- Ordinateurs et électronique
- Logiciel
- Logiciel de sécurité antivirus
- ESET
- Cyber Security Pro for macOS
- Mode d'emploi
▼
Scroll to page 2
of
40
GUIDE DE L'UTILISATEUR (conçu pour les versions 6,5 et ultérieures) Cliquez ici pour télécharger le plus récente version de ce document ESET, spol. s r.o. ESET Cyber Security Pro a été développé par ESET, spol. s r.o. Pour plus de détails, visitez www.eset.com. Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, y compris sous forme électronique, mécanique, photocopie, enregistrement, numérisation ou autre sans l'autorisation écrite de l'auteur. ESET, spol. s r.o. se réserve le droit de changer les applications décrites sans préavis. Assistance à la clientèle : www.eset.com/support REV. 2017-10-13 Contenu 1. PRODUCTNAME .......................................................5 8.3 Zones ....................................................................................................22 du pare-feu 8.4 Profils ....................................................................................................22 du pare-feu 1.1 Nouveautés ....................................................................................................5 dans la version 6 8.5 Journaux ....................................................................................................22 du pare-feu 1.2 Configuration ....................................................................................................5 minimale requise 9. Protection .......................................................23 Web et messagerie 2. Installation .......................................................6 9.1 Protection ....................................................................................................23 Web 2.1 Installation ....................................................................................................6 standard 9.1.1 Ports..............................................................................23 2.2 Installation ....................................................................................................7 personnalisée 9.1.2 Listes..............................................................................23 d'URL 3. Activation .......................................................8 de produit 4. Désinstallation .......................................................9 5. Aperçu .......................................................10 5.1 Raccourcis ....................................................................................................10 clavier 9.2 Protection ....................................................................................................23 de la messagerie 9.2.1 Vérification ..............................................................................24 du protocole POP3 9.2.2 Vérification ..............................................................................24 du protocole IMAP 10. Contrôle .......................................................25 parental 11. Mettre .......................................................26 à jour 5.2 Vérification ....................................................................................................11 de l'état de la protection 11.1 Configuration ....................................................................................................26 des mises à jour Options ..............................................................................26 avancées 11.1.1 5.3 Que faire lorsque le programme ne ....................................................................................................11 fonctionne pas correctement 11.2 Comment créer des tâches de mise à 6. Protection .......................................................12 de l'ordinateur 6.1 Protection ....................................................................................................12 antivirus et antispyware ....................................................................................................26 jour 11.3 Mettre ESET Cyber Security Pro à niveau à ....................................................................................................27 la nouvelle version 6.1.1 Généralités ..............................................................................12 6.1.1.1 Exclusions ..................................................................................12 6.1.2 Protection ..............................................................................13 au démarrage 12. Outils .......................................................28 6.1.3 Protection ..............................................................................13 en temps réel du système de fichiers 12.1 Fichiers ....................................................................................................28 journaux 6.1.3.1 Options ..................................................................................13 avancées 12.1.1 Maintenance ..............................................................................28 des journaux 6.1.3.2 À quel moment faut-il modifier la configuration de la protection ..................................................................................13 en temps réel 12.1.2 Filtrage ..............................................................................29 des journaux 6.1.3.3 Vérification ..................................................................................14 de la protection en temps réel 6.1.3.4 Que faire si la protection en temps réel ne fonctionne pas ..................................................................................14 6.1.4 Analyse ..............................................................................14 de l'ordinateur à la demande 6.1.4.1 Type ..................................................................................15 d'analyse 12.3.1 Mise..............................................................................31 de fichiers en quarantaine 6.1.4.1.1 Analyse intelligente ........................................................................15 12.3.2 Restaurer ..............................................................................31 depuis la quarantaine 6.1.4.1.2 Analyse personnalisée ........................................................................15 12.3.3 Soumission ..............................................................................31 de fichiers de quarantaine 6.1.4.2 Cibles ..................................................................................15 à analyser 12.4 Processus ....................................................................................................31 en cours 6.1.4.3 Profils ..................................................................................16 d'analyse 12.5 Live ....................................................................................................32 Grid 6.1.5 Configuration ..............................................................................16 du moteur ThreatSense 6.1.5.1 Objets ..................................................................................17 6.1.5.2 Options ..................................................................................17 13. Interface .......................................................33 utilisateur 6.1.5.3 Nettoyage ..................................................................................17 13.1 Alertes ....................................................................................................33 et notifications 6.1.5.4 Exclusions ..................................................................................18 13.1.1 Afficher ..............................................................................33 les alertes 6.1.5.5 Limites ..................................................................................18 13.1.2 États..............................................................................33 de la protection 6.1.5.6 Autres ..................................................................................18 6.1.6 Une infiltration ..............................................................................18 est détectée 6.2 Analyse ....................................................................................................19 et blocage du support amovible 7. Anti-hameçonnage .......................................................20 11.4 Mises ....................................................................................................27 à jour système 12.2 Planificateur ....................................................................................................29 12.2.1 Création ..............................................................................30 de nouvelles tâches 12.2.2 Création ..............................................................................30 de tâches définies par l'utilisateur 12.3 Quarantaine ....................................................................................................31 12.5.1 Configuration ..............................................................................32 de Live Grid 13.2 Privilèges ....................................................................................................34 13.3 Menu ....................................................................................................34 contextuel 14. Divers .......................................................35 14.1 Importer ....................................................................................................35 et exporter les paramètres 8. Pare-feu .......................................................21 14.2 Configuration ....................................................................................................35 du serveur mandataire 8.1 Modes ....................................................................................................21 de filtrage 15. Glossaire .......................................................36 8.2 Règles ....................................................................................................21 du pare-feu 15.1 Types ....................................................................................................36 d'infiltrations 8.2.1 Création ..............................................................................22 de nouvelles règles 15.1.1 Virus..............................................................................36 15.1.2 Vers ..............................................................................36 15.1.3 Chevaux ..............................................................................36 de Troie 15.1.4 Rootkits ..............................................................................37 15.1.5 Logiciels ..............................................................................37 publicitaires 15.1.6 Spyware ..............................................................................37 15.1.7 Applications ..............................................................................37 potentiellement dangereuses 15.1.8 Applications ..............................................................................38 potentiellement indésirables 15.2 Types ....................................................................................................38 d'attaques distantes 15.2.1 Attaques ..............................................................................38 DoS 15.2.2 Empoisonnement ..............................................................................38 DNS 15.2.3 Balayage ..............................................................................38 de ports 15.2.4 Désynchronisation ..............................................................................38 TCP 15.2.5 Relais ..............................................................................39 SMB 15.2.6 Attaques ..............................................................................39 par protocole ICMP 15.3 Courriel ....................................................................................................39 15.3.1 Publicités ..............................................................................40 15.3.2 Canulars ..............................................................................40 15.3.3 Hameçonnage ..............................................................................40 15.3.4 Reconnaissance ..............................................................................40 des pourriels 1. PRODUCTNAME ESET Cyber Security Pro constitue une nouvelle approche de la sécurité informatique véritablement intégrée. La plus récente version du moteur d'analyse ThreatSense®, combiné à la protection du client de messagerie, au pare-feu et au Contrôle parental, est un outil rapide et précis pour assurer la protection de votre ordinateur. Il en résulte un système intelligent qui reste toujours en alerte pour protéger votre ordinateur des attaques et des programmes malveillants. ESET Cyber Security Pro est une solution de sécurité complète qui résulte d'un effort de longue haleine pour tenter d'allier protection maximale et encombrement minimal. S'appuyant sur l'intelligence artificielle, ESET Cyber Security Pro fait appel à des technologies avancées capables d'éliminer de manière proactive les infiltrations de virus, de vers, de chevaux de Troie, de logiciels espions, de logiciels publicitaires, de programmes malveillants furtifs et d'autres attaques provenant d'Internet sans nuire aux performances du système. 1.1 Nouveautés dans la version 6 ESET Cyber Security Pro version 6 comporte les mises à jour et améliorations suivantes : · Anti-hameçonnage - Empêche les faux sites Web qui se font passer pour des sites fiables d'avoir accès à vos renseignements personnels. · Mises à jour système - La version 6 de ESET Cyber Security Pro comprend différents correctifs et améliorations, y compris des notifications pour les mises à jour du système d'exploitation. Pour plus de détails à cet égard, consultez la section Mises à jour système 27 . · États de la protection - Masque les notifications de l'écran États de la protection (par exemple, Protection de la messagerie désactivée ou Redémarrage de l'ordinateur requis) · Support à analyser - Certains types de supports peuvent être exclus de l'analyse en temps réel (disques durs locaux, supports amovibles, disques réseau) 1.2 Configuration minimale requise Pour assurer les performances optimales de ESET Cyber Security Pro, la configuration matérielle et logicielle minimale requise est la suivante : Configuration minimale requise Architecture de processeur Intel 32 bits, 64 bits Système d'exploitation macOS 10.6 ou plus récent Mémoire 300 Mo Espace disque libre 200 Mo 5 2. Installation Avant de commencer le processus d'installation, veuillez fermer tous les programmes ouverts sur votre ordinateur. ESET Cyber Security Pro contient des composants qui peuvent entrer en conflit avec d'autres logiciels antivirus pouvant être déjà installés sur votre ordinateur. ESET recommande vivement de supprimer tout autre logiciel antivirus pour éviter tout problème potentiel. Pour lancer l'Assistant d'installation, effectuez l'une des opérations suivantes : · Si vous effectuez l'installation à partir du CD/DVD d'installation, insérez-le dans l'ordinateur, ouvrez-le à partir de votre bureau ou de la fenêtre Finder et cliquez deux fois sur l'icône Installer. · Si vous effectuez l'installation à partir d'un fichier téléchargé du site Web d'ESET, ouvrez le fichier et cliquez deux fois sur l'icône Installer. L'Assistant Installation vous guidera dans les opérations de configuration de base. Pendant la phase initiale de l'installation, le fichier d'installation vérifiera automatiquement en ligne pour voir si une version plus récente est disponible. Si une version plus récente est trouvée, vous aurez alors la possibilité de télécharger la version plus récente avant de poursuivre le processus d'installation. Après avoir accepté le contrat de licence de l'utilisateur final, vous devrez sélectionner un mode d'installation parmi les modes suivants : · Installation standard 6 · Installation personnalisée 7 2.1 Installation standard Le mode d'installation standard comprend les options de configuration appropriées pour la majorité des utilisateurs. Ces paramètres offrent un maximum de sécurité, combiné à une excellente performance système. L'installation standard est l'option par défaut, donc l'option recommandée si vous n'avez aucune exigence particulière quant aux paramètres. ESET Live Grid Le système d'alerte anticipé Live Grid contribue à garantir qu'ESET est immédiatement et continuellement informé des nouvelles infiltrations dans le but de protéger rapidement ses clients. Le système permet aux nouvelles menaces d'être envoyées au laboratoire ESET où elles seront alors analysées, traitées puis traitées. L'option Activer ESET Live Grid (recommandé) est sélectionnée par défaut. Cliquez sur Réglage pour modifier les paramètres détaillés d'envoi de fichiers suspects. Pour plus d’information, consultez la rubrique Live Grid 32 . Applications potentiellement indésirables La dernière étape de l'installation est la configuration de la détection des applications potentiellement indésirables. Ces programmes ne sont pas nécessairement malveillants, mais peuvent souvent affecter le comportement du système d'exploitation. Ces applications sont souvent associées à d'autres programmes et peuvent être difficiles à remarquer lors de l'installation. Bien que ces applications affichent habituellement une notification pendant l'installation, elles peuvent facilement s'installer sans votre consentement. 