses, qu'ils soient confidentiels ou non.

Le montant estimé des dégâts est de 385 millions de dollars (source : International Computer Security Association). Symantec indique que ce virus ne contenait pas de fonctions destructrices, mais que dès juin 1999, un nouveau virus, ExploreZip apparaissait qui lui avait des fonctions destructrices.

L'auteur du virus (l'américain David L. Smith) a été identifié grâce au champ GUID dans les documents infectés. Avec les versions de Windows de l'époque, lorsqu'il était généré, ce champ contenait l'adresse MAC de l'ordinateur ayant servi à la création du document. Au cours de la propagation du virus, le champ était recopié par le logiciel Word ou par le virus lui-même. Dans les versions suivantes de Windows, l'algorithme qui génère le GUID a été modifié pour respecter la vie privée des utilisateurs, les 48 bits de l'adresse MAC ont été retirés.

'''Locky'''

Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données.

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc".

Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.

Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.

[[Fichier:Locky_word.png]]

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l'argent

Locky supprime aussi les sauvegardes interne ("shadow copies") que Windows fait par l'intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

= Fichier PDF infecté=

Un fichier pdf ne peut être accéder qu'en lecteur par l'utilisateur, ce dernier ne peut donc pas lancer de macrocommande malveillante(voir macrovirus) ou exécuter une action malveillante.
Il existe cependant des fichiers pdf malveillant,ces fichiers PDF malveillants utilisent des failles découvertes dans les lecteurs PDF (typiquement Acrobat Reader) pour forcer ces derniers à exécuter un code arbitraire au moment où le fichier PDF est ouvert. Ces failles sont généralement des débordements de buffer qui se produisent lorsque le lecteur PDF analyse un fichier spécifiquement construit. Ces failles peuvent typiquement se trouver :

-Dans des primitives PDF. Par exemple, un appel à la primitive PDF "/Colors" avec un argument plus grand que 2^24 provoque un débordement de tas dans Adobe Reader 9.3 (cf. CERT-IST/AV-2009.469, CVE-2009-3459)

-Dans l'interpréteur JavaScript qui est inclus dans le lecteur PDF. Par exemple un appel à la méthode JavaScript "Collab.getIcon" peut provoquer un débordement de pile dans Acrobat Reader 9.0 (cf. CERT-IST/AV-2009.078, CVE-2009-0927)

Afin de tirer partie d'un débordement mémoire pour exécuter du code, l'attaquant a besoin de connaitre l'organisation mémoire du lecteur PDF au moment où le débordement se produit. Mais le plus souvent il utilise plutot un code JavaScript qui réalise un "heap spray" (une "pulvérisation sur le tas") avant de déclencher la vulnérabilité Cette technique permet d’exécuter du code arbitraire sans connaître l'endroit exact à modifier en mémoire. L'attaquant remplit alors la mémoire avec de multiples instructions de saut vers son code d'attaque, augmentant la probabilité que l'une d‘entre elles soit exécutée au moment où le débordement mémoire se produit.

Donc, même si ce n'est pas absolument nécessaire, la plupart des fichiers PDF malveillants contiennent un code JavaScript :

*Soit parce que la vulnérabilité exploitée se trouve dans l'interpréteur Javascript,
*Soit parce que la technique d'attaque utilise JavaScript (par exemple pour réaliser un "heap-spay").

Ce code JavaScript est déclenché (à l'ouverture du document, ou plus tard lors de l'arrivée d'un événement précis) par les primitives PDF "/OpenAction" ou "/AA" (Additional Action).
=Exemple=
'''MiniDuke'''

Pour s’attaquer à leurs victimes, ils font appel à des techniques de “social engineering” extrêmement efficaces, consistant à envoyer à leurs cibles des documents PDF infectés. Ces documents paraissent de prime abord légitimes, avec un contenu soigneusement conçu, relatif à des séminaires sur les droits de l’Homme (dans le cadre de l’ASEM), à la politique étrangère de l’Ukraine ou à des plans d’adhésion à l’OTAN. Les fichiers PDF malveillants sont destinés à exploiter des failles dans Adobe Reader versions 9, 10 et 11, en contournant son Bac à sable (« s andbox »). Le kit d’outils utilisé pour ce faire paraît être identique à celui employé lors de la récente attaque signalée par FireEye. Cependant, les failles exploitées par les attaques MiniDuke le sont à d’autres fins et au moyen d’un malware personnalisé spécifique.

