Anti Spyware

Comment lutter et se défendre contre les spywares

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
En 2 mots
Appliquez tous les correctifs connus aux failles de sécurité avec Microsoft MBSA (ou Microsoft HFNetChk Pro pour l'entreprise)
Appliquez les mises à jour de tous les logiciels installés (pas de manière automatique - en vous tenant informé 1 fois par mois).
Installez et exécutez Le bon Anti-trojans
Installez et exécutez Le bon Pare-feu (firewall)
Installez et exécutez Le bon Antivirus
Fermez les ports critiques et désactivez les services critiques avec Zeb-Protect.
Changez tous vos mots de passe

Pour aller plus loin
En plus de ce qui précède, naviguez avec Firefox en remplacement de l'infâme Internet Explorer (le générateur de failles en flux continu par qui tout le mal (ou presque), sur l'Internet, arrive).
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez et exécutez SpywareStopper
Installez et exécutez SpywareBlaster
Installez et exécutez SpyBlocker
Installez une liste noire de blocage avec Hosts
Désactivez WSH « Windows Scripting Host » avec NoScript
Désactiver complètement ActiveX
Utilisez un système pro-actif contre les failles non encore corrigées : Qwick-Fix
Portez plainte

Pour comprendre
Qu'est-ce qu'un spyware ?


Il y a 6 méthodes de lutte contre les spywares :
  1. Eradiquer les malveillances 1 par 1
    En utilisant les procédures spécifiques à chaque spyware. Chaque malveillance, même si son éditeur n'a jamais documenté une procédure d'éradication, peut être effacée d'une manière plus ou moins complexe. Ces procédures sont quelquefois données par les éditeurs des spywares eux-même, sous la contrainte d'une décision de justice ou sous la levée de boucliers des utilisateurs. Elles sont alors volontairement hyper techniques et complexes à mettre en oeuvre, voire dangereuses (le contraire serait trop beau). Nous les abordons dans "HotFix Attaquants spécifiques". Si vous êtes dans l'urgence vous pouvez utiliser le formulaire de feedback en bas de cette page pour me demander d'ajouter un hotfix particulier - précisez très exactement le nom de la malveillance décelée sinon je ne pourrai rien faire. Voir en fin de page, plus de 50 autres liens vers des éradiqueurs génériques ou spécifiques.

  2. Bloquer la communication avec les serveurs crapuleux
    Bloquer la communication entre le spyware et le serveur à qui il rend compte. C'est le fichier hosts (qu'il soit à la sauce "hosts file" seul ou par SpyBlocker ou par IE-Spyad). Cette contre-mesure, la plus simple, et pourtant celle qui est mise en oeuvre le moins souvent car elle donne l'apparence d'entrer dans les arcanes du système d'exploitation. Avec la liste hosts il n'y a plus de communication possible entre mon ordinateur et les sites commanditaires identifiés donc même si les spywares survivent sur mon ordinateur ils ne pourront rien transmettre et les sites crapuleux répertoriés dans ces listes hosts deviennent inaccessibles.

  3. Bloquer l'entrée de certains spywares
    Certains spywares sont "délivrés" par les pages Internet visitées. Tous les domaines crapuleux ne sont pas répertoriés et ils ne sont donc pas tous dans les listes hosts. Il faut alors, en amont, analyser le flux entrant pour bloquer les mécanismes utilisés d'implantation des spywares, mécanismes qui s'appuient sur des scripts et / ou sur des contrôles ActiveX.

    1. Les flux entrants de type http
      C'est la cas des sites Internet visités. Ces flux (code html par exemple) doivent être analysés en temps réel (à la volée) par des filtres agissant comme des proxy locaux capables de discriminer les scripts hostiles des scripts légitimes, réécrire à la volée le flux entrant et enfin le laisser atteindre votre navigateur. Des outils anti-scripts comme SpyBlocker ou The Proxomitron sont typiques de ce genre d'analyse à la volée. Voir anti-scripts pour tous ces produits.

