« Sécurité des fichiers de format commun » : différence entre les versions
m (Tmart a déplacé la page Utilisateur:Sécurité des fichiers de format commun vers Sécurité des fichiers de format commun) |
Aucun résumé des modifications |
||
| Ligne 7 : | Ligne 7 : | ||
---- |
---- |
||
'''Qu'est-ce qu'un virus macro ?''' |
|||
Un virus macro est un virus informatique qui modifie ou remplace une macro, à savoir un ensemble de commandes utilisées par des logiciels pour exécuter des actions courantes. Par exemple, l'action « ouvrir un document » dans de nombreux logiciels de traitement de texte dépend d'une macro pour fonctionner, car le processus comporte plusieurs étapes distinctes. Le virus macro modifie cet ensemble de commandes, de sorte qu'il puisse s'exécuter à chaque lancement de la macro. |
Un virus macro est un virus informatique qui modifie ou remplace une macro, à savoir un ensemble de commandes utilisées par des logiciels pour exécuter des actions courantes. Par exemple, l'action « ouvrir un document » dans de nombreux logiciels de traitement de texte dépend d'une macro pour fonctionner, car le processus comporte plusieurs étapes distinctes. Le virus macro modifie cet ensemble de commandes, de sorte qu'il puisse s'exécuter à chaque lancement de la macro. |
||
'''Origines des virus macro''' |
|||
Les virus macro se trouvent principalement dans des documents ou intégrés en tant que code malveillant dans des logiciels de traitement de texte. Ils peuvent provenir de documents joints à des e-mails, ou le code peut être téléchargé dès lors que l'utilisateur clique sur des liens de phishing dans des bannières publicitaires ou à partir d'URL. Ils sont difficiles à détecter, car ils restent inactifs tant qu'une macro infectée n'est pas lancée. Ce n'est qu'à ce moment-là qu'ils exécutent une série de commandes. Un virus macro est similaire à un cheval de Troie dans le sens où il peut paraître bénin et où les utilisateurs ne remarquent pas immédiatement d'effets néfastes. En revanche, contrairement aux chevaux de Troie, les virus macro peuvent se reproduire et infecter d'autres ordinateurs. |
Les virus macro se trouvent principalement dans des documents ou intégrés en tant que code malveillant dans des logiciels de traitement de texte. Ils peuvent provenir de documents joints à des e-mails, ou le code peut être téléchargé dès lors que l'utilisateur clique sur des liens de phishing dans des bannières publicitaires ou à partir d'URL. Ils sont difficiles à détecter, car ils restent inactifs tant qu'une macro infectée n'est pas lancée. Ce n'est qu'à ce moment-là qu'ils exécutent une série de commandes. Un virus macro est similaire à un cheval de Troie dans le sens où il peut paraître bénin et où les utilisateurs ne remarquent pas immédiatement d'effets néfastes. En revanche, contrairement aux chevaux de Troie, les virus macro peuvent se reproduire et infecter d'autres ordinateurs. |
||
'''Facteurs de risque''' |
|||
Le risque principal des virus macro est leur capacité à se propager rapidement. Dès qu'une macro infectée est lancée, tous les autres documents sur l'ordinateur de l'utilisateur sont à leur tour infectés. Certains de ces virus provoquent des anomalies dans les documents de texte, comme l'omission ou l'ajout de mots, tandis que d'autres accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l'utilisateur, qui vont à leur tour ouvrir ces fichiers et y accéder, puisqu'ils sont envoyés par une source de confiance. |
Le risque principal des virus macro est leur capacité à se propager rapidement. Dès qu'une macro infectée est lancée, tous les autres documents sur l'ordinateur de l'utilisateur sont à leur tour infectés. Certains de ces virus provoquent des anomalies dans les documents de texte, comme l'omission ou l'ajout de mots, tandis que d'autres accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l'utilisateur, qui vont à leur tour ouvrir ces fichiers et y accéder, puisqu'ils sont envoyés par une source de confiance. |
||
| Ligne 17 : | Ligne 23 : | ||
Pour supprimer ces virus, vous devez vous appuyer sur un logiciel de sécurité doté d'outils spécifiques de détection et de suppression des virus macro. Effectuez des analyses régulières pour nettoyer tous les documents éventuellement infectés et vous assurer que de nouveaux virus informatiques ne sont pas téléchargés. |
Pour supprimer ces virus, vous devez vous appuyer sur un logiciel de sécurité doté d'outils spécifiques de détection et de suppression des virus macro. Effectuez des analyses régulières pour nettoyer tous les documents éventuellement infectés et vous assurer que de nouveaux virus informatiques ne sont pas téléchargés. |
||
| ⚫ | |||
== Moyen de Protection == |
|||
---- |
---- |
||
'''1) Protégez vos emails''' |
|||
