Lumières sur la sécurité

mardi 21 décembre 2021

La base virale Dr.Web est un énorme répertoire « d’empreintes digitales » de différentes menaces. Elle rassemble les fichiers malveillants envoyés par vous, les utilisateurs et ceux trouvés par nos analystes. A bien des égards, elle permet aux produits Dr.Web de fonctionner. Dans cet article, nous allons tenter de répondre aux questions les plus fréquentes : comment la collection est-elle construite ? D’où viennent les menaces et pourquoi il est nécessaire de mettre à jour l’antivirus aussi souvent.

Comment se construit une bibliothèque virale

Chaque jour, le Laboratoire viral de Doctor Web reçoit environ un million d’échantillons potentiellement malveillants. Un robot-analyste dissèque des centaines de milliers de menaces. Si la menace est réelle, il envoie le fichier dans la collection de virus.

Une étude des technologies utilisées par les pirates nous permet de tirer des conclusions sur les voies possibles de développement de l’industrie cybercriminelle, autrement dit, à quoi vont s’intéresser les pirates à moyen terme, afin de mieux affronter les menaces à venir.

Certains des fichiers que nous recevons ne sont pas malveillants. De plus, certains échantillons sont envoyés plusieurs fois. L’automatisation du processus de scan des échantillons permet aux analystes de se concentrer sur les menaces complexes qui ne peuvent pas être analysées automatiquement.

Toute nouvelle menace est intégrée à une bibliothèque ou à une collection de virus qui permet d’avoir une vision globale. Les malwares sont référencés en fonction de leur date d’intégration à la bibliothèque. Tous les utilisateurs peuvent trouver une menace qui les intéresse dans notre bibliothèque, si nous l’avons référencée. Dans la colonne « Détails » de la collection, il est possible d’avoir plus d’informations sur la menace. Toutes les menaces ne sont pas décrites en détail, notamment celles analysées par notre robot. Les analystes n’ont pas la possibilité d’étudier toutes les menaces, le robot traite donc celles qui sont déjà connues ou celles qui ont un mécanisme de fonctionnement relativement basique. Vous pouvez dès maintenant consulter notre bibliothèque en ligne.

Les menaces que nous étudions et/ou dont nous parlons dans nos alertes sont décrites le plus précisément possible. Prenons comme exemple cette porte dérobée, BackDoor.PlugX.38, qui a été étudiée en profondeur par nos analystes. En règle générale, la description comprend les infos suivantes : la date à laquelle la menace a été entrée dans la base virale, la présence de packer ou pas, le hash SHA-1 et les détails de son fonctionnement. Ces données, assez techniques, s’adressent plutôt à des spécialistes de l’informatique. Dans nos alertes publiées, nous essayons d’expliquer au mieux comment le malware fonctionne afin que tous les utilisateurs puissent comprendre.

D’où viennent les menaces ?

Les menaces que nous traitons et analysons proviennent de différentes sources. Il y a les menaces qui nous sont envoyées, par les utilisateurs, et par d’autres chercheurs. Il existe également des « agrégateurs » de virus, des sites/outils dédiés qui recensent les virus qui circulent. Et enfin, nous utilisons des « honeypots », des « pots de miel », qui sont des ordinateurs dédiés à la recherche de malwares et qui, littéralement, les attirent afin que nous puissions les recenser. Nous étudions également les Store dédiés aux téléphones mobiles. C’est ce qui nous permet de découvrir de nombreuses menaces ciblant Android, environ 40 000 par jour.

De très nombreuses menaces sont développées chaque jour, et nos produits ne peuvent pas protéger en se reposant uniquement sur notre bibliothèque de virus. C’est pourquoi nous développons d’autres outils, basés sur l’analyse comportementale, qui permettent de repérer, dans les processus en cours sur l’ordinateur, par exemple, un comportement suspect.

C’est ce que fait notre produit Dr.Web Katana, un antivirus sans signatures, qui protège même des vulnérabilités zéro-day. L’analyse comportementale permet de repérer les malwares qui n’ont pas encore été traités par notre Labo. Cette couche de sécurité est indispensable pour les réseaux d’entreprises.

L’antivirus, mis à jour en permanence

Nous ne rappellerons jamais assez l’importance des mises à jour.

Sur un ordinateur, vous avez différents types de mises à jour. Celles du système d’exploitation et celles des logiciels installés.

Dans tous les cas, nous vous recommandons de paramétrer les mises à jour automatiques.

En ce qui concerne l’antivirus, nous le mettons à jour en permanence, à chaque ajout d’une signature notamment.