Pare-feu organisationnels pour la protection des grandes organisations et entreprise

 Au sein d'une organisation, un pare-feu matériel dédié est généralement utilisé pour protéger le trafic réseau entrant qui se connecte à partir d'Internet. Ceci est utile pour protéger les adresses IP publiques appartenant à l'entreprise qui peuvent être utilisées pour des services tels que FTP, Intranet, SharePoint et des sites Web. Avec une Appliance matérielle, il vous suffit de brancher l'appareil dans la topologie de votre réseau et vous êtes prêt à configurer des règles de pare-feu qui restreignent, autorisent ou redirigent le trafic réseau, en fonction de vos besoins. Dans ce article, je ne peux pas recommander des fabricants spécifiques de pare-feu matériels, bien que certaines des marques bien connues incluent Barracuda, Cisco, SonicWALL et WatchGuard. Dans presque tous les scénarios, les appliances de pare-feu sont plus chères que les Appliance logicielles pare-feu. Le coût de l'appareil augmente généralement avec la capacité et les fonctionnalités. Lors du choix, vous devez vous assurer que l'appareil est bien adapté à vos besoins, en tenant compte des facteurs suivants :

• Notoriété et réputation de la marque

• Capacité : L'appareil doit gérer la charge, la vitesse et le nombre de noeuds de réseau gérés activement.

• Capacité de basculementÿ: si l'appareil tombe en panne ou devient submergé lors d'une attaque, comment réagit-il ? Basculera-t-il vers une autre appliance, autorisera-t-il ou bloquera-t-il toutes les connexions?

• Assistance technique : étant donné que l'appareil est un composant essentiel de votre réseau, vous devez vous assurer que de l'aide est disponible lorsque vous en avez besoin. Idéalement, il devrait y avoir une assistance technique solide sur le forum de support disponible.

• Budget: la plupart des décisions d'achat se résument souvent au prix. Assurez-vous d'acheter un appareil qui fonctionnera comme requis, puis recherchez l'alignement budgétaire.

Listes noires et listes blanches

Pour réduire le risque d'automutilation de la part des utilisateurs internes, de nombreuses organisations surveillent et restreignent l'accès du personnel à des emplacements externes spécifiques. Si la menace d'attaque ou le risque pour l'entreprise est suffisamment élevé, le pare-feu peut être utilisé pour bloquer activement le trafic sortant vers des sites malveillants connus ou des points d'accès connus, tels que des sites de partage de fichiers peer-to-peer ou des portails de passerelle Dark Web. Vous pouvez également utiliser des techniques, telles que le blocage des adresses IP, en utilisant des listes noires. Ces listes contiennent les domaines et les adresses IP des sources d'attaques malveillantes connues et potentielles. Il est possible d'automatiser la mise à jour régulière des listes noires de pare-feu en utilisant des outils tels que Fail2ban (www.fail2ban.org/), qui maintient automatiquement vos listes noires, basées sur un comportement malveillant. En utilisant une liste noire, votre pare-feu peut être très efficace pour restreindre le trafic sortant, et un pare-feu moderne aura un impact négligeable sur les performances de l'appliance, même avec des listes noires contenant des dizaines de milliers d'entrées. Les pare-feu peuvent surveiller l'activité entrante et bloquer ou ignorer automatiquement tout trafic IP, s'il présente un comportement potentiellement malveillant, tel qu'un sondage ou un « bruit de porte ».

Pour des scénarios spécifiques, comme sur le réseau de recherche et développement, un pare-feu peut même être configuré pour bloquer toutes les entrées.

Avez-vous déjà remarqué que lorsqu'un client potentiel accède souvent à votre site Web, vous avez peut-être mis en place une vente à prix réduit? Vous pouvez rencontrer de nombreuses pages vues à partir de la même source externe. Pour éviter de bloquer par inadvertance des clients potentiels de vos sites Web en contact avec les clients, lorsqu'une activité excessive à court terme se produit, il peut être plus approprié de bloquer temporairement l'accès aux adresses IP suspectes, car cela est souvent un moyen de dissuasion suffisant. Vous devez définir avec soin la métrique de seuil lorsque vous déclenchez ces blocages. Cela pourrait être initialement fixé à 100 tentatives, puis revu.

N'oubliez pas que la plupart des attaques de pare-feu sont générées par des bots et, généralement, lorsqu'un bot trouve un pare-feu qui n'est pas vulnérable, il se déplace pour cibler l'adresse IP suivante dans sa ligne d'attaque. Lorsqu'un bot trouve un pare-feu ou des ports expressément ouverts, le bot "finder" marquera ces adresses IP comme "en direct" pour qu'un autre bot effectue des tests de pénétration plus approfondis. Ces résultats d'analyse sont souvent disponibles à l'achat sur le

Dark Web.

Protection avec le logiciel pare-feu contre l'enregistrement de frappe

 Les particuliers et les particuliers sont très attractifs pour les pirates. En effet, les utilisateurs moyens ignorent au-delà des bases mêmes de la protection de leur PC. Un utilisateur à domicile fera confiance à son PC avec des informations privées sensibles, telles que l'accès aux réseaux bancaires et sociaux. Elle protégera son mot de passe de connexion mais pourra librement fournir un accès Wi-Fi ou une imprimante à un invité. Si un pirate informatique peut accéder au PC, il lui est très facile d'installer des logiciels malveillants ou d'autres outils de surveillance, tels qu'un enregistreur de frappe, qui peuvent relayer toutes les frappes au clavier, les captures d'écran de pages Web et d'autres activités du PC directement vers le voleur potentiel. Même un invité pourrait installer par inadvertance un virus ou un enregistreur de frappe simplement en utilisant une clé USB infectée sur votre PC. Le logiciel Keylogger surveille l'activité d'un ordinateur, par exemple en gardant une trace des programmes exécutés ou fermés, de tous les sites Web visités et de toutes les frappes utilisées, y compris les mots de passe. Certains enregistreurs de frappe enregistreront également des captures d'écran de toutes les activités et stockez les journaux de contenu localement ou téléchargez-les discrètement dans un magasin distant que le pirate peut récolter.

Certaines fonctionnalités courantes du keylogger incluent les suivantes:

• Capture toutes les frappes

• Enregistre les messages instantanés

•Invisible dans le Gestionnaire des tâches

• Prise en charge de deux moniteurs

• Désinstallation automatique à une date précise

Si vous voulez comprendre le niveau de détail impressionnant qu'un enregistreur de frappe peut obtenir à partir d'un PC.

