|
Les FAQs, ou foires aux questions, sont des listes de questions/réponses
les plus courantes qui permettent aux internautes de trouver
rapidement une solution à leur problème dans
le cas d’une question fréquemment posée.
SECURITE
Qu’est-ce qu’une faille de sécurité ?
Une faille de sécurité (ou vulnérabilité)
est un bogue particulier dont l’exploitation permet d’effectuer
des actions qui ne sont pas possibles dans le cadre d’une
utilisation normale d’un logiciel. Les failles les plus redoutables
sont celles permettant l’exécution de code à
distance, c’est-à-dire permettant à un individu
malveillant d’exécuter via Internet un programme malicieux
sur l’ordinateur de sa victime même si celle-ci se trouve
à l’autre bout de la planète. Un exemple malheureusement
célèbre est une faille du logiciel de messagerie
Outlook Express qui permettait à un virus de s’exécuter
automatiquement au moment où l’internaute ouvrait le
message infecté ou en prenait connaissance via le volet
de lecture, sans avoir à ouvrir le fichier joint. Pour
remédier à une faille de sécurité
il faut corriger le code défectueux en appliquant un
correctif ou en installant une nouvelle version du logiciel.
Qu’est-ce que le partage de fichiers et comment y mettre
fin ?
Le partage de ressources est une fonctionnalité
qui permet à d’autres utilisateurs connectés
au même réseau informatique que le vôtre
d’accéder à distance à votre ordinateur
et d’utiliser ses ressources : il est ainsi possible de partager
un répertoire et ses fichiers (on parle de partage
de fichiers ou de partage de dossiers), mais aussi de partager
des imprimantes voire d’autres périphériques.
Si vous n’avez pas la nécessité de partager
des ressources avec d’autres utilisateurs, il est recommandé
de supprimer les partages afin d’éviter tout accès
malveillant à votre machine. Pour cela, faites un clic
droit sur l’icône "Voisinage réseau"
(Windows 95) ou "Favoris réseau" (Windows
98) du bureau Windows, choisissez Propriétés
puis suivez les manipulations détaillées dans
cette
copie d’écran afin de décocher les cases
"Permettre à d’autres utilisateurs d’accéder
à mes fichiers" et "Permettre à d’autres
utilisateurs d’utiliser à mes imprimantes". Si
vous avez besoin de partager des ressources, protégez-en
l’accès avec un mot de passe fort ou encore partagez
vos répertoires en lecture seule.
Comment connaître le numéro de version d’un
logiciel ?
Pour connaître le numéro
de version d’un logiciel, il suffit généralement
de regarder dans son menu "Aide" ou " ?", puis de choisir "A
propos de" ou "Version" : il se présente sous la forme
X.XX ou X.XX.xxxxxx. Il est plus que recommandé de
connaître les numéros de version de ses principaux
logiciels afin de savoir s’ils sont concernés lors
de l’annonce d’une faille, ainsi bien sûr que pour appliquer
le correctif correspondant à la bonne version du logiciel.
Dans le cas particulier du lecteur Flash de Macromedia, intégré
aux navigateurs web, vous pouvez vous rendre sur cette
page du site de l’éditeur pour en connaître
le numéro de version.
Peut-on avoir toute confiance dans un courrier électronique
qui provient du même nom de domaine que le sien ?
Malheureusement non ! Si vous travaillez dans une société ou
une organisation qui vous fournit une adresse email moi@organisation.fr
et que vous recevez un courrier de albert@organisation.fr,
vous n’êtes assuré de rien, car il est techniquement possible
de générer un mail comportant un nom et une adresse d’expéditeur
qui ne sont pas ceux de l’expéditeur réel. Restez donc sur
vos gardes si votre correspondant utilise une adresse dont
le login vous est inconnu (ex. : dxq30@organisation.fr), s’il
demande à ce que des documents lui soient envoyés
à une adresse gratuite type Hotmail ou iFrance (en
prétextant une maladie, un déplacement, un travail
à la maison, etc.), en cas de demande inhabituelle
(votre correspondant veut connaître vos login/password pour
"vérification" ou vous recommande de les changer
pour un couple login/password de son choix) et aussi bien
sûr en cas de présence d’un fichier attaché (potentiellement
un virus
ou un troyen).