Se protéger contre les macrovirus commence principalement avec une forte sécurisation de la messagerie, puisque la grande majorité des pièces-jointes, fichiers et liens sont envoyés par email. Toutes les bonnes pratiques standards liées aux emails peuvent être mises en place, mais ne négligez pas des fonctionnalités telles que l’analyse et le scan des pièces-jointes, associées à des outils de contrôle de dangerosité et de réputation des liens. |
|||
'''2) Désactivez les macros (là où vous pouvez)''' |
|||
En fin de compte, il est rare que vous puissiez bloquer l’intégralité des macros, mais vous pouvez établir des groupes d’utilisateurs avec des droits spécifiques pour n’autoriser leur usage qu’à vos collaborateurs qui en ont vraiment besoin. En effet, la majeure partie de vos employés n’auront jamais à utiliser une macro de leur vie |
|||
'''3) Protégez les postes utilisateurs avec des solutions modernes''' |
|||
Dans les cas où vous ne pouvez pas bloquer toutes les macros (et si vous pouvez, faites-le simplement en protection additionnelle), vous devez vous assurer que votre solution de sécurité informatique a des fonctions de sécurité heuristiques, basées sur la réputation et le comportement des programmes malveillants. Vous aurez la garantie que tous les fichiers malveillants déjà détectés à travers le monde seront automatiquement bloqués, et que ces vilains virus « zero-day » seront bloqués grâce à l’analyse de leur fonctionnement et de leur comportement. |
|||
'''4) Gardez votre suite Office à jour''' |
|||
La plupart des macrovirus sont des fichiers au format « .doc », très fréquents pour Microsoft Office 2007 et les versions antérieures. Par conséquent, utiliser la dernière version de la suite Office semble être une bonne idée, puisqu’elle intègre de meilleures protections contre ces attaques. Par exemple, elle peut détecter les tentatives de dissimulation des fichiers qui ont une extension en « .docm » et « .xslm ». |
|||
'''5) Sensibilisez vos employés : N’ouvrez pas d’emails ou de pieces-jointes suspects !''' |
|||
Application d’une bonne pratique standard de la sécurité des emails : demandez à vos utilisateurs de supprimer les emails suspects et de ne jamais ouvrir de pièces-jointes provenant d’expéditeurs inconnus – Surtout s’ils ne savent pas pourquoi ils les ont reçus. |
|||
'''6) Sensibilisez vos employés 2 : N’activez pas les macros sur votre ordinateur !''' |
|||
A l’inverse des traditionnels kits “d’exploit”, les macrovirus requièrent le consentement de l’utilisateur pour s’activer. Finalement, dire à vos employés de ne pas activer les macros peut faire la différence entre « être infecté » et « l’échapper belle ». |
|||
| ⚫ | |||
---- |
|||
'''Melissa''' |
|||
Melissa est un virus informatique qui a sévi à partir du 26 mars 1999. |
Melissa est un virus informatique qui a sévi à partir du 26 mars 1999. |
||
Version du 20 novembre 2016 à 09:01
Introduction
Macrovirus
Qu'est-ce qu'un virus macro ?
Un virus macro est un virus informatique qui modifie ou remplace une macro, à savoir un ensemble de commandes utilisées par des logiciels pour exécuter des actions courantes. Par exemple, l'action « ouvrir un document » dans de nombreux logiciels de traitement de texte dépend d'une macro pour fonctionner, car le processus comporte plusieurs étapes distinctes. Le virus macro modifie cet ensemble de commandes, de sorte qu'il puisse s'exécuter à chaque lancement de la macro.
Origines des virus macro
Les virus macro se trouvent principalement dans des documents ou intégrés en tant que code malveillant dans des logiciels de traitement de texte. Ils peuvent provenir de documents joints à des e-mails, ou le code peut être téléchargé dès lors que l'utilisateur clique sur des liens de phishing dans des bannières publicitaires ou à partir d'URL. Ils sont difficiles à détecter, car ils restent inactifs tant qu'une macro infectée n'est pas lancée. Ce n'est qu'à ce moment-là qu'ils exécutent une série de commandes. Un virus macro est similaire à un cheval de Troie dans le sens où il peut paraître bénin et où les utilisateurs ne remarquent pas immédiatement d'effets néfastes. En revanche, contrairement aux chevaux de Troie, les virus macro peuvent se reproduire et infecter d'autres ordinateurs.
Facteurs de risque
Le risque principal des virus macro est leur capacité à se propager rapidement. Dès qu'une macro infectée est lancée, tous les autres documents sur l'ordinateur de l'utilisateur sont à leur tour infectés. Certains de ces virus provoquent des anomalies dans les documents de texte, comme l'omission ou l'ajout de mots, tandis que d'autres accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l'utilisateur, qui vont à leur tour ouvrir ces fichiers et y accéder, puisqu'ils sont envoyés par une source de confiance.