Pare-feu logiciels

Les pare-feu personnels (ou basés sur l'hôte) font référence à un pare-feu logiciel intégré à Windows ou installé en tant qu'application distincte conçue pour protéger un point de terminaison unique, tel qu'un ordinateur portable ou un PC. Bien qu'un pare-feu personnel ne protège qu'un seul appareil, il remplit toujours une fonction utile à l'intérieur du réseau, car il empêche ou ralentit toute personne essayant d'accéder directement au PC via le réseau. Des exemples de fournisseurs proposant des pare-feu logiciels qui complètent ou remplacent le pare-feu intégré de Windows sont :

Pare-feu                                     vendeur                                       site internet

Norton Internet Security Symantec                                        norton.com/internet-security

la sécurité sur Internet                Trend Micro                        www.trendmicro.com/

McAfee Total Protection McAfee                                            www.mcafee.com

Accueil Sophos                            Sophos                                www.sophos.com/lp/sophos-home.aspx

La plupart des consommateurs et des petites entreprises achèteront un pare-feu logiciel moyennant des frais uniques qui incluent la première année de mises à jour et sont ensuite facturés sous forme d'abonnement annuel pour les mises à jour continues des signatures de virus. La plupart des logiciels de sécurité Internet offrent désormais une suite complète d'outils qui inclut des fonctionnalités supplémentaires en plus de la protection par pare-feu, telles que:

• Anti-ransomware, spyware, antivirus et anti-malware

•Protection contre l'hameçonnage et l'usurpation d'identité

• Blocage de sites Web dangereux

• Stockage en ligne sécurisé

• Prise en charge de plusieurs appareils

Protection contre les logiciels malveillants avec le Pare-feu Windows

 Protéger votre PC contre les logiciels malveillants est essentiel. Souvent, les gens me demandent quel est le meilleur logiciel antivirus. Il ne s'agit pas simplement d'acheter une suite logicielle de protection contre les logiciels malveillants dans un magasin de détail. Le fait de n'avoir qu'une seule barrière entre vous et le pirate, comme un pare-feu ou une application anti-malware, pourrait vous rendre vulnérable aux attaques. Si un exploit logiciel dans l'une de vos applications installées est découvert avant que le fournisseur ne puisse résoudre le problème et générer un correctif, votre système pourrait facilement être piraté Bien que toute méthode d'éloignement des méchants soit considérée comme meilleure que aucune, nous vous recommandons d'utiliser plusieurs couches de protection. Ceci est connu sous le nom de défense en profondeur et consiste à superposer les défenses pour offrir une meilleure protection. Dans ce article, j'aborderai certains mécanismes de protection que vous devriez prendre en compte lorsque vous utilisez Windows.

Pare-feu

Toutes les versions modernes de Windows incluent un pare-feu logiciel très compétent. Les pare-feu peuvent être exécutés par logiciel dans le cadre d'un système d'exploitation ou exécutés sur une Appliance telle qu'un routeur, un modem ou un dispositif de pare-feu dédié. Les pare-feu examinent le trafic réseau qui tente de se frayer un chemin à travers un réseau interface et sur votre ordinateur. Selon les paramètres utilisés, le logiciel pare-feu peut bloquer ou autoriser le trafic et consigner les transmissions réussies et les tentatives infructueuses. Un pare-feu mal configuré ou un ordinateur sans pare-feu personnel est vulnérable aux connexions distantes établies directement avec les services du système local. Toutes les versions modernes de Windows incluent un pare-feu logiciel très compétent. Seul le trafic réseau autorisé doit avoir accès aux ressources internes classées comme étant à l'intérieur de votre pare-feu, telles que votre PC. Lorsqu'un pare-feu est opérationnel, les paquets réseau tentant d'accéder à votre ordinateur croiront que votre ordinateur n'existe pas, car le pare-feu ne répond pas, et le pirate se déplacera très probablement vers l'ordinateur suivant et tentera d'y accéder. Une déclaration commune que j'entends est que « je ne serai pas piraté/attaqué ; nous sommes trop petits pour intéresser un hacker. Cela semble plausible, surtout si l'on considère qu'il existe des milliards d'appareils connectés à Internet ; cependant, ce n'est pas tout à fait vrai dans la pratique. Le pirate orientera ses efforts en fonction des critères suivants:

1. Facilité d'accès

2. Rendement probable (généralement financier)

3. Risque de se faire prendre

4. Défi

Si vous avez peu de protection, vous tombez dans la première catégorie, et cette détermination est généralement pleinement exploitée par l'utilisation automatisée d'un bot d'investigation (abréviation de robot). Les robots sont capables d'analyser chaque minute des dizaines de milliers d'ordinateurs connectés à Internet. Étant donné que les ordinateurs Windows essaient généralement de répondre aux autres ordinateurs (c'est ainsi qu'ils communiquent), si votre ordinateur reconnaît sa propre présence en réponse à une requête Ping ou à une autre requête d'un bot, il sera immédiatement transmis au niveau d'intérêt suivant. pour que le logiciel pirate/malware enquête. Nous constatons régulièrement des cas de piratage d'ordinateurs portables lors de l'utilisation du Wi- Fi public dans des zones telles que les cafés, les fast-foods et les aéroports. Bien que la majorité des sites de médias sociaux populaires nécessitent désormais des connexions HTTPS, qui sont sécurisées à l'aide de Secure Sockets Layer (SSL), ces mécanismes de protection de haut niveau peuvent être facilement contournés si le pare-feu a été désactivé ou si le partage de fichiers et d'imprimantes a été activé. pour les réseaux publics. Par défaut, si vous utilisez Windows Vista ou des versions ultérieures, votre PC est protégé d'autres ordinateurs voyant votre PC sur le réseau. Cependant, si ces paramètres ont été modifiés dans le Centre Réseau et partage, pour permettre la découverte du réseau et le partage de fichiers et d'imprimantes sur des réseaux partagés ou publics, comme illustré à la Figure 3-2, votre PC pourrait être facilement Comprendre qu'il est essentiel d'avoir une certaine barrière contre les attaques est primordial pour

assurer la sécurité, et le pare-feu est souvent la protection la plus facile à activer. compromis.

Autres fonctions de sécurité windows

 Les fonctionnalités de sécurité de base, de sécurité au démarrage et anti-malware de Windows ne sont en aucun cas toutes les fonctionnalités de sécurité intégrées au système d'exploitation. Le dernier porte le nom sans prétention The Windows Store.

-Conteneurs d'applications

Lorsque vous installez un programme de bureau traditionnel Win32 sur votre PC, il s'installe dans le dossier \Program Files à partir duquel, avec des privilèges administratifs, il peut voir et accéder à tous les autres fichiers et dossiers de la machine, y compris les fichiers critiques du système d'exploitation Windows. Puis vinrent les magasins d'applications, et avec eux les conteneurs. Les conteneurs sont des zones protégées de stockage et de mémoire. Considérez-les comme de petites machines virtuelles, chacune avec sa propre zone de mémoire et de stockage séparée. Des autorisations sont attribuées pour stocker des applications, chacune devant être approuvée par un utilisateur. Si l'utilisateur ne souhaite pas que l'application puisse accéder à ses dossiers de documents, à sa géolocalisation ou à une autre fonctionnalité, telle que sa webcam, le système d'exploitation empêchera simplement l'application de l'utiliser. Le Windows Store contient un grand nombre d'applications utiles sur le lieu de travail, telles que comme les éditions mobiles de Word, Excel, PowerPoint et OneNote. Cependant, Microsoft a inclus une fonctionnalité de développement qui permet également aux applications Win32 d'être conteneurisées et placées dans le magasin. Cela inclut les éditions de bureau complètes des applications Microsoft Office, et il donne en outre à ces applications des fonctionnalités réservées au magasin, telles que les outils de partage.  Conseil L'exécution d'applications de magasin au lieu d'applications de bureau Win32 complètes peut augmenter la durée de vie de la batterie d'un ordinateur portable, d'un ultrabook ou d'une tablette, car ces applications sont suspendues par le système d'exploitation lorsqu'elles ne sont pas ciblées. Cela les empêche d'utiliser le temps processeur lorsque vous êtes occupé à faire autre chose. De plus, l'exécution d'une application (n'importe quelle application) en plein écran augmentera également la durée de vie de votre batterie, car le processeur graphique a moins de choses à rendre. Il convient également de noter que si vous utilisez Windows 10 sur un PC, un ordinateur portable, un ultrabook, une tablette ou un smartphone basé sur ARM à faible consommation d'énergie, et que vous pouvez installer et utiliser le logiciel de bureau Win32, tout cela sera conteneurisé, en raison de la nature repensée des éditions ARM du système d'exploitation Windows 10. Ces applications proviendront également, généralement, mais pas toujours, du Windows Store. Pourquoi est-ce important, demandez-vous? Bien que tous les éditeurs de logiciels ne placent pas leurs produits dans le Windows Store, la conteneurisation de toute application la rend beaucoup plus résistante contre une infection par un logiciel malveillant et l'empêche de pouvoir interagir avec le système d'exploitation sous-jacent d'une manière qui pourrait s'avérer malveillante.