6 Après l'installation de ESET Cyber Security Pro, vous devez effectuer une analyse de l'ordinateur visant à détecter tout code malveillant. À partir de la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur, puis cliquez sur Analyse intelligente. Pour plus de détails sur les analyses à la demande, consultez la rubrique Analyse de l'ordinateur à la demande 14 . 2.2 Installation personnalisée Le mode d'installation personnalisée est destiné aux utilisateurs expérimentés qui veulent modifier les paramètres avancés pendant l'installation. Serveur mandataire Si vous utilisez un serveur mandataire, vous pouvez définir ses paramètres en sélectionnant l'option J'utilise un serveur mandataire. Dans la fenêtre suivante, entrez l'adresse IP ou l'URL de votre serveur mandataire dans le champ Adresse. Dans le champ Port, spécifiez le port sur lequel le serveur mandataire accepte les connexions (3128 par défaut). Si le serveur mandataire exige une authentification, entrez un nom d'utilisateur et un mot de passe valides donnant accès à ce serveur. Si vous n'utilisez pas de serveur mandataire, sélectionnez l'option Je n'utilise pas de serveur mandataire. Dans le cas où vous n'êtes pas certain si vous utilisez un serveur mandataire ou non, vous pouvez utiliser les paramètres actuels de votre système en sélectionnant Utiliser les paramètres système (recommandé). Privilèges La prochaine étape vous permet de définir les utilisateurs privilégiés qui pourront modifier la configuration du programme. À partir de la liste des utilisateurs affichée à gauche, sélectionnez les utilisateurs à Ajouter à la liste Utilisateurs privilégiés. Pour afficher tous les utilisateurs du système, sélectionnez l'option Afficher tous les utilisateurs. Si la liste des utilisateurs privilégiés reste vide, tous les utilisateurs sont jugés privilégiés. ESET Live Grid Le système d'alerte anticipé Live Grid contribue à garantir qu'ESET est immédiatement et continuellement informé des nouvelles infiltrations dans le but de protéger rapidement ses clients. Le système permet aux nouvelles menaces d'être envoyées au laboratoire ESET où elles seront alors analysées, traitées puis traitées. L'option Activer ESET Live Grid (recommandé) est sélectionnée par défaut. Cliquez sur Configuration... pour modifier les paramètres détaillés de soumission de fichiers suspects. Pour plus d’information, consultez la rubrique Live Grid 32 . Applications potentiellement indésirables L'étape suivante de l'installation est la configuration de la détection des applications potentiellement indésirables. Ces programmes ne sont pas nécessairement malveillants, mais ils peuvent souvent affecter le comportement du système d'exploitation. Ces applications sont souvent associées à d'autres programmes et peuvent être difficiles à remarquer lors de l'installation. Bien que ces applications affichent habituellement une notification pendant l'installation, elles peuvent facilement s'installer sans votre consentement. Pare-feu À la dernière étape, vous pouvez sélectionner le mode de filtrage du pare-feu. Pour obtenir plus de détails, consultez la rubrique Mode de filtrage 21 . Après l'installation de ESET Cyber Security Pro, vous devez effectuer une analyse de l'ordinateur afin de détecter tout code malveillant. À partir de la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur, puis cliquez sur Analyse intelligente. Pour plus de détails sur les analyses à la demande, consultez la rubrique Analyse de l'ordinateur à la demande 14 . 7 3. Activation de produit Après l'installation, la fenêtre Activation du produit est affichée automatiquement. Pour accéder à la boîte de dialogue d'activation du produit à tout moment, cliquez sur l'icône de ESET Cyber Security Pro qui se trouve dans la barre de menus de macOS (haut de l'écran), puis cliquez sur Activation du produit.... · Clé de licence - Une chaîne unique dans le format XXXX-XXXX-XXXX-XXXX-XXXX ou XXXX-XXXXXXXX qui est utilisée pour identifier le propriétaire de licence et pour activer la licence. Si vous avez acheté une trousse du produit en magasin, actiez votre produit à l'aide d'une Clé de licence. Cette clé se trouve généralement à l'intérieur ou sur la face arrière de l'emballage du produit. · Nom d'utilisateur et mot de passe - Si vous avez un nom d'utilisateur et un mot de passe, mais ne savez pas comment activer ESET Cyber Security Pro, cliquez sur J'ai un nom d'utilisateur et un mot de passe, que dois-je faire?. Vous serez redirigé vers my.eset.com, où vous pourrez convertir votre authentifiant en une Clé de licence. · Licence d'essai BETA - Sélectionnez cette option si vous désirez évaluer ESET Cyber Security Pro avant de l'acheter. Inscrivez votre adresse courriel pour activer ESET Cyber Security Pro pour une durée limitée. Votre licence de test vous sera envoyée par courriel. Les licences d'essai ne peuvent être activées qu'une seule fois par client. · Acheter une licence - Si vous n'avez pas de licence et souhaitez en acheter une, cliquez sur Acheter une licence. Vous serez redirigé vers le site Web de votre distributeur ESETlocal. · Activer ultérieurement - Cliquez sur cette option si vous ne souhaitez pas activer votre licence tout de suite. 8 4. Désinstallation Pour désinstaller ESET Cyber Security Pro, vous avez les choix suivant : · insérez le CD/DVD d'installation ESET Cyber Security Pro dans votre ordinateur, ouvrez-le à partir du bureau ou de la fenêtre Finder et double-cliquez sur Désinstaller · ouvrez le fichier d'installation ESET Cyber Security Pro (.dmg) et double-cliquez sur Désinstaller · lancez Finder, ouvrez le dossier Applications qui se trouve sur votre disque dur, CTRL+cliquez sur l'icône ESET Cyber Security Pro et sélectionnez Afficher le contenu de la trousse. Ouvrez le dossier Contents > Helpers et double-cliquez sur l'icône Uninstaller. 9 5. Aperçu La fenêtre principale de ESET Cyber Security Pro est divisée en deux sections principales. La fenêtre principale, du côté droit, affiche l'information qui correspond à l'option sélectionnée à partir du menu principal de gauche. Il est possible d'accéder aux sections suivantes à partir du menu principal : · Accueil - fournit de l'information sur l'état de protection de de l'ordinateur, du pare-feu, de la protection Web et de messagerie, ainsi que du Contrôle parental. · Analyse de l'ordinateur - Cette section vous permet de configurer et de lancer l'analyse de l'ordinateur à la demande (Analyse de l'ordinateur à la demande 14 ). · Mise à jour - Affiche l'information sur les mises à jour des modules de détection. · Réglage - choisissez cette option pour ajuster le niveau de sécurité de votre ordinateur. · Outils - Donne accès aux options Fichiers journaux 28 , Planificateur 29 , Quarantaine 31 , Processus en cours 31 et à d'autres fonctionnalités du programme. · Aide - Donne accès aux fichiers d'aide, à la base de connaissances sur Internet, au formulaire de demande d'assistance technique, ainsi qu'à de l'information supplémentaire sur le programme. 5.1 Raccourcis clavier Raccourcis clavier utilisables dans ESET Cyber Security Pro : · cmd+, - affiche les préférences de ESET Cyber Security Pro, · cmd+O - redimensionne la fenêtre principale de l'interface utilisateur graphique de ESET Cyber Security Pro pour lui donner sa taille par défaut et la déplace au centre de l'écran, · cmd+Q - masque la fenêtre principale de l'interface utilisateur graphique de ESET Cyber Security Pro. Vous pouvez l'ouvrir en cliquant sur l'icône de ESET Cyber Security Pro située dans la barre de menus de macOS (dans le haut de l'écran), · cmd+W - ferme la fenêtre principale de l'interface utilisateur graphique de ESET Cyber Security Pro. Les raccourcis clavier suivants ne peuvent être utilisés que si l'option Utiliser le menu standard est activée sous Réglage > Établir les préférences de l'application... > Interface : · cmd+alt+L - Ouvre la section Fichiers journaux, · cmd+alt+S - Ouvre la section Planificateur, · cmd+alt+Q - Ouvre la section Quarantaine, 10 5.2 Vérification de l'état de la protection Pour afficher l'état de la protection, cliquez sur Accueil dans le menu principal. Un résumé de l'état de fonctionnement des modules de ESET Cyber Security Pro s'affichera dans la fenêtre principale. 5.3 Que faire lorsque le programme ne fonctionne pas correctement Lorsqu'un module fonctionne correctement, une icône verte est affichée. Lorsqu'un module ne fonctionne pas correctement, un point d'exclamation rouge ou une notification orange est affiché. Des données supplémentaires sur le module et une solution permettant de corriger le problème s'affichent également. Pour changer l'état des différents modules, cliquez sur le lien bleu, sous chacun des messages de notification. S'il vous est impossible de résoudre un problème à l'aide des solutions proposées, vous pouvez chercher une solution dans la Base de connaissance ESET ou communiquer avec L'assistance à la clientèle ESET. Le Service à la clientèle répondra rapidement à vos questions à propos de ESET Cyber Security Pro.pour vous aider à trouver solution. 11 6. Protection de l'ordinateur Vous pouvez accéder à la configuration de l'ordinateur dans Configuration > Ordinateur. Il indique l'état de la Protection en temps réel du système de fichiers et du Blocage des supports amovibles. Pour désactiver individuellement ces modules, faites passer le bouton du module voulu en mode DÉSACTIVÉ. Notez que cela peut réduire le niveau de protection de l'ordinateur. Pour accéder aux paramètres détaillés de chacun des modules, cliquez sur Configuration.... 6.1 Protection antivirus et antispyware La protection antivirus vous protège des attaques malveillantes contre le système en modifiant les fichiers qui représentent des menaces potentielles. Si une menace comportant du code malveillant est détectée, le module Antivirus peut alors l'éliminer en la bloquant, puis en nettoyant, en supprimant ou en mettant en quarantaine l'objet infecté. 6.1.1 Généralités Dans la section Généralités (Configuration > Saisie des préférences de l'application... > Généralités), vous pouvez activer la détection des types suivants d'applications : · Applications potentiellement indésirables - Ces applications ne sont pas conçues pour être malveillantes, mais peuvent avoir des répercussions négatives sur la performance de l'ordinateur. Elles exigent généralement le consentement de l'utilisateur avant leur installation. Si elles sont présentes sur votre ordinateur, votre système aura cependant un comportement différent (par rapport à son état avant l'installation). Les changements les plus significatifs concernent les fenêtres contextuelles, l'activation et l'exécution de processus cachés, l'utilisation accrue des ressources système, des changements dans les résultats de recherche et des applications communiquant avec des serveurs distants. · Applications potentiellement dangereuses - Cette catégorie fait référence aux logiciels commerciaux légitimes qui peuvent être exploités par des pirates, s'ils ont été installés à l'insu de l'utilisateur. Cette classification inclut des programmes tels que des outils d'accès à distance, ce qui explique pourquoi cette option est désactivée par défaut. · Applications suspectes - Ces applications incluent les programmes comprimés par des logiciels de compression ou de protection. Les différents types de logiciels de protection sont souvent utilisés par les auteurs de logiciels malveillants pour éviter la détection. Un logiciel de compression se définit comme un logiciel à extraction automatique d'exécutables qui combine plusieurs types de logiciels malveillants dans un seul logiciel. Les plus communs sont UPX, PE_Compact, PKLite et ASPack. Un même logiciel malveillant peut être détecté différemment, lorsque comprimé avec différents logiciels de compression. Les logiciels de compression peuvent également faire varier leurs signatures avec le temps, ce qui rend les logiciels malveillants encore plus difficiles à détecter et à supprimer. Pour configurer les exclusions pour le système de fichiers, le Web ou la messagerie 12 , cliquez sur le bouton Configuration.... 6.1.1.1 Exclusions Dans la section Exclusions, vous pouvez exclure de l'analyse certains fichiers/dossiers, applications ou adresses IP/IPv6. Les fichiers et dossiers de la liste présentée dans l'onglet Système de fichiers sera exclue de tous les analyseurs : au démarrage, en temps réel et à la demande (analyse de l'ordinateur). · Chemin - Le chemin d'accès aux fichiers et dossiers exclus · Menace - Si le nom d'une menace est indiqué à côté d'un fichier exclu, cela signifie que le fichier est seulement exclu pour cette menace sans faire l'objet d'une exclusion complète. Si ce fichier devient ensuite infecté par d'autres logiciels malveillants, ceuxci seront détectés par le module antivirus. · - Crée une nouvelle exclusion. Entrez le chemin vers un objet (vous pouvez également utiliser les caractères génériques * et ?) ou sélectionnez le dossier ou le fichier dans l'arborescence. · - supprime les entrées sélectionnées · Par défaut - annule toutes les exclusions À partir de l'onglet Web et courriel, vous pouvez exclure certaines Applications ou Adresses IP/IPv6 de l'analyse de protocole. 12 6.1.2 Protection au démarrage La vérification des fichiers au démarrage analyse automatiquement les fichiers au démarrage du système. Par défaut, cette analyse est effectuée régulièrement comme tâche planifiée lorsqu'un utilisateur ouvre une session ou après une mise à jour réussie des modules de détection. Pour modifier les paramètres du moteur ThreatSense applicables à l'analyse au démarrage, cliquez sur le bouton Configuration. Vous pourrez en apprendre plus à propos du moteur ThreatSense en lisant cette section 16 . 6.1.3 Protection en temps réel du système de fichiers La protection en temps réel du système de fichiers vérifie tous les types de supports et l'analyse peut être déclenchée par différents événements. À l'aide de la technologie ThreatSense (décrite dans la rubrique Réglage des paramètres du moteur ThreatSense 16 ), la protection en temps réel du système de fichiers peut varier, selon qu'il s'agisse de fichiers nouvellement créés ou des fichiers existants. Les fichiers nouvellement créés peuvent être contrôlés avec plus de précision. Par défaut, tous les fichiers sont analysés lorsqu'ils sont ouverts, créés ou exécutés. Il est recommandé de conserver ces paramètres par défaut, car ils offrent le niveau maximum de protection en temps réel pour votre ordinateur. La protection en temps réel est lancée au démarrage du système et assure une analyse ininterrompue. Dans des cas particuliers (par ex., en cas de conflit avec un autre analyseur en temps réel), il est possible d'interrompre la protection en temps réel en cliquant sur l'icône ESET Cyber Security Pro située dans la barre de menus (dans le haut de l'écran), puis en sélectionnant Désactiver la protection en temps réel du système de fichiers. La protection en temps réel du système peut également être désactivée à partir de la fenêtre principale du programme (cliquez sur Configuration > Ordinateur et basculez Protection en temps réel du système de fichiers à DÉSACTIVÉ). Les types de supports suivants peuvent être exclus de l'analyse en Real-time. · Disques locaux - Disques durs du système · Supports amovibles - CD/DVD, les périphériques de stockage USB, les périphériques Bluetooth, etc. · Supports réseau - tous les disques mappés Nous vous recommandons d'utiliser les paramètres par défaut et de ne modifier les exclusions d'analyse que dans des cas particuliers, par exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données. Pour modifier les paramètres avancés de la protection du système en temps réel, allez à Configuration > Saisie des préférences de l'application... (ou appuyez sur cmd+,) > Protection en temps réel, puis cliquez sur Réglage... situé à côté de Options avancées (décrites dans Options d'analyse avancées 13 ). 