Un individu m’a demandé de lui envoyer le fichier tree.dat ou
smdata.dat de ma version de Cute FTP en m’expliquant que ça
lui permettrait de réparer son logiciel : ai-je bien fait
de refuser ?
Evidemment ! Ce fichier contient le login et le password qui donnent
accès au répertoire de publication de votre site web. Il est donc
hors de question de le communiquer à qui que ce soit, même si votre
correspondant vous affirme que ça lui permettra de réparer sa version
endommagée du logiciel (il s’agit ni plus ni moins que d’une tentative
de piratage par ingénierie sociale). Attention ! Cet avertissement
vaut pour tous les logiciels : n’envoyez jamais un fichier de configuration
si vous n’êtes pas absolument sûr de son contenu.
VIRUS
Le terme « rootkit » est de plus en plus utilisé, et semble être devenu une expression « fourre-tout » pour différentes menaces sérieuses. En quoi consiste exactement une infection par roorkit ? Certains attributs et fichiers doivent-ils être affectés par les malwares pour que l’on puisse parler de rootkit ? De nombreuses infections par rootkit semblent revenir, même après avoir été supprimées par un logiciel antivirus. Pourquoi est-ce si difficile de s’en débarrasser ?
Les infections par rootkit sont causées par des malwares contenant un rootkit, généralement un pilote du système, qui corrompt le système d’exploitation. Une fois installé, il peut modifier des fonctions critiques du système d’exploitation ou même, entraver le fonctionnement de certaines solutions antivirus. Les malwares capables d’installer un pilote en mode utilisateur ou en mode noyau sont généralement qualifiés de rootkits. Il existe également des rookits en mode hyperviseur et des bootkits, mais ils sont plutôt rares. Les infections par rootkit présentent un danger particulier car elles sont habituellement capables de tromper les systèmes chargés de les détecter. Notons toutefois que les solutions antimalwares avec une protection contre les rootkits peuvent détecter et supprimer ces menaces.
Comment se protéger efficacement contre les virus ?
Se protéger des virus nécessite de respecter
quelques conseils simples : appliquez les correctifs
de vos logiciels dès qu’ils sont disponibles (afin
d’empêcher les virus d’utiliser une faille pour faciliter
leur propagation ou contourner les dispositifs de sécurité),
installez un antivirus
et mettez-le régulièrement à jour (sinon
il ne sera pas efficace contre les nouveaux virus) et restez
prudent face à toute pièce jointe ou à
tout fichier d’origine non sûre (il peut contenir un
virus inconnu ou non détecté).
Des dizaines de messages infectés envahissent ma
boîte aux lettres. Mon ordinateur est-il contaminé ?
Comment arrêter ça ?
Si vous recevez des messages infectés c’est parce
qu’au moins un de vos correspondants est contaminé
: le virus aura probablement trouvé votre adresse dans
son carnet d’adresses et se sera envoyé automatiquement
à tous ses contacts, dont vous-même. Pour arrêter
cela, il faut prévenir votre correspondant pour qu’il
analyse son disque dur avec un antivirus
à jour ou avec un utilitaire
de désinfection gratuit si vous avez identifié
le nom du virus. La plupart des virus récents pratiquent
l’usurpation d’identité afin de vous empêcher
de retrouver la personne infectée : ils s’envoient
en utilisant comme adresse d’expéditeur une adresse
falsifiée ou celle d’un contact innocent figurant dans
le carnet d’adresses de la personne infectée. Dans
ce cas, si vous recevez un grand nombre de messages infectés
ou si vous souhaitez absolument faire quelque chose vous pouvez
tenter de prévenir une fois (et une seule) l’ensemble
de vos correspondants pour leur demander de vérifier
leur disque dur avec un antivirus à jour afin que la
personne infectée puisse supprimer de son ordinateur
le virus qui vous bombarde de messages.