-Ordinateurs 32 bits (×86) et 64 bits (×64)

Il est en fait très difficile de trouver un nouveau PC en vente ces jours-ci qui contient un processeur 32 bits (CPU), à moins que vous n'achetiez une tablette ou un ordinateur portable à petit budget. Cependant, si vous utilisez Windows 7 dans un environnement professionnel, vous pouvez toujours les utiliser et les prendre en charge. Les processeurs de bureau 32 bits, qui ont commencé avec la série Intel 386 en 1985 et se sont poursuivis jusqu'aux puces Pentium 4 de 2004, ne prennent pas en charge la virtualisation. Cela signifie que, même si Windows 10 est disponible dans une variante 32 bits, les anciens processeurs et cartes mères ne prendront pas en charge les technologies telles que les conteneurs d'applications. Sur http://pcs.tv/2cXeWeh, vous pouvez vérifier si votre processeur Intel prend en charge la virtualisation. Sur http://pcs.tv/2cE9aAs, AMD fournit des informations sur la virtualisation dans ses processeurs. De plus, certains processeurs et cartes mères 64 bits plus anciens ne prennent pas en charge la virtualisation matérielle, ce qui signifie qu'ils ne prendront pas en charge toutes les fonctionnalités de virtualisation de Windows, qui peuvent inclure des conteneurs d'applications. Il est toujours sage de vérifier la documentation fournie avec votre processeur et votre carte mère lorsque vous décidez de migrer le PC vers Windows 10 ou s'il est préférable de retirer l'unité et d'en acheter une de remplacement. Alors que les installations 64 bits de Windows sont plus sécurisées que leurs homologues 32 bits, cela a plus à voir avec les fonctionnalités de sécurité prises en charge par l'architecture 64 bits et ne garantit pas qu'un système sera sécurisé par défaut. L'un des avantages des systèmes Windows 64 bits, cependant, est que les pilotes matériels et logiciels, qui sont une méthode courante d'attaque de logiciels malveillants, doivent être signés numériquement par le fabricant et Microsoft, afin d'être pris en charge et chargés au démarrage. 

remarque : Remarque Microsoft ne prend plus en charge les derniers processeurs Intel pour les nouvelles installations de Windows 7 et Windows 8.1, et on peut supposer que cela s'étend également aux processeurs AMD. Cela signifie qu'il n'y a pas de support de pilote disponible pour certains processeurs et que l'installation du système d'exploitation échouera. Vous pouvez vérifier si votre PC est compatible avec Windows 7 et Windows 8.1 sur http://pcs.tv/2cEciMV.

-Restreindre l'accès aux fichiers

Plusieurs fois dans ce livre, j'ai mentionné les rançongiciels et détaillé à quel point cela peut être désastreux si vous trouvez tous vos fichiers, voire un disque dur entier, cryptés et inaccessibles. Les outils que j'ai détaillés tout au long de ce chapitre se concentrent sur la protection du système d'exploitation principal et cela a plus à voir avec les fonctionnalités de sécurité prises en charge par l'architecture 64 bits et ne garantit pas qu'un système sera sécurisé par défaut. L'un des avantages des systèmes Windows 64 bits, cependant, est que les pilotes matériels et logiciels, qui sont une méthode courante d'attaque de logiciels malveillants, doivent être signés numériquement par le fabricant et Microsoft, afin d'être pris en charge et chargés au démarrage. Alors que les installations 64 bits de Windows sont plus sécurisées que leurs homologues 32 bits, vos applications contre les logiciels malveillants. Cependant, la protection de vos fichiers nécessite un peu de réflexion et peut être une planification minutieuse. Lorsque vous regardez la façon dont nous gérons, stockons et sauvegardons nos fichiers, vous constaterez généralement que dès que vous cliquez sur Enregistrer, le fichier (ou une copie de sauvegarde de celui-ci) est automatiquement enregistré sur un serveur de stockage ou un cloud. service, comme Office 365, OneDrive, Dropbox, Amazon S3 ou Google Drive. C'est génial pour une utilisation générale, car cela signifie que nos fichiers sont sauvegardés de manière transparente et silencieuse, sans que nous ayons à faire quoi que ce soit à ce sujet. Nous pouvons même utiliser une fonctionnalité telle que l'historique des fichiers dans Windows 8.1 ou Windows 10 pour créer plusieurs "versions" de fichiers, qui peuvent être restaurées ultérieurement, si une modification est apportée accidentellement à un fichier.  immédiatement et silencieusement. Au moment où un fichier sur votre disque dur est crypté, qui s'enregistre comme un changement de fichier, et votre logiciel de sauvegarde, qu'il s'agisse de l'historique des fichiers, d'un package de synchronisation cloud ou d'une application de sauvegarde tierce - et n'étant pas très intelligent - sera automatiquement sauvegardé la nouvelle version cryptée du fichier. Vous aurez peut-être de la chance, car vous disposerez d'un contrôle de version, ce qui signifie que vous pourrez prendre votre stockage de fichiers hors ligne en cas d'attaque par rançongiciel, et après avoir nettoyé le logiciel malveillant du PC, restaurez la version antérieure du fichier. Ceci, cependant, repose sur le fait que vous disposez d'au moins le double de la quantité de stockage de sauvegarde pour vos fichiers que vous utilisez pour stocker les fichiers eux-mêmes, et de nombreuses personnes et entreprises non seulement n'auront pas cela, mais elles n'y penseront pas non plus. La solution consiste à limiter l'accès des rançongiciels à vos sauvegardes, et il n'y a vraiment que un moyen sûr et sécurisé de le faire, même s'il est loin d'être infaillible. Il s'agit d'avoir une sauvegarde complètement séparée de vos fichiers qui s'exécute selon un calendrier périodique, peut être toutes les semaines ou toutes les deux semaines. Cela signifie que si un rançongiciel frappe, vous saurez que vous disposez d'une sauvegarde sur laquelle vous pouvez revenir et qui n'aura pas été affectée par le cryptage. Je dis que ce n'est pas infaillible car dans ces circonstances, il est fort probable (la loi de Murphy étant ce qu'elle est) que le ransomware ne frappe qu'un jour ou peut-être même plus tôt avant le début de votre prochaine sauvegarde. Les problèmes posés par les rançongiciels signifient que nous devons tous réfléchir très attentivement à la manière dont nous stockons et sauvegardons nos fichiers et documents. Nous devons nous assurer que nous avons tous suffisamment d'espace pour la gestion des versions des fichiers et suffisamment de redondance dans le système pour garantir que nous pouvons récupérer une copie de nos fichiers, même si nous en perdons une semaine ou deux, afin que nous puissions continuer à travailler. C'est, j'en suis sûr, quelque chose que les fournisseurs de sauvegarde, de cloud et de sécurité aborderont dans les années

à venir, mais cela doit être quelque chose que vous et votre entreprise planifiez pour aujourd'hui.