Ces virus peuvent également être conçus dans le but d'effacer ou de compromettre des données stockées. En outre, il est important de noter que les virus macro se propagent indépendamment de la plate-forme : ils peuvent infecter les systèmes Windows et Mac à l'aide du même code. Tout logiciel utilisant des macros peut servir d'hôte, et toute copie d'un logiciel infecté, qu'elle soit envoyée par e-mail, stockée sur un disque ou sur une clé USB, sera elle aussi porteuse du virus.
Pour supprimer ces virus, vous devez vous appuyer sur un logiciel de sécurité doté d'outils spécifiques de détection et de suppression des virus macro. Effectuez des analyses régulières pour nettoyer tous les documents éventuellement infectés et vous assurer que de nouveaux virus informatiques ne sont pas téléchargés.
Moyen de Protection
1) Protégez vos emails
Se protéger contre les macrovirus commence principalement avec une forte sécurisation de la messagerie, puisque la grande majorité des pièces-jointes, fichiers et liens sont envoyés par email. Toutes les bonnes pratiques standards liées aux emails peuvent être mises en place, mais ne négligez pas des fonctionnalités telles que l’analyse et le scan des pièces-jointes, associées à des outils de contrôle de dangerosité et de réputation des liens.
2) Désactivez les macros (là où vous pouvez)
En fin de compte, il est rare que vous puissiez bloquer l’intégralité des macros, mais vous pouvez établir des groupes d’utilisateurs avec des droits spécifiques pour n’autoriser leur usage qu’à vos collaborateurs qui en ont vraiment besoin. En effet, la majeure partie de vos employés n’auront jamais à utiliser une macro de leur vie
3) Protégez les postes utilisateurs avec des solutions modernes
Dans les cas où vous ne pouvez pas bloquer toutes les macros (et si vous pouvez, faites-le simplement en protection additionnelle), vous devez vous assurer que votre solution de sécurité informatique a des fonctions de sécurité heuristiques, basées sur la réputation et le comportement des programmes malveillants. Vous aurez la garantie que tous les fichiers malveillants déjà détectés à travers le monde seront automatiquement bloqués, et que ces vilains virus « zero-day » seront bloqués grâce à l’analyse de leur fonctionnement et de leur comportement.
4) Gardez votre suite Office à jour
La plupart des macrovirus sont des fichiers au format « .doc », très fréquents pour Microsoft Office 2007 et les versions antérieures. Par conséquent, utiliser la dernière version de la suite Office semble être une bonne idée, puisqu’elle intègre de meilleures protections contre ces attaques. Par exemple, elle peut détecter les tentatives de dissimulation des fichiers qui ont une extension en « .docm » et « .xslm ».
5) Sensibilisez vos employés : N’ouvrez pas d’emails ou de pieces-jointes suspects !
Application d’une bonne pratique standard de la sécurité des emails : demandez à vos utilisateurs de supprimer les emails suspects et de ne jamais ouvrir de pièces-jointes provenant d’expéditeurs inconnus – Surtout s’ils ne savent pas pourquoi ils les ont reçus.
6) Sensibilisez vos employés 2 : N’activez pas les macros sur votre ordinateur !
A l’inverse des traditionnels kits “d’exploit”, les macrovirus requièrent le consentement de l’utilisateur pour s’activer. Finalement, dire à vos employés de ne pas activer les macros peut faire la différence entre « être infecté » et « l’échapper belle ».
Exemple de Retrovirus
Melissa
Melissa est un virus informatique qui a sévi à partir du 26 mars 1999.
Cette infection avait deux conséquences :
Saturation des systèmes de messagerie Tous les documents infectés d'une entreprise ou d'un particulier étaient envoyés à de multiples adresses, qu'ils soient confidentiels ou non.
Le montant estimé des dégâts est de 385 millions de dollars (source : International Computer Security Association). Symantec indique que ce virus ne contenait pas de fonctions destructrices, mais que dès juin 1999, un nouveau virus, ExploreZip apparaissait qui lui avait des fonctions destructrices.
L'auteur du virus (l'américain David L. Smith) a été identifié grâce au champ GUID dans les documents infectés. Avec les versions de Windows de l'époque, lorsqu'il était généré, ce champ contenait l'adresse MAC de l'ordinateur ayant servi à la création du document. Au cours de la propagation du virus, le champ était recopié par le logiciel Word ou par le virus lui-même. Dans les versions suivantes de Windows, l'algorithme qui génère le GUID a été modifié pour respecter la vie privée des utilisateurs, les 48 bits de l'adresse MAC ont été retirés.