Une fois le système infiltré, un programme de téléchargement très compact (20 Ko) est placé sur le disque dur de la victime. Ce « downloader » est spécifique à chaque système et contient une backdoor personnalisée, écrite en assembleur. Une fois chargé au démarrage du système, il réalise une série de calculs mathématiques pour déterminer l’empreinte propre à l’ordinateur, une information dont il se servira par la suite pour crypter ses communications. Le downloader est également programmé pour échapper aux analyses opérées par les outils intégrés à certains environnements, tels que VMware. S’il détecte leur présence, il se met en sommeil au sein de l’environnement au lieu de passer à l’étape suivante et de démasquer ses autres fonctionnalités. Cela indique que ses auteurs connaissent exactement les techniques mises en œuvre par les professionnels de la protection antivirus et de la sécurité informatique pour analyser et identifier les malwares.

Si le système cible répond à des conditions prédéfinies, le malware se connecte à Twitter (à l’insu de l’utilisateur) et recherche, sur des comptes créés préalablement par les opérateurs de commande et de contrôle (C&C) de MiniDuke, des tweets spécifiques contenant des URL cryptées destinées aux backdoors. Ces URL donnent accès aux serveurs C&C, lesquels adressent ensuite d’éventuelles commandes et transmissions cryptées de backdoors supplémentaires qui s’installent sur le système par l’intermédiaire de fichiers GIF.

Une fois que le système infecté a localisé le serveur C&C, il reçoit des backdoors cryptés, dissimulés sous forme d’images dans des fichiers GIF qui se retrouvent sur la machine de la victime. Ceux-ci peuvent télécharger à leur tour un backdoor plus volumineux qui effectue plusieurs opérations élémentaires : copie, déplacement ou suppression de fichier, création de répertoire, terminaison de processus et, bien entendu, téléchargement et exécution de nouveau malware.

Sécurité des fichiers de format commun

2016-11-20T20:01:26Z

Tmart : /* Macrovirus */

= Introduction =

----

= Introduction=
Dans la plupart des cas les virus ou malware se cache dans des programmes malveillant, ces programmes se cachent donc dans des fichiers ayant les extensions .exe ou .bin.

On peux donc se demandais si d'autre fichiers tel que des documents word,des images ou des fichiers pdf peuvent être malveillant. Cette page nous permettra de répondre à cette question.

= Macrovirus =
'''Qu'est-ce qu'un virus macro ?'''

Un virus macro est un virus informatique qui modifie ou remplace une macro, à savoir un ensemble de commandes utilisées par des logiciels pour exécuter des actions courantes. Par exemple, l'action « ouvrir un document » dans de nombreux logiciels de traitement de texte dépend d'une macro pour fonctionner, car le processus comporte plusieurs étapes distinctes. Le virus macro modifie cet ensemble de commandes, de sorte qu'il puisse s'exécuter à chaque lancement de la macro.

'''Origines des virus macro'''

Les virus macro se trouvent principalement dans des documents ou intégrés en tant que code malveillant dans des logiciels de traitement de texte. Ils peuvent provenir de documents joints à des e-mails, ou le code peut être téléchargé dès lors que l'utilisateur clique sur des liens de phishing dans des bannières publicitaires ou à partir d'URL. Ils sont difficiles à détecter, car ils restent inactifs tant qu'une macro infectée n'est pas lancée. Ce n'est qu'à ce moment-là qu'ils exécutent une série de commandes. Un virus macro est similaire à un cheval de Troie dans le sens où il peut paraître bénin et où les utilisateurs ne remarquent pas immédiatement d'effets néfastes. En revanche, contrairement aux chevaux de Troie, les virus macro peuvent se reproduire et infecter d'autres ordinateurs.

'''Facteurs de risque'''

Le risque principal des virus macro est leur capacité à se propager rapidement. Dès qu'une macro infectée est lancée, tous les autres documents sur l'ordinateur de l'utilisateur sont à leur tour infectés. Certains de ces virus provoquent des anomalies dans les documents de texte, comme l'omission ou l'ajout de mots, tandis que d'autres accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l'utilisateur, qui vont à leur tour ouvrir ces fichiers et y accéder, puisqu'ils sont envoyés par une source de confiance.

Ces virus peuvent également être conçus dans le but d'effacer ou de compromettre des données stockées. En outre, il est important de noter que les virus macro se propagent indépendamment de la plate-forme : ils peuvent infecter les systèmes Windows et Mac à l'aide du même code. Tout logiciel utilisant des macros peut servir d'hôte, et toute copie d'un logiciel infecté, qu'elle soit envoyée par e-mail, stockée sur un disque ou sur une clé USB, sera elle aussi porteuse du virus.