Fonctionnalités anti-malware windows

 Une autre transition utile, et c'est sur le sujet des fonctionnalités anti-malware spécifiques dans le système d'exploitation Windows. Comme pour les autres fonctionnalités que j'ai déjà répertoriées, elles ont tendance à varier d'une version de système d'exploitation à une autre, Windows 7 étant la moins prise en charge.

-Écran intelligent de Windows

Windows SmartScreen est une fonctionnalité en ligne de nombreux produits Microsoft, notamment Windows 7 (appelé le filtre anti-hameçonnage), Windows 8.1, Windows 10 et certains services en ligne également. Parce que le service fonctionne en ligne, il est toujours mis à jour. Il vérifie les entrées e-mails et téléchargements par rapport aux listes blanches et noires de sites de phishing connus et de charges utiles de logiciels malveillants, et s'il trouve quelque chose qui est connu pour être malveillant, il le bloque. Il y a cependant quelques problèmes avec SmartScreen tel qu'il est actuellement (on espère que Microsoft les réglera au fil du temps). Il trouvera parfois un téléchargement dont il n'est pas sûr. La boîte de dialogue que SmartScreen affiche pour vous déconseille fortement d'exécuter le téléchargement, mais l'interface est conçue de manière à rendre difficile l'ouverture ou l'exécution du fichier téléchargé, si vous le souhaitez. L'autre problème est plus important, car Internet Explorer 11 (IE11), dans toutes les versions prises en charge de Windows, et le navigateur Edge, ainsi que l'application Paramètres dans Windows 8.1 et Windows 10, incluent un simple commutateur pour désactiver la fonctionnalité (voir Figure 2-4). Aucun de ceux-ci n'a de description appropriée de ce qu'est SmartScreen ou pourquoi il est important, et aucune invite UAC ne doit être cliqué pour désactiver la fonctionnalité. Étant donné que les utilisateurs finaux peuvent facilement trouver et cliquer sur les trois méthodes, j'espère que c'est quelque chose que Microsoft abordera dans les futures versions de Windows 10.

-Windows Defender/Security Essentials

Windows Defender est le package antivirus gratuit/inclus pour Windows. Il est intégré à Windows 8.1 et Windows 10 et est activé par défaut. Dans Windows 7, il s'agit d'un téléchargement facultatif que vous pouvez obtenir à partir de http://pcs.tv/2cZ6Ch5. De plus, dans Windows 7, il s'appelle Microsoft Security Essentials, ce qui le différencie d'un package anti-logiciels espions distinct dans le système d'exploitation appelé Windows Defender, qui ressemble et fonctionne d'une manière extrêmement similaire à Security Essentials (et même Windows Defender) mais fait un travail complètement différent. Je voulais juste que ce soit clair. je ne ferai aucun commentaire sur l'efficacité de Windows Defender en tant que package antivirus, car l'efficacité des suites de sécurité varie d'une année à l'autre. En tant que package de base , cependant, il est suffisamment efficace et présente l'avantage supplémentaire d'être incroyablement léger, sans pratiquement aucun effet négatif sur les performances ou le temps de démarrage. Cependant, la plupart des entreprises ou des organisations, et, en fait, l'auteur de ce article, installeront un produit antivirus tiers.

-Windows Defender hors ligne

Plus loin dans ce articles, je détaillerai les outils antivirus hors ligne que vous pouvez télécharger, à partir desquels vous pouvez démarrer votre PC pour rechercher des logiciels malveillants, sans avoir à démarrer dans un système d'exploitation infecté, car les logiciels malveillants peuvent souvent empêcher les logiciels de sécurité de s'exécuter sur le bureau. Windows Defender hors ligne peut être téléchargé à partir de http://pcs.tv/2c8dSlI, mais si vous utilisez Windows 10, vous avez également la fonctionnalité intégrée au système d'exploitation. Ouvrez l'application Paramètres et accédez à Mise à jour et sécurité, puis à Windows Defender, et vous pouvez faire défiler la page pour voir une option permettant de démarrer Windows Defender hors ligne. Windows Defender hors ligne (je commence à penser que cela devrait être un jeu à boire

!) redémarrera le PC et recherchera et tentera de supprimer tout logiciel malveillant qu'il trouve.

Sécurité au démarrage de Windows

 Dans les articles précédents j'ai discuté des dangers des infections par rootkit sur les PC et du fait qu'une technologie développée par Intel est obligatoire sur tous les PC vendus avec Windows 8.1 ou des versions ultérieures. Il existe, en fait, une série de technologies disponibles dans Windows 8.1 et Windows 10 (pas Windows 7) qui aident à se protéger contre les logiciels malveillants du secteur de démarrage.

Chiffrement BitLocker

Il convient de commencer cette section en notant que le chiffrement du ou des disques durs sur un PC grâce à l'utilisation d'une fonction de sécurité telle que BitLocker, qui est fourni avec chaque édition Pro et Enterprise de Windows, peut aider à protéger un PC contre les attaques. En effet, les lecteurs chiffrés sont maintenus verrouillés et sécurisés jusqu'à ce que le mot de passe de l'utilisateur soit saisi sur l'écran de connexion. Un PC chiffré avec BitLocker sur lequel l'utilisateur est déconnecté est beaucoup plus sécurisé les logiciels malveillants, les rootkits et le vol que ceux qui ne sont pas cryptés.

-Démarrage sécurisé

Développé pour la première fois par Intel, Secure Boot effectue deux tâches lorsqu'un PC est allumé et avant le chargement du système d'exploitation. Tout d'abord, il vérifie que le micrologiciel de la carte mère est signé numériquement, ce qui permet de réduire le risque de rootkits, qui modifieront le micrologiciel et, par conséquent, corrompront la signature. Secure Boot interroge ensuite la signature numérique du système d'exploitation dans le chargeur de démarrage pour voir si elle correspond à une signature cryptographique stockée dans le micrologiciel UEFI. Si les deux signatures correspondent, le système d'exploitation est autorisé à se charger. Si ce n'est pas le cas, Secure Boot conclut que le chargeur de démarrage a été falsifié et empêchera le démarrage du système d'exploitation. Ce ne sont pas toujours de bonnes nouvelles, cependant. J'ai déjà mentionné que Windows 7 ne prend pas en charge le démarrage sécurisé et qu'il ne peut pas non plus stocker sa signature cryptographique dans le micrologiciel du PC lorsqu'il est installé. De nombreuses distributions Linux ne prennent pas non plus en charge le démarrage sécurisé, bien que les distributions les plus courantes le fassent, et des informations sont disponibles sur leurs sites Web. L'activation du démarrage sécurisé signifie qu'un système d'exploitation qui n'a pas de signature cryptographique valide ne sera pas autorisé à démarrer. Il existe des façons de le faire. Certains systèmes UEFI vous permettront d'enregistrer un chargeur de démarrage comme "sûr", tandis que vous pouvez également désactiver le démarrage sécurisé sur certains systèmes UEFI, mais pas tous. Si vous envisagez d'installer un système d'exploitation qui ne prend pas en charge l'UEFI sur un nouveau PC, il vaut la peine de vérifier le firmware ou le manuel de la carte mère avant d'acheter le PC, pour voir si Secure Boot peut être désactivé ou s'il vous permettra pour ajouter des systèmes d'exploitation non signés.