Une alerte m’indique qu’un virus a été trouvé
dans un message que j’ai envoyé. Mon ordinateur est-il
infecté ?
Certains antivirus envoient automatiquement un message
d’alerte à l’adresse d’expéditeur d’un courriel
infecté, qui est supposée être celle de
l’internaute dont l’ordinateur est contaminé. Utile
il y a encore quelque temps, cette fonctionnalité est
obsolète car la plupart des virus se propagent désormais
en utilisant comme adresse d’expéditeur une fausse
adresse spécialement forgée pour l’occasion,
voire l’adresse d’un contact innocent figurant dans le carnet
d’adresses de la personne infectée. Aujourd’hui, si
vous recevez ce type d’alerte, c’est donc le plus souvent
parce que l’ordinateur d’un internaute ayant votre adresse
sur son disque dur est infecté : avertissez le cas
échéant vos plus proches correspondants en leur
recommandant de vérifier leur disque dur avec un antivirus
à jour. Si vous êtes administrateur d’une passerelle
antivirus, désactivez l’envoi d’un message d’alerte
à l’adresse d’expéditeur d’un courriel infecté
car, outre la confusion chez nombre de destinataires, ces
messages sont responsables d’une partie non négligeable
de la hausse de trafic observée en cas d’épidémique
de virus de messagerie.
Mon antivirus signale qu’un fichier infecté est
"uncleanable" et refuse de le nettoyer. Que faire ?
Un fichier infecté indiqué "uncleanable" (non nettoyable) doit
être supprimé : utilisez pour cela le bouton "Supprimer" ou "Delete"
de l’antivirus. Cela arrive principalement lorsque le fichier concerné
est le virus ou le troyen lui-même : par définition il ne peut pas
être nettoyé (c’est-à-dire éliminer uniquement
la portion de code malicieux) puisque la totalité du fichier
est hostile. Attention : si le fichier supprimé était un
fichier sain qui a été infecté il faut ensuite
le restaurer à partir du CD-Rom de l’application auquel il appartient,
ou procéder à la réinstallation de l’application
concernée.
Mon antivirus refuse de supprimer un fichier infecté
parce qu’il est en cours d’utilisation ("Can not access").
Comment procéder ?
Dans ce cas il faut supprimer le fichier manuellement. Notez
le nom et l’emplacement du fichier et faites Ctrl + Alt + Suppr
pour accéder au Gestionnaire des tâches (sous Windows
NT/2000/XP) afin de terminer le processus correspondant au fichier
OU redémarrez Windows en mode sans échec (touche F8 au démarrage
de l’ordinateur). Supprimez ensuite le fichier concerné comme
habituellement. Si les fichiers infectés indiqués
en cours d’utilisation sont nombreux vous pouvez profiter du mode
sans échec pour scanner le disque dur avec votre antivirus.
Attention : si le fichier supprimé était un fichier sain
infecté sans pouvoir être nettoyé il faut ensuite
le restaurer à partir du CD-Rom de l’application auquel il appartient,
ou bien procéder à la réinstallation de l’application
concernée.
Après avoir ouvert un fichier mon antivirus a émis
une alerte indiquant qu’il contenait un virus. Mon ordinateur est-il
contaminé ?
Si vous avez visualisé une telle alerte c’est que votre
antivirus est équipé d’un moniteur
qui veille en permanence sur votre système. L’accès
au fichier infecté a été bloqué avant
l’exécution du virus, donc votre ordinateur n’a pas été
contaminé : votre antivirus vous a simplement informé
du caractère malveillant du fichier concerné. Supprimez
ensuite le message infecté.
Que signifie Win32 ou W32 dans le nom complet d’un virus (par
exemple Win32/Sober.Y) ?
