Ransomware, adware etc., comment se protéger ?

Les logiciels malveillants font régulièrement les unes des journaux : les attaques contre les entreprises, instituts, administrations publiques et même les hôpitaux sont monnaie courante à l’ère du numérique et les ordinateurs des particuliers ne sont pas non plus épargnés. Ces attaques existent sous des formes différentes : pour chaque type de dommage, un nom spécifique est utilisé comme par exemple ransomware(ou rançongiciel), spyware (ou logiciel espion), adware(logiciel publicitaire) ou scareware (alarmiciel). Le terme anglais « ware » est simplement le diminutif de software. Tous décrivent des formes de malware (« malicious software », soit en français logiciel malveillant). Mais que signifient exactement ces termes ? Quelle est la gravité de la menace ? En tant qu’internaute, comment se protéger des logiciels malveillants et les supprimer de votre ordinateur en cas d’infection ?

Ransomware : comment se protéger du cheval de Troie rançonneur ?

Le mot ransomware est composé du terme anglais « ransom » (rançon) et de software. On parle aussi de cheval de Troie, logiciel rançonneur ou d’extorsion. Tous décrivent la même fonction : le logiciel malveillant chiffre ou crypte complètement des données d’un ordinateur, voire même d’un réseau entier et au lieu de l’interface utilisateur habituelle, un ordre de paiement s’affiche pour pouvoir libérer les données piratées ; il s’agit généralement d’une demande de rançon ou d’un chantage similaire. La diffusion des ransomwares n’est pas différente des virus informatiques les plus connus : elle atteint généralement les ordinateurs cibles par le biais de fausses pièces jointes d’email (par exemple une fausse facture, bon de livraison ou encore un fichier ZIP etc.) ou par des failles de sécurité dans le navigateur Web ou dans les services d’hébergement.

Comment fonctionne un ransomware ?

La méthode la plus courante reste l’envoi massif d’emails avec des pièces jointes infectées via des bots du réseau. Les cybercriminels peuvent utiliser des spambots pour envoyer automatiquement les emails préparés. Derrière les fausses pièces jointes se trouvent des chargeurs qui délivrent le cryptage en temps réel. En règle générale, les emails font pression, imitent les expéditeurs classiques existants (comme les entreprises connues) et tentent de contacter les utilisateurs.

Même si la méthode est relativement connue, la menace s’est cependant aggravée depuis l’hiver 2015-2016. Le gouvernement français a réagi en publiant une page Web sur les risques majeurs comportant des conseils afin d’alerter et de protéger les internautes. On peut par exemple citer le tristement célèbre ransomware Locky. La France a en effet enregistré plus de 2 400 attaques rien que pour ce logiciel et plus de 114 pays ont été ciblés.

Mesures de préventions et méthodes pour supprimer un ransomware.

Il existe de nombreuses mesures préventives contre les ransomwares : et en premier lieu des protections de base contre les emails frauduleux. Il est en effet nécessaire d’être toujours sceptique face à un email inattendu, de ne pas cliquer sur des liens douteux, de toujours remettre en question la sécurité des pièces jointes et de ne les ouvrir que si l’authenticité de l’expéditeur peut être parfaitement vérifiée. Il est de plus recommandé de :

  • Mettre à jour le système d’exploitation et des logiciels antivirus efficaces car c’est la seule manière de détecter les nouvelles menaces.
  • Sauvegarder régulièrement les fichiers les plus importants sur un support de stockage externe. En cas de perte, les données peuvent ainsi être restaurées sans dommage majeur.
  • Toujours activer le pare-feu du système d’exploitation, il peut aussi fournir une protection supplémentaire pour ne pas travailler en permanence avec les privilèges administrateur.
  • Cesser d’utiliser les logiciels avec des vulnérabilités connues. On peut mentionner ici le lecteur Adobe Flash Player qui est de moins en moins utilisé pour convertir de nombreuses pages Web en HTML5.

Cependant, que pouvez-vous faire en cas de cryptage provoqué par un rançongiciel ? La possibilité de supprimer un ransomware dépend alors fortement de la méthode de cryptage utilisée. Certains d’entre eux peuvent être détectés et supprimés par des antivirus courants. Mais d’autres sont plus persistants. Dans tous les cas, l’ordinateur doit être déconnecté du réseau et éteint s’il y a infection. Des CD de restauration peuvent être utilisés contre certaines menaces. Ces disques d’urgence sont disponibles auprès des fournisseurs de logiciels antivirus courants comme Kaspersky, AVG ou BitDefender.

