ESET Cyber Security for macOS Mode d'emploi

GUIDE DE L’UTILISATEUR
(version 6,5 et ultérieures)
Cliquez ici pour télécharger la dernière version de ce document.
ESET, spol. s r.o.
ESET Cyber Security a été développé par ESET, spol. s r.o.
Pour plus d'informations, visitez www.eset.com.
Tous droits réservés. Aucune partie de cette documentation ne peut être reproduite, stockée dans un système
d'archivage ou transmise sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique,
photocopie, enregistrement, numérisation ou autre, sans l'autorisation écrite de l'auteur.
ESET, spol. s r.o. se réserve le droit de modifier les applications décrites sans préavis.
Service client : www.eset.com/support
REV. 13/10/2017
Sommaire
1. ESET Cyber
.......................................................5
Security
8.1.1
Ports..............................................................................21
8.1.2
Listes..............................................................................21
d'URL
8.2 Protection
....................................................................................................21
de la messagerie
1.1 Nouveautés
....................................................................................................5
de la version 6
1.2 Configuration
....................................................................................................5
système
2. Installation
.......................................................6
2.1 Installation
....................................................................................................6
standard
8.2.1
Vérification
..............................................................................22
par protocole POP3
8.2.2
Vérification
..............................................................................22
par protocole IMAP
9. Mettre
.......................................................23
à jour
9.1 Configuration
....................................................................................................23
des mises à jour
2.2 Installation
....................................................................................................7
personnalisée
9.1.1
3. Activation
.......................................................8
de produit
4. Désinstallation
.......................................................9
5. Brève
.......................................................10
présentation
5.1 Raccourcis
....................................................................................................10
clavier
5.2 Vérification
....................................................................................................11
de l'état de la protection
Options
..............................................................................23
avancées
9.2 Comment créer des tâches de mise à
....................................................................................................23
jour
9.3 Mise à jour de ESET Cyber Security vers
une
....................................................................................................24
nouvelle version
9.4 Mises
....................................................................................................24
à jour du système
10. Outils
.......................................................25
10.1 Fichiers
....................................................................................................25
journaux
5.3 Que faire lorsque le programme ne
Maintenance
..............................................................................25
des journaux
10.1.1
....................................................................................................11
fonctionne
pas correctement ?
10.1.2
6. Protection
.......................................................12
de l'ordinateur
Filtrage
..............................................................................26
des journaux
10.2 Planificateur
....................................................................................................26
6.1 Protection
....................................................................................................12
antivirus et antispyware
10.2.1
Création
..............................................................................27
de nouvelles tâches
6.1.1
Général
..............................................................................12
10.2.2
Création
..............................................................................27
de tâches définies par l'utilisateur
6.1.1.1
Exclusions
..................................................................................12
6.1.2
Protection
..............................................................................13
au démarrage
10.3.1
Mise..............................................................................28
en quarantaine de fichiers
6.1.3
Protection
..............................................................................13
en temps réel du système de fichiers
10.3.2
Restauration
..............................................................................28
depuis la quarantaine
6.1.3.1
Options
..................................................................................13
avancées
10.3.3
Soumission
..............................................................................28
de fichiers de quarantaine
6.1.3.2
Quand faut-il modifier la configuration de la
protection
..................................................................................13
en temps réel ?
10.4 Processus
....................................................................................................28
en cours
6.1.3.3
Vérification
..................................................................................14
de la protection en temps réel
10.5 Live
....................................................................................................29
Grid
6.1.3.4
Que faire si la protection en temps réel ne fonctionne
pas
..................................................................................14
?
6.1.4
Analyse
..............................................................................14
de l'ordinateur à la demande
11. Interface
.......................................................30
utilisateur
6.1.4.1
Type
..................................................................................15
d'analyse
11.1 Alertes
....................................................................................................30
et notifications
6.1.4.1.1
Analyse intelligente
........................................................................15
11.1.1
Afficher
..............................................................................30
les alertes
6.1.4.1.2
Analyse personnalisée
........................................................................15
11.1.2
États..............................................................................30
de protection
6.1.4.2
Cibles
..................................................................................15
à analyser
6.1.4.3
Profils
..................................................................................16
d'analyse
6.1.5
Configuration des paramètres du moteur
ThreatSense
..............................................................................16
6.1.5.1
Objets
..................................................................................17
6.1.5.2
Options
..................................................................................17
12.1 Importer
....................................................................................................32
et exporter les paramètres
6.1.5.3
Nettoyage
..................................................................................17
12.2 Configuration
....................................................................................................32
du serveur proxy
6.1.5.4
Exclusions
..................................................................................17
6.1.5.5
Limites
..................................................................................18
13. Glossaire
.......................................................33
6.1.5.6
Autres
..................................................................................18
6.1.6
Une infiltration
..............................................................................18
est détectée
10.3 Quarantaine
....................................................................................................28
10.5.1
Configuration
..............................................................................29
de Live Grid
11.2 Privilèges
....................................................................................................31
11.3 Menu
....................................................................................................31
contextuel
12. Divers
.......................................................32
13.1 Types
....................................................................................................33
d'infiltrations
13.1.1
Virus..............................................................................33
13.1.2
Vers ..............................................................................33
6.2 Analyse et blocage de supports
amovibles
....................................................................................................19
13.1.3
Chevaux
..............................................................................33
de Troie
13.1.4
Rootkits
..............................................................................34
7. Antihameçonnage
.......................................................20
13.1.5
Logiciels
..............................................................................34
publicitaires
13.1.6
Spyware
..............................................................................34
8. Protection
.......................................................21
Internet et de la messagerie
13.1.7
Applications
..............................................................................34
potentiellement dangereuses
8.1 Protection
....................................................................................................21
Web
13.1.8
Applications
..............................................................................35
potentiellement indésirables
13.2 Types
....................................................................................................35
d'attaques à distance
13.2.1
Attaques
..............................................................................35
par déni de service
13.2.2
Empoisonnement
..............................................................................35
du cache DNS
13.2.3
Balayage
..............................................................................35
de ports
13.2.4
Désynchronisation
..............................................................................35
TCP
13.2.5
Relais
..............................................................................36
SMB
13.2.6
Attaques
..............................................................................36
par ICMP
13.3 Courrier
....................................................................................................36
électronique
13.3.1
Publicités
..............................................................................36
13.3.2
Canulars
..............................................................................37
13.3.3
Hameçonnage
..............................................................................37
13.3.4
Identification
..............................................................................37
du spam
1. ESET Cyber Security
ESET Cyber Security représente une nouvelle approche d'une sécurité véritablement intégrée de l'ordinateur. La version la plus
récente du moteur d'analyse ThreatSense® combine rapidité et précision pour sécuriser votre ordinateur. Cette combinaison
produit un système intelligent qui protège constamment votre ordinateur des attaques et des logiciels malveillants.