-Démarrage de confiance

Autre fonctionnalité exclusive à Windows 8.1 et Windows 10, Trusted Boot prend le relais une fois que le système d'exploitation commence à se charger. Ce système vérifie le noyau du système d'exploitation et tous les autres composants du système d'exploitation, tels que les pilotes, les fichiers de démarrage, Early Launch Anti-Malware (plus d'informations à ce sujet dans une minute) et tous les autres composants Windows, pour voir s'ils ont été modifiés. Secure Boot interroge ensuite la signature numérique du système d'exploitation dans le chargeur de démarrage pour voir si elle correspond à une signature cryptographique stockée dans le micrologiciel UEFI. Si les deux signatures correspondent, le système d'exploitation est autorisé à se charger. Si ce n'est pas le cas, Secure Boot conclut que le chargeur de démarrage a été falsifié et empêchera le démarrage du système d'exploitation. Un PC chiffré avec BitLocker sur lequel l'utilisateur est déconnecté est beaucoup plus sécurisé S'il constate qu'un composant a été modifié, il refusera de charger ce composant. Windows dispose d'une fonction automatique qui s'exécutera ensuite en arrière-plan et tentera de réparer le composant endommagé ou modifié.

-Antimalware à lancement anticipé

L'un des problèmes de sécurité des versions héritées de Windows était que les logiciels malveillants pouvaient souvent se charger avant le logiciel antivirus des utilisateurs et, par conséquent, ils pouvaient interférer avec ce logiciel et empêcher sa détection ou sa suppression. 

-Early Launch Anti-Malware (ELAM) 

Quant à lui empêche cela et empêche également un rootkit de se déguiser en pilote antivirus et de se charger. ELAM lancera un pilote antivirus vérifié avant tous les autres pilotes dans ce que Microsoft appelle une «chaîne de confiance». Pour ce faire, il examine tous les pilotes qui démarrent avec le système d'exploitation et détermine s'ils sont signé et sur une liste de conducteurs de confiance. S'ils ne figurent pas dans la liste, ils ne seront pas chargés. Tous les principaux packages antivirus prennent en charge ELAM, qui n'est disponible que sous Windows 8.1 et Windows 10. Il convient de noter, cependant, que le principal logiciel antivirus se chargera plus tard dans le processus de démarrage, ce qui signifie que même si ELAM est une défense utile, ce n'est pas le pack antivirus complet.

Principales fonctionnalités de sécurité Microsoft windows

 Les fonctionnalités de sécurité des différentes versions de Windows appartiennent à différentes catégories, en fonction du type de support et de sécurité qu'elles offrent. Au premier plan de cela se trouvent les fonctionnalités de base qui existent dans toutes les versions prises en charge du système d'exploitation. La page Web de sécurité de Microsoft, accessible à l' adresse http://pcs.tv/2iCD4pF, contient des informations actualisées sur les menaces, la prévention et la défense, ainsi que des informations sur des sujets tels que la conformité légale, la transparence et la confidentialité.

Centre de sécurité/Sécurité et maintenance

Le Centre de sécurité, appelé Sécurité et maintenance dans Windows 10, est le plus important dans les versions 7 et 8.1 de Windows, où il se trouve dans la barre d'état système derrière un petit drapeau blanc (dont l'ironie ne m'a jamais échappé). C'est le Centre de sécurité qui vérifiera automatiquement et périodiquement les problèmes avec Windows Update et les paramètres de réseau, de pare-feu et de dépannage, et vous signalera si un problème est détecté. sécurité sur votre PC . Il existe des panneaux pliables pour la sécurité et la maintenance, et les alertes sont mises en évidence avec des couleurs de feux de circulation, y compris le vert lorsque tout va bien, l'ambre si vous devez être conscient de quelque chose qui n'est pas urgent et le rouge pour une alerte critique, telle que Windows Update ou vos mises à jour antivirus sont obsolètes.

Contrôle de compte d'utilisateur

Le contrôle de compte d'utilisateur (UAC) est un sous-système de sécurité qui agit comme première ligne de défense contre toute installation de logiciel malveillant et toute modification indésirable du système d'exploitation. Il est accessible via le Centre de sécurité ou en recherchant "UAC" dans le menu Démarrer. Tout utilisateur souhaitant modifier les paramètres UAC devra d'abord disposer d'autorisations administratives sur le PC. La fonctionnalité affiche une boîte de dialogue d'alerte dans l'environnement Windows sécurisé utilisé pour afficher la boîte de dialogue de connexion. Dans cet environnement spécial, rien ne peut être fait avec le système d'exploitation, sauf interagir avec la boîte de dialogue unique qui s'affiche, et seul l'utilisateur peut le faire, car tous les processus d'arrière-plan sont suspendus. Cela signifie que les logiciels malveillants ne peuvent pas détourner l'écran et cliquer sur l'invite elle-même. Il existe quatre paramètres distincts pour l'UAC qui commencent par Ne jamais notifier, ce qui désactivera complètement l'UAC, jusqu'à Toujours notifier, que j'aime appeler "Mode ennuyeux". Le paramètre par défaut pour UAC vous avertira lorsque des modifications sont apportées au PC qui affecteront tous les utilisateurs ou d'autres utilisateurs de la machine (qu'il existe ou non des comptes d'utilisateurs supplémentaires), notamment la désactivation de fonctionnalités, l'installation d'une application et l'accès à un noyau. dossier système, mais pas les modifications qui n'affecteraient que votre propre compte, telles que la modification de vos paramètres de langue ou le réglage de l'heure correcte. Je couvrirai l'UAC plus en détail dans mon prochain article.

Pare-feu Windows/Pare-feu avancé

Windows est livré avec deux interfaces de pare-feu différentes: le pare-feu par défaut et le pare-feu avancé. Je n'entrerai pas dans ces détails ici, car j'en parlerai en profondeur dans mes prochain articles, mais le pare-feu fourni par Microsoft est extrêmement efficace. Le pare-feu avancé offre aux professionnels de l'informatique et aux utilisateurs avancés la possibilité de contrôler le pare-feu au niveau d'un port, d'une application ou d'un service, garantissant que les utilisateurs peuvent accéder aux systèmes d'entreprise critiques, tels que les partages réseau, tout en maintenant des niveaux de sécurité élevés. De nombreuses entreprises et organisations choisissent encore de remplacer le pare-feu Windows par défaut par une solution tierce. En effet, les produits tiers peuvent être plus flexibles, puissants et mis à jour plus fréquemment que la solution fournie par Microsoft.

Outil de suppression de logiciels malveillants

L'outil de suppression de logiciels malveillants est fourni chaque mois dans le cadre de Windows Update, mais vous pouvez également le télécharger manuellement à partir de http://pcs.tv/2c7CUXn, si vous pensez que vous avez des logiciels malveillants sur votre PC. Vous pouvez considérer cet outil comme un package antivirus hors ligne supplémentaire qui vérifiera votre PC pour les principales menaces actuelles de logiciels malveillants et aider à les supprimer, le cas échéant. J'indique que cela est facultatif pour Windows 7 et Windows 8.1, car ce n'est qu'avec Windows 10 que les mises à jour de sécurité et de stabilité sont obligatoires dans Windows Update et ne peuvent pas être désactivées.