6.1.3.1 Options avancées Dans cette fenêtre, vous pouvez définir quels types d'objets sont analysés par le moteur ThreatSense. Pour plus de détails sur les Compresseurs exécutables, les Archives auto-extractibles et les Heuristiques avancées, consultez la rubrique ThreatSense Configuration des paramètres du moteur 17 . Il est déconseillé d'effectuer des modifications dans la section Paramètres par défaut des archives, à moins que cela ne soit nécessaire pour résoudre un problème particulier, puisque les valeurs d'imbrication élevées des archives peuvent ralentir la performance du système. Paramètres ThreatSense pour les fichiers exécutés - Par défaut, les heuristiques avancées sont utilisées lorsque des fichiers sont exécutés. Nous vous recommandons fortement de conserver l'Optimisation intelligente et Live Grid d'ESET activés afin de réduire les effets sur la performance du système. Augmenter la compatibilité des volumes réseau - cette option augmente les performances lors de l'accès aux fichiers sur le réseau. Elle doit être activée si vous rencontrez des ralentissements lors de l'accès aux lecteurs réseau. Cette fonction utilise le coordinateur du système de fichiers sur macOS 10.10 et ultérieur. Soyez conscient que toutes les applications ne prennent pas en charge le coordinateur de fichier; par exemple Microsoft Word 2011 ne le prend pas en charge, alors que Word 2016 le fait. 6.1.3.2 À quel moment faut-il modifier la configuration de la protection en temps réel La protection en temps réel est le composant principal de la sécurisation du système à l'aide de ESET Cyber Security Pro. Soyez très prudent lorsque vous en modifiez les paramètres. Il est recommandé de ne changer les paramètres de ce module que dans des cas précis. Par exemple, lorsqu'il y a conflit avec une autre application. Après avoir installé ESET Cyber Security Pro, tous les paramètres sont optimisés pour garantir le niveau maximal de sécurité système pour les utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur Par défaut dans la partie inférieure gauche de la fenêtre Protection en temps réel (Configuration > Saisie des préférences de l'application... > Protection en temps réel). 13 6.1.3.3 Vérification de la protection en temps réel Pour vous assurer que la protection en temps réel est fonctionnelle et détecte les virus, téléchargez le fichier test sur eicar.com et vérifiez si ESET Cyber Security Pro l'identifie comme une menace. Ce fichier test est un fichier inoffensif spécial pouvant être détecté par tous les programmes antivirus. Il a été créé par l'institut EICAR (European Institute for Computer Antivirus Research) pour tester la fonctionnalité des programmes antivirus. 6.1.3.4 Que faire si la protection en temps réel ne fonctionne pas Dans ce chapitre, nous décrivons les situations problématiques qui peuvent survenir avec la Protection en temps réel et la façon de les résoudre. La protection en temps réel est désactivée Si, par inadvertance, un utilisateur désactive la Protection en temps réel, elle doit être réactivée. Pour réactiver la Protection en temps réel, allez à Configuration > Ordinateur et basculez la Protection en temps réel du système de fichiers à ACTIVÉ. De manière alternative, vous pouvez activer la Protection en temps réel du système de fichiers dans la fenêtre des préférences de l'application sous Protection en temps réel en sélectionnant l'option Activer la protection en temps réel du système de fichiers. La protection en temps réel ne détecte ni ne nettoie les infiltrations Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de protection en temps réel sont activés en même temps, il peut y avoir conflit entre les deux. Nous recommandons de désinstaller tout autre antivirus pouvant se trouver sur votre système. La protection en temps réel ne démarre pas Si la protection en temps réel ne démarre pas au moment du lancement du système, cela peut être dû à des conflits avec d'autres programmes. Si tel est le cas, veuillez contacter le Service à la clientèle ESET. 6.1.4 Analyse de l'ordinateur à la demande Si vous soupçonnez que votre ordinateur est infecté (en raison d'un comportement anormal), exécutez Analyse intelligente pour détecter les infiltrations dans votre ordinateur. Pour une protection maximale, il est recommandé d'effectuer une analyse routinière de l'ordinateur par mesure de sécurité, et non seulement lorsqu'une infection est soupçonnée. Une analyse régulière pourra détecter des infiltrations n'ayant pas été détectées par l'analyseur en temps réel lors de leur enregistrement sur le disque. Cela peut se produire si l'analyseur en temps réel est désactivé au moment de l'infection ou si les modules de détection ne sont pas à jour. Nous recommandons d'exécuter une analyse à la demande au moins une fois par mois. Cette analyse peut être configurée comme tâche planifiée dans Outils > Planificateur. 14 Nous recommandons d'exécuter une analyse à la demande de l'ordinateur au moins une fois par mois. Cette analyse peut être configurée comme tâche planifiée dans Outils > Planificateur. Vous pouvez aussi glisser et déposer les fichiers et dossiers sélectionnés de votre bureau ou de la fenêtre Finder vers l'écran principal ESET Cyber Security Pro, l'icône d'accueil, l'icône de la barre de menus (dans le haut de l'écran) ou l'icône d'application (situé dans le dossier /Applications). 6.1.4.1 Type d'analyse Deux types d'analyse de l'ordinateur à la demande sont offerts. L'analyse intelligente analyse rapidement le système sans exiger de reconfiguration des paramètres d'analyse. L'analyse personnalisée permet, quant à elle, de sélectionner l'un des profils d'analyse prédéfinis ainsi que de choisir les cibles particulières de l'analyse. 6.1.4.1.1 Analyse intelligente L'analyse intelligente permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans intervention de l'utilisateur. Son principal avantage est sa facilité d'utilisation n'exigeant pas de configuration détaillée de l'analyse. L'analyse intelligente vérifie tous les fichiers dans tous les dossiers et nettoie ou supprime automatiquement les infiltrations détectées. Le niveau de nettoyage est automatiquement réglé à sa valeur par défaut. Pour plus de détails sur les types de nettoyage, consultez la rubrique Nettoyage 17 . 6.1.4.1.2 Analyse personnalisée L'analyse personnalisée est la solution optimale si vous voulez préciser des paramètres d'analyse tels que les cibles et les méthodes d'analyse. L'avantage d'utiliser l'analyse personnalisée est la possibilité de configurer les paramètres de manière détaillée. Différentes configurations peuvent ainsi être enregistrées comme profils d'analyse définis par l'utilisateur, ce qui peut être utile pour effectuer régulièrement une analyse avec les mêmes paramètres. Pour sélectionner les cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée, puis précisez les Cibles à analyser à partir de l'arborescence. Une cible d'analyse peut aussi être indiquée plus précisément en entrant le chemin du dossier ou des fichiers à inclure. Si vous voulez seulement analyser le système sans effectuer de nettoyage supplémentaire, sélectionnez Analyser sans nettoyage. Vous pouvez aussi choisir parmi trois niveaux de nettoyage en cliquant sur Configuration... > Nettoyage. REMARQUE : L'exécution des analyses personnalisées est recommandée pour les utilisateurs avancés ayant une expérience antérieure avec l'utilisation de programmes antivirus. 6.1.4.2 Cibles à analyser La structure en arborescence des cibles à analyser vous permet de sélectionner les fichiers et dossiers à analyser pour y détecter la présence de virus. Les dossiers peuvent être sélectionnés conformément aux paramètres d'un profil. Une cible d'analyse peut aussi être précisée de façon spécifique en entrant le chemin du dossier ou des fichiers à inclure dans l'analyse. Sélectionnez des cibles à partir de l'arborescence qui dresse la liste de tous les dossiers dans l'ordinateur en cochant la case qui correspond au fichier ou au dossier donné. 15 6.1.4.3 Profils d'analyse Vos paramètres d'analyse préférés peuvent être enregistrés pour analyse future. Nous vous recommandons de créer un profil différent (avec différentes cibles et méthodes, ainsi que d'autres paramètres d'analyse) pour chacune des analyses utilisées régulièrement. Pour créer un nouveau profil à partir du menu principal, cliquez sur Configuration > Saisie des préférences de l'application... (ou appuyez sur cmd+,) > Analyse de l'ordinateur, puis cliquez sur Modifier... adjacent à la liste des profils actuels. Pour vous aider à créer un profil d'analyse répondant à vos besoins, consultez la rubrique Configuration du moteur ThreatSense 16 pour obtenir une description de chacun des paramètres de configuration de l'analyse. Exemple : Imaginez que vous vouliez créer votre propre profil d'analyse et que la configuration associée au profil Analyse intelligente vous convienne en partie, mais que vous ne voulez ni analyser les fichiers exécutables compressés par un compresseur d'exécutables ni les applications potentiellement dangereuses et que vous voulez également utiliser un nettoyage strict. Dans la fenêtre Liste des profils de l'analyseur à la demande, saisissez le nom du profil, cliquez sur le bouton Ajouter et confirmez le tout en appuyant sur OK. Réglez ensuite les paramètres selon vos exigences en configurant le moteur ThreatSense et les cibles à analyser. Si vous voulez arrêter le système d'exploitation et éteindre l'ordinateur une fois l'analyse à la demande complétée, utilisez l'option Éteindre l'ordinateur après l'analyse. 6.1.5 Configuration du moteur ThreatSense ThreatSense est une technologie propriétaire d'ESET comprenant plusieurs méthodes complexes de détection de menaces. Cette technologie proactive fournit également une protection durant les premières heures de propagation d'une nouvelle menace. Elle utilise une combinaison de plusieurs méthodes (analyse de code, émulation de code, signatures génériques, etc.) qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler simultanément plusieurs flux de données, maximisant ainsi l'efficacité et le taux de détection. La technologie ThreatSense empêche également les rootkits. Les options de configuration de la technologie ThreatSense vous permettent également de préciser plusieurs paramètres d'analyse : · les types de fichiers et extensions à analyser; · la combinaison de plusieurs méthodes de détection; · les niveaux de nettoyage, etc. 16 Pour ouvrir une fenêtre de configuration, cliquez sur Configurer > Entrer les préférences de l'application (ou appuyez sur cmd+,) et cliquez sur le bouton Configurer du moteur ThreatSense situé dans les modules Protection au démarrage, Protection en temps réel et Analyse de l'ordinateur, qui utilisent tous la technologie ThreatSense. (Voir ci-dessous). Chaque scénario de sécurité peut exiger une configuration différente. Sachant cela, ThreatSense peut être configuré individuellement pour les modules de protection suivants : · · · · · Protection au démarrage - Vérification automatique des fichiers de démarrage Protection en temps réel - Protection en temps réel du système de fichiers Analyse de l'ordinateur - Analyse de l'ordinateur à la demande Protection de l'accès Web Protection du courriel Les paramètres de ThreatSense sont spécifiquement optimisés pour chaque module et leur modification peut grandement affecter le fonctionnement du système. Ainsi, changer les paramètres pour toujours analyser les fichiers exécutables compressés par un compresseur d'exécutables ou activer l'heuristique avancée dans le module de protection en temps réel du système de fichiers pourrait entraîner un ralentissement du système. Il est donc recommandé de laisser inchangés les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur. 6.1.5.1 Objets La section Objets vous permet de définir les fichiers qui seront analysés pour détecter des infiltrations. · Liens symboliques - (analyse de l'ordinateur seulement) Analyse des fichiers contenant une chaîne de caractères qui est interprétée et suivie par le système d'exploitation comme chemin vers un autre fichier ou dossier. · Fichiers courriel - (Cet objet ne s'applique pas à la protection en temps réel) analyse les fichiers courriel. · Boîtes aux lettres - (Cet objet ne s'applique pas à la protection en temps réel) analyse les boîtes aux lettres de l'utilisateur dans le système. Une utilisation inappropriée de cette option pourrait entraîner un conflit avec votre logiciel de courriel client. Pour obtenir de l'information supplémentaire sur les avantages et désavantages de cette option, lisez cet article sur la base de connaissances. · Archives - (Cet objet ne s'applique pas à la protection en temps réel) analyse les fichiers compressés dans des archives (.rar, .zip, .arj, .tar, etc.). · Archives à extraction automatique - (Cet objet ne s'applique pas à la protection en temps réel) analyse les fichiers contenus dans des fichiers d'archives à extraction automatique. · Compresseurs exécutables - À la différence des types d'archives standard, ces fichiers se décompressent dans la mémoire. Lorsque cette option est sélectionnée, les compresseurs statiques standard (par ex. UPX, yoda, ASPack, FGS) seront aussi analysés. 6.1.5.2 Options Dans la section Options, vous pouvez choisir les méthodes utilisées lors de l'analyse du système. Les options suivantes sont disponibles : · Heuristiques - L'heuristique utilise un algorithme qui analyse l'activité (malveillante) des programmes. Le principal avantage de la détection heuristique est la possibilité de détecter de nouveaux logiciels malveillants qui n'existaient pas précédemment. · Heuristiques avancées - Les heuristiques avancées désignent un algorithme heuristique unique développé par ESET et optimisé pour la détection de vers informatiques et de chevaux de Troie écrits dans des langages de programmation de haut niveau. La capacité de détection du programme augmente sensiblement grâce à l'heuristique avancée. 6.1.5.3 Nettoyage Les paramètres de nettoyage déterminent de l'analyseur lors du nettoyage des fichiers infectés. Trois niveaux de nettoyage sont possibles : · Pas de nettoyage - Les fichiers infectés ne sont pas nettoyés automatiquement. Le programme affiche alors une fenêtre d'avertissement et vous laisse choisir une action. · Nettoyage standard - Le programme tente de nettoyer ou de supprimer automatiquement tout fichier infecté. S'il n'est pas possible de sélectionner automatiquement l'action correcte, le programme proposera différentes actions de suivi. Cette sélection s'affiche également si une action prédéfinie ne peut être menée à bien. · Nettoyage strict - Le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions sont les fichiers système. S'il est impossible de nettoyer un fichier, vous recevrez une notification vous demandant de sélectionner le type d'action à entreprendre. Avertissement : En mode de nettoyage Standard par défaut, les fichiers d'archives sont supprimés en entier seulement si tous les fichiers contenus dans l'archive sont infectés. Si une archive contient à la fois des fichiers légitimes et des fichiers infectés, elle ne sera pas supprimée. Si un fichier d'archives infecté est détecté en mode Nettoyage strict, l'archive est supprimée en entier, même si elle contient également des fichiers sains. 