Vous avez découvert quelque chose d'anormal sur votre machine grâce à un utilitaire de sécurité ou par tout autre moyen. Comment agir et réagir ?
Il faut agir dans 3 directions différentes simultanément.
La présence, sur une machine, de parasites ou d'outils apparemment anodins, mais inattendus, ne doit pas être prise à la légère (y compris la présence de simples documents - pas des programmes - tels des textes de cours de crack ou de hack ou de carding ou de fabrication d'explosifs (anarchie, etc.)). La réaction ne doit pas se limiter au simple effacement de la contamination.
Face à cette présence, nous devons engager des actions dans 3 directions différentes simultanément sinon nous risquons le virus PEBCAK. Il faut :
- Corriger les effets
La première chose à faire est, bien entendu, de corriger immédiatement les effets de la contamination et supprimant la contamination elle-même, mais cela ne suffit pas. Il faut encore :
- Rechercher les causes en amont
Chercher, en amont, les causes de sa présence.
- Prévoir les conséquences en aval
Chercher, en aval, les conséquences éventuelles de son action à l'encontre de notre machine, nos données, notre réseau, notre entreprise, notre banque, et nous même...
Opérations à engager :
L'administrateur réseau ou l'ingénieur en charge de la sécurité ou le particulier propriétaire de la machine devra :
- Eradiquer le parasite :
Il y a plusieurs possibilités :
- Vous êtes censé disposer d'un outil de type antivirus. Aucun utilisateur sain d'esprit ne fonctionne sans ce type d'outil. Mettez-le à jour et lancez une analyse approfondie de votre machine, en réglant votre antivirus en mode paranoïaque.
- Vous n'avez pas d'antivirus ?Le Centre de sécurité de Windows (Windows Defender) installe un antivirus qui s'active automatiquement si un antivirus tiers n'est pas présent ou est défaillant. Sinon, téléchargez, installez et exécutez un antivirus localement (sur la machine). Il en est des gratuits pour commencer.
- Analyses gratuites en ligne.
- Antimalware gratuit
- Rechercher, en amont, la faille ayant permis l'introduction de ce parasite :
La présence de ce parasite signifie qu'une faille de sécurité a permis son introduction.
- Ce peut être une introduction à distance grâce à l'exploitation d'une faille de sécurité corrigible par application de correctifs/patchs disponibles chez les éditeurs de tous les logiciels installés sur la machine. La mesure de base est d'être à jour de tous les correctifs de sécurité. Exécuter un Windows Update afin de mettre à jour la totalité des composants logiciel de marque Microsoft installés dans l'ordinateur.
- Installez et activez Sécunia PSI et suivez ses avis pour tous les composants logiciels de marque autre que Microsoft.
- Utilisez la procédure de Mise à jour de tous les plug-ins de tous les navigateurs en un seul clic.
- Plus généralement, utilisez, régulièrement, la Procédure périodique de maintenance à jour d'un PC sous Windows.
- On aura également un oeil suspicieux sur toutes les personnes pouvant accéder physiquement à cette machine (employé, ami, service technique interne, maintenance technique externe, personnel d'entretien, etc. ...).
- La mise en place d'un keylogger peut être envisagée pour dépister l'attaquant et peut être recherchée comme cause de l'attaque, ces outils ayant 2 usages diamétralement opposés. On regardera également si la surveillance des contrôles ActiveX n'est pas trop laxiste.
- Rechercher, en aval, les conséquences possibles et prendre les mesures nécessaires :
En fonction de la nature du parasite (de sa classe), nous prendrons les mesures nécessaires. Par exemple, si le parasite vise les mots de passe, il faut immédiatement imaginer qu'ils sont tous compromis. Nous sommes donc en présence d'une nouvelle faille de sécurité, conséquence de la mise en oeuvre probable du parasite contre la machine infectée et le réseau auquel elle appartient. Il convient donc de tous les changer.
Opérations connexes :
- Essayer de remonter à la source : en vertu du vieil adage policier « Chercher à qui le crime profite », chercher en remontant dans les logs, une identification éventuelle de l'utilisateur (poste de travail, login, adresse IP, etc.) et les données qui ont pu être révélées. Se prémunir juridiquement en portant plainte immédiatement.
- Rechercher la présence d'autres parasites.
- Si le parasite concerne le crack de licences internes de logiciels, on pourra, éventuellement, se prémunir juridiquement, en prévenant les éditeurs et, d'autre part, porter plainte, à titre conservatoire.
- Si le parasite concerne le crack (password cracking) ou le vol (password stealing) de mots de passe ou autres données cryptées on recherchera aussi la possibilité de fuite de la clé de cryptage elle-même, depuis le mot de passe écrit sur un post-it collé sur l'écran jusqu'au personnel licencié assouvissant une vengeance... (dans ce dernier cas, les mots de passe auraient dû être changés dès l'envoi de la convocation à l'entretien préalable au licenciement puis changés à nouveau dans la minute qui suit l'entretien préalable et une nouvelle fois au moment du dernier départ physique de la personne licenciée, à l'issue du préavis. Entre-temps, tous ses accès auraient dû être supprimés ou extrêmement restreints).
- En entreprise, on retirera tous les outils matériels susceptibles de permettre une copie (dans un sens ou dans l'autre). Ils seront disposés en service d'accès contrôlé, sur des machines disposées dans une pièce distincte accessible sur justification et autorisation. Tous les périphériques amovibles sont concernés, y compris les disques durs montés en tiroirs, lecteurs de disquettes, de bandes, graveurs et même les memory sticks (ports usb...), clés usb, etc. On sera particulièrement méfiant à l'égard des dispositifs USB conformes U3 (dont les menaces de type PodSlurping).
- Le mot de passe du BIOS sera extrêmement durci sur une carte-mère rendue inaccessible par l'usage de boîtiers verrouillés et disposant d'un contact d'ouverture déclenchant une alerte réseau grâce à une petite tâche active en permanence (la machine ne devant jamais être éteinte). Les accès aux disquettes (normalement, ça n'existe plus) et aux lecteurs de CD-ROM, DVD etc. seront inhibés au niveau du BIOS si les périphériques ne sont pas ôtés physiquement de la machine.
- En entreprise, on retirera ou restreindra tous les outils logiciels susceptibles de permettre une copie, dont le protocole FTP et les clients et serveurs P2P, les accès aux machines et répertoires du réseau...
- L'introduction du parasite sur la machine infectée ayant pu se faire à distance cela peut signifier, selon la nature du parasite, qu'un individu l'y a introduit non pas pour l'exploiter, mais pour la cacher. C'est une mesure de sécurité élémentaire chez ceux qui manipulent des documents ou utilitaires très critiquables : ils ne les planquent pas chez eux mais chez les autres. Donc, pour revenir les chercher ou les utiliser, l'individu a probablement ménagé une porte : on recherchera du côté des RATs et des backdoor.