ESET Cyber Security est une solution complète de sécurité qui résulte de notre engagement à long terme d'offrir à la fois une
protection maximale et un impact minimal sur le système. Les technologies avancées de ESET Cyber Security, basées sur
l'intelligence artificielle, permettent une élimination proactive des infiltrations de virus, vers, chevaux de Troie, spyware, logiciels
publicitaires, rootkits et autres attaques basées sur Internet sans handicaper les performances du système.
1.1 Nouveautés de la version 6
ESET Cyber Security version 6 contient les mises à jour et les améliorations suivantes :
· Antihameçonnage : empêche les faux sites Web dont l'apparence est identique à celle de sites Web fiables de récupérer vos
informations personnelles.
· Mises à jour du système : ESET Cyber Security version 6 comprend différents correctifs et améliorations, notamment des
notifications concernant les mises à jour du système d'exploitation. Pour en savoir plus, consultez la section Mises à jour du
système 24 .
· États de protection : masque les notifications de l'écran État de la protection (Protection de la messagerie désactivée ou
Redémarre de l'ordinateur nécessaire, par exemple).
· Supports à analyser : certains types de support peuvent être exclus de l'analyseur en temps réel (lecteurs locaux, supports
amovibles, supports réseau).
1.2 Configuration système
Pour garantir des performances optimales avec ESET Cyber Security, le système doit au moins répondre à la configuration
suivante :
Configuration système
Architecture du processeur Intel 32 bits, 64 bits
Système d'exploitation
macOS 10.6 ou version ultérieure
Mémoire
300 Mo
Espace disque disponible
200 Mo
5
2. Installation
Avant de commencer l'installation, fermez tous les programmes ouverts sur votre ordinateur. ESET Cyber Security contient des
composants qui peuvent entrer en conflit avec les autres programmes antivirus qui sont peut-être installés sur votre ordinateur.
ESET recommande vivement de supprimer les autres programmes antivirus afin d'éviter tout problème éventuel.
Pour lancer l'assistant d'installation, effectuez l'une des opérations suivantes :
· Si vous effectuez l'installation à partir du CD/DVD d'installation, installez-le dans le lecteur, ouvrez-le à partir du Bureau ou
depuis le Finder, puis double-cliquez sur l'icône Installer.
· Si vous effectuez l'installation depuis un fichier que vous avez téléchargé du site ESET, ouvrez ce fichier et double-cliquez sur
l'icône Installer.
L'assistant d'installation vous accompagne pendant le processus. Pendant la première phase de l'installation, le programme
d'installation recherchera automatiquement la dernière version du produit en ligne. S'il détecte une version plus récente, vous
pourrez télécharger la dernière version avant de poursuivre l'installation.
Après avoir accepté les termes du contrat de licence de l'utilisateur final, vous devrez choisir l'un des modes d'installation
suivants :
· Installation standard 6
· Installation personnalisée 7
2.1 Installation standard
Le mode d'installation standard comprend des options de configuration qui correspondent à la plupart des utilisateurs. Ces
paramètres offrent une sécurité maximale tout en permettant de conserver d'excellentes performances système. L'installation
standard est l'option par défaut qui est recommandée si vous n'avez pas d'exigence particulière pour certains paramètres.
ESET Live Grid
Le système d'alerte anticipé Live Grid veille à ce qu'ESET soit immédiatement et continuellement informé des nouvelles infiltrations
afin de protéger rapidement nos clients. Ce système permet de soumettre de nouvelles menaces au laboratoire d'ESET, où elles sont
analysées et traitées. L'option Activer ESET Live Grid (recommandé) est sélectionnée par défaut. Cliquez sur Configuration pour
modifier les paramètres détaillés de soumission des fichiers suspects. Pour plus d'informations, reportez-vous à la section Live
Grid 29 .
Applications potentiellement indésirables
La dernière étape de l'installation consiste à configurer la détection des applications potentiellement indésirables. De tels
programmes ne sont pas nécessairement malveillants, mais peuvent avoir une incidence négative sur le comportement du système
d'exploitation. Ces applications sont souvent associées à d'autres programmes et peuvent être difficiles à remarquer lors de
l'installation. Ces applications affichent habituellement une notification pendant l'installation, mais elles peuvent facilement
s'installer sans votre consentement.