Pour supprimer ces virus, vous devez vous appuyer sur un logiciel de sécurité doté d'outils spécifiques de détection et de suppression des virus macro. Effectuez des analyses régulières pour nettoyer tous les documents éventuellement infectés et vous assurer que de nouveaux virus informatiques ne sont pas téléchargés.

== Moyen de Protection ==
'''1) Protégez vos emails'''

Se protéger contre les macrovirus commence principalement avec une forte sécurisation de la messagerie, puisque la grande majorité des pièces-jointes, fichiers et liens sont envoyés par email. Toutes les bonnes pratiques standards liées aux emails peuvent être mises en place, mais ne négligez pas des fonctionnalités telles que l’analyse et le scan des pièces-jointes, associées à des outils de contrôle de dangerosité et de réputation des liens.

'''2) Désactivez les macros (là où vous pouvez)'''

En fin de compte, il est rare que vous puissiez bloquer l’intégralité des macros, mais vous pouvez établir des groupes d’utilisateurs avec des droits spécifiques pour n’autoriser leur usage qu’à vos collaborateurs qui en ont vraiment besoin. En effet, la majeure partie de vos employés n’auront jamais à utiliser une macro de leur vie

'''3) Protégez les postes utilisateurs avec des solutions modernes'''

Dans les cas où vous ne pouvez pas bloquer toutes les macros (et si vous pouvez, faites-le simplement en protection additionnelle), vous devez vous assurer que votre solution de sécurité informatique a des fonctions de sécurité heuristiques, basées sur la réputation et le comportement des programmes malveillants. Vous aurez la garantie que tous les fichiers malveillants déjà détectés à travers le monde seront automatiquement bloqués, et que ces vilains virus « zero-day » seront bloqués grâce à l’analyse de leur fonctionnement et de leur comportement.

'''4) Gardez votre suite Office à jour'''

La plupart des macrovirus sont des fichiers au format « .doc », très fréquents pour Microsoft Office 2007 et les versions antérieures. Par conséquent, utiliser la dernière version de la suite Office semble être une bonne idée, puisqu’elle intègre de meilleures protections contre ces attaques. Par exemple, elle peut détecter les tentatives de dissimulation des fichiers qui ont une extension en « .docm » et « .xslm ».

'''5) Sensibilisez vos employés : N’ouvrez pas d’emails ou de pieces-jointes suspects !'''

Application d’une bonne pratique standard de la sécurité des emails : demandez à vos utilisateurs de supprimer les emails suspects et de ne jamais ouvrir de pièces-jointes provenant d’expéditeurs inconnus – Surtout s’ils ne savent pas pourquoi ils les ont reçus.

'''6) Sensibilisez vos employés 2 : N’activez pas les macros sur votre ordinateur !'''

A l’inverse des traditionnels kits “d’exploit”, les macrovirus requièrent le consentement de l’utilisateur pour s’activer. Finalement, dire à vos employés de ne pas activer les macros peut faire la différence entre « être infecté » et « l’échapper belle ».

== Exemple de Retrovirus ==
'''Melissa'''

Melissa est un virus informatique qui a sévi à partir du 26 mars 1999.

Cette infection avait deux conséquences :

*Saturation des systèmes de messagerie

*Tous les documents infectés d'une entreprise ou d'un particulier étaient envoyés à de multiples adresses, qu'ils soient confidentiels ou non.

Le montant estimé des dégâts est de 385 millions de dollars (source : International Computer Security Association). Symantec indique que ce virus ne contenait pas de fonctions destructrices, mais que dès juin 1999, un nouveau virus, ExploreZip apparaissait qui lui avait des fonctions destructrices.

L'auteur du virus (l'américain David L. Smith) a été identifié grâce au champ GUID dans les documents infectés. Avec les versions de Windows de l'époque, lorsqu'il était généré, ce champ contenait l'adresse MAC de l'ordinateur ayant servi à la création du document. Au cours de la propagation du virus, le champ était recopié par le logiciel Word ou par le virus lui-même. Dans les versions suivantes de Windows, l'algorithme qui génère le GUID a été modifié pour respecter la vie privée des utilisateurs, les 48 bits de l'adresse MAC ont été retirés.

'''Locky'''

Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données.

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc".

Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.

Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.