Windows Update

En parlant de Windows Update, qui constitue une belle transition, c'est la fonctionnalité de Windows qui maintient le système d'exploitation à jour avec les dernières mises à jour de sécurité, de stabilité et de fonctionnalités. Windows Update ne doit pas être désactivé sur les systèmes Windows 7 et 8.1, car ne pas avoir une machine entièrement corrigée et à jour pose un risque de sécurité important en soi. Vous connaissez sans aucun doute Windows Update et savez que vous pouvez choisir quand installer les mises à jour, les masquer et planifier le téléchargement des mises à jour et à quelle heure de la journée, le cas échéant, et votre PC redémarre. Avec Windows 10, tout est différent. Vous ne pouvez pas du tout bloquer ou masquer les mises à jour de sécurité ou de stabilité du système d'exploitation. Même un administrateur système n'a plus ces droits. Un outil existe pour masquer les mises à jour sur une base par PC, et vous pouvez le télécharger à partir de http://pcs.tv/2cWj9BP, mais cela ne peut être fait que rétrospectivement, après qu'une mise à jour a déjà été installée puis supprimée du système d'exploitation. Deux branches commerciales existent dans Windows 10 qui permettent le report des mises à jour de fonctionnalités, par lequel Microsoft entend de nouvelles fonctionnalités et mises à niveau du système d'exploitation. La branche actuelle pour les entreprises (CBB) est disponible dans toutes les installations de Windows 10 Pro . Si vous cochez cette option, les mises à jour des fonctionnalités seront différées pendant quelques mois. En fait, Microsoft ne précise pas la durée de l'ajournement, mais l'idée générale est qu'il est d'environ trois mois. L'autre branche commerciale s'appelle Long Term Servicing Branch (LTSB) et n'est disponible que sur les éditions Windows 10 Enterprise. L'activation de LTSB différera les mises à jour des fonctionnalités de dix ans, ce qui, selon Microsoft, correspond à la durée de vie prévue d'un PC moyen.

Sécurité au niveau organisationnel

 Avant de détailler les outils de sécurité et les fonctionnalités du système d'exploitation Windows lui-même, il est important de discuter de la prévention des logiciels malveillants au niveau organisationnel. Cela inclut le plan

stratégique sur la manière dont tous les aspects d'une entreprise ou d'une organisation gèrent la sécurité.

Les considérations à prendre en compte incluent les activités de sécurité opérationnelles, tactiques et stratégiques

qui affecteront chaque PC, serveur, système réseau et appareil mobile de l'organisation, ainsi que la façon dont les

appareils personnels (BYOD) et invités sont utilisés. traité.

De plus, ces stratégies de sécurité couvrent les règles régissant la manière dont les données sont protégées

et transférées à travers et en dehors du réseau de l'entreprise. Vous pouvez, par exemple, avoir une politique selon

laquelle aucun fichier d'entreprise ne doit être transférable sur un périphérique de stockage amovible, tel qu'un

lecteur flash USB, un DVD ou un ordinateur portable invité.

La formation du personnel en matière de sensibilisation à la sécurité est également un élément essentiel d'une organisation stratégie de sécurité, car les personnes qui utilisent les ordinateurs dans n'importe quelle entreprise ou lieu de

travail sont toujours le maillon faible en matière de sécurité.

Avoir une stratégie de sécurité à l'échelle de l'organisation peut aider considérablement à prévenir

les logiciels malveillants, car, n'oublions pas qu'à l'ère d'Internet, il n'existe plus vraiment de PC autonome ou de

réseau isolé.

Prévention et Défense

 J'ai indiqué dans les articles précédent qu'il y a deux choses principales que vous pouvez faire, en tant que

professionnel de l'informatique, pour défendre vos systèmes contre les logiciels malveillants. L'une consiste à rendre

aussi difficile que possible l'installation de logiciels malveillants sur vos systèmes ou le transfert de fichiers infectés

par des logiciels malveillants sur vos serveurs de stockage. Ceci est réalisé en utilisant une combinaison de

technologies, de processus et de stratégies qui, ensemble, peuvent rendre difficile l'infection par des logiciels malveillants. L'autre consiste à former le personnel aux différents types de menaces de logiciels malveillants, à

leur propagation, à leur détection et à ce qu'il est dangereux de cliquer et d'autoriser. C'est ce qu'on appelle la

sensibilisation à la sécurité, et cela devrait être un élément de base de toute formation pour les employés de toute

entreprise ou organisation.

Cependant, il n'est pas toujours possible d'empêcher les utilisateurs d'effectuer des actions telles que installer des logiciels, et il n'est certainement pas possible d'empêcher les utilisateurs de déplacer des

fichiers, de les enregistrer à partir d'e-mails et de les copier depuis et vers des clés USB. C'est là que la

configuration de bonnes mesures préventives sur vos PC devient essentielle, car le PC lui-même devient alors la

première ligne de défense contre tout malware.

Microsoft Windows est livré avec une multitude d'outils de défense contre les logiciels malveillants, bien que

les fonctionnalités proposées varient d'une version de Windows à l'autre, avec, comme vous pouvez le deviner, la

meilleure suite d'outils de sécurité disponible dans la version la plus moderne du système d'exploitation. . Je veux

examiner chacun de ces outils tour à tour, mais je vais d'abord détailler ce que vous pouvez trouver dans chaque

version différente du système d'exploitation (Tableau 2-1).

Outil                                                                Windows 7             Windows 8.1         Windows 10

Centre de sécurité                                                X                                X                        X

Windows Defender                                        Télécharger X                                             X

Windows Defender hors ligne                       Télécharger                Télécharger               X

fenêtre pare-feu                                                X                                X                            X

Pare-feu Windows avec avancé                        X                                X                            X

Sécurité

Contrôle de compte d'utilisateur                        X                                X                           X

Écran intelligent                                                                                    X                          X

Outil de suppression de logiciels malveillants    Option                       Option                  X

Démarrage sécurisé                                                                                X                          X

Démarrage de confiance                                                                         X                          X

Conteneurs d'applications                                                                      Limité                   X

Antimalware à lancement anticipé                                                         X                          X

Antimalware à lancement anticipé                       Option                        Option                  X

L'avenir des logiciels malveillants

 De toute évidence, les logiciels malveillants constituent une énorme menace pour nos PC, nos fichiers, nos

données et nos informations personnelles. Tous les éléments précédents ont une valeur, que ce soit une valeur pour vousmême,

auquel cas vous devrez payer pour y accéder à nouveauÿ; une valeur pour les criminels, dans la mesure où ils peuvent

le vendre ou en vendre l'accèsÿ; ou même une valeur pour les gouvernements et les organisations politiques/paramilitaires/

terroristes, dans la mesure où ils peuvent l'utiliser pour perturber l'infrastructure d'un adversaire.

Il existe même un terme pour décrire ce type d'attaque, la cyberguerre, et des exemples de cela ont déjà été vus

dans le piratage massif contre Sony Pictures Entertainment en 2014, qui a été largement attribué à la société qui a sorti un

film peu flatteur sur le leadership nord-coréen, bien que cela n'a jamais été prouvé, et les attaques contre les agences de

sécurité gouvernementales secrètes, les gouvernements oppressifs et les entreprises qui se soustraient aux impôts, par le

groupe de piratage Anonymous.

La prochaine guerre se déroulera en ligne, ce dont beaucoup de gens ne doutent guère. La capacité de perturber

les marchés financiers, les communications, la production et la distribution d'électricité et de gaz, les flux de trafic, la

navigation et les avions, les satellites GPS, les systèmes de santé, les opérations gouvernementales ou même les forces

militaires est extrêmement attrayante pour un grand nombre de personnes dans le monde.

C'est pourquoi, chaque année, des milliers de pirates « white hat » se réunissent lors des conférences DEF CON, avec

des représentants d'entreprises, d'entreprises technologiques et d'agences de sécurité du monde entier, pour discuter des

dernières vulnérabilités, des menaces, du processus de traitement des incidents de logiciels malveillants, par lequel les

informations peuvent être partagées entre les entreprises et les fournisseurs de sécurité de manière sécurisée, et de trouver

des moyens de les atténuer.