Après l'installation de ESET Cyber Security, vous devez effectuer une analyse de l'ordinateur afin de rechercher tout code
malveillant éventuel. Dans la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur, puis sur Analyse intelligente.
6
Pour plus d'informations sur l'analyse de l'ordinateur à la demande, reportez-vous à la section Analyse de l'ordinateur à la
demande 14 .
2.2 Installation personnalisée
Le mode d'installation personnalisée est destiné aux utilisateurs expérimentés qui souhaitent modifier les paramètres avancés
pendant l'installation.
Serveur proxy
Si vous utilisez un serveur proxy, vous pouvez définir ses paramètres en sélectionnant l'option J'utilise un serveur proxy. Dans la
fenêtre suivante, entrez l'adresse IP ou l'adresse URL de votre serveur proxy dans le champ Adresse. Dans le champ Port, spécifiez
le port sur lequel le serveur proxy accepte les connexions (3128 par défaut). Si le serveur proxy exige une authentification,
saisissez un nom d'utilisateur et un mot de passe pour accorder l'accès au serveur proxy. Si vous n'utilisez pas de serveur proxy,
sélectionnez l'option Je n'utilise pas de serveur proxy. Si vous ne savez pas si vous utilisez un serveur proxy ou non, vous pouvez
utiliser vos paramètres système en cours en sélectionnant l'option Utiliser les paramètres système (recommandée).
Privilèges
Dans l'étape suivante, vous pouvez définir les utilisateurs ou groupes privilégiés qui pourront modifier la configuration du
programme. Dans la liste des utilisateurs figurant à gauche, sélectionnez les utilisateurs et l'option Ajouter pour les ajouter à la
liste Utilisateurs privilégiés. Pour afficher tous les utilisateurs du système, sélectionnez Afficher tous les utilisateurs. Si la liste
Utilisateurs privilégiés est vide, tous les utilisateurs sont considérés comme étant privilégiés.
ESET Live Grid
Le système d'alerte anticipé Live Grid veille à ce qu'ESET soit immédiatement et continuellement informé des nouvelles infiltrations
afin de protéger rapidement nos clients. Ce système permet de soumettre de nouvelles menaces au laboratoire d'ESET, où elles sont
analysées et traitées. L'option Activer ESET Live Grid (recommandé) est sélectionnée par défaut. Cliquez sur Configuration... pour
modifier les paramètres détaillés de soumission des fichiers suspects. Pour plus d'informations, reportez-vous à la section Live
Grid 29 .
Applications potentiellement indésirables
L'étape suivante de l'installation consiste à configurer la détection des applications potentiellement indésirables. De tels
programmes ne sont pas nécessairement malveillants, mais peuvent avoir une incidence négative sur le comportement du système
d'exploitation. Ces applications sont souvent associées à d'autres programmes et peuvent être difficiles à remarquer lors de
l'installation. Ces applications affichent habituellement une notification pendant l'installation, mais elles peuvent facilement
s'installer sans votre consentement.
Après l'installation de ESET Cyber Security, vous devez effectuer une analyse de l'ordinateur afin de rechercher tout code
malveillant éventuel. Dans la fenêtre principale du programme, cliquez sur Analyse de l'ordinateur, puis sur Analyse intelligente.
Pour plus d'informations sur l'analyse de l'ordinateur à la demande, reportez-vous à la section Analyse de l'ordinateur à la
demande 14 .
7
3. Activation de produit
Après l'installation, la fenêtre Activation du produit s'affiche automatiquement. Pour accéder à tout moment à la boîte de dialogue
d'activation du produit, cliquez sur l'icône ESET Cyber Security dans la barre de menus macOS (en haut de l'écran), puis sur
Activation du produit....
· Clé de licence : chaîne unique au format XXXX-XXXX-XXXX-XXXX-XXXX ou XXXX-XXXXXXXX qui sert à identifier le propriétaire de
la licence et à activer cette dernière. Si vous avez acheté une version boîte du produit, activez votre produit à l'aide d'une clé de
licence. Elle se trouve généralement à l'intérieur du coffret ou au dos de celui-ci.
· Nom d'utilisateur et mot de passe : si vous disposez d'un nom d'utilisateur et d'un mot de passe et si vous ne savez pas
comment activer ESET Cyber Security, cliquez sur Je dispose d'un nom d'utilisateur et d'un mot de passe. Que dois-je faire ?. Vous
êtes alors redirigé vers my.eset.com où vous pouvez convertir vos informations d'identification en clé de licence.
· Test BÊTA gratuit : sélectionnez cette option si vous souhaitez évaluer ESET Cyber Security avant de l'acheter. Indiquez votre
adresse électronique pour activer ESET Cyber Security pendant un laps de temps limité. La licence d'essai vous sera envoyée par
courrier électronique. Les licences d'essai ne peuvent être activées qu'une seule fois par client.
· Acheter une licence : si vous n'avez pas de licence et souhaitez en acheter une, cliquez sur Acheter une licence. Cette opération
vous redirigera vers le site Web de votre distributeur ESET local.
· Activer ultérieurement : cliquez sur cette option si vous ne souhaitez pas procéder à l'activation pour l'instant.