[[Fichier:Locky_word.png]]

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l'argent

Locky supprime aussi les sauvegardes interne ("shadow copies") que Windows fait par l'intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

= Fichier PDF infecté=

Un fichier pdf ne peut être accéder qu'en lecteur par l'utilisateur, ce dernier ne peut donc pas lancer de macrocommande malveillante(voir macrovirus) ou exécuter une action malveillante.
Il existe cependant des fichiers pdf malveillant,ces fichiers PDF malveillants utilisent des failles découvertes dans les lecteurs PDF (typiquement Acrobat Reader) pour forcer ces derniers à exécuter un code arbitraire au moment où le fichier PDF est ouvert. Ces failles sont généralement des débordements de buffer qui se produisent lorsque le lecteur PDF analyse un fichier spécifiquement construit. Ces failles peuvent typiquement se trouver :

-Dans des primitives PDF. Par exemple, un appel à la primitive PDF "/Colors" avec un argument plus grand que 2^24 provoque un débordement de tas dans Adobe Reader 9.3 (cf. CERT-IST/AV-2009.469, CVE-2009-3459)

-Dans l'interpréteur JavaScript qui est inclus dans le lecteur PDF. Par exemple un appel à la méthode JavaScript "Collab.getIcon" peut provoquer un débordement de pile dans Acrobat Reader 9.0 (cf. CERT-IST/AV-2009.078, CVE-2009-0927)

Afin de tirer partie d'un débordement mémoire pour exécuter du code, l'attaquant a besoin de connaitre l'organisation mémoire du lecteur PDF au moment où le débordement se produit. Mais le plus souvent il utilise plutot un code JavaScript qui réalise un "heap spray" (une "pulvérisation sur le tas") avant de déclencher la vulnérabilité Cette technique permet d’exécuter du code arbitraire sans connaître l'endroit exact à modifier en mémoire. L'attaquant remplit alors la mémoire avec de multiples instructions de saut vers son code d'attaque, augmentant la probabilité que l'une d‘entre elles soit exécutée au moment où le débordement mémoire se produit.

Donc, même si ce n'est pas absolument nécessaire, la plupart des fichiers PDF malveillants contiennent un code JavaScript :

*Soit parce que la vulnérabilité exploitée se trouve dans l'interpréteur Javascript,
*Soit parce que la technique d'attaque utilise JavaScript (par exemple pour réaliser un "heap-spay").

Ce code JavaScript est déclenché (à l'ouverture du document, ou plus tard lors de l'arrivée d'un événement précis) par les primitives PDF "/OpenAction" ou "/AA" (Additional Action).
=Exemple=
'''MiniDuke'''

Pour s’attaquer à leurs victimes, ils font appel à des techniques de “social engineering” extrêmement efficaces, consistant à envoyer à leurs cibles des documents PDF infectés. Ces documents paraissent de prime abord légitimes, avec un contenu soigneusement conçu, relatif à des séminaires sur les droits de l’Homme (dans le cadre de l’ASEM), à la politique étrangère de l’Ukraine ou à des plans d’adhésion à l’OTAN. Les fichiers PDF malveillants sont destinés à exploiter des failles dans Adobe Reader versions 9, 10 et 11, en contournant son Bac à sable (« s andbox »). Le kit d’outils utilisé pour ce faire paraît être identique à celui employé lors de la récente attaque signalée par FireEye. Cependant, les failles exploitées par les attaques MiniDuke le sont à d’autres fins et au moyen d’un malware personnalisé spécifique.

Une fois le système infiltré, un programme de téléchargement très compact (20 Ko) est placé sur le disque dur de la victime. Ce « downloader » est spécifique à chaque système et contient une backdoor personnalisée, écrite en assembleur. Une fois chargé au démarrage du système, il réalise une série de calculs mathématiques pour déterminer l’empreinte propre à l’ordinateur, une information dont il se servira par la suite pour crypter ses communications. Le downloader est également programmé pour échapper aux analyses opérées par les outils intégrés à certains environnements, tels que VMware. S’il détecte leur présence, il se met en sommeil au sein de l’environnement au lieu de passer à l’étape suivante et de démasquer ses autres fonctionnalités. Cela indique que ses auteurs connaissent exactement les techniques mises en œuvre par les professionnels de la protection antivirus et de la sécurité informatique pour analyser et identifier les malwares.

Si le système cible répond à des conditions prédéfinies, le malware se connecte à Twitter (à l’insu de l’utilisateur) et recherche, sur des comptes créés préalablement par les opérateurs de commande et de contrôle (C&C) de MiniDuke, des tweets spécifiques contenant des URL cryptées destinées aux backdoors. Ces URL donnent accès aux serveurs C&C, lesquels adressent ensuite d’éventuelles commandes et transmissions cryptées de backdoors supplémentaires qui s’installent sur le système par l’intermédiaire de fichiers GIF.