17 6.1.5.4 Exclusions L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration des paramètres de ThreatSense permet de définir les types de fichiers qui seront exclus de l'analyse. Par défaut, tous les fichiers sont analysés, quelle que soit leur extension. N'importe quelle extension peut être ajoutée à la liste des fichiers exclus de l'analyse. Les boutons Ajouter fichiers portant certaines extensions. et Supprimer vous permettent d'activer ou d'interdire l'analyse des L'exclusion de fichiers de l'analyse peut parfois être nécessaire lorsque l'analyse de certains types de fichiers empêche le fonctionnement approprié du programme. Par exemple, il est recommandé d'exclure les fichiers log, cfg et tmp. Le bon format à utiliser lors de la saisie des extensions de fichier est : log cfg tmp 6.1.5.5 Limites La section Limites permet de préciser la taille maximale des objets et les niveaux d'imbrication des archives à analyser : · Taille maximale : Définit la taille maximale des objets à analyser. Une fois la taille maximale définie, le module antivirus n'analysera que les objets d'une taille inférieure à celle indiquée. Cette option ne devrait être modifiée que par des utilisateurs expérimentés ayant des raisons précises d'exclure de l'analyse des objets de plus grande taille. · Durée maximale de l'analyse : Précise la durée maximale pour l'analyse d'un objet. Si la valeur de ce champ a été définie par l'utilisateur, le module antivirus cessera d'analyser un objet une fois ce temps écoulé, que l'analyse soit finie ou non. · Niveau d'imbrication maximum : Indique le niveau maximal d'analyse des archives. Il n'est pas recommandé de modifier la valeur par défaut (10). Dans des circonstances normales, il n'y a aucune raison de le faire. Si l'analyse prend fin prématurément en raison du nombre d'archives imbriquées, l'archive restera non vérifiée. · Taille maximale du fichier : Cette option permet de préciser la taille maximale des fichiers (lors de leur extraction) à analyser, contenus dans les archives. Si l'analyse d'une archive prend fin prématurément en raison de cette limite, cette dernière restera non vérifiée. 6.1.5.6 Autres Activer l'optimisation intelligente Lorsque l'optimisation intelligente est activée, les paramètres sont optimisés afin d'assurer le niveau d'analyse le plus efficient tout en conservant la vitesse d'analyse la plus élevée. Les différents modules de protection effectuent une analyse intelligente, utilisant pour ce faire différentes méthodes d'analyse. L'optimisation intelligente n'est pas définie de façon rigide dans le produit. L'équipe de développement ESET apporte continuellement des modifications qui seront ensuite intégrées dans ESET Cyber Security Pro par l'entremise de mises à jour régulières. Si l'optimisation intelligente est activée, seuls les paramètres définis par l'utilisateur dans le moteur ThreatSense utilisé pour ce module particulier seront appliqués au moment d'effectuer une analyse. Analyser le flux alternatif de données (analyse à la demande seulement) Les flux de données alternatifs (fourchettes de ressource/données) utilisés par le système de fichiers sont des associations de fichiers et de dossiers qui sont invisibles pour les techniques d'analyse ordinaires. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs. 6.1.6 Une infiltration est détectée Les infiltrations peuvent atteindre le système à partir de différents points d'entrée : pages Web, dossiers partagés, courriels ou périphériques amovibles (USB, disques externes, CD, DVD, etc.). Si votre ordinateur montre des signes d'une infection par logiciel malveillant, si, par exemple, vous remarquez un ralentissement, des blocages fréquents, etc., nous vous recommandons d'effectuer les opérations suivantes : 1. Cliquez sur Analyse de l'ordinateur. 2. Cliquez sur Analyse intelligente (pour plus de détails, consultez la rubrique Analyse intelligente 15 ). 3. Une fois l'analyse terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés. Si vous ne souhaitez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez les cibles à analyser. À titre d'exemple général de la façon dont les infiltrations sont traitées dans ESET Cyber Security Pro, supposons qu'une infiltration est détectée par la protection en temps réel du système de fichiers qui utilise le niveau de nettoyage par défaut. La protection en temps réel tentera alors de nettoyer ou de supprimer le fichier. Si aucune action prédéfinie n'est disponible pour le module de protection en temps réel, vous serez invité à sélectionner une option dans une fenêtre d'avertissement. Les options Nettoyer, Supprimer et Aucune action sont généralement disponibles. Il n'est pas recommandé de sélectionner Aucune action, car 18 les fichiers infectés resteraient en état infecté. Cette option n'est destinée à être utilisée que dans les situations où vous êtes certain que le fichier est inoffensif et a été détecté par erreur. Nettoyage et suppression - Utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce cas, tentez d'abord de nettoyer le fichier infecté pour le restaurer à son état d'origine. Si le fichier se compose uniquement de code malveillant, il sera alors supprimé. Suppression de fichiers dans des archives - En mode de nettoyage par défaut, l'archive entière n'est supprimée que si elle ne contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent aussi des fichiers sains. Cependant, soyez prudent si vous choisissez Nettoyage strict, car dans ce mode, l'archive sera supprimée si elle comprend au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient. 6.2 Analyse et blocage du support amovible ESET Cyber Security Pro peut effectuer une analyse à la demande des supports amovibles insérés (CD, DVD, USB, appareil iOS, etc.). Les supports amovibles peuvent contenir du code malveillant et représenter un risque pour votre ordinateur. Pour bloquer un support amovible, cliquez sur Configuration du blocage des supports (voir l'image ci-dessus) ou, à partir du menu principal, cliquez sur Configuration > Saisie des préférences de l'application... > > Support à partir de la fenêtre principale du programme et cochez l'option Activer le blocage des supports amovibles. Pour permettre l'accès à certains types de supports, désélectionnez les supports voulus. REMARQUE : Si vous voulez autoriser l'accès au lecteur de CD-ROM externe connecté à votre ordinateur par un câble USB, décochez l'option CD-ROM. 19 7. Anti-hameçonnage Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse qui utilise le piratage psychologique (visant à manipuler les utilisateurs pour obtenir des données confidentielles). Le hameçonnage est souvent utilisé pour accéder à des données sensibles, telles que les numéros de comptes bancaires, les numéros de carte de crédit, les NIP ou les noms d'utilisateur et mots de passe. Nous vous recommandons de laisser l'option Anti-hameçonnage activée (Configuration > Saisie des préférences de l'application... > > Protection anti-hameçonnage). Ainsi, toutes les attaques potentielles de hameçonnage provenant de sites Web ou de domaines inscrits dans la base de données des logiciels malveillants d'ESET seront bloquées et une notification d'avertissement s'affichera afin de vous aviser de l'attaque. 20 8. Pare-feu Le pare-feu contrôle tout le trafic sur le réseau, depuis et vers le système, en autorisant ou refusant les connections au réseau individuelles en se basant sur les règles de filtrages spécifiées. Il fournit une protection contre les attaques en provenance d'ordinateurs distants et permet de bloquer certains services. Il fournit également une protection antivirus pour les protocoles HTTP, POP3 et IMAP. Vous pouvez accéder à la configuration du pare-feu dans Configuration > Pare-feu. Elle permet de régler le mode de filtrage, les règles et les paramètres détaillés. Vous pouvez également accéder à des paramètres plus détaillés du programme à partir d'ici. Si vous mettez Bloquer tout le trafic réseau : déconnecter le réseau sur ACTIVÉ, toutes les communications entrantes et sortantes seront bloquées par le pare-feu. N'utiliser cette option que lorsque vous soupçonnez des risques critiques au niveau de la sécurité exigeant que le système soit déconnecté du réseau. 8.1 Modes de filtrage Trois modes de filtrage sont possibles avec le pare-feu de ESET Cyber Security Pro. Les paramètres du mode de filtrage se trouvent dans les préférences de ESET Cyber Security Pro (appuyez sur cmd+,) > Pare-feu. Le comportement du pare-feu change en fonction du mode sélectionné. Les modes de filtrage affectent également le niveau d'interaction de l'utilisateur. Tout le trafic est bloqué - Toutes les connexions, tant entrante que sortantes, seront bloquées. Auto avec exceptions - Le mode par défaut. Ce mode convient pour les utilisateurs qui préfèrent un usage facile et pratique du pare-feu sans avoir à définir de règles. Le mode automatique autorise le trafic sortant standard du système donné et bloque toutes les connexions non initiées par le côté réseau. Vous pouvez également ajouter des règles personnalisées, définies par l'utilisateur. Mode interactif - Permet de créer une configuration personnalisée pour le pare-feu. Lors de la détection d'une communication pour laquelle il n'existe aucune règle qui s'y applique, une boîte de dialogue s'affiche pour signaler une connexion inconnue. Cette boîte de dialogue permet d'autoriser ou de refuser la communication, cette décision pouvant être mémorisée comme nouvelle règle pour le pare-feu. Si vous choisissez de créer une règle à ce moment, toutes les connexions futures de ce type seront autorisées ou refusées conformément à la règle. Pour enregistrer de l'information détaillée sur toutes les connexions bloquées dans un fichier journal, sélectionnez Consigner toutes les connexions bloquées. Pour examiner les fichiers journaux du pare-feu, cliquez sur Outils > Journaux dans le menu principal, puis sélectionnez Pare-feu dans le menu déroulant Journal. 8.2 Règles du pare-feu Les règles représentent un ensemble de conditions utilisées pour tester toutes les connexions réseau et déterminer les actions attribuées à ces conditions. Dans le pare-feu, vous pouvez définir l'action à prendre si une connexion définie par une règle est établie. Les connexions entrantes sont initiées par un ordinateur distant qui tente d'établir une connexion avec le système local. Les connexions sortantes fonctionnent dans le sens opposé - le système local communique avec l'ordinateur distant. 21 Si une nouvelle communication inconnue est détectée, il faut faire preuve de prudence au moment de décider de l'autoriser ou de la rejeter. Les connexions non sollicitées, non sécurisées ou inconnues posent un risque pour la sécurité du système. Si une telle connexion est établie, il est recommandé de faire très attention à l'ordinateur distant et aux applications qui tentent de se connecter à votre ordinateur. Beaucoup d'infiltrations essaient d'obtenir et d'envoyer des données personnelles ou de télécharger d'autres applications malveillantes sur les postes de travail hôtes. Le pare-feu vous permet de détecter et de mettre fin à de telles connexions. Par défaut, les applications signées par Apple peuvent accéder automatiquement au réseau. Si vous souhaitez désactiver cette option, désélectionnez Autoriser le logiciel signé par Apple à accéder automatiquement au réseau. 8.2.1 Création de nouvelles règles L'onglet Règles contient une liste de toutes les règles appliquées au trafic généré par des applications individuelles. Des règles sont automatiquement ajoutées en fonction des réactions de l'utilisateur à une nouvelle communication. 1. Pour créer une nouvelle règle, cliquez sur Ajouter... , entrez un nom pour cette règle et glissez-déposez l'icône de l'application dans la zone vide ou cliquez sur Parcourir... pour chercher le programme dans le dossier /Applications. Pour appliquer la règle à toutes les applications installées sur votre ordinateur, sélectionnez l'option Toutes les applications. 2. Dans la fenêtre suivante, spécifiez l'Action (autoriser ou refuser la communication entre l'application sélectionnée et le réseau) et la Direction de la communication (entrante, sortante ou les deux). Si vous voulez enregistrer toutes les communications liées à cette règle dans un fichier journal, sélectionnez l'option Règle du journal. Pour examiner les journaux, cliquez sur Outils > Journaux du menu principal de ESET Cyber Security Pro et sélectionnez Pare-feu dans le menu déroulant Journal. 3. Dans la section Protocole/ports, sélectionnez le protocole qu'utilise l'application pour communiquer, ainsi que les numéros de ports (si le protocole TCP ou UDP est sélectionné). La couche de protocole de transport assure un transfert sûr et efficace des données. 4. Pour terminer, indiquez le critère de Destination (adresse IP plage, sous-réseau, Ethernet ou Internet) pour la règle. 8.3 Zones du pare-feu Une zone représente l'ensemble des adresses réseau qui constituent un groupe logique. Chaque adresse d'un groupe donné se voit attribuer des règles similaires définies au niveau global du groupe. Ces zones peuvent être modifiées en cliquant sur Ajouter. Entrez un Nom et une Description (facultative) pour cette zone. Choisissez ensuite le profil auquel cette zone appartiendra, puis ajoutez une adresse IPv4/IPv6, une plage d'adresses, un sousréseau, un réseau Wi-Fi ou une interface. 8.4 Profils du pare-feu Les profils vous permettent de contrôler le comportement du pare-feu de ESET Cyber Security Pro. Lors de la création ou de la modification d'une règle du pare-feu, vous pouvez l'attribuer à un profil particulier. Lorsque vous sélectionnez un profil, seules les règles globales (celles qui ne s'appliquent à aucun profil en particulier) et les règles attribuées à ce profil sont appliquées. Vous pouvez ainsi créer plusieurs profils auxquels sont attribuées différentes règles pour ainsi pouvoir modifier facilement le comportement du pare-feu. 8.5 Journaux du pare-feu Le pare-feu de ESET Cyber Security Pro enregistre tous les événements importants dans un fichier journal. Pour examiner les fichiers journaux du coupe-feu, cliquez sur Outils > Journaux, puis sélectionnez Coupe-feu dans le menu déroulant Journal. Les fichiers journaux sont un outil précieux pour la détection des erreurs et des intrusions dans votre système. Le journal du parefeu d'ESET contient les données suivantes : · · · · · · · · la date et l'heure de l'événement le nom de l'événement la source l'adresse réseau cible le protocole de communication réseau Règle appliquée l'application visée Utilisateur Une analyse approfondie de ces données peut permettre de détecter les tentatives qui risquent de compromettre la sécurité du système. De nombreux autres facteurs indiquent des risques de sécurité potentiels dont il est possible de s'en protéger grâce à l'utilisation d'un pare-feu. On peut citer entre autre : trop de connexions en provenance de sites inconnus, plusieurs tentatives d'établissement de connexions, des communications issues d'applications inconnues ou l'utilisation de numéros de ports inhabituels. 22 9. Protection Web et messagerie Pour accéder à la protection Web et courriel à partir du menu principal, cliquez sur Configuration > Web et messagerie. D'ici, vous pouvez également accéder aux paramètres détaillés de chacun des modules en cliquant sur Configuration.... · Protection de l'accès Web - surveille la communication HTTP entre les navigateurs Web et les serveurs distants. · Protection du client de messagerie - elle permet de contrôler les communications par courriel reçues par les protocoles POP3 et IMAP. · Protection anti-hameçonnage - bloque les attaques potentielles de hameçonnage provenant de sites Web ou de domaines inscrits dans la base de données des logiciels malveillants d'ESET. 9.1 Protection Web La protection de l'accès Web surveille les communications entre les navigateurs Web et les serveurs à distance, conformément aux règles du protocole HTTP (protocole de transfert hypertexte). Le filtrage Web peut être effectué en définissant les numéros de port pour les communications HTTP 23 ou les adresses URL 23 9.1.1 Ports Dans l'onglet Ports, vous pouvez définir les numéros de port utilisés pour la communication HTTP. Par défaut, les numéros de ports 80, 8080 et 3128 sont prédéfinis. 