8
4. Désinstallation
Pour désinstaller ESET Cyber Security, effectuez l'une des opérations suivantes :
· insérez le CD/DVD d'installation ESET Cyber Security dans votre ordinateur, ouvrez-le à partir du Bureau ou de la fenêtre Finder,
puis double-cliquez sur Désinstaller,
· ouvrez le fichier d'installation de ESET Cyber Security (.dmg) et double-cliquez sur Désinstaller,
· lancez le Finder, ouvrez le dossier Applications sur le disque dur, appuyez sur CTRL et cliquez sur l'icône ESET Cyber Security,
puis sélectionnez l'option d'affichage du contenu du paquet. Ouvrez le dossier Contents > Helpers, puis double-cliquez sur
l'icône Uninstaller.
9
5. Brève présentation
La fenêtre principale de ESET Cyber Security est divisée en deux sections principales. La fenêtre principale de droite affiche les
informations correspondant à l'option sélectionnée dans le menu principal à gauche.
Les sections suivantes sont accessibles à partir du menu principal :
Accueil : fournit des informations sur l'état de protection de votre ordinateur, d'Internet et de la messagerie.
Analyse de l'ordinateur : cette section permet de configurer et de lancer l'analyse de l'ordinateur à la demande 14 .
Mise à jour : affiche des informations sur les mises à jour des modules de détection.
Configuration : sélectionnez cette section pour ajuster le niveau de sécurité de votre ordinateur.
Outils : permet d'accéder aux fichiers journaux 25 , au planificateur 26 , à la quarantaine 28 , aux processus en cours 28 et à
d'autres fonctions du programme.
· Aide : permet d'accéder aux fichiers d'aide, à la base de connaissances sur Internet, au formulaire de demande d'assistance et à
d'autres informations sur le programme.
·
·
·
·
·
5.1 Raccourcis clavier
Raccourcis clavier disponibles avec ESET Cyber Security :
· cmd+, : affiche les préférences de ESET Cyber Security.
· cmd+O : redimensionne la fenêtre de l'interface utilisateur graphique principale de ESET Cyber Security pour lui redonner sa
taille par défaut et la place au centre de l'écran.
· cmd+Q : masque la fenêtre principale de ESET Cyber Security. Vous pouvez l'ouvrir en cliquant sur l'icône ESET Cyber Security
dans la barre de menus macOS (en haut de l'écran),
· cmd+W : ferme la fenêtre principale de ESET Cyber Security.
Les raccourcis clavier suivants ne fonctionnent que si l'option Utiliser le menu standard est activée sous Configuration > Saisie des
préférences de l'application... > Interface :
· cmd+alt+L : ouvre la fenêtre Fichiers journaux.
· cmd+alt+S : ouvre la fenêtre Planificateur.
· cmd+alt+Q : ouvre la fenêtre Quarantaine.
10
5.2 Vérification de l'état de la protection
Pour afficher l'état de la protection, cliquez sur Accueil dans le menu principal. La fenêtre principale affiche un résumé de l'état de
fonctionnement des modules de ESET Cyber Security.
5.3 Que faire lorsque le programme ne fonctionne pas correctement ?
Lorsqu'un module fonctionne correctement, une icône verte s'affiche. Dans le cas contraire, un point d'exclamation rouge ou une
icône de notification orange apparaît. Des informations supplémentaires sur le module et une suggestion de solution du problème
sont alors présentées. Pour changer l'état des différents modules, cliquez sur le lien bleu affiché sous chaque message de
notification.
Si vous ne parvenez pas à résoudre le problème à l'aide des solutions suggérées, vous pouvez chercher une autre solution dans la
base de connaissances ESET ou contacter le Service client ESET. Ce dernier répondra rapidement à vos questions et vous aidera à
trouver une solution.
11
6. Protection de l'ordinateur
La configuration de l'ordinateur se trouve sous Configuration > Ordinateur. Elle affiche l'état de la protection en temps réel du
système de fichiers et du blocage des supports amovibles. Pour désactiver des modules individuels, réglez le bouton du module en
question sur DÉSACTIVÉ. Notez que cela peut réduire le niveau de protection de votre ordinateur. Pour accéder aux paramètres
détaillés de chaque module, cliquez sur Configuration....
6.1 Protection antivirus et antispyware
La protection antivirus protège des attaques contre le système en modifiant les fichiers représentant des menaces potentielles. Si
une menace comportant du code malveillant est détectée, le module Antivirus peut l'éliminer en la bloquant. Il peut ensuite la
nettoyer, la supprimer ou la placer en quarantaine.
6.1.1 Général
Dans la section Général (Configuration > Saisie des préférences de l'application... > Général), vous pouvez activer la détection des
types d'applications suivants :
· Applications potentiellement indésirables : ces applications ne sont pas nécessairement malveillantes, mais elles peuvent avoir
une incidence négative sur les performances de votre ordinateur. L'installation de ces applications nécessite généralement
l'accord de l'utilisateur. Si elles sont présentes sur votre ordinateur, votre système se comporte différemment (par rapport à son
état antérieur à l'installation de ces applications). Les changements les plus significatifs concernent l'affichage indésirable de
fenêtres contextuelles, l'activation et l'exécution de processus cachés, l'augmentation de l'utilisation des ressources système,
les changements dans les résultats de recherche et les applications communiquant avec des serveurs distants.