Si vous pensez que votre PC n'est pas sûr aujourd'hui, ne vous découragez pas trop, car vous devez également

vous soucier du piratage et des attaques de logiciels malveillants sur votre voiture, votre kit domotique et même les appareils

médicaux essentiels, tels que les stimulateurs cardiaques. La liste comprend tout contenant des puces de silicium et qui exécute une forme de système d'exploitation. Tout ce que nous pouvons faire,

c'est garder les gens aussi éduqués que possible et faire ce que nous pouvons pour nous défendre contre les types

d'attaques que nous connaissons et ceux que nous ne connaissons pas.

Les ransomwares, par exemple, n'ont été conçus que récemment, et nous pouvons être certains qu'à l'avenir, nous

serons confrontés à d'autres types d'infections malveillantes que nous ne pouvons imaginer ou envisager aujourd'hui.

Qu'est-ce qu'un logiciel malveillant?

 Peut de chose peuvent arriver à un PC qui sont pire qu'une infection par un logiciel malveillant.

En conséquence, votre PC peut ne pas démarrer, vous pouvez perdre votre connexion à Internet ou un

composant matériel du PC peut tomber en panne, mais tout cela est insignifiant par rapport à la menace

d'infection.

Pourquoi est-ce? Alors que le dépannage des problèmes sur les PC nous amène généralement à

découvrir que le problème est isolé à la seule machine en question, l'infection par un logiciel malveillant menace

immédiatement non seulement tous les autres PC de votre réseau, mais aussi vos serveurs, votre stockage (local

et cloud), vos clients, vos partenaires, employés, et bien plus encore.

Avec l'introduction des rançongiciels au cours des dernières années, la menace est plus grave que jamais.

Les entreprises pourraient soudainement trouver tous leurs documents et fichiers cryptés et une demande de

paiement d'une importante rançon pour la clé de décryptage.

Cependant, tout n'est pas sombre, car la suppression de tout type de malware d'un PC, même les

ransomwares désagréables, est plus simple que vous ne le pensez. Protéger vos PC contre les logiciels

malveillants est encore plus simple.

Dans ce article, vous découvrirez les différents types de menaces de logiciels malveillants qui peuvent attaquer PC et réseaux, comment vous pouvez vous en défendre, les identifier et, surtout, les éradiquer en cas d'attaque.

Virus et vers

Les virus et les vers sont les types de logiciels malveillants les plus connus, et ils ne sont pas nommés en fonction des

actions qu'ils effectuent, mais en fonction de la manière dont ils se propagent. Un virus, par exemple, se propagera d'une

machine à une autre par un moyen comparable à celui d'un virus que vous pourriez attraper dans votre propre corps,

comme le contact physique ou le partage. Un ver, cependant, creusera d'une machine à l'autre via un réseau. Les virus et

les vers peuvent effectuer une ou plusieurs des actions décrites dans le reste de cette section.

Spyware

La confidentialité est l'un des mots à la mode de l'informatique moderne, car les réseaux sociaux et les grandes

entreprises collectent des données et des informations sur nos activités en ligne, où nous allons (à la fois physiquement

et en ligne), ce que nous regardons, ce que nous achetons, qui sont nos amis et ce qu'ils aiment, etc.

Les logiciels espions sont des logiciels malveillants qui effectuent ces tâches indépendamment d'une connexion

à un réseau social ou à un site Web spécifique. Les logiciels espions recueillent des informations sur ce que vous

faites hors ligne et en ligne sur votre PC et envoient ces informations, qui peuvent inclure l'enregistrement des frappes

que vous tapez lorsque vous vous connectez à des sites Web, des boutiques en ligne et des banques, à l'aide d'un

enregistreur de frappe, à ses créateurs.

Adware

L'adware est le type de malware le plus inoffensif, étant quelque chose qui est destiné à vous afficher des

publicités sur votre PC. Celles-ci se présenteront généralement sous la forme de fenêtres contextuelles, dans un

navigateur ou séparément. Il n'y a pas de menace réelle d'adware, à moins qu'il ne transporte également une charge

utile supplémentaire, comme un enregistreur de frappe.

Cheveaux de troie

Un cheval de Troie, également connu sous le nom de cheval de Troie, est un package destiné à paraître totalement

inoffensif et inoffensif, mais contenant une charge utile cachée. Il porte le nom du cheval de bois que les Grecs ont offert

en cadeau aux citoyens de la ville de Troie vers le 12ème siècle avant JC qui contenait des soldats qui ont ouvert les portes

de la ville la nuit, permettant à une armée grecque envahissante de maîtriser les habitants locaux. Donc, techniquement,

c'était un cheval grec, et non un cheval de Troie, mais nous allons sauter légèrement ce passage.

Les chevaux de Troie apparaissent généralement sous la forme de codecs audio ou vidéo (plug-ins nécessaires

pour lire un fichier musical ou vidéo ou visionner une vidéo en ligne), un plug-in de navigateur Web, un jeu ou autre

chose amusante ou utile, ou une application piratée, un Installateur d'image disque ISO pour un système d'exploitation ou

un document.

Robots

Les robots sont généralement à vendre. Si vous chassez un peu sur le dark web (ce que je ne recommande pas

vraiment), alors parmi les drogues, armes et autres biens illégaux qui y sont vendus, vous trouverez probablement quelque

chose appelé un « botnet ». Les botnets sont des réseaux de machines infectées par des bots.

Typiquement, un bot utilisera la connexion Internet de la machine infectée pour lancer

une attaque DDoS prolongée contre une entreprise ou un site Web. Tout ce que l'utilisateur final remarquera,

c'est un ralentissement de sa vitesse Internet, mais avec des milliers, voire des dizaines ou des centaines de milliers

de bots disponibles et en ligne à tout moment, les botnets peuvent être un moyen efficace pour les criminels d'extorquer

de l'argent aux entreprises. , ou pour des groupes politiques (et parfois même des gouvernements) pour attaquer

l'infrastructure d'un pays.

Rarement, cependant, les bots seront utilisés uniquement pour cette seule tâche. Ils seront presque toujours

résident dans des partitions cachées et protégées sur le disque, et extrêmement difficiles à détecter.

Vous pourriez penser que si Secure Boot est activé sur un PC, vous serez à l'abri des attaques de rootkit.

Malheureusement, ce n'est pas le cas, car certaines vulnérabilités existent dans le système Secure Boot qui peuvent

encore permettre l'installation de rootkits. De plus, certains systèmes d'exploitation, tels que Linux et Windows 7, ne

démarreront pas si Secure Boot est activé, car ils ne prennent pas en charge la sécurité signée que Secure Boot

recherche au démarrage, qui authentifie le système d'exploitation comme étant authentique. Tout cela signifie que les

PC exécutant des systèmes d'exploitation non signés, dans un scénario de démarrage simple ou double, doivent avoir

le démarrage sécurisé désactivé.

incluent des enregistreurs de frappe et des logiciels de contrôle qui offrent des portes dérobées dans les PC qu'ils

ont infectés.

Vous entendrez parfois parler d'entreprises telles que Microsoft détruisant un botnet, généralement avec l'aide

d'une société de sécurité (ou plus), et toujours avec l'aide de responsables locaux de l'application des lois dans les

territoires concernés. Lorsqu'un réseau comme celui-ci est pris

hors ligne, une activité criminelle courante, généralement l'envoi de spam, peut temporairement chuter jusqu'à un tiers

à l'échelle mondiale, telle est la prévalence des bots à travers le monde.