Redémarrer en mode sans échec peut aussi parfois aider. Ainsi, les fonctions uniquement les plus importantes sont mises en service. Dans cet environnement sécurisé, le système peut être réinitialisé ultérieurement  sous « panneau de configuration » dans le menu « système et sécurité », mais seulement si un point de restauration a été défini au préalable. Cependant, le système génère habituellement cette information automatiquement lors des mises à jour ou lors de l’installation d’un programme. En dernier recours, il est possible d’utiliser la ligne de commande pour exécuter des outils de déchiffrement spécifiques conçus contre des chevaux de Troie identifiés.

Adware et logiciel espion : comment les supprimer et protéger les données

Un spyware ou en français logiciel espion, est le plus souvent un logiciel relativement inoffensif qui étudie le comportement et l’intérêt des utilisateurs à des fins publicitaires, mais peuvent aussi espionner les données sensibles comme les mots de passe, numéros de carte de crédit etc. Dans le cas d’infections agressives, des logiciels espions sont installés avec ce que l’on appelle des keyloggers  (enregistreurs de frappe) qui suivent chaque entrée de l’utilisateur et la transmettent via Internet aux hackers. Dans le premier cas, on parle d’adware (de l’anglais « advertisement » qui signifie publicité). Bien souvent ces programmes se cachent sous des appellations trompeuses. Ils sont en effet ajoutés en tant que contenu optionnel supplémentaire lors d’une installation client et peuvent être facilement désinstallés. Dans de nombreux cas, il s’agit de barres d’outils pour le navigateur ou des barres de recherche de moteurs de recherche qui sont inconnus. En les utilisant, des publicités s’affichent sous forme de bannières ou de pop-ups. Des modifications automatiques de la page d’accueil ou du moteur de recherche sont possibles, des interventions qui peuvent cependant être facilement inversées, mais qui sont tout de même embêtantes.

Adware : comment supprimer les outils de navigation indésirables

Il faut d’abord tout faire pour éviter l’installation d’adwares. Lors de l’installation de programmes gratuits via Internet, ne sélectionnez pas une installation automatique par défaut, et ce même si vous faites confiance à la source d’installation. En effet, bien souvent, des programmes supplémentaires sont installés pendant une installation rapide sans que l’utilisateur le sache. Les effets ne deviennent visibles que lorsque vous ouvrez le navigateur. Prenez votre temps ; il est recommandé de faire l’installation étape par étape. A chaque étape, vérifiez exactement ce que vous souhaitez installer et prenez soin de décocher les programmes indésirables.

Cependant, si par inadvertance vous avez installé un adware, il est généralement assez facile de le supprimer. De nombreuses barres d’outils peuvent être désinstallées dans le panneau de configuration du système d’exploitation (« programmes et fonctions »). Dans tous les cas, il est utile de vérifier les navigateurs installés et de supprimer si nécessaire les barres d’outils individuellement et manuellement, si elles apparaissent toujours dans la vue d’ensemble des modules complémentaires ou des plugins. De plus, dans les paramètres du navigateur, vous pouvez ajuster manuellement le moteur de recherche par défaut et définir la page de démarrage. Enfin, si le logiciel malveillant ne peut être désinstallé, il faut recourir à des solutions plus lourdes.

Par exemple, le programme AdwCleaner recherche et supprime de nombreuses formes de browser hijacker (pirate de navigateur). Il élimine efficacement de nombreuses formes d’adware. L’installation n’est pas nécessaire, vous pouvez aussi lancer la vérification à partir d’un support externe comme une clé USB ou un CD. La prudence est de mise, comme pour tout logiciel gratuit, lors du téléchargement du programme ; en effet les freeloaders essaient parfois d’obtenir de faux logiciels dans les premiers résultats de Google. Néanmoins, vous devez tout de même effectuer une analyse complète du système avec votre antivirus après avoir nettoyé l'ordinateur et votre navigateur.

Qu’est-ce qu’un spyware ? Comment le détecter et le supprimer ?

La distinction entre les logiciels publicitaires et les logiciels espions n’est souvent pas totalement claire, mais les logiciels espions sont généralement beaucoup plus agressifs et camouflés. Alors que les adwares apparaissent habituellement dans la vue d’ensemble de l’application ou du programme et peuvent donc être ici désinstallés, les spywares agissent eux de manière cachée et en arrière-plan. Les keyloggers qui enregistrent les frappes effectuées sont englobés par ce terme. De cette manière, les codes, mots de passe, adresses email ou autres données sensibles peuvent être espionnées. Vous découvrez ces logiciels malveillants notamment lorsque votre antivirus ou pare-feu lance une alerte. Par contre si votre antivirus n’est pas mis à jour ou si vous n’avez pas de pare-feu ou de scanner antivirus, vous allez alors pouvoir supposer qu’un logiciel intrus s’est inséré si votre ordinateur fonctionne soudainement lentement.