La présence de Win32 ou W32 dans le nom d’un virus signifie
que ce dernier concerne les systèmes d’exploitation Windows
développés pour les ordinateurs équipés
d’un processeur 32 bits, soit les versions des années
1995-2005 (dont Windows XP). Cette notation est utilisée
pour déterminer du premier coup d’oeil quel système
un virus est capable d’infecter. Dans notre exemple Win32/Sober.Y,
il est possible de conclure que le virus Sober.Y cible les versions
récentes de Windows, donc qu’il ne peut pas s’exécuter
sur des ordinateurs fonctionnant sous des versions anciennes (dont
Windows 3.1, système 16 bits) ni sous un système d’exploitation
différent (Apple, Linux, etc.).
Mon antivirus signale la présence d’un virus nommé
Exploit. IFrame. FileDownload mais ne peut pas l’éliminer.
Que faire ?
Exploit.IFrame.FileDownload (également HTML/IFrame_Exploit)
n’est pas un virus mais le nom donné par certains éditeurs
d’antivirus à une vulnérabilité des navigateurs
Internet Explorer 5.01 et 5.5 qui permet à un virus
de s’exécuter automatiquement au moment où l’utilisateur
d’Outlook ou Outlook Express tente d’ouvrir le message infecté
ou de le consulter au travers du volet de visualisation (voir
le bulletin de sécurité MS01-020).
Certains antivirus recherchent cette vulnérabilité
indépendamment des virus car sa détection peut
révéler la présence d’un virus ou d’un
autre malware
inconnu, donc non détecté par le moniteur
de l’antivirus. Pour corriger cette faille datant de mars
2001 et empêcher définitivement son exploitation,
les utilisateurs d’Internet Explorer doivent mettre à
jour leur logiciel via le service WindowsUpdate
ou en appliquant le Service
Pack correspondant à leur navigateur.
Mon antivirus affiche une alerte au virus Bloodhound Packed
ou Bloodhound Exploit. A quoi cela correspond-il ?
Bloodhound n’est pas le nom d’un virus mais de la technologie
de détection heuristique de l’éditeur Symantec.
Votre antivirus est donc a priori Norton Antivirus et il vous
signale avoir détecté un possible virus inconnu,
qu’il n’a pas dans sa base de signatures de virus mais dont
l’analyse du code laisse craindre qu’il s’agisse d’un programme
malveillant. A moins que vous ne soyez certain que ce soit
un fichier sain, il vaut mieux traiter ce fichier avec prudence,
mais il faut garder à l’esprit qu’il peut aussi s’agir
d’une fausse alerte. Si vous souhaitez connaître le
véritable nom du virus concerné, patientez quelques
jours le temps que sa signature soit disponible, mettez à
jour votre antivirus puis analysez à nouveau le fichier
suspect. S’il s’agit bien d’un nouveau virus, il devrait alors
être détecté sous son nom définitif.
Vous pouvez aussi utiliser notre
antivirus en ligne pour analyser le fichier suspect. Si vous obtenez
un message d’alerte "Bloodhound Packed" alors que
vous ne tentez d’ouvrir aucun fichier, vérifiez que
votre ordinateur est bien à jour dans ses correctifs
de sécurité en utilisant WindowsUpdate,
car il se peut qu’un virus tente d’infecter l’ordinateur en
exploitant une faille du système afin de s’exécuter
automatiquement et à votre insu pendant la connexion
Internet.
Mon antivirus détecte une menace nommée
DeadLink. Mon ordinateur est-il infecté ?
Si vous avez utilisé l’outil Damage Cleanup Service
(DCS) de l’éditeur Trend Micro, DeadLink n’est pas
un virus mais le nom générique donné
aux entrées de la base de registres de Windows inutiles
ou pointant vers des fichiers disparus, d’où le terme
de deadlink ("lien mort", en anglais). Votre ordinateur
n’est donc pas infecté. Vous pouvez par contre nettoyer
la base de registres et éviter des messages d’erreur
parasites en supprimant ces entrées inutiles, résultant
d’une probable désinstallation ou désinfection
incomplète.