· Applications potentiellement dangereuses : cette appellation fait référence à des logiciels commerciaux légitimes qui peuvent
être mis à profit par des pirates, s'ils ont été installés à l'insu de l'utilisateur. Cette classification inclut des programmes tels
que des outils d'accès à distance. Pour cette raison, cette option est désactivée par défaut.
· Applications suspectes : ces applications comprennent les programmes compressés à l'aide d'empaqueteurs ou de protecteurs.
Ces types de protecteurs sont souvent exploités par les auteurs de logiciels malveillants, afin d'échapper à la détection. Un
empaqueteur est un programme exécutable compressé auto-extractible qui regroupe plusieurs sortes de logiciels malveillants
dans une seule archive. Les empaqueteurs les plus courants sont au format UPX, PE_Compact, PKLite ou ASPack. Un même
logiciel malveillant peut être détecté différemment suivant l'empaqueteur dans lequel il est compressé. Les empaqueteurs ont
également la possiblité de modifier leur « signature » au fil du temps, rendant ainsi le logiciel malveillant plus difficile à
détecter et à supprimer.
Pour configurer le système de fichiers ou les exclusions Web et messagerie
12 , cliquez
sur le bouton Configuration....
6.1.1.1 Exclusions
Dans la section Exclusions, vous pouvez exclure de l'analyse certains fichiers/dossiers, applications ou adresses IP/IPv6.
Les fichiers et les dossiers répertoriés dans l'onglet Système de fichiers seront exclus de tous les analyseurs : au démarrage, en
temps réel et à la demande (analyse de l'ordinateur).
· Chemin : chemin d'accès aux fichiers et dossiers exclus.
· Menace : si le nom d'une menace figure en regard d'un fichier exclu, cela signifie que ce fichier n'est exclu que pour cette
menace spécifique : il n'est pas exclu complètement. Si le fichier est infecté ultérieurement par un autre logiciel malveillant, il
est détecté par le module antivirus.
·
: crée une exclusion. Saisissez le chemin d'accès à l'objet (vous pouvez également utiliser les caractères génériques * et ?)
ou sélectionnez le dossier ou le fichier dans la structure arborescente.
·
: supprime les entrées sélectionnées.
· Par défaut : annule toutes les exclusions.
Dans l'onglet Web et messagerie, il est possible d'exclure certaines applications ou adresses IP/IPv6 de l'analyse des protocoles.
12
6.1.2 Protection au démarrage
La vérification des fichiers de démarrage analyse automatiquement les fichiers lors du démarrage du système. Par défaut, cette
analyse s'exécute régulièrement à intervalles planifiés, après la connexion d'un utilisateur ou une mise à jour des modules de
détection. Pour modifier les réglages des paramètres du moteur ThreatSense applicables à l'analyse au démarrage, cliquez sur le
bouton Configuration. Vous trouverez dans cette section 16 des informations complémentaires sur la configuration du moteur
ThreatSense.
6.1.3 Protection en temps réel du système de fichiers
La protection en temps réel du système de fichiers vérifie tous les types de supports et déclenche une analyse en fonction de
différents événements. La protection en temps réel du système de fichiers utilise la technologie ThreatSense (décrite dans la
section Configuration des paramètres du moteur ThreatSense 16 ) et peut être différente pour les nouveaux fichiers et les fichiers
existants. Les fichiers nouvellement créés peuvent être plus précisément contrôlés.
Par défaut, tous les fichiers sont analysés à l'ouverture, à la création ou à l'exécution. Il est recommandé de conserver les
paramètres par défaut, car ils offrent le niveau maximal de protection en temps réel pour votre ordinateur. La protection en temps
réel est lancée au démarrage du système, assurant ainsi une analyse ininterrompue. Dans certains cas (par exemple, en cas de
conflit avec un autre analyseur en temps réel), il est possible de mettre fin à la protection en temps réel en cliquant sur l'icône
ESET Cyber Security dans la barre de menus (en haut de l'écran) et en sélectionnant l'option Désactiver la protection en temps
réel du système de fichiers. Il est également possible de désactiver la protection en temps réel du système de fichiers depuis la
fenêtre principale du programme (sélectionnez Configuration > Ordinateur et réglez Protection en temps réel du système de
fichiers sur DÉSACTIVÉ).
Les types de support suivants peuvent être exclus de l'analyseur Real-time :
· Disques locaux : disques durs système
· Supports amovibles : CD, DVD, périphériques USB, périphériques Bluetooth, etc.
· Supports réseau : tous les lecteurs mappés
Il est recommandé d'utiliser les paramètres par défaut et de ne modifier les exclusions d'analyse que dans des cas spécifiques,
par exemple lorsque l'analyse de certains supports ralentit de manière significative les transferts de données.
Pour modifier les paramètres avancés de la protection en temps réel du système de fichiers, sélectionnez Configuration > Saisie des
préférences de l'application... (ou appuyez sur cmd+,) > Protection en temps réel et cliquez sur l'option Configuration... située en
regard de l'option Options avancées (reportez-vous à la section Options d'analyse avancées 13 ).
6.1.3.1 Options avancées
Dans cette fenêtre, vous pouvez définir quels types d'objet sont analysés par le moteur ThreatSense. Pour plus d'informations sur
les archives auto-extractibles, les fichiers exécutables compressés et l'heuristique avancée, reportez-vous à la section
Configuration des paramètres du moteur ThreatSense 17 .
Il n'est pas recommandé d'apporter des modifications dans la section Paramètres d'archive par défaut, à moins que vous n'ayez
besoin de résoudre un problème spécifique, car l'augmentation des valeurs d'imbrication des archives peut avoir une incidence
sur les performances.