En cas de doute, vous pouvez vérifier dans le gestionnaire des tâches (appuyez sur Strg + Alt + Entf et choisir « démarrer le gestionnaire des tâches ») la charge CPU et rechercher les processus indésirables. Certains chevaux de Troie se camouflent derrière des processus connus. Par exemple, si le navigateur n’est pas ouvert du tout mais que la vue d’ensemble des processus actifs apparaît toujours, alors un cheval de Troie espion peut être ici en action. Vous pouvez aussi obtenir un aperçu de la charge du réseau sous l’onglet « réseau ». Si des activités inhabituelles sont montrées ici, cela pourrait aussi être une indication de logiciels malveillants actifs.

Ici, la mesure de protection la plus importante est la mise à jour et l’installation d’un logiciel antivirus. Ces programmes détectent les logiciels malveillants et peuvent les rendre inoffensifs. Même une protection gratuite contre les virus peut se révéler performante. En plus de l’AdwCleaner mentionné ci-dessus, les programmes suivants sont aussi disponibles pour les systèmes Windows, dont il existe aussi des versions gratuites : 

  • Antivir : Avira Free Antivirus
  • AVG Antivirus Free
  • Kaspersky Free Antivirus
  • Malwarebytes Anti-Malware

Comme pour l’élimination de ransomwares, les CD de restauration peuvent aussi être utiles dans les cas particulièrement difficiles, si la désinfection de l’ordinateur n’est plus possible grâce notamment aux fonctions du système d’exploitation et à un logiciel antivirus installé. Un exemple est Kaspersky Rescue Disk. Vous pouvez le télécharger directement via la page d’assistance de l’éditeur. Vous devez ensuite graver un CD ou DVD à partir du fichier ISO téléchargé et cela en utilisant un programme de gravure de votre choix (par exemple Nero Burning ROM). Il faut ensuite modifier l’ordre de démarrage dans le BIOS (basic, input, output system ou système élémentaire d’entrée/sortie) et spécifier que l’ordinateur doit démarrer à partir d’un CD ou DVD au prochain redémarrage.

En fonction de la carte mère installée sur l’ordinateur, il est possible d’accéder au BIOS par une des touches de fonction qui est affichée par l’ordinateur au démarrage. Dans le BIOS, il est possible d’effectuer les réglages appropriés dans le menu « Boot ». Sauvegardez puis redémarrez l’ordinateur et enfin appuyez sur n’importe quelle touche lorsque l’écran vous le demande. Vous pouvez ainsi choisir entre une représentation textuelle du programme de secours et une interface utilisateur graphique lors du démarrage, puis rechercher et supprimer les logiciels malveillants qui se trouvent sur l’ordinateur.     

Scareware : comment fonctionne ce logiciel ?

Scareware (de l’anglais « to scare » qui signifie effrayer) est un type de programme particulièrement perfide. Il est en effet destiné à effrayer l’utilisateur ; dans la plupart des cas, le scareware se déguise en un programme antivirus factice qui avertit de la présence présumée d’un virus ou d’un cheval de Troie. Mais en réalité c’est bien lui le malware. L’utilisateur abusé obtient ainsi des fenêtres pop-up intempestives avec des avertissements. Cet antivirus factice propose alors un faux nettoyage de l’ordinateur contre un paiement ou l’achat d’une nouvelle version du programme. Les messages stoppent uniquement si le paiement est effectué. Pire encore, si le paiement est réalisé par carte de crédit, les cybercriminels peuvent alors obtenir les données de la carte bancaire.

Certains pop-ups de scareware semblent immédiatement douteux du fait d’un design peu professionnel. Cependant d’autres sont bien plus sophistiqués et imitent parfaitement l’apparence d’un logiciel antivirus authentique et dans certains cas offrent même un soutien téléphonique ou email, ce qui reste un leurre. Ainsi, comment détecter la malversation et supprimer les scarewares ? Il est à la base important d’examiner attentivement chaque avertissement ou alerte : le message provient-il d’un programme que vous avez-vous-même installé ou qui a été préinstallé sur votre ordinateur ? Si ce n’est pas le cas, vous avez alors affaire à un logiciel malveillant.

Aucun logiciel antivirus sérieux ne tentera de créer une atmosphère angoissante et pressante avec un avertissement qui capitalise sur votre peur. Même si les programmes antivirus gratuits affichent parfois des offres de mise à niveau vers une offre premium et payante, les logiciels authentiques offrent cependant une aide immédiate en cas d’attaque et cela sans obligation de payer. Des scarewares tentent aussi de rendre la menace encore plus urgente en présentant une liste de dizaines d’infections dont de nombreuses sont très rares et improbables. Les scarewares peuvent être supprimés via tous les programmes antivirus courants. Nous rappelons ici encore qu’il est nécessaire d’obtenir les programmes uniquement auprès de sources fiables : le site Web officiel de l’éditeur ou bien un portail informatique réputé.