Une fois que le système infecté a localisé le serveur C&C, il reçoit des backdoors cryptés, dissimulés sous forme d’images dans des fichiers GIF qui se retrouvent sur la machine de la victime. Ceux-ci peuvent télécharger à leur tour un backdoor plus volumineux qui effectue plusieurs opérations élémentaires : copie, déplacement ou suppression de fichier, création de répertoire, terminaison de processus et, bien entendu, téléchargement et exécution de nouveau malware.

Sécurité des fichiers de format commun

2016-11-20T17:42:31Z

Tmart :

= Introduction =

----

= Macrovirus =

----
'''Qu'est-ce qu'un virus macro ?'''

Un virus macro est un virus informatique qui modifie ou remplace une macro, à savoir un ensemble de commandes utilisées par des logiciels pour exécuter des actions courantes. Par exemple, l'action « ouvrir un document » dans de nombreux logiciels de traitement de texte dépend d'une macro pour fonctionner, car le processus comporte plusieurs étapes distinctes. Le virus macro modifie cet ensemble de commandes, de sorte qu'il puisse s'exécuter à chaque lancement de la macro.

'''Origines des virus macro'''

Les virus macro se trouvent principalement dans des documents ou intégrés en tant que code malveillant dans des logiciels de traitement de texte. Ils peuvent provenir de documents joints à des e-mails, ou le code peut être téléchargé dès lors que l'utilisateur clique sur des liens de phishing dans des bannières publicitaires ou à partir d'URL. Ils sont difficiles à détecter, car ils restent inactifs tant qu'une macro infectée n'est pas lancée. Ce n'est qu'à ce moment-là qu'ils exécutent une série de commandes. Un virus macro est similaire à un cheval de Troie dans le sens où il peut paraître bénin et où les utilisateurs ne remarquent pas immédiatement d'effets néfastes. En revanche, contrairement aux chevaux de Troie, les virus macro peuvent se reproduire et infecter d'autres ordinateurs.

'''Facteurs de risque'''

Le risque principal des virus macro est leur capacité à se propager rapidement. Dès qu'une macro infectée est lancée, tous les autres documents sur l'ordinateur de l'utilisateur sont à leur tour infectés. Certains de ces virus provoquent des anomalies dans les documents de texte, comme l'omission ou l'ajout de mots, tandis que d'autres accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l'utilisateur, qui vont à leur tour ouvrir ces fichiers et y accéder, puisqu'ils sont envoyés par une source de confiance.

Ces virus peuvent également être conçus dans le but d'effacer ou de compromettre des données stockées. En outre, il est important de noter que les virus macro se propagent indépendamment de la plate-forme : ils peuvent infecter les systèmes Windows et Mac à l'aide du même code. Tout logiciel utilisant des macros peut servir d'hôte, et toute copie d'un logiciel infecté, qu'elle soit envoyée par e-mail, stockée sur un disque ou sur une clé USB, sera elle aussi porteuse du virus.

Pour supprimer ces virus, vous devez vous appuyer sur un logiciel de sécurité doté d'outils spécifiques de détection et de suppression des virus macro. Effectuez des analyses régulières pour nettoyer tous les documents éventuellement infectés et vous assurer que de nouveaux virus informatiques ne sont pas téléchargés.

== Moyen de Protection ==
----
'''1) Protégez vos emails'''

Se protéger contre les macrovirus commence principalement avec une forte sécurisation de la messagerie, puisque la grande majorité des pièces-jointes, fichiers et liens sont envoyés par email. Toutes les bonnes pratiques standards liées aux emails peuvent être mises en place, mais ne négligez pas des fonctionnalités telles que l’analyse et le scan des pièces-jointes, associées à des outils de contrôle de dangerosité et de réputation des liens.

'''2) Désactivez les macros (là où vous pouvez)'''

En fin de compte, il est rare que vous puissiez bloquer l’intégralité des macros, mais vous pouvez établir des groupes d’utilisateurs avec des droits spécifiques pour n’autoriser leur usage qu’à vos collaborateurs qui en ont vraiment besoin. En effet, la majeure partie de vos employés n’auront jamais à utiliser une macro de leur vie

'''3) Protégez les postes utilisateurs avec des solutions modernes'''

Dans les cas où vous ne pouvez pas bloquer toutes les macros (et si vous pouvez, faites-le simplement en protection additionnelle), vous devez vous assurer que votre solution de sécurité informatique a des fonctions de sécurité heuristiques, basées sur la réputation et le comportement des programmes malveillants. Vous aurez la garantie que tous les fichiers malveillants déjà détectés à travers le monde seront automatiquement bloqués, et que ces vilains virus « zero-day » seront bloqués grâce à l’analyse de leur fonctionnement et de leur comportement.