Paramètres ThreatSense pour les fichiers exécutés : par défaut, l'heuristique avancée est utilisée lors de l'exécution des fichiers. Il
est vivement recommandé de conserver les options Optimisation intelligente et ESET Live Grid activées pour limiter l'impact sur les
performances système.
Augmenter la compatibilité des volumes réseau : cette option optimise les performances lors de l'accès aux fichiers sur le réseau.
Elle doit être activée si des ralentissements se produisent lors de l'accès aux lecteurs réseau. Cette fonctionnalité utilise le
coordinateur de fichiers système sur macOS 10.10 et version ultérieure. Sachez que toutes les applications ne prennent pas en
charge le coordinateur de fichiers ; par exemple Microsoft Word 2011 ne le prend pas en charge, contrairement à Word 2016.
6.1.3.2 Quand faut-il modifier la configuration de la protection en temps réel ?
La protection en temps réel est le composant essentiel de la sécurisation du système à l'aide de ESET Cyber Security. Procédez avec
prudence lorsque vous modifiez les paramètres de protection en temps réel. Il est recommandé de ne modifier ces paramètres que
dans des cas très précis. Vous pouvez les modifier par exemple lorsqu'il y a conflit avec une autre application.
Après l'installation de ESET Cyber Security, tous les paramètres sont optimisés pour garantir le niveau maximum de système de
sécurité aux utilisateurs. Pour restaurer les paramètres par défaut, cliquez sur Par défaut dans la partie inférieure gauche de la
fenêtre Protection en temps réel (Configuration > Saisie des préférences de l'application... > Protection en temps réel).
13
6.1.3.3 Vérification de la protection en temps réel
Pour vérifier que la protection en temps réel fonctionne et qu'elle détecte les virus éventuels, téléchargez le fichier de test
eicar.com et vérifiez que ESET Cyber Security l'identifie en tant que menace. Ce fichier de test est un fichier inoffensif particulier
qui est détectable par tous les programmes antivirus. Le fichier a été créé par l'institut EICAR (European Institute for Computer
Antivirus Research) pour tester la fonctionnalité des programmes antivirus.
6.1.3.4 Que faire si la protection en temps réel ne fonctionne pas ?
Dans ce chapitre, nous décrivons des problèmes qui peuvent survenir lors de l'utilisation de la protection en temps réel et la
façon de les résoudre.
La protection en temps réel est désactivée
Si la protection en temps réel est désactivée par inadvertance par un utilisateur, elle doit être réactivée. Pour réactiver la
protection en temps réel, dans le menu principal, cliquez sur Configuration > Ordinateur et réglez l'option Protection en temps
réel du système de fichiers sur ACTIVÉ. Vous pouvez également activer la protection en temps réel du système de fichiers dans la
fenêtre des préférences de l'application : sous Protection en temps réel, sélectionnez Activer la protection en temps réel du
système de fichiers.
La protection en temps réel ne détecte et ne nettoie pas les infiltrations
Assurez-vous qu'aucun autre programme antivirus n'est installé sur votre ordinateur. Si deux programmes de protection en temps
réel sont activés en même temps, il peut y avoir un conflit entre les deux. Il est recommandé de désinstaller tout autre antivirus de
votre système.
La protection en temps réel ne démarre pas
Si la protection en temps réel n'est pas initialisée au démarrage du système, cela peut provenir de conflits avec d'autres
programmes. Dans ce cas, contactez le service client ESET.
6.1.4 Analyse de l'ordinateur à la demande
Si vous pensez que votre ordinateur peut être infecté (en raison d'un comportement anormal), exécutez une analyse intelligente
pour rechercher d'éventuelles infiltrations. Pour une protection maximum, les analyses d'ordinateur doivent être exécutées
régulièrement dans le cadre de mesures de sécurité de routine. Elles ne doivent pas être exécutées uniquement lorsqu'une
infection est suspectée. Une analyse régulière peut détecter des infiltrations non détectées par l'analyseur en temps réel au
moment de leur enregistrement sur le disque. Cela peut se produire si l'analyseur en temps réel est désactivé au moment de
l'infection ou si les modules de détection ne sont plus à jour.
Nous recommandons d'exécuter une analyse de l'ordinateur à la demande au moins une fois par mois. L'analyse peut être
configurée comme tâche planifiée dans Outils > Planificateur.
14
Nous recommandons d'exécuter une analyse de l'ordinateur à la demande au moins une fois par mois. L'analyse peut être
configurée comme tâche planifiée dans Outils > Planificateur.
Vous pouvez également faire glisser les fichiers et dossiers sélectionnés sur votre Bureau ou dans la fenêtre du Finder et les faire
glisser dans l'écran principal de ESET Cyber Security, sur l'icône du Dock, de la barre de menus (en haut de l'écran) ou de
l'application (dans le dossier /Applications).
6.1.4.1 Type d'analyse
Deux types d'analyses de l'ordinateur à la demande sont disponibles. L'analyse intelligente analyse le système sans exiger de
configuration plus précise des paramètres d'analyse. L'analyse personnalisée permet de sélectionner l'un des profils d'analyse
prédéfinis, ainsi que de choisir des cibles spécifiques à analyser.
6.1.4.1.1 Analyse intelligente
L'analyse intelligente permet de lancer rapidement une analyse de l'ordinateur et de nettoyer les fichiers infectés sans
intervention de l'utilisateur. Elle présente l'avantage d'être facile à utiliser, sans aucune configuration d'analyse détaillée.