Après avoir scanné mon disque j’ai trouvé un virus "Joke".
Comment s’en débarrasser ?
Les "jokes" sont de faux virus. Ces programmes
simulent le comportement des virus (affichage d’une cascade
de boîtes de dialogue, déplacement du pointeur,
faux formatage, etc.) mais sont en réalité inoffensifs. Comme
leur nom le laisse entendre, ils sont conçus pour faire rire...
leur expéditeur. Pour vous en débarrasser, supprimez simplement
le fichier détecté comme étant une "joke" et au besoin redémarrez
votre ordinateur s’il est devenu instable.
Un message m’indique que mon ordinateur est menacé
par Backtera Virus ou Serwab. Est-ce sérieux ?
A l’heure où nous écrivons il n’existe pas de
virus nommé Backtera. Le virus Serwab
n’a quant à lui pas connu de propagation importante,
n’est pas un virus destructeur et est bien détecté
par les antivirus. Ces deux noms de virus sont utilisés
par un éditeur douteux via des messages publicitaires
inquiétants ou de fausses alertes afin d’inciter les
internautes à télécharger un programme
nommé WinAntiVirusPRO 2006. Il ne faut pas tenir compte
de ces messages d’alerte et nous déconseillons même
vivement l’installation du programme concerné.
Mon logiciel anti-spyware affiche une alerte "DSO
Exploit". Mon ordinateur est-il infecté ?
Si votre anti-spyware est Spybot Search&Destroy, il s’agit
probablement d’une fausse alerte.
Dans une alerte il est question d’un virus Worm.Somefool.Gen-1
ou Worm.Somefool.Gen-2 mais ce virus ne figure pas dans votre liste.
Worm.Somefool.Gen-1 et Worm.Somefool.Gen-2 ne sont pas réellement
des virus mais correspondent à une signature commune à
plusieurs virus de la famille Somefool/Netsky. Il s’agit en effet
d’une détection générique (d’où le "Gen")
destinée à limiter le nombre de mises à jour
de l’antivirus et à favoriser la reconnaissance de nouvelles variantes comportant des caractéristiques similaires, donc
la même signature générique. En contrepartie,
ces variantes ne sont pas identifiées selon leur nom commun
(virus Netsky.B, Netsky.D, Netsky.P, etc.), à moins d’utiliser
un autre antivirus disposant des signatures spécifiques lui
permettant de reconnaître chaque variante du virus.
Une alerte m’indique que mon ordinateur est infecté par
CC/1000.B, que faire ?
Si votre antivirus est Antivir, il s’agit vraisemblablement
d’un faux
positif dans ses définitions de virus de janvier 2007,
une erreur qui fait que cet antivirus gratuit déclenche une
alerte alors qu’il analyse un fichier sain (notamment notepad.exe).
Ce faux positif a été rapidement corrigé :
mettez à jour vos définitions de virus puis recommencez
l’analyse du disque dur ou du fichier signalé comme infecté,
l’alerte CC/1000.B ne devrait plus apparaître.
Une alerte m’indique que mon ordinateur est infecté
par Backdoor.Blarul.A, que faire ?
Eliminez ce troyen en utilisant votre antivirus habituel
ou avec l’antivirus
gratuit AntiVir (rappel : une backdoor)
n’est pas un virus et n’est donc pas capable de se répliquer
et d’infecter d’autres fichiers ou ordinateurs). ATTENTION
: Symantec, éditeur de Norton Antivirus, indique qu’un
faux
positif dans ses définitions de virus antérieures
au 24/02/04 fait que son antivirus peut déclencher
une alerte Blarul.A alors qu’il analyse un fichier sain. Les
utilisateurs de Norton doivent donc mettre à jour leurs
définitions de virus avant de supprimer tout fichier
détecté comme étant Backdoor.Blarul.A.
| 