'''4) Gardez votre suite Office à jour'''

La plupart des macrovirus sont des fichiers au format « .doc », très fréquents pour Microsoft Office 2007 et les versions antérieures. Par conséquent, utiliser la dernière version de la suite Office semble être une bonne idée, puisqu’elle intègre de meilleures protections contre ces attaques. Par exemple, elle peut détecter les tentatives de dissimulation des fichiers qui ont une extension en « .docm » et « .xslm ».

'''5) Sensibilisez vos employés : N’ouvrez pas d’emails ou de pieces-jointes suspects !'''

Application d’une bonne pratique standard de la sécurité des emails : demandez à vos utilisateurs de supprimer les emails suspects et de ne jamais ouvrir de pièces-jointes provenant d’expéditeurs inconnus – Surtout s’ils ne savent pas pourquoi ils les ont reçus.

'''6) Sensibilisez vos employés 2 : N’activez pas les macros sur votre ordinateur !'''

A l’inverse des traditionnels kits “d’exploit”, les macrovirus requièrent le consentement de l’utilisateur pour s’activer. Finalement, dire à vos employés de ne pas activer les macros peut faire la différence entre « être infecté » et « l’échapper belle ».

== Exemple de Retrovirus ==
----
'''Melissa'''

Melissa est un virus informatique qui a sévi à partir du 26 mars 1999.

Cette infection avait deux conséquences :

*Saturation des systèmes de messagerie

*Tous les documents infectés d'une entreprise ou d'un particulier étaient envoyés à de multiples adresses, qu'ils soient confidentiels ou non.

Le montant estimé des dégâts est de 385 millions de dollars (source : International Computer Security Association). Symantec indique que ce virus ne contenait pas de fonctions destructrices, mais que dès juin 1999, un nouveau virus, ExploreZip apparaissait qui lui avait des fonctions destructrices.

L'auteur du virus (l'américain David L. Smith) a été identifié grâce au champ GUID dans les documents infectés. Avec les versions de Windows de l'époque, lorsqu'il était généré, ce champ contenait l'adresse MAC de l'ordinateur ayant servi à la création du document. Au cours de la propagation du virus, le champ était recopié par le logiciel Word ou par le virus lui-même. Dans les versions suivantes de Windows, l'algorithme qui génère le GUID a été modifié pour respecter la vie privée des utilisateurs, les 48 bits de l'adresse MAC ont été retirés.

'''Locky'''

Locky est ce qu'on appelle un ransomware, c'est-à-dire un malware (pour Windows) qui prend en otage vos fichiers en les chiffrant et qui vous réclame une rançon à payer pour pouvoir déchiffrer vos précieuses données.

Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc".

Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.

Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré (hé oui). Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.

[[Fichier:Locky_word.png]]

À partir de là, le ransomware commence à chiffrer les fichiers en fonction de leur extension et affiche dans le bloc note, un message réclamant de l'argent

Locky supprime aussi les sauvegardes interne ("shadow copies") que Windows fait par l'intermédiaire de son VSS (Volume Snapshot Service), rendant impossible toute récupération.

= Fichier PDF infecté=

Un fichier pdf ne peut être accéder qu'en lecteur par l'utilisateur, ce dernier ne peut donc pas lancer de macrocommande malveillante(voir macrovirus) ou exécuter une action malveillante.
Il existe cependant des fichiers pdf malveillant,ces fichiers PDF malveillants utilisent des failles découvertes dans les lecteurs PDF (typiquement Acrobat Reader) pour forcer ces derniers à exécuter un code arbitraire au moment où le fichier PDF est ouvert. Ces failles sont généralement des débordements de buffer qui se produisent lorsque le lecteur PDF analyse un fichier spécifiquement construit. Ces failles peuvent typiquement se trouver :

-Dans des primitives PDF. Par exemple, un appel à la primitive PDF "/Colors" avec un argument plus grand que 2^24 provoque un débordement de tas dans Adobe Reader 9.3 (cf. CERT-IST/AV-2009.469, CVE-2009-3459)

-Dans l'interpréteur JavaScript qui est inclus dans le lecteur PDF. Par exemple un appel à la méthode JavaScript "Collab.getIcon" peut provoquer un débordement de pile dans Acrobat Reader 9.0 (cf. CERT-IST/AV-2009.078, CVE-2009-0927)