L'analyse intelligente vérifie tous les fichiers de tous les dossiers, et nettoie ou supprime automatiquement les infiltrations
détectées. Le niveau de nettoyage est automatiquement réglé sur sa valeur par défaut. Pour plus d'informations sur les types de
nettoyage, reportez-vous à la section Nettoyage 17 .
6.1.4.1.2 Analyse personnalisée
L'analyse personnalisée est la solution optimale si vous souhaitez spécifier des paramètres d'analyse tels que les cibles et les
méthodes d'analyse. Elle permet en effet de configurer les paramètres avec grande précision. Les configurations peuvent être
enregistrées sous forme de profils d'analyse définis par l'utilisateur, utiles pour effectuer régulièrement une analyse avec les
mêmes paramètres.
Pour sélectionner des cibles à analyser, sélectionnez Analyse de l'ordinateur > Analyse personnalisée, puis des cibles à analyser
spécifiques dans l'arborescence. Une cible à analyser peut également être spécifiée plus précisément : vous devez indiquer le
chemin d'accès au dossier ou aux fichiers à inclure. Si vous souhaitez uniquement effectuer une analyse du système sans ajouter
d'actions de nettoyage supplémentaires, sélectionnez Analyse sans nettoyage. Vous pouvez également choisir parmi trois niveaux
de nettoyage en cliquant sur Configuration... > Nettoyage.
REMARQUE : L'exécution d'analyses personnalisées est recommandée pour les utilisateurs chevronnés qui maîtrisent l'utilisation
de programmes antivirus.
6.1.4.2 Cibles à analyser
La structure arborescente des cibles à analyser permet de sélectionner les fichiers et dossiers à soumettre à l'analyse antivirus.
Les dossiers peuvent également être sélectionnés en fonction des paramètres du profil.
Une cible à analyser peut aussi être définie plus précisément en entrant le chemin du dossier ou des fichiers à inclure dans
l'analyse. Sélectionnez les cibles dans la structure arborescente qui répertorie tous les dossiers disponibles sur l'ordinateur en
cochant la case qui correspond à un fichier ou un dossier donné.
15
6.1.4.3 Profils d'analyse
Vos paramètres d'analyse préférés peuvent être enregistrés pour les prochaines analyses. Il est recommandé de créer autant de
profils (avec différentes cibles et méthodes, et d'autres paramètres d'analyse) que d'analyses utilisées régulièrement.
Pour créer un profil, sélectionnez dans le menu principal Configuration > Saisie des préférences de l'application... (ou appuyez sur
cmd+,) > Analyse de l'ordinateur et cliquez sur l'option Modifier... en regarde de la liste des profils en cours.
Pour plus d'informations sur la création d'un profil d'analyse, reportez-vous à la section Configuration des paramètres du moteur
ThreatSense 16 ; vous y trouverez une description de chaque paramètre de configuration de l'analyse.
Exemple : Supposons la situation suivante : vous souhaitez créer votre propre profil d'analyse, la configuration d'analyse
intelligente est partiellement adéquate, mais vous ne souhaitez analyser ni les fichiers exécutables compressés, ni les
applications potentiellement dangereuses. Vous souhaitez effectuer un nettoyage strict. Dans la fenêtre Liste des profils de
l'analyseur à la demande, saisissez le nom du profil, cliquez sur le bouton Ajouter et confirmez en cliquant sur OK. Réglez ensuite
les paramètres pour qu'ils correspondent à vos besoins en configurant les options Moteur ThreatSense et Cibles à analyser.
Si vous souhaitez désactiver le système d'exploitation et mettre l'ordinateur hors tension une fois l'analyse à la demande
terminée, utilisez l'option Arrêter l'ordinateur après l'analyse.
6.1.5 Configuration des paramètres du moteur ThreatSense
ThreatSense est une technologie ESET exclusive, constituée de plusieurs méthodes complexes de détection des menaces. Cette
technologie est proactive : elle fournit une protection dès les premières heures de propagation d'une nouvelle menace. Elle utilise
une combinaison de plusieurs méthodes (analyse de code, émulation de code, signatures génériques, etc.) qui se conjuguent pour
améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler plusieurs flux de données
simultanément, optimisant ainsi l'efficacité et le taux de détection. La technologie ThreatSense parvient également à bloquer les
rootkits.
Les options de configuration de la technologie ThreatSense permettent de spécifier plusieurs paramètres d'analyse :
· les types de fichiers et les extensions à analyser ;
· la combinaison de plusieurs méthodes de détection ;
· les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur Configuration > Saisie des préférences de l'application (ou appuyez sur cmd+,),
puis cliquez sur le bouton Configuration du moteur ThreatSense situé dans les modules Protection au démarrage, Protection en
temps réel et Analyse de l'ordinateur, qui utilisent tous la technologie ThreatSense (voir ci-dessous). Chaque scénario de sécurité
peut exiger une configuration différente. ThreatSense est configurable individuellement pour les modules de protection suivants :
·
·
·
·
·
16
Protection au démarrage : vérification automatique des fichiers de démarrage
Protection en temps réel : protection en temps réel du système de fichiers
Analyse de l'ordinateur : analyse de l'ordinateur à la demande
Protection de l'accès Web
Protection de la messagerie
Les paramètres ThreatSense sont optimisés pour chaque module et leur modification peut avoir une incidence significative sur le
fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser les fichiers exécutables compressés
ou pour activer l'analyse heuristique avancée dans le module de protection en temps réel du système de fichiers, vous pouvez
dégrader les performances du système. Il est donc recommandé de ne pas modifier les paramètres ThreatSense par défaut pour
tous les modules, à l'exception du module Analyse de l'ordinateur.