9.1.2 Listes d'URL La section Listes d'URL permet de préciser les adresses HTTP à bloquer, à autoriser ou à exclure de la vérification. Les sites Web figurant dans la liste des adresses bloquées ne seront pas accessibles. Les sites Web figurant dans la liste des adresses exclues sont accessibles sans aucune analyse de code malveillant. Si vous voulez autoriser l'accès seulement aux URL apparaissant dans la liste URL autorisées, sélectionnez l'option Limiter les adresses URL. Pour activer une liste, sélectionnez Activer qui se trouve à côté du nom de la liste. Si vous voulez être informé lors de l'entrée d'une adresse à partir de la liste actuelle, sélectionnez l'option Notifié. Dans toutes les listes, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation). L'astérisque remplace n'importe quelle chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel autre caractère individuel. Vous devez faire attention lorsque vous indiquez les adresses exclues, car la liste ne doit contenir que des adresses sûres et fiables. De même, assurez-vous d'employer correctement les symboles * et ? dans cette liste. 9.2 Protection de la messagerie La protection courriel permet de contrôler les communications par courriel effectuées par le biais des protocoles POP3 et IMAP. Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancée offertes par le moteur d'analyse ThreatSense. L'analyse des communications par l'entremise des protocoles POP3 et IMAP est indépendante du logiciel de courriel client utilisé. ThreatSense Moteur : Réglage - Le réglage avancé de l'analyseur de virus permet de configurer les cibles à analyser, les méthodes de détection, etc. Cliquez sur Réglage pour afficher la fenêtre de réglage détaillé de l'analyseur. Ajout d'une étiquette à la référence d'un message - Une fois que l'analyse d'un courriel est terminée, une notification avec les résultats de l'analyse peut être ajoutée au message. Il ne faut pas se fier aveuglément aux étiquettes, car elles peuvent être omises dans les messages HTML se révélant problématiques ou contrefaites par certains virus. Les options suivantes sont offertes : · Jamais - Aucune étiquette d'analyse ne sera ajoutée · Courriels infectés seulement - Seuls les messages contenant un logiciel malveillant seront marqués comme étant vérifiés · Tous les courriels analysés - Le programme ajoutera des messages à tous les courriels qui ont été analysés. Ajouter une note à l'objet des messages infectés reçus et lus - Cochez cette case si vous voulez que la protection de la messagerie ajoute un message d'avertissement de virus dans le message infecté. Cette fonctionnalité un filtrage simple des messages infectés. Elle augmente le niveau de crédibilité des messages et, en cas de détection d'une infiltration, fournit de précieuses données sur le niveau de menace d'un message ou expéditeur donné. Gabarit ajouté à l'objet d'un courriel infecté - Modifier ce gabarit si vous voulez modifier le format du préfixe de l'objet d'un courriel infecté. 23 Dans la partie inférieure de cette fenêtre, vous pouvez également activer/désactiver la vérification des courriels reçus par les protocoles POP3 et IMAP. Pour en apprendre davantage à ce sujet, voir chapitres suivants : · Vérification du protocole POP3 24 · Vérification du protocole de messagerie IMAP 24 9.2.1 Vérification du protocole POP3 Le protocole POP3 est le protocole le plus répandu pour la réception de messages dans un client de messagerie. ESET Cyber Security Pro assure la protection de ce protocole, quel que soit le client de messagerie utilisé. Le module qui assure ce contrôle est automatiquement lancé au démarrage du système d'exploitation et reste ensuite actif en mémoire. Assurez-vous d'activer le module pour le bon fonctionnement du filtrage de protocole. La vérification du protocole POP3 se fait automatiquement, sans nécessiter une reconfiguration de votre client de messagerie. Par défaut, toute communication sur le port 110 est soumise à une analyse, mais d'autres ports de communication peuvent être ajoutés au besoin. Les numéros de ports doivent être séparés par des virgules. Si l'option Activer la vérification du protocole POP3 est sélectionnée, tout le trafic POP3 est surveillé à la recherche de logiciels malveillants. 9.2.2 Vérification du protocole IMAP Le protocole Internet Message Access Protocol (IMAP) est un autre protocole Internet utilisé pour la récupération des messages. IMAP offre quelques avantages par rapport à POP3. Par exemple, plusieurs clients peuvent se connecter simultanément à la même boîte aux lettres et conserver l'information sur l'état des messages comme savoir si le message a été lu ou non, si une réponse a été envoyée ou s'il a été supprimé. ESET Cyber Security Pro assure la protection de ce protocole, quel que soit le client de messagerie utilisé. Le module qui assure ce contrôle est automatiquement lancé au démarrage du système d'exploitation et reste ensuite actif en mémoire. Assurez-vous que la vérification du protocole IMAP est activée afin d'assurer le bon fonctionnement du module; le contrôle du protocole IMAP se fait automatiquement, sans nécessiter une reconfiguration de votre client de messagerie. Par défaut, toute communication sur le port 143 est soumise à une analyse, mais d'autres ports de communication peuvent être ajoutés au besoin. Les numéros de ports doivent être séparés par des virgules. Si l'option Activer la vérification du protocole IMAP est sélectionnée, tout le trafic IMAP est surveillé à la recherche de logiciels malveillants. 24 10. Contrôle parental La section Contrôle parental vous permet de configurer les paramètres du Contrôle parental qui offre aux parents des outils automatisés pour les aider à protéger leurs enfants. L'objectif est d'empêcher les enfants et les jeunes adultes d'accéder à des pages contenant du contenu inapproprié ou malveillant. Le contrôle parental permet de bloquer des pages Web dont le contenu est potentiellement offensant. De plus, les parents peuvent interdire l'accès à jusqu'à 27 catégories de sites Web prédéfinies. Vos comptes utilisateur sont indiqués dans la fenêtre Contrôle parental (Configuration > Saisie des préférences de l'application ... > Contrôle parental). Sélectionnez celui qui sera utilisé pour le contrôle parental. Pour spécifier un niveau de protection pour le compte sélectionné, cliquez sur Configuration.... . Pour créer un nouveau compte, cliquez sur Ajouter... . Vous serez alors redirigé vers la fenêtre des comptes système de macOS. Dans la fenêtre Configuration du contrôle parental, sélectionnez l'un des profils prédéterminés dans le menu déroulant Profil de configuration ou copiez la configuration d'un autre compte utilisateur. Chaque profil contient une liste modifiée des catégories autorisées. Si une catégorie est cochée, elle sera autorisée. Déplacer la souris sur une catégorie affichera une liste des pages Web correspondant à cette catégorie. Pour modifier la liste des Pages Web autorisées et bloquées, cliquez sur Configuration... au bas de la fenêtre, puis ajoutez un nom de domaine dans la liste voulue. Ne tapez pas http:// . Il n'est pas nécessaire d'utiliser de caractères génériques (*). Si vous entrez simplement un nom de domaine, tous les sous-domaines de celui-ci seront inclus. Par exemple, si vous ajoutez google.com dans la Liste des pages Web autorisées, tous les sous-domaines (mail.google.com, news.google.com, maps.google.com etc.) seront autorisés. REMARQUE : Bloquer ou autoriser une page Web particulière peut se révéler plus précis que de bloquer ou d'autoriser une catégorie complète de pages Web. 25 11. Mettre à jour Des mises à jour régulières de ESET Cyber Security Pro sont nécessaires pour conserver le niveau maximal de sécurité. Le module de mise à jour veille à ce que le programme soit toujours actualisé en téléchargeant les modules de détection les plus récents. Cliquez sur Mettre à jour dans le menu principal pour obtenir l'état actuel des mises à jour d'ESET Cyber Security Pro, y compris la date et l'heure de la dernière mise à jour réussie, et si une nouvelle mise à jour est requise. Pour lancer le processus de mise à jour manuellement, cliquez sur Mettre à jour les modules.. Dans des circonstances normales, lorsque les mises à jour sont téléchargées correctement, le message La mise à jour n'est pas requise - les modules actuels sont à jour s'affiche dans la fenêtre Mise à jour. Si les modules ne peuvent pas être mis à jour, il est recommandé de vérifier les paramètres de mise à jour 26 - la cause la plus courante de cette erreur est une entrée incorrecte de données d'authentification (nom d'utilisateur et mot de passe) ou une configuration incorrecte des paramètres de connexion 35 . La fenêtre de mise à jour contient également le numéro de version du moteur de détection. Le numéro de version est lié à la page Web d'ESET qui répertorie les informations de mise à jour du moteur de détection. 11.1 Configuration des mises à jour Pour supprimer toutes les données de mises à jour stockées de façon temporaire, cliquez sur Effacer à côté de Effacer le cache de mise à jour. Utilisez cette option si vous éprouvez des problèmes au moment de la mise à jour. 11.1.1 Options avancées Pour désactiver les notifications affichées après chaque mise à jour réussie, sélectionnez Ne pas afficher de notification lors d'une mise à jour réussie. Activez Préversion de mise à jour pour télécharger les modules de développement qui sont en phase de test final. Les préversions des mises à jour contiennent des solutions aux problèmes liés au produit. Mise à jour différées télécharge les mises à jour quelques heures après leur publication pour s'assurer que les clients ne reçoivent pas les mises à jour avant d'avoir la confirmation qu'elles sont exemptes de tout problème. ESET Cyber Security Pro enregistre des instantanés du moteur de détection et des modules du programme à utiliser avec la fonctionnalité d'annulation. Laissez l'option Créer des captures d'écran des fichiers mis à jour activée afin que ESET Cyber Security Pro enregistre ces captures d'écran automatiquement. Si vous soupçonnez qu'un nouveau module de détection et/ou des modules du programme peuvent être instables ou endommagés, vous pouvez retourner à la version antérieure et désactiver toutes les mises à jour pour une durée choisie. Vous pouvez également activer les mises à jour précédemment désactivées si vous les avez reportées indéfiniment. Lorsque vous utilisez la fonctionnalité de réinitialisation des mises à jour pour revenir à une mise à jour précédente, utilisez le menu déroulant Définir la période de suspension vers pour spécifier la période pendant laquelle vous souhaitez suspendre les mises à jour. Si vous sélectionnez jusqu'à révocation, les mises à jour normales ne s'effectueront pas de nouveau à moins que vous ne les restauriez manuellement. Soyez prudent lorsque vous configurez la période de temps pour suspendre les mises à jour. Définir l'âge maximal de la base de données automatiquement - Permet de définir la durée maximale (en jour) après laquelle les modules de détection seront déclarés obsolètes. La période de surveillance par défaut est de 7 jours. 11.2 Comment créer des tâches de mise à jour Les mises à jour peuvent être lancées manuellement en cliquant sur Mise à jour dans le menu principal, puis cliquez sur Mettre à jour les modules. Les mises à jour peuvent également être exécutées comme tâches planifiées. Pour configurer une tâche planifiée, cliquez sur Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Cyber Security Pro : · Mise à jour automatique régulière · Mise à jour automatique après ouverture de session utilisateur Chacune des tâches de mise à jour peut être modifiée selon les besoins de l'utilisateur. Outre les tâches de mise à jour par défaut, vous pouvez en créer des nouvelles avec vos propres paramètres. Pour plus de détails sur la création et la configuration des tâches de mise à jour, consultez la rubrique Planificateur 29 26 11.3 Mettre ESET Cyber Security Pro à niveau à la nouvelle version Pour profiter de la protection maximale, il est important d'utiliser la version la plus récente de ESET Cyber Security Pro. Pour rechercher une nouvelle version, cliquez sur Accueil dans le menu principal. Si une nouvelle version est disponible, un message s'affichera dans la fenêtre. Cliquez sur En savoir plus... pour afficher une nouvelle fenêtre contenant le numéro de la nouvelle version et la liste des changements. Cliquez sur Oui pour télécharger la version la plus récente ou sur Ne pas exécuter maintenant pour fermer la fenêtre et télécharger la mise à jour plus tard. Si vous avez cliqué sur Oui, le fichier sera téléchargé dans le dossier de téléchargement (ou dans le dossier par défaut défini par votre navigateur). Lorsque le téléchargement du fichier est terminé, lancez le fichier et suivez les instructions d'installation. Votre nom d'utilisateur et votre mot de passe seront automatiquement transférés dans la nouvelle version. Il est recommandé de rechercher des mises à niveau régulièrement, particulièrement lors de l'installation de ESET Cyber Security Pro à partir d'un CD/DVD. 11.4 Mises à jour système La fonctionnalité de mise à jour du système pour macOS est un composant important conçu pour protéger les utilisateurs des logiciels malveillants. Pour un maximum de sécurité, nous recommandons que vous installiez ces mises à jour dès qu'elles deviennent disponibles. ESET Cyber Security Pro vous indiquera toute mise à jour manquante, selon le niveau que vous choisissez. Vous pouvez régler la disponibilité des notifications de mises à jour dans Configuration > Saisie des préférences de l'application... (ou appuyez sur cmd+,) > Alertes et notifications > Configuration... en modifiant les options d'Conditions d'affichage à côté de Mises à jour du système d'exploitation. · Afficher toutes les mises à jour - une notification sera affichée chaque fois qu'il manquera une mise à jour système · N'afficher que celles qui sont recommandées - vous ne serez avisé que des mises à jour recommandées Si vous ne voulez pas recevoir de notifications à propos des mises à jour manquantes, décochez la case à côté de Mises à jour du système d'exploitation. La fenêtre de notification présente un aperçu des mises à jour disponibles pour le système d'exploitation macOS et les applications mises à jour à l'aide de l'outil natif de macOS - Mises à jour logicielles. Vous pouvez exécuter la mise à jour directement à partir de la fenêtre de notification ou à partir de la section Accueil de ESET Cyber Security Pro en cliquant sur Installer les mises à jour manquantes. La fenêtre de notification contient le nom de l'application, sa version, sa taille, ses propriétés (ses indicateurs) et des renseignements supplémentaires à propos des mises à jour disponibles. La colonne Indicateurs contient l'information suivante : · [recommandé] - le fabricant du système d'exploitation recommande que vous installiez cette mise à jour pour accroître la sécurité et la stabilité du système · [redémarrer] - un redémarrage de l'ordinateur est requis pour l'installation suivante · [arrêter] - l'ordinateur doit être arrêté et allumé de nouveau après l'installation La fenêtre de notification affiche les mises à jour récupérées par l'outil de ligne de commande appelé « softwareupdate ». Les mises à jour récupérées par cet outil peuvent différer des mises à jour affichées dans l'application « Mises à jour logicielles ». Si vous voulez installer tous les mises à jour disponibles, affichées dans la fenêtre « Mises à jour système manquantes », ainsi que celles qui ne sont pas affichées par l'application « Mises à jour logicielles », vous devez utiliser l'outil de ligne de commande « softwareupdate ». Pour obtenir plus de détails sur cet outil, consultez le guide « softwareupdate » en tapant manuellement man softwareupdate dans une fenêtre Terminal. Cela n'est recommandé que pour les utilisateurs avancés. 27 12. Outils Le menu Outils comprend des modules qui contribuent à simplifier l'administration du programme et offrent des options supplémentaires aux utilisateurs expérimentés. 