Afin de tirer partie d'un débordement mémoire pour exécuter du code, l'attaquant a besoin de connaitre l'organisation mémoire du lecteur PDF au moment où le débordement se produit. Mais le plus souvent il utilise plutot un code JavaScript qui réalise un "heap spray" (une "pulvérisation sur le tas") avant de déclencher la vulnérabilité Cette technique permet d’exécuter du code arbitraire sans connaître l'endroit exact à modifier en mémoire. L'attaquant remplit alors la mémoire avec de multiples instructions de saut vers son code d'attaque, augmentant la probabilité que l'une d‘entre elles soit exécutée au moment où le débordement mémoire se produit.

Donc, même si ce n'est pas absolument nécessaire, la plupart des fichiers PDF malveillants contiennent un code JavaScript :

*Soit parce que la vulnérabilité exploitée se trouve dans l'interpréteur Javascript,
*Soit parce que la technique d'attaque utilise JavaScript (par exemple pour réaliser un "heap-spay").

Ce code JavaScript est déclenché (à l'ouverture du document, ou plus tard lors de l'arrivée d'un événement précis) par les primitives PDF "/OpenAction" ou "/AA" (Additional Action).
=Exemple=
'''MiniDuke'''

Pour s’attaquer à leurs victimes, ils font appel à des techniques de “social engineering” extrêmement efficaces, consistant à envoyer à leurs cibles des documents PDF infectés. Ces documents paraissent de prime abord légitimes, avec un contenu soigneusement conçu, relatif à des séminaires sur les droits de l’Homme (dans le cadre de l’ASEM), à la politique étrangère de l’Ukraine ou à des plans d’adhésion à l’OTAN. Les fichiers PDF malveillants sont destinés à exploiter des failles dans Adobe Reader versions 9, 10 et 11, en contournant son Bac à sable (« s andbox »). Le kit d’outils utilisé pour ce faire paraît être identique à celui employé lors de la récente attaque signalée par FireEye. Cependant, les failles exploitées par les attaques MiniDuke le sont à d’autres fins et au moyen d’un malware personnalisé spécifique.

Une fois le système infiltré, un programme de téléchargement très compact (20 Ko) est placé sur le disque dur de la victime. Ce « downloader » est spécifique à chaque système et contient une backdoor personnalisée, écrite en assembleur. Une fois chargé au démarrage du système, il réalise une série de calculs mathématiques pour déterminer l’empreinte propre à l’ordinateur, une information dont il se servira par la suite pour crypter ses communications. Le downloader est également programmé pour échapper aux analyses opérées par les outils intégrés à certains environnements, tels que VMware. S’il détecte leur présence, il se met en sommeil au sein de l’environnement au lieu de passer à l’étape suivante et de démasquer ses autres fonctionnalités. Cela indique que ses auteurs connaissent exactement les techniques mises en œuvre par les professionnels de la protection antivirus et de la sécurité informatique pour analyser et identifier les malwares.

Si le système cible répond à des conditions prédéfinies, le malware se connecte à Twitter (à l’insu de l’utilisateur) et recherche, sur des comptes créés préalablement par les opérateurs de commande et de contrôle (C&C) de MiniDuke, des tweets spécifiques contenant des URL cryptées destinées aux backdoors. Ces URL donnent accès aux serveurs C&C, lesquels adressent ensuite d’éventuelles commandes et transmissions cryptées de backdoors supplémentaires qui s’installent sur le système par l’intermédiaire de fichiers GIF.

Une fois que le système infecté a localisé le serveur C&C, il reçoit des backdoors cryptés, dissimulés sous forme d’images dans des fichiers GIF qui se retrouvent sur la machine de la victime. Ceux-ci peuvent télécharger à leur tour un backdoor plus volumineux qui effectue plusieurs opérations élémentaires : copie, déplacement ou suppression de fichier, création de répertoire, terminaison de processus et, bien entendu, téléchargement et exécution de nouveau malware.