    2. Les flux entrants de type pop/smtp
      C'est le courrier entrant. Ils doivent être analysés également en temps réel. Les bons antivirus génériques ou certains, spécifiques au protocole de transmission du courrier, smtp, font cela. D'autre part, les scripts ne doivent pas être autorisés dans les courriers et les newsgroup. Par exemple, réglage dans Mozilla : Edition > Préférences > Avancé > Script et Plugins


      Réglage des préférences dans Mozilla

    3. Les flux entrants de type ftp
      Ce sont les flux de type download, téléchargement..., ainsi que les copies de fichiers depuis un support (cd, disquette etc. ...). Ils doivent être analysés avec un antivirus et un anti-spywares avant d'être ouverts. Typiquement, cette analyse se fait en temps réel, au moment de la fin de création du fichier mais, les analyseurs en temps réel fonctionnant sur un sous ensemble seulement des bases de signatures, pour des raisons de rapidité d'exécution, il est bon de demander une analyse explicite de ces fichiers : typiquement il s'agit de faire un clic droit (bouton droit de la souris) sur le nom du fichier lorsqu'on le cherche avec l'explorateur de Windows puis, dans le menu contextuel qui vient de s'ouvrir, on choisit le ou les outils d'analyse proposés. Il faut, pour cela, que ces outils d'analyse soient capables de s'inscrire dans les menus contextuels. Certains outils d'analyse permettent ces analyses par menu contextuel au niveau d'un répertoire entier seulement, pas au niveau d'un unique fichier. Dans ce cas, il faut remonter au répertoire lui-même dans l'explorateur de Windows et faire le clic droit sur le répertoire.


      Observez qu'ici PestPatrol se propose d'analyser le répertoire entier


      Observez qu'ici, PestPatrol n'apparaît pas dans le menu contextuel
      lorsqu'il s'agit d'analyser un unique fichier

  4. En temps réel : détecter les activations et fermer les malveillances actives.
    Ceci se fait par analyse en temps réel des programmes résidant en mémoire. Ces utilitaires sont actifs en permanence et agissent comme des chiens de garde (watch dog). Ils interceptent un spyware qui serait passé au travers des autres mailles du filet grâce à diverses formes de camouflages. Un spyware a beau se camoufler, il faut bien, à un moment ou à un autre, qu'il s'exécute, en tant que programme, et que, pour cela, il "monte" en mémoire.


    Ici, on peut voir que le module temps réel de PestPatrol est actif.
    Il n'est pas question, bien sûr, de le stopper


    Ici, MemCheck de PestPatrol réagit instantanément.
    J'ai installé et lancé le codec Divx 5.0.3 Pro qui est sponsorisé
    par le détestable adware et spyware Gain de Gator

  5. Empêcher l'installation des Spywares
    Cette approche est particulièrement efficace contre les spywares connus conduits par des contrôles ActiveX, soit la majorité d'entre eux. Il s'agit, par exemple, de SpywareStopper ou de SpywarBlaster qui installent, dans la base de registre, les clés de tous les parasites utilisant la technologie ActiveX puis vérouillent ces clés par un dispositif appelé "Kill Bit", empêchant ces parasites de s'installer et, s'ils sont déjà installé, les empêchant de fonctionner. Mise à jour régulière, WhiteList etc. ...

  6. En temps différé : détecter les malveillances stockées en fichier.
    Il s'agit d'utiliser un scanner anti-spyware. C'est la méthode la plus simple mais elle intervient trop tard par rapport aux utilitaires en temps réel. Même si on scanne sa machine tous les jours, le spyware a déjà provoqué ses dégâts. Toutefois on trouve d'innombrables scanners temps différé dont certains sont gratuits et très bons - je pense en particulier à SpyBot Search and Destroy. Le spyware peut continuer à fonctionner même hors connexion au Net et préparer la prochaine transmission. Les anti-spywares sont tous multifonctions et s'occupent d'une collection de spywares en même temps que d'autres implants malveillants comme les dialers, les adwares, les keyloggers, les chevaux de Troie etc. ...

    1. Dans les produits gratuits:
      Ad-Aware, très connu, est un petit poucet face à MS AntiSpyware. On peut avoir les 2 produits sans problème et les utiliser tous les deux. Attention à SpyBot Search and Destroy qui n'est pas un scanner de fichiers mais un scanner d'emplacements privilégiés (il intervient en décontamination pure après infestation et en mode préventif pur avec son "Tea Timer" mais il n'intervient absolument en scanner "On Demand".

    2. Dans les produits payants:
      Il n'y a pas photo : utilisez PestPatrol dans une optique anti-implants malveillants de toutes natures.



Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music