12.1 Fichiers journaux Les fichiers journaux contiennent tous les événements importants qui ont eu lieu et donnent un aperçu des menaces détectées. La consignation représente un puissant outil pour l'analyse système, la détection de menaces et le dépannage. Elle est toujours active en arrière-plan, sans interaction de l'utilisateur. Les données sont enregistrées en fonction des paramètres actifs de verbosité. Il est possible de consulter les messages texte et les journaux directement à partir de l'environnement ESET Cyber Security Pro ainsi que d'archiver les journaux. Les fichiers journaux sont accessibles à partir de la fenêtre principale de ESET Cyber Security Pro en cliquant sur Outils > Journaux. Sélectionnez le type de journal souhaité à l'aide du menu déroulant Journal au haut de la fenêtre. Les journaux suivants sont disponibles : 1. Menaces détectées – Cette option permet de consulter toutes les données sur les événements liés à la détection d'infiltrations. 2. Événements – Cette option est conçue pour aider les administrateurs système et les utilisateurs à résoudre des problèmes. Toutes les actions importantes exécutées par ESET Cyber Security Pro sont enregistrées dans les journaux des événements. 3. Analyse de l'ordinateur - Les résultats de toutes les analyses effectuées sont affichés dans ce journal. Double-cliquez sur n'importe quelle entrée pour afficher les détails de l'analyse à la demande correspondante. 4. Parental - Liste de toutes les pages Web bloquées par le contrôle parental. 5. Pare-feu - Ce journal contient les résultats de tous les événements liés au réseau. 6. Sites Web filtrés - Cette liste est utile si vous voulez consulter la liste des sites Web bloqués par la protection de l'accès Web. Ces journaux permettent de voir le moment, l'URL, l'utilisateur et l'application ayant établi une connexion au site Web en question. Vous pouvez copier les données affichées dans chacune des sections dans le Presse-papiers en sélectionnant l'entrée souhaitée, puis en cliquant sur Copier. 12.1.1 Maintenance des journaux La configuration de journalisation pour ESET Cyber Security Pro est accessible à partir de la fenêtre principale du programme. Cliquez sur Configurer > Entrer les préférences de l'application (ou appuyez sur cmd+,) > Fichiers journaux. Vous pouvez préciser les options suivantes pour les fichiers journaux : · Supprimer automatiquement les anciens enregistrements de journal - Les entrées de journal plus anciennes que le nombre de jours précisé seront automatiquement supprimées (90 jours par défaut). · Optimiser automatiquement les fichiers journaux - Les fichiers journaux sont automatiquement défragmentés en cas de dépassement du pourcentage indiqué d'entrées non utilisées (25 % par défaut). Toutes les informations pertinentes affichées dans l'interface utilisateur graphique, les menaces et les événements peuvent être stockés dans des formats de texte lisible par l'homme, tels que le format texte brut ou le format CSV (Comma-separated values). Si vous voulez que ces fichiers soient disponibles pour traitement avec des outils tiers, cochez la case à côté de Activer la journalisation dans des fichiers texte. Pour définir le dossier cible dans lequel les fichiers journaux seront enregistrés, cliquez sur Configuration, à côté de Options avancées. Sur la base des options sélectionnées sous Fichiers journaux textes : Modifier, vous pouvez enregistrer des journaux avec les informations suivantes inscrites : · Des événements comme Nom d'utilisateur ou Mot de passe non valide, Les modules ne peuvent pas être mises à jour, etc. seront inscrits dans le fichier eventslog.txt · Les menaces détectées par l'analyseur au démarrage, la protection en temps réel ou l'analyse de l'ordinateur seront enregistrées dans le fichier appelé threatslog.txt · Les résultats de toutes les analyses effectuées seront enregistrés dans le format scanlog.NUMÉRO.txt · Tous les événements associés à la communication à travers le coupe-feu sont écrits dans firewalllog.txt Pour configurer les filtres pour les Entrées par défaut du journal d'analyse de l'ordinateur, cliquez sur l'option Modifier, puis cochez ou décochez les types de journaux visés. Vous pourrez obtenir plus de détails sur ces types de journaux dans Filtrage des journaux 29 . 28 12.1.2 Filtrage des journaux Les journaux stockent des données sur les événements système importants. La fonctionnalité de filtrage des journaux permet d'afficher des entrées sur un type d'événement particulier. Les types de journaux les plus fréquemment utilisés sont indiqués ci-dessous : · · · · · Avertissements critiques - erreurs système critiques (échec de démarrage de la protection antivirus, par ex.) Erreurs - Messages d'erreur comme « Erreur de téléchargement de fichier » et erreurs critiques Avertissements - Messages d'avertissement Entrées informatives - Messages d'information concernant les mises à jour réussies, les alertes, etc. Dossiers des diagnostics - Données nécessaires pour régler finement le programme et toutes les entrées décrites ci-dessus. 12.2 Planificateur Le Planificateur se trouve dans le menu principal de ESET Cyber Security Pro, sous Outils. Le Planificateur contient une liste de toutes les tâches planifiées avec leurs propriétés de configuration telles que la date prédéfinie, l'heure et le profil d'analyse utilisé. Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées. La configuration et les propriétés de ces tâches comprennent des informations telles que la date et l'heure ainsi que des profils particuliers à utiliser pendant l'exécution de ces tâches. Par défaut, les tâches planifiées suivantes s'affichent dans le Planificateur : · · · · · Maintenance des journaux (après avoir activé l'option Afficher les tâches système dans la configuration du planificateur) Vérification des fichiers de démarrage après ouverture de session utilisateur Vérification du fichier de démarrage après une mise à jour réussie des modules de détection Mise à jour automatique régulière Mise à jour automatique après ouverture de session utilisateur Pour modifier la configuration d'une tâche planifiée existante (tant par défaut que définie par l'utilisateur), CTRL+cliquez sur la tâche que vous voulez modifier, puis sélectionnez Modifier ou sélectionnez la tâche et cliquez sur le Modifier la tâche. 29 12.2.1 Création de nouvelles tâches Pour créer une nouvelle tâche dans le Planificateur, cliquez sur Ajouter une tâche... ou appuyez sur la touche Ctrl avant de cliquer dans le champ vide et de sélectionner Ajouter... à partir du menu contextuel. Cinq types de tâches planifiées sont disponibles : · · · · · Exécuter l'application Mettre à jour Maintenance des journaux Analyse de l'ordinateur à la demande Vérification des fichiers de démarrage du système REMARQUE : En choisissant Exécuter l'application, vous pouvez exécuter des programmes en tant qu'utilisateur système « nobody ». Les autorisations pour exécuter les applications par l'intermédiaire du Planificateur sont définies par macOS. Dans l'exemple ci-dessous, nous utiliserons le Planificateur pour ajouter une nouvelle tâche de mise à jour, puisque la mise à jour est l'une des tâches les plus souvent utilisées : 1. Dans le menu déroulant Tâche planifiée, sélectionnez Mettre à jour. 2. Entrez le nom de la tâche dans le champ Nom de la tâche. 3. Sélectionnez la fréquence de la tâche dans le menu déroulant Exécuter la tâche. Selon la fréquence sélectionnée, vous serez invité à préciser différents paramètres de mise à jour. Si vous sélectionnez Défini par l'utilisateur, vous serez invité à préciser la date ou l'heure en format cron (voir la rubrique Création d'une tâche définie par l'utilisateur 30 pour plus de détails). 4. Il faut ensuite définir l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée. 5. Dans la dernière étape, une fenêtre sommaire avec l'information sur la tâche planifiée actuelle est affichée. Cliquez sur Terminer. La nouvelle tâche planifiée sera ajoutée à la liste des tâches planifiées. ESET Cyber Security Pro contient, par défaut, des tâches de planification prédéfinies afin d'assurer la fonctionnalité du produit. Ces tâches ne devraient pas être modifiées et elles sont masquées par défaut. Pour rendre ces tâches visibles, à partir du menu principal, cliquez sur Réglage > Saisie des préférences de l'application... (ou appuyez sur cmd+,) > Planificateur et sélectionnez l'option Afficher les tâches système. 12.2.2 Création de tâches définies par l'utilisateur La date et l'heure de la tâche Définie par l'utilisateur doivent être entrées en format cron étendu avec l'année (une chaîne comprenant 6 champs, chacun séparé par un espace) : minute(0-59) heure(0-23) jour du mois(1-31) mois(1-12) année(1970-2099) jour de la semaine(0-7) (dimanche = 0 ou 7) Exemple : 30 6 22 3 2012 4 Caractères spéciaux pris en charge dans les expressions cron : · astérisque (* ) - L'expression correspondra à toutes les valeurs du champ; par exemple, un astérisque dans le troisième champ (jour du mois) indique tous les jours · tiret (- ) - Définit un intervalle; par exemple 3-9 · virgule (, ) - Permet de séparer les éléments d'une liste; par exemple, 1,3,7,8 · barre oblique (/ ) - Définit des incréments d'intervalles; par exemple 3-28/5 dans le troisième champ (jour du mois) signifie le troisième jour du mois puis tous les 5 jours. Les noms des jours (Monday-Sunday) et des mois (January-December) ne sont pas pris en charge. REMARQUE : Si vous définissez tant le jour du mois que le jour de la semaine, la commande ne sera exécutée que lorsqu'il y a correspondance avec les deux champs. 30 12.3 Quarantaine La quarantaine vise principalement à stocker en toute sécurité les fichiers infectés. Ces fichiers doivent être mis en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés par erreur par ESET Cyber Security Pro. Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Il est conseillé de le faire si un fichier se comporte de façon suspecte, mais n'a pas été détecté par l'analyseur antivirus. Les fichiers en quarantaine peuvent ensuite être soumis pour analyse au laboratoire ESET Virus Lab. Les fichiers stockés dans le dossier de quarantaine peuvent être visualisés dans un tableau indiquant la date et l'heure de mise en quarantaine, le chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (ajoutée par l'utilisateur, par ex.) et le nombre de menaces (s'il s'agit d'une archive contenant plusieurs infiltrations, par ex.). Le dossier de quarantaine contenant les fichiers mis en quarantaine (/Library/Application Support/Eset/esets/cache/quarantine) reste dans le système même après la désinstallation ESET Cyber Security Pro. Les fichiers en quarantaine sont stockés sous une forme chiffrée sécuritaire et peuvent être restaurés de nouveau, après l'installation de ESET Cyber Security Pro. 12.3.1 Mise de fichiers en quarantaine met automatiquement les fichiers supprimés en quarantaine (si vous n'avez pas désactivé cette option dans la fenêtre d'alerte). Au besoin, vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur Quarantaine... . Il est également possible d'utiliser le menu contextuel à cette fin. CTRL+clic dans le champ vide, sélectionnez Quarantaine, sélectionnez le fichier à mettre en quarantaine et cliquez sur Ouvrir. 12.3.2 Restaurer depuis la quarantaine Les fichiers en quarantaine peuvent aussi être restaurés dans leur emplacement original. Pour ce faire, sélectionnez un fichier en quarantaine et cliquez sur Restaurer. L'option de restauration est aussi accessible à partir du menu contextuel, CTRL+clic sur un fichier donné dans la fenêtre Quarantaine et cliquez sur Restaurer. Le menu contextuel offre également l'option Restaurer vers... qui permet de restaurer des fichiers vers un emplacement autre que celui d'où ils ont été supprimés. 12.3.3 Soumission de fichiers de quarantaine Si vous avez mis en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été détecté par erreur comme infecté (par exemple, par l'analyse heuristique du code) et mis en quarantaine, veuillez envoyer le fichier au laboratoire ESET Threat Lab. Pour soumettre un fichier mis en quarantaine, CTRL+clic sur le fichier et sélectionnez Soumettre le fichier pour analyse. 12.4 Processus en cours La liste des Processus en cours affiche les processus s'exécutant sur votre ordinateur. ESET Cyber Security Pro donne des renseignements détaillés sur les processus en cours d'exécution afin de protéger les utilisateurs à l'aide de la technologie Live Grid d'ESET. · Processus - nom du processus en cours d'exécution sur votre ordinateur. Pour voir tous les processus en cours, vous pouvez également utiliser le Moniteur d'activité (qui se trouve dans /Applications/Utilities). · Niveau de risque - dans bon nombre de cas, ESET Cyber Security Pro et la technologie ESET Live Grid affectent des niveaux de risque aux objets (fichiers, processus, etc.) à l'aide d'une série de règles heuristiques qui examinent les caractéristiques de chaque objet, puis pondèrent son potentiel d'activité nuisible. Les objets se voient ensuite attribuer un niveau de risque, sur la base de cette heuristique. Les applications connues marquées en vert sont assurément saines (liste blanche) et seront exclues de l'analyse. Cela accélère la vitesse à la fois des analyses à la demande et en temps réel. Lorsqu'une application est marquée comme inconnue (jaune), cela n'indique pas qu'il s'agisse nécessairement d'un logiciel malveillant. Il s'agit généralement d'une application plus récente. Si vous avez des doutes concernant un fichier, vous pouvez le soumettre au laboratoire ESET Threat Lab pour le faire analyser. Si le fichier se révèle être une application malveillante, sa détection sera ajoutée à l'une des prochaines mises à jour. · Nombre d'utilisateurs - le nombre d'utilisateurs qui utilisent une application donnée. Cette information est colligée grâce à la technologie ESET Live Grid. · Heure de découverte - période depuis que l'application a été découverte par la technologie ESET Live Grid. · ID de l'offre groupée - nom du fournisseur ou du processus d'application. Cliquer sur un processus donné fera apparaître les renseignements suivants au bas de la fenêtre : · · · · · · Fichier - Emplacement d'une application sur votre ordinateur Taille du fichier - Taille physique du fichier sur le disque Description du fichier - Caractéristiques du fichier fondées sur la description par le système d'exploitation Identifiant de l'offre groupée - Nom du fournisseur ou du processus d'application Version du fichier - Information de l'éditeur de l'application Nom du produit - Nom de l'application et/ou nom de l'entreprise 31 12.5 Live Grid Le système d'avertissement anticipé Live Grid s'assure qu'ESET est continuellement avisé des nouvelles infiltrations, et ce, dès qu'elles se produisent. Le système d'avertissement anticipé bidirectionnel n'a qu'un objectif - améliorer la protection que nous vous offrons. Le meilleur moyen d'être sûr de voir les nouvelles menaces dès qu'elles apparaissent est d'être en contact permanent avec le plus grand nombre de nos clients et de les utiliser comme des éclaireurs pour les menaces. Deux options sont offertes : 1. Vous pouvez choisir de ne pas activer le système d'avertissement anticipé Live Grid. Vous ne perdrez aucune fonctionnalité du logiciel et continuerez à recevoir la meilleure protection que nous puissions vous offrir. 2. Vous pouvez configurer le système d'avertissement anticipé Live Grid pour qu'il envoie des données anonymes concernant de nouvelles menaces et l'endroit où se trouve le code menaçant. Cette information peut être envoyée à ESET pour une analyse détaillée. Étudier ces menaces aidera ESET à mettre à jour sa base de données de menaces et améliorera la capacité de détection de menaces du programme. Le système d'avertissement anticipé Live Grid recueillera sur votre ordinateur des données concernant de nouvelles menaces détectées. Ces données comprennent un échantillon ou une copie du fichier dans lequel la menace est apparue, le chemin du fichier, le nom du fichier, la date et l'heure, le processus par lequel la menace est apparue sur votre ordinateur et de l'information sur le système d'exploitation de votre ordinateur. Bien qu'il soit possible que cela entraîne la divulgation de certaines données connexes à vous ou à votre ordinateur (noms d'utilisateur dans un chemin de dossiers, etc.) au laboratoire d'analyse des menaces d'ESET, vous devez savoir que ces données ne seront utilisées à AUCUNE autre fin autre que celle de nous aider à répondre immédiatement aux menaces. Pour accéder à la configuration de Live Grid à partir du menu principal, cliquez sur Configuration > Saisie des préférences de l'application... (ou appuyez sur cmd+,) > Live Grid. Sélectionnez Activer le système d'avertissement anticipé Live Grid pour activer Live Grid, puis cliquez sur Configuration..., à côté de l'option Options avancées. 