Sécurité des fichiers de format commun

2016-11-20T16:52:59Z

Tmart :

Fichier:Locky word.png

2016-11-20T16:50:11Z

Tmart :

Sécurité des fichiers de format commun

2016-11-20T09:01:54Z

Tmart :

Utilisateur:Sécurité des fichiers de format commun

2016-11-20T08:51:58Z

Tmart : Tmart a déplacé la page Utilisateur:Sécurité des fichiers de format commun vers Sécurité des fichiers de format commun

#REDIRECTION [[Sécurité des fichiers de format commun]]

Sécurité des fichiers de format commun

2016-11-20T08:51:58Z

Tmart : Tmart a déplacé la page Utilisateur:Sécurité des fichiers de format commun vers Sécurité des fichiers de format commun

= Introduction =

----

= Macrovirus =

----
Un virus macro est un virus informatique qui modifie ou remplace une macro, à savoir un ensemble de commandes utilisées par des logiciels pour exécuter des actions courantes. Par exemple, l'action « ouvrir un document » dans de nombreux logiciels de traitement de texte dépend d'une macro pour fonctionner, car le processus comporte plusieurs étapes distinctes. Le virus macro modifie cet ensemble de commandes, de sorte qu'il puisse s'exécuter à chaque lancement de la macro.

Les virus macro se trouvent principalement dans des documents ou intégrés en tant que code malveillant dans des logiciels de traitement de texte. Ils peuvent provenir de documents joints à des e-mails, ou le code peut être téléchargé dès lors que l'utilisateur clique sur des liens de phishing dans des bannières publicitaires ou à partir d'URL. Ils sont difficiles à détecter, car ils restent inactifs tant qu'une macro infectée n'est pas lancée. Ce n'est qu'à ce moment-là qu'ils exécutent une série de commandes. Un virus macro est similaire à un cheval de Troie dans le sens où il peut paraître bénin et où les utilisateurs ne remarquent pas immédiatement d'effets néfastes. En revanche, contrairement aux chevaux de Troie, les virus macro peuvent se reproduire et infecter d'autres ordinateurs.

Le risque principal des virus macro est leur capacité à se propager rapidement. Dès qu'une macro infectée est lancée, tous les autres documents sur l'ordinateur de l'utilisateur sont à leur tour infectés. Certains de ces virus provoquent des anomalies dans les documents de texte, comme l'omission ou l'ajout de mots, tandis que d'autres accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l'utilisateur, qui vont à leur tour ouvrir ces fichiers et y accéder, puisqu'ils sont envoyés par une source de confiance.

Ces virus peuvent également être conçus dans le but d'effacer ou de compromettre des données stockées. En outre, il est important de noter que les virus macro se propagent indépendamment de la plate-forme : ils peuvent infecter les systèmes Windows et Mac à l'aide du même code. Tout logiciel utilisant des macros peut servir d'hôte, et toute copie d'un logiciel infecté, qu'elle soit envoyée par e-mail, stockée sur un disque ou sur une clé USB, sera elle aussi porteuse du virus.

Pour supprimer ces virus, vous devez vous appuyer sur un logiciel de sécurité doté d'outils spécifiques de détection et de suppression des virus macro. Effectuez des analyses régulières pour nettoyer tous les documents éventuellement infectés et vous assurer que de nouveaux virus informatiques ne sont pas téléchargés.

== Exemple de Retrovirus ==

----
Melissa est un virus informatique qui a sévi à partir du 26 mars 1999.

Cette infection avait deux conséquences :

Saturation des systèmes de messagerie
Tous les documents infectés d'une entreprise ou d'un particulier étaient envoyés à de multiples adresses, qu'ils soient confidentiels ou non.

Le montant estimé des dégâts est de 385 millions de dollars (source : International Computer Security Association). Symantec indique que ce virus ne contenait pas de fonctions destructrices, mais que dès juin 1999, un nouveau virus, ExploreZip apparaissait qui lui avait des fonctions destructrices.

L'auteur du virus (l'américain David L. Smith) a été identifié grâce au champ GUID dans les documents infectés. Avec les versions de Windows de l'époque, lorsqu'il était généré, ce champ contenait l'adresse MAC de l'ordinateur ayant servi à la création du document. Au cours de la propagation du virus, le champ était recopié par le logiciel Word ou par le virus lui-même. Dans les versions suivantes de Windows, l'algorithme qui génère le GUID a été modifié pour respecter la vie privée des utilisateurs, les 48 bits de l'adresse MAC ont été retirés.

Utilisateur:Tmart

2016-11-20T08:51:25Z

Tmart : Tmart a déplacé la page Utilisateur:Tmart vers Utilisateur:Sécurité des fichiers de format commun

#REDIRECTION [[Utilisateur:Sécurité des fichiers de format commun]]

Sécurité des fichiers de format commun

2016-11-20T08:51:25Z

Tmart : Tmart a déplacé la page Utilisateur:Tmart vers Utilisateur:Sécurité des fichiers de format commun

Sécurité des fichiers de format commun

2016-11-20T08:50:10Z

Tmart : Sécurité des fichiers de format commun