De tels retraits sont possibles car des entreprises telles que Microsoft, Apple et Google, qui fournissent le

système d'exploitation de base, sont bien placées, grâce aux rapports anonymes qu'elles reçoivent de leurs systèmes

d'exploitation, pour identifier les botnets et, en utilisant les données de trafic réseau et en rétro-ingénierie des robots à

partir de machines infectées, ils peuvent retracer les adresses IP et les individus qui les contrôlent. Tout cela est fait

sans compromettre la vie privée des utilisateurs et toujours dans le respect de la loi.

Rootkit/Bootkit

Lorsque Microsoft a lancé le système d'exploitation Windows 8.1, il a exigé que tous les nouveaux PC vendus avec

le système d'exploitation embarqué aient le micrologiciel UEFI moderne sur la carte mère, avec le système de démarrage

sécurisé d'Intel activé.

une attaque DDoS prolongée contre une entreprise ou un site Web. Tout ce que l'utilisateur final remarquera,

c'est un ralentissement de sa vitesse Internet, mais avec des milliers, voire des dizaines ou des centaines de milliers

de bots disponibles et en ligne à tout moment, les botnets peuvent être un moyen efficace pour les criminels d'extorquer

de l'argent aux entreprises. , ou pour des groupes politiques (et parfois même des gouvernements) pour attaquer

l'infrastructure d'un pays.

Secure Boot est destiné à se défendre contre les rootkits et les virus du secteur d'amorçage (bootkits)

De tels retraits sont possibles car des entreprises telles que Microsoft, Apple et Google, qui fournissent le

système d'exploitation de base, sont bien placées, grâce aux rapports anonymes qu'elles reçoivent de leurs systèmes

d'exploitation, pour identifier les botnets et, en utilisant les données de trafic réseau et en rétro-ingénierie des robots à

partir de machines infectées, ils peuvent retracer les adresses IP et les individus qui les contrôlent. Tout cela est fait

sans compromettre la vie privée des utilisateurs et toujours dans le respect de la loi.

d'infecter les PC. Ces types de logiciels malveillants s'intégreront profondément dans la ou les partitions de

démarrage d'un PC. Le rootkit démarrera alors le système d'exploitation dans un environnement de type hyperviseur,

ce qui lui donnera un contrôle total du système d'exploitation, tout en se cachant et en se protégeant de tout logiciel

de sécurité que vous avez installé et de toutes les fonctionnalités de sécurité du système d'exploitation lui-même.

Un rootkit exploite généralement les fonctionnalités du système d'exploitation, telles que la possibilité d'installer

des extensions dans une application ou en se connectant ou en corrigeant une interface de programmation d'application

(API) contenant une vulnérabilité exploitable. Une fois compromis, le rootkit peut prendre le contrôle du flux d'exécution

de l'application et utiliser ses autorisations et privilèges pour attaquer les systèmes de sécurité et de démarrage du PC.

C'est en partie parce que les infections rootkit, qui stockent les applications dans tous les systèmes d'exploitation, et les

applications Win32, installées à partir du Windows Store ou sur un PC basé sur ARM, s'exécutent dans leurs propres

zones de mémoire protégées.

Les rootkits et les virus du secteur d'amorçage peuvent être extrêmement difficiles à supprimer, étant donné qu'ils résident dans des partitions cachées et protégées sur le disque, et extrêmement difficiles à détecter.

Vous pourriez penser que si Secure Boot est activé sur un PC, vous serez à l'abri des attaques de rootkit.

Malheureusement, ce n'est pas le cas, car certaines vulnérabilités existent dans le système Secure Boot qui peuvent

encore permettre l'installation de rootkits. De plus, certains systèmes d'exploitation, tels que Linux et Windows 7, ne

démarreront pas si Secure Boot est activé, car ils ne prennent pas en charge la sécurité signée que Secure Boot

recherche au démarrage, qui authentifie le système d'exploitation comme étant authentique. Tout cela signifie que les

PC exécutant des systèmes d'exploitation non signés, dans un scénario de démarrage simple ou double, doivent avoir

le démarrage sécurisé désactivé.

Portes dérobées

J'ai déjà fait plusieurs fois allusion aux portes dérobées dans cette section, car elles font généralement partie de

la charge utile d'un bot ou d'un autre type de logiciel malveillant. Les portes dérobées permettent l'accès à

distance et parfois le contrôle à distance d'un PC infecté. Cela donnera aux criminels (et parfois aux agences de

sécurité et aux gouvernements) un accès aux fichiers, dossiers et documents à un PC et à tous les partages de

fichiers et autres PC et serveurs sur le ou les réseaux auxquels il est connecté.

Logiciel de rançon

Le malware le plus désagréable est de loin le ransomware. Ce logiciel malveillant cryptera vos fichiers et

documents (parfois même plus que ceux-ci) et exigera que vous payiez une rançon, généralement dans la

devise en ligne Bitcoin, pour la clé de décryptage. 

Comme nous stockons de plus en plus de fichiers sur des partages réseau et dans le cloud, et que nos

PC ont accès à ces zones de stockage et à d'autres PC connectés au réseau, les ransomwares sont non

seulement capables de chiffrer les sauvegardes de fichiers, mais peuvent également se propager à d'autres

machines sur le réseau et utilisez les autorisations d'accès utilisateur sur ces PC pour accéder à encore plus de

zones de stockage et à plus de PC. Certains rançongiciels crypteront même un disque entier dans un PC, ou la

table de fichiers maîtres (MFT) sur le disque qui contient le répertoire des fichiers à trouver où sur le disque.

Il est bien connu que des centaines d'universités, d'hôpitaux, d'entreprises et même les gouvernements du monde entier paient des rançons chaque année, afin d'éviter les temps d'arrêt

coûteux nécessaires pour reconstruire les systèmes infectés et la perte de fichiers et de données critiques. Ces entreprises et organisations, cependant, ne divulgueront presque jamais ce qui s'est passé, en raison

de l'effet négatif que cela peut avoir sur leur réputation et du tollé des personnes dont les informations privées

ont été compromises.

Il est également bien connu que la clé de déchiffrement, si vous payez la rançon, sera elle-même contiennent une charge utile supplémentaire de logiciels malveillants. Cependant, les criminels à l'origine

des rançongiciels sont suffisamment intelligents pour ne pas fixer le prix de leurs rançons à un prix trop

élevé, car l'avantage financier d'un individu, d'une entreprise ou d'une organisation qui ne peut pas payer la

rançon ne rapportera pas de revenus aux criminels. Malheureusement, cela incite les gens à payer la rançon

lorsqu'ils sont infectés.

Courriels de spam et d'hameçonnage

Les spams (non sollicités) et les e-mails de phishing (par exemple, prétendant provenir de votre banque

ou d'un site d'achat), dont un exemple est illustré et ne sont pas des logiciels malveillants,

 car ils peuvent généralement conduire à un téléchargement de logiciels malveillants. Le spam

tire son nom de la viande transformée (viande d'épaule de porc et jambon) qui était un aliment courant aux États-

Unis et au Royaume-Uni pendant et après la Seconde Guerre mondiale, lorsque le rationnement alimentaire était

en place. Il était largement détesté et ridiculisé (peut-être le plus célèbre dans la chanson Spam de Monty Python)

et était donc un bon choix de nom pour les e-mails indésirables qui ont commencé à apparaître dans les boîtes de

réception des gens.