12.5.1 Configuration de Live Grid Par défaut, ESET Cyber Security Pro est configuré pour soumettre les fichiers suspects à une analyse détaillée au ESET Threat Lab. Si vous ne voulez pas soumettre automatiquement ces fichiers, décochez l'option Soumettre les fichiers. Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire pour analyse. Pour ce faire, cliquez sur Outils > Soumettre l'échantillon pour analyse dans la fenêtre principale du programme. S'il s'agit d'une application malveillante, sa détection sera ajoutée à une mise à jour prochaine. Envoi des statistiques anonymes - Le système d'avertissement anticipé d'ESET Live Grid recueille de l'information anonyme sur votre ordinateur à propos des menaces nouvellement détectées. Cela peut inclure le nom de l'infiltration, la date et l'heure de détection, la version du produit de sécurité d'ESET ainsi que des données sur la version du système d'exploitation de votre ordinateur et ses paramètres régionaux. Les statistiques sont généralement envoyées au serveur ESET une ou deux fois par jour. Voici un exemple de données statistiques envoyées : # # # # # # # # # utc_time=2005-04-14 07:21:28 country=“Slovakia“ language=“ENGLISH“ osver=9.5.0 engine=5417 components=2.50.2 moduleid=0x4e4f4d41 filesize=28368 filename=Users/UserOne/Documents/Incoming/rdgFR1463[1].zip Filtre d'exclusion - Cette option permet d'exclure certains types de fichiers de ceux qui seront soumis. Ainsi, il est utile d'exclure des fichiers qui peuvent comporter des données confidentielles, tels que des documents ou des feuilles de calcul. Les types de fichiers les plus courants sont exclus par défaut (.doc, .rtf, etc.). Vous pouvez cependant ajouter tout type de fichier à la liste des fichiers exclus. Adresse courriel du contact (facultative) - votre adresse courriel sera utilisée si nous avons besoin de renseignements supplémentaires pour l'analyse. Veuillez noter que vous ne recevrez pas de réponse d'ESET sauf si d'autres renseignements sont requis. 32 13. Interface utilisateur Les options de configuration de l'interface utilisateur permettent d'ajuster l'environnement de travail selon vos besoins. Ces options de configuration sont accessibles à partir du menu principal en cliquant sur Configuration > Saisie des préférences de l'application... (ou en appuyant sur cmd+,) > Interface. · Pour afficher l'écran de démarrage de ESET Cyber Security Pro au démarrage du système, sélectionnez l'option Afficher l'écran de démarrage au démarrage. · Application présente dans Dock permet d'afficher l'icône de ESET Cyber Security Pro dans le Dock de macOS et de basculer entre ESET Cyber Security Pro et d'autres applications en cours d'exécution en appuyant sur cmd+tab. Les modifications seront apportées après le redémarrage de ESET Cyber Security Pro (habituellement déclenché par un redémarrage de l'ordinateur). · L'option Utiliser le menu standard autorise l'utilisation de certains raccourcis-clavier (voir la rubrique Raccourcis-clavier 10 ) et l'affichage de certains éléments du menu standard (Interface utilisateur, Réglage et Outils) de la barre de menu du macOS (dans le haut de l'écran). · Pour activer l'affichage des info-bulles pour certaines options de ESET Cyber Security Pro, sélectionnez Afficher les infos-bulles. · L'option Afficher les fichiers masqués permet d'afficher et de sélectionner les fichiers masqués dans la configuration des Cibles à analyser de l'Analyse de l'ordinateur. · Par défaut, l'icône de ESET Cyber Security Pro s'affiche dans la barre de menu Extras qui s'affiche à droite de la barre de menu de macOS (en haut de l'écran). Pour la désactiver, désélectionnez Afficher l'icône dans la barre de menus Extras. Les modifications entreront en vigueur après le redémarrage de ESET Cyber Security Pro (habituellement grâce au redémarrage de l'ordinateur). 13.1 Alertes et notifications La section Alertes et notifications vous permet de configurer la manière dont les alertes de menace et les notifications système sont traitées par ESET Cyber Security Pro. La désactivation de l'option Afficher les alertes désactivera toutes les fenêtres d'alerte et n'est recommandée que dans des situations précises. Il est recommandé à la majorité des utilisateurs de conserver l'option par défaut (activée). Les options avancées sont décrites dans ce chapitre 33 . La sélection de l'option Afficher les notifications sur le Bureau activera les fenêtres d'alerte qui n'exigent aucune interaction avec l'utilisateur pour s'afficher sur le bureau (par défaut, dans le coin supérieur droit de votre écran). Vous pouvez définir la durée pendant laquelle une notification s'affichera en ajustant la valeur de Fermer les notifications automatiquement après X secondes (5 secondes par défaut). Depuis la version 6.2 de ESET Cyber Security Pro, vous pouvez aussi empêcher l'affichage de certains états de la protection dans la fenêtre principale du programme (fenêtre État de la protection). Pour en apprendre davantage à ce sujet, voir États de la protection 33 . 13.1.1 Afficher les alertes ESET Cyber Security Pro affiche les fenêtre de dialogue contenant des alertes qui vous informent des nouvelles versions du programme, des mises à jour du système d'exploitation, la désactivation de certains composants de programme, la suppression des journaux, etc. Vous pouvez supprimer chaque notification de manière individuelle en sélectionnant l'option Ne plus afficher cette fenêtre de dialogue. Liste des boîtes de dialogue (Configuration > Saisie des préférences de l'application... > Alertes et notifications > Configuration...) affiche la liste de toutes les boîtes de dialogue d'alerte déclenchées par ESET Cyber Security Pro. Pour activer ou supprimer chacune des notifications, sélectionnez la case à cocher qui se trouve à gauche de Nom de la fenêtre de dialogue. De plus, vous pouvez définir les Conditions d'affichage en vertu desquelles les notifications à propos des nouvelles versions du programme et des mises à jour du système d'exploitation seront affichées. 13.1.2 États de la protection L'état actuel de la protection de ESET Cyber Security Pro peut être modifié en activant ou en désactivant les états dans Configuration > Saisie des préférences de l'application... > Alertes et notifications > Afficher dans l'écran État de la protection : Configuration. L'état de diverses fonctionnalités du programme sera affiché ou masqué sur l'écran principale de ESET Cyber Security Pro (fenêtre État de la protection) Vous pouvez masquer l'état de la protection des fonctionnalités suivantes du programme : · · · · · Pare-feu Anti-hameçonnage Protection de l'accès Web Protection du client de messagerie mise à jour du système d'exploitation 33 · Licence arrivée à expiration · Redémarrage de l'ordinateur requis 13.2 Privilèges Les paramètres utilisés par ESET Cyber Security Pro peuvent avoir d'importantes répercussions sur la sécurité dans votre organisation. Des modifications non autorisées pourraient mettre en danger la stabilité et la protection de votre système. C'est pour cette raison que vous pouvez définir les utilisateurs ayant l'autorisation de modifier la configuration du programme. Pour préciser les utilisateurs privilégiés, cliquez sur Configuration > Saisie des préférences de l'application... (ou appuyez sur cmd+,) > Privilèges. Sélectionnez les utilisateurs ou les groupes dans la liste à gauche et cliquez sur Ajouter. Pour afficher tous les utilisateurs/groupes du système, sélectionnez l'option Afficher tous les utilisateurs/groupes. Pour retirer un utilisateur, sélectionnez simplement son nom dans la liste des Utilisateurs sélectionnés sur la droite, puis cliquez sur Retirer. REMARQUE : Si la liste des utilisateurs privilégiés demeure vide, tous les utilisateurs sont jugés privilégiés. 13.3 Menu contextuel L'intégration du menu contextuel peut être activée en cliquant sur Configuration > Saisie des préférences de l'application... (ou appuyez sur cmd+,) > Menu contextuel en sélectionnant l'option Intégrer au menu contextuel. Une fermeture de session ou un redémarrage est nécessaire pour valider les modifications. Les options du menu contextuel seront disponibles dans la fenêtre Finder lorsque vous appuierez sur la touche CTRL et cliquerez sur tout fichier. 34 14. Divers 14.1 Importer et exporter les paramètres Pour importer une configuration existante ou exporter votre configuration ESET Cyber Security Pro, cliquez sur Configurer > Importer ou exporter les paramètres. Les fonctions d'importation et d'exportation sont utiles si vous devez faire une copie de sauvegarde de la configuration actuelle de ESET Cyber Security Pro pour pouvoir l'utiliser par la suite. Les paramètres d'exportation permettent aux utilisateurs d'utiliser leur configuration préférée de ESET Cyber Security Pro sur plusieurs systèmes. Vous pouvez facilement importer un fichier de configuration pour transférer les paramètres souhaités. Pour importer une configuration, sélectionnez Importer les paramètres puis cliquez sur Naviguer pour accéder au fichier de configuration que vous voulez importer. Pour exporter, sélectionnez Exporter les paramètres et utilisez le navigateur pour sélectionner l'emplacement sur votre ordinateur où vous voulez enregistrer le fichier. 14.2 Configuration du serveur mandataire Les paramètres du serveur mandataire peuvent être configurés dans Configuration > Saisie des préférences de l'application... (ou en appuyant sur cmd+,) > Serveur mandataire. La sélection du serveur mandataire à ce niveau définit les paramètres de serveur mandataire globaux pour l'ensemble des fonctions de ESET Cyber Security Pro. Les paramètres définis ici seront utilisés par tous les modules exigeant une connexion à Internet. ESET Cyber Security Pro prend en charge les types d'authentification avec accès de base (Basic Access ou BA) et par le gestionnaire de réseau local NT (NT LAN Manager ou NTLM). Pour préciser les paramètres de serveur mandataire pour ce niveau, sélectionnez Utiliser serveur mandataire, puis entrez l'adresse IP ou l'URL de votre serveur mandataire dans le champ Serveur mandataire. Dans le champ Port, spécifiez le port sur lequel le serveur mandataire accepte les connexions (3128 par défaut). Vous pouvez également cliquer sur Détecter pour que le programme remplisse les deux champs. Si la communication avec le serveur mandataire exige votre authentification, entrez un Nom d'utilisateur et un mot de passe valides dans les champs correspondants. 35 15. Glossaire 15.1 Types d'infiltrations Une infiltration est un élément de logiciel malveillant qui tente de s'introduire dans l'ordinateur d'un utilisateur ou de l'endommager. 15.1.1 Virus Un virus est une infiltration qui endommage les fichiers existants de votre ordinateur. Les virus informatiques sont comparables aux virus biologiques parce qu'ils utilisent des techniques similaires pour se propager d'un ordinateur à l'autre. Les virus informatiques attaquent principalement les fichiers, les scripts et les documents. Pour proliférer, un virus attache son « corps » à la fin d'un fichier cible. En bref, un virus informatique fonctionne comme ceci : après l'exécution du fichier infecté, le virus s'active lui-même (avant l'application originale) et exécute une tâche prédéfinie. Ce n'est qu'après cela que l'application originale pourra s'exécuter. Un virus ne peut pas infecter un ordinateur à moins qu'un utilisateur exécute ou ouvre lui-même (accidentellement ou délibérément) le programme malveillant. L'activité et la gravité des virus varient. Certains sont extrêmement dangereux parce qu'ils ont la capacité de supprimer délibérément des fichiers du disque dur. À l'inverse, d'autres virus ne causent pas de dommage, ils ne servent qu'à ennuyer l'utilisateur et à démontrer les connaissances techniques de leurs auteurs. Il est important de noter que les virus sont (par rapport aux chevaux de Troie et aux spyware) de plus en plus rares, parce qu'ils ne sont pas commercialement très attrayants pour les auteurs de programmes malveillants. En outre, le terme « virus » est souvent utilisé de façon inappropriée pour couvrir tout type d'infiltrations. On tend aujourd'hui à le remplacer progressivement par le terme plus précis « logiciel malveillant » ou « malware » en anglais. Si votre ordinateur est infecté par un virus, il est important de restaurer les fichiers infectés à leur état original, c'est-à-dire de les nettoyer à l'aide d'un programme antivirus. 15.1.2 Vers Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se répand par un réseau. La principale différence entre un virus et un ver est que les vers sont capables de se dupliquer et de se transporter d'eux-mêmes; ils ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Ils se répandent par l'entremise des adresses courriel enregistrées dans votre liste de contacts ou exploitent les failles de sécurité de diverses applications réseau. Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Par le biais d'Internet, ils peuvent se propager à travers le monde en quelques heures seulement et parfois même en quelques minutes. Leur capacité à se répliquer indépendamment et rapidement les rend plus dangereux que les autres types de programmes malveillants. Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers, dégrader les performances du système ou même désactiver des programmes. De par sa nature, il est qualifié pour servir de « moyen de transport » à d'autres types d'infiltrations. Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés, parce qu'ils contiennent probablement du code malicieux. 15.1.3 Chevaux de Troie Avant, les chevaux de Troie définissaient une catégorie d'infiltrations tentant de se faire passer pour des programmes légitimes, trompant l'utilisateur qui autorisait ensuite leur exécution. De nos jours, les chevaux de Troie n'ont plus besoin de se déguiser. Ils n'ont qu'un objectif : trouver la manière la plus facile de s'infiltrer pour accomplir leurs desseins malveillants. « Cheval de Troie » est donc devenu un terme très général qui décrit toute infiltration qui n'entre pas dans une catégorie spécifique. La catégorie étant très vaste, elle est souvent divisée en plusieurs sous-catégories : · Téléchargeur – Un programme malveillant en mesure de télécharger d'autres infiltrations à partir d'Internet. · Injecteur – Un type de cheval de Troie conçu pour déposer d'autres types de logiciels malveillants sur des ordinateurs infectés. · Porte dérobée – Une application qui communique avec les pirates à distance, leur permettant d'accéder à un système et d'en prendre le contrôle. · Enregistreur de frappe – Un programme qui enregistre chaque frappe de l'utilisateur sur son clavier et envoie l'information aux pirates à distance 36 · composeur – programme destiné à se connecter à des numéros surfacturés. Il est presque impossible pour un utilisateur de remarquer qu'une nouvelle connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant des modems par ligne commutée, qui sont de moins en moins utilisés. Les chevaux de Troie prennent généralement la forme de fichiers exécutables. Si un fichier est identifié comme cheval de Troie sur votre ordinateur, nous vous recommandons de le supprimer, car il contient sans doute du code malveillant. 15.1.4 Rootkits Les rootkits sont des programmes malveillants qui offrent aux pirates un accès illimité à un système tout en dissimulant leur présence. Après avoir accédé au système (généralement en exploitant une faille), ces programmes utilisent les fonctions du système d'exploitation pour éviter d'être détecté par les logiciels antivirus : ils dissimulent des processus et des fichiers. C'est pour cette raison qu'il est presque impossible de les détecter à l'aide des techniques de vérification ordinaires. 15.1.5 Logiciels publicitaires L'expression « logiciels publicitaires » désigne les logiciels soutenus par la publicité. Les programmes qui affichent des publicités entrent donc dans cette catégorie. Souvent, les logiciels publicitaires ouvrent automatiquement une nouvelle fenêtre contextuelle contenant de la publicité dans un navigateur Internet ou modifient la page de démarrage de ce dernier. Ils sont généralement associés à des programmes gratuits et permettent à leurs créateurs de couvrir les frais de développement de leurs applications (souvent utiles). En eux-mêmes, les logiciels publicitaires ne sont pas dangereux, les utilisateurs pouvant tout au plus être dérangés par des publicités. Le danger tient au fait qu'ils peuvent aussi inclure des fonctions d'espionnage (comme les spyware). Si vous décidez d'utiliser un logiciel gratuit, portez une attention particulière au programme d'installation. La plupart des programmes d'installation vous avertiront en effet qu'ils installent en plus un programme publicitaire. Souvent, vous pourrez désactiver cette installation supplémentaire et n'installer que le programme, sans logiciel publicitaire. Certains programmes refuseront cependant de s'installer sans leur logiciel publicitaire ou verront leurs fonctionnalités limitées. Cela signifie que les logiciels publicitaires peuvent accéder au système de manière « légale », parce que les utilisateurs leur ont autorisé l'accès. Dans ce cas, mieux vaut jouer la carte de la prudence. Si un logiciel publicitaire est détecté sur votre ordinateur, il est recommandé de le supprimer, car le risque qu'il contienne un programme malveillant est élevé. 15.1.6 Spyware Cette catégorie englobe toutes les applications qui envoient des données confidentielles sans le consentement des utilisateurs et à leur insu. Ces applications utilisent des fonctions de traçage pour envoyer diverses données statistiques telles qu'une liste des sites Web consultés, les adresses courriel de la liste de contacts de l'utilisateur ou une liste des touches de frappe utilisées. Les auteurs de ces spyware affirment que ces techniques ont pour but d'en savoir plus sur les besoins et intérêts des utilisateurs afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction claire entre les applications utiles et les applications malveillantes, et que personne ne peut garantir que les données récupérées ne seront pas utilisées à des fins frauduleuses. Les données récupérées par les spyware peuvent être des codes de sécurité, des codes secrets, des numéros de compte bancaire, etc. Les spyware sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains ou d'inciter à l'achat du logiciel. Les utilisateurs sont souvent informés de la présence d'un spyware au cours de l'installation d'un programme afin de les inciter à acquérir la version payante qui en est dépourvue. Comme exemples de produits logiciels gratuits bien connus qui contiennent des logiciels espions, on peut citer les applications clientes des réseaux P2P (pair-à-pair). Spyfalcon ou Spy Sheriff (et bien d'autres) appartiennent à une sous catégorie de logiciel espion; ils ont l'air de programmes anti-logiciel espion, mais en fait ils eux-mêmes des logiciels espions. Si un logiciel publicitaire est détecté sur votre ordinateur, il est préférable de le supprimer, car le risque est grand qu'il contienne du code malveillant. 15.1.7 Applications potentiellement dangereuses Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en réseau. Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des fins malveillantes. ESET Cyber Security Pro vous offre l'option de détecter de telles menaces. Les applications potentiellement dangereuses désigne généralement des logiciels commerciaux légitimes. Elle inclut également les programmes d'accès à distance, les applications de craquage de mots de passe ou les enregistreurs de frappe. 37 15.1.8 Applications potentiellement indésirables Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont susceptibles d'affecter les performances de votre ordinateur. Ces applications exigent généralement le consentement de l'utilisateur avant leur installation. Si elles sont présentes sur votre ordinateur, votre système se comportera différemment (par rapport à son état avant l'installation). Les changements les plus significatifs sont : · · · · · l'apparition de nouvelles fenêtres qui n'existaient pas auparavant des processus cachés qui sont activés et exécutés une plus grande utilisation des ressources système la modification des résultats de recherche les applications communiquent avec des serveurs à distance. 15.2 Types d'attaques distantes Il existe diverses techniques permettant aux pirates de mettre en danger des systèmes distants. Elles se divisent en plusieurs catégories. 15.2.1 Attaques DoS L'attaque DoS, ou attaque par Déni de service, vise à rendre un ordinateur ou un réseau indisponible pour les utilisateurs prévus. La communication entre les utilisateurs affectés est obstruée et ne peut plus continuer normalement. Les ordinateurs qui ont subi une attaque DoS doivent généralement redémarrer, faute de quoi ils ne fonctionnent plus correctement. Le plus souvent, les cibles sont des serveurs Web et l'objectif est de les rendre inutilisables pendant un certain temps. 15.2.2 Empoisonnement DNS Avec la méthode d'empoisonnement DNS (Domain Name Server), des pirates peuvent faire croire au serveur DNS d'un ordinateur que les fausses données qui leur sont transmises sont légitimes et authentiques. Ces fausses données sont ensuite mises en cache pendant un certain temps, ce qui permet aux pirates de réécrire les réponses DNS des adresses IP. De cette manière, les utilisateurs qui tentent d'accéder à des sites internet téléchargeront des virus ou des vers au lieu du contenu original de ces sites. 15.2.3 Balayage de ports Le balayage de ports est utilisé pour déterminer quels ports de l'ordinateur sont ouverts sur un hôte de réseau. Le logiciel utilisé à cette fin s'appelle le scanneur de port. Le port d'un ordinateur est un point virtuel qui gère les données entrantes et sortantes. Cet élément est crucial sur le plan de la sécurité. Sur un réseau de grande taille, les données recueillies par le scanneur de ports peuvent permettre d'identifier les failles potentielles. Cette utilisation est bien sûr tout à fait légale. D'un autre côté, le balayage de ports est souvent utilisé par les pirates qui tentent de compromettre la sécurité. Ils envoient d'abord des paquets à chaque port. En fonction du type de réponse, il est possible de déterminer quels ports sont utilisés. Si le balayage lui-même ne cause aucun dommage, cette activité peut révéler les failles potentielles et permettre aux pirates de prendre le contrôle d'ordinateurs distants. Nous conseillons aux administrateurs du réseau de bloquer tous les ports non utilisés et de protéger ceux qui sont utilisés des accès non autorisés. 15.2.4 Désynchronisation TCP La désynchronisation TCP est une technique utilisée pour les détournements de session TCP (TCP Hijacking). Elle est déclenchée par un processus dans lequel le numéro séquentiel de paquets entrants diffère du numéro attendu. Les paquets dont le numéro séquentiel diffère du numéro attendu sont rejetés (ou enregistrés dans la mémoire tampon, s'ils sont présents dans la fenêtre de communication active). Lors de la désynchronisation, les deux points d'extrémité de communication refusent les paquets reçus, ce qui permet aux attaquants distants de pouvoir infiltrer des paquets et de les fournir, avec un numéro séquentiel. Les attaquants peuvent même manipuler ou modifier les communications. Les détournements de session TCP visent à interrompre les communications serveur-client ou les communications poste à poste. De nombreuses attaques peuvent être évitées par l'authentification de chaque segment TCP. Il est également conseillé d'utiliser les configurations recommandées pour vos périphériques réseau. 38 15.2.5 Relais SMB SMBRelay et SMBRelay2 sont des programmes spéciaux capables d'effectuer des attaques contre des ordinateurs distants. Ces programmes profitent du protocole de partage de fichiers SMB (Server Message Block) qui est disposé en couches sur NetBIOS. Un utilisateur qui partage un dossier ou un répertoire à l'intérieur d'un réseau local utilise très probablement ce protocole de partage de fichiers. Les empreintes numériques des mots de passe sont échangées lors des communications sur le réseau local. SMBRelay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés par le client et le serveur, et les modifie. Après connexion et authentification, le client est déconnecté. SMBRelay crée une nouvelle adresse virtuelle IP. SMBRelay relaie les communications du protocole SMB, sauf la négociation et l'authentification. Les pirates peuvent utiliser l'adresse IP tant que l'ordinateur client est connecté. SMBRelay2 fonctionne selon le même principe que SMBRelay, si ce n'est qu'il utilise les noms NetBIOS plutôt que les adresses IP. Tous deux peuvent effectuer des attaques de type « l'homme du milieu » (man-in-the-middle). Ces attaques permettent à des pirates de lire les messages échangés entre deux points de communication sans se faire remarquer, ainsi que d'y insérer des données et de les modifier à distance. Les ordinateurs exposés à ce type d'attaque arrêtent souvent de répondre ou redémarrent de manière impromptue. Pour éviter de telles attaques, nous vous recommandons d'utiliser des mots de passe ou des clés d'authentification. 15.2.6 Attaques par protocole ICMP L'ICMP (Internet Control Message Protocol) est un protocole Internet très commun et très utilisé. Il est surtout utilisé par les ordinateurs en réseau pour envoyer différents messages d'erreur. Les attaquants distants tentent d'exploiter la faiblesse du protocole ICMP. Ce protocole est conçu pour les communications à sens unique n'exigeant pas d'authentification. Il permet aux attaquants distants de lancer des attaques DDS (déni de service) ou des attaques qui donnent accès aux paquets entrants et sortants à des individus non autorisés. Quelques exemples d'attaques ICMP typiques : les inondations Ping, les inondations ICMP_ECHO et les attaques Schtroumpf. Les ordinateurs exposés à une attaque ICMP sont considérablement ralentis (toutes les applications utilisant Internet sont affectées) et éprouvent des problèmes de connexion Internet. 15.3 Courriel Le courriel est une forme de communication moderne qui offre beaucoup d'avantages. Il est souple, rapide et direct et a joué un rôle crucial dans l'expansion d'Internet au début des années 1990. Malheureusement, le grand anonymat des courriels et d'Internet a laissé libre champ à beaucoup d'activités illégales telles que le pollupostage. Le pourriel comprend les publicités indésirables, les canulars et les logiciels malveillants. Les désagréments et le danger pour l'utilisateur ont augmenté tout simplement du fait que l'envoi de tels messages ne coûte presque rien et que les auteurs du pourriel disposent de bon nombre d'outils pour acquérir facilement de nouvelles adresses courriel. En plus, le volume et les différents types de pourriel ne facilitent pas la règlementation. Plus longtemps vous utilisez votre adresse courriel, plus vous augmentez la possibilité qu'elle finisse par être ajoutée dans la base de données d'un moteur de pourriel. Quelques conseils à titre de prévention : · Si possible, ne dévoilez pas votre adresse de courriel sur Internet · ne donnez votre adresse de courriel qu'à des personnes de confiance. · si possible, n'utilisez pas de pseudonymes communs. Plus le pseudonyme est complexe, moins la probabilité de pistage est grande · ne répondez pas aux pourriels déjà présents dans votre boîte de réception · faites attention lorsque vous remplissez des formulaires sur Internet : soyez particulièrement attentif aux options du type Oui, je voudrais recevoir de l'information · Utilisez des adresses de courriel « spécialisées », par ex., une adresse pour le travail, une adresse pour communiquer avec vos amis, etc. · de temps à autre, changez votre adresse de courriel · utilisez une solution antipourriel. 39 15.3.1 Publicités La publicité par Internet est une des formes de publicité les plus en vogue. Ses coûts minimaux et sa grande efficacité en sont les principaux avantages marketing, tout comme le fait que ces messages soient transmis presque immédiatement. Nombre d'entreprises utilisent des outils de marketing par courriel pour communiquer de manière efficace avec leurs clients et clients éventuels. Ce type de publicité est légitime, car l'utilisateur pourrait souhaiter recevoir des informations commerciales sur certains produits. De nombreuses entreprises envoient également en masse des messages commerciaux non sollicités. La publicité par courriel dépasse alors les limites et devient du pourriel. La quantité de messages publicitaires non sollicités est devenue un réel problème, car elle ne montre aucun signe d'accalmie. Les auteurs de messages non sollicités tentent souvent de déguiser le pourriel sous des dehors de messages légitimes. 15.3.2 Canulars Un canular se définit comme de la désinformation diffusée sur Internet. Les canulars sont généralement envoyés par courriel ou par des outils de communication tels ICQ et Skype. Le message en lui-même est souvent une blague ou une légende urbaine. Les canulars essaient de provoquer chez les destinataires de la peur, de l'incertitude et du doute, les amenant à croire qu'ils ont un « virus indétectable » en train de supprimer tous les fichiers et de récupérer les mots de passe, ou d'effectuer une activité nuisible sur leur système. Certains canulars se propagent parce qu'ils invitent les destinataires à réacheminer les messages reçus à leurs contacts, ce qui perpétue leur cycle de vie. On y retrouve notamment des canulars liés aux téléphones cellulaires, des « demandes d'aide », des personnes qui vous proposent de vous envoyer de l'argent de l'étranger, etc. Dans la plupart des cas, il est impossible de traquer l'intention du créateur. Si un message vous demande de le réacheminer à toutes vos connaissances, il est fort possible qu'il s'agisse d'un canular. On retrouve, sur Internet, bon nombre de sites qui permettent de vérifier si un message est légitime ou non. Avant de réacheminer un message, faites une recherche sur Internet si vous avez des doutes quant à un message reçu. 15.3.3 Hameçonnage Le terme hameçonnage (« phishing » en anglais) désigne une activité frauduleuse faisant usage du piratage psychologique qui consiste à manipuler les utilisateurs pour obtenir des données confidentielles. Son but est d'accéder à des données sensibles, telles que numéros de comptes bancaires, NIP, etc. La technique consiste généralement à envoyer un courriel en se faisant passer pour une personne ou une entreprise digne de confiance (institution financière, compagnie d'assurance). Le message peut sembler très authentique et contenir des graphiques et contenus qui proviennent véritablement de la source dont il se réclame. Vous êtes invité à entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles comme des numéros de compte bancaire ou noms d'utilisateur et mots de passe. Toutes ces données, si elles sont soumises, peuvent facilement être volées et utilisées à des fins illégales. Notez que les banques, compagnies d'assurance et autres sociétés légales ne demandent jamais les noms d'utilisateur et mots de passe dans un message non sollicité. 15.3.4 Reconnaissance des pourriels Il suffit généralement de quelques indicateurs pour identifier les pourriels (messages non sollicités) dans votre boîte de courriel. Si un message satisfait au moins l'un des critères suivants, c'est probablement un pourriel. · L'adresse de l'expéditeur ne figure pas dans la liste de vos contacts · on vous offre une importante somme d'argent, mais vous devez d'abord fournir un petit montant · on vous demande d'entrer, sous divers prétextes (vérification de données, opérations financières), certaines de vos données personnelles telles vos numéros de compte bancaire ou vos noms d'utilisateur et mots de passe, · le message est écrit en langue étrangère · on vous demande d'acheter un produit qui ne vous intéresse pas. Si vous décidez de l'acheter quand même, assurez-vous que l'expéditeur du message est un vendeur sérieux (consultez le fabricant original du produit) · quelques mots sont mal écrits pour pouvoir passer à travers le filtre de pourriel. Par exemple vaigra au lieu de viagra, etc. 40