6.1.5.1 Objets
La section Objets permet de définir les fichiers qui vont faire l'objet d'une recherche d'infiltrations.
· Liens symboliques : (analyse de l'ordinateur uniquement) analyse les fichiers qui contiennent une chaîne de texte interprétée par
le système d'exploitation comme un chemin d'accès à un autre fichier ou répertoire.
· Fichiers de messagerie : (non disponible dans la protection en temps réel) analyse les fichiers de messagerie.
· Boîtes aux lettres : (non disponible dans la protection en temps réel) analyse les boîtes aux lettres de l'utilisateur stockées dans
le système. L'utilisation inadéquate de cette option peut provoquer des conflits avec votre client de messagerie. Pour en savoir
plus sur les avantages et les inconvénients de cette option, reportez-vous à cet article de base de connaissances.
· Archives : (non disponible dans la protection en temps réel) analyse les fichiers compressés dans les archives
(.rar, .zip, .arj, .tar, etc.).
· Archives auto-extractibles : (non disponible dans la protection en temps réel) analyse les fichiers contenus dans des fichiers
d'archives auto-extractibles.
· Fichiers exécutables compressés : contrairement aux types d'archives standard, les fichiers exécutables compressés sont
décompressés en mémoire. Lorsque cette option est sélectionnée, les fichiers exécutables compressés statiques standard (ex. :
UPX, yoda, ASPack, FGS) sont également analysés.
6.1.5.2 Options
Dans la section Options, vous pouvez sélectionner les méthodes utilisées lors d'une analyse du système. Les options disponibles
sont les suivantes :
· Heuristique : l'heuristique est un algorithme qui analyse l'activité (malveillante) des programmes. La détection heuristique
présente l'avantage de détecter les nouveaux logiciels malveillants qui n'existaient pas auparavant.
· Heuristique avancée : cette option utilise un algorithme heuristique unique développé par ESET et optimisé pour la détection de
vers informatiques et de chevaux de Troie écrits dans des langages de programmation de haut niveau. L'heuristique avancée
améliore de manière significative la capacité de détection du programme.
6.1.5.3 Nettoyage
Les paramètres de nettoyage déterminent la façon dont l'analyseur nettoie les fichiers infectés. Trois niveaux de nettoyage sont
possibles :
· Pas de nettoyage : les fichiers infectés ne sont pas nettoyés automatiquement. Le programme affiche une fenêtre d'alerte et
permet à l'utilisateur de choisir une action.
· Nettoyage standard : le programme essaie de nettoyer ou de supprimer automatiquement tout fichier infecté. S'il n'est pas
possible de sélectionner automatiquement l'action requise, le programme propose une sélection d'actions de suivi. Cette
sélection s'affiche également si une action prédéfinie ne peut pas être menée à bien.
· Nettoyage strict : le programme nettoie ou supprime tous les fichiers infectés (y compris les archives). Les seules exceptions
sont les fichiers système. S'il n'est pas possible de nettoyer un fichier, vous recevez une notification et êtes invité à sélectionner
le type d'action à exécuter.
Avertissement : dans le mode de nettoyage standard par défaut, les fichiers d'archive ne sont entièrement supprimés que si tous
les fichiers qu'ils contiennent sont infectés. Si une archive contient des fichiers valides et des fichiers infectés, elle n'est pas
supprimée. Si un fichier d'archive infecté est détecté dans le mode Nettoyage strict, le fichier entier est supprimé, même s'il
contient également des fichiers intacts.
6.1.5.4 Exclusions
L'extension est la partie du nom d'un fichier située après le point. Elle définit le type et le contenu d'un fichier. Cette section de la
configuration des paramètres ThreatSense vous permet de définir les types de fichiers à exclure de l'analyse.
Par défaut, tous les fichiers sont analysés, quelle que soit leur extension. Toutes les extensions peuvent être ajoutées à la liste des
fichiers exclus de l'analyse. Les boutons
et
permettent d'activer ou d'empêcher l'analyse d'extensions spécifiques.
L'exclusion de certains fichiers de l'analyse peut être utile si l'analyse de ces fichiers provoque un dysfonctionnement du
programme. Par exemple, il peut être judicieux d'exclure les extensions log, cfg et tmp. Le format correct de saisie des extensions
de fichiers est le suivant :
log
cfg
tmp
17
6.1.5.5 Limites
La section Limites permet de spécifier la taille maximale des objets et les niveaux d'imbrication des archives à analyser :
· Taille maximale : définit la taille maximum des objets à analyser. Une fois la taille maximale définie, le module antivirus
analysera uniquement les objets dont la taille est inférieure à la taille spécifiée. Cette option ne doit être modifiée que par des
utilisateurs chevronnés ayant des raisons très précises d'exclure de l'analyse les objets plus volumineux.
· Durée maximale d'analyse : définit la durée maximum attribuée à l'analyse d'un objet. Si la valeur de ce champ a été définie par
l'utilisateur, le module antivirus cesse d'analyser un objet une fois ce temps écoulé, que l'analyse soit terminée ou non.
· Niveau d'imbrication maximal : indique la profondeur maximale d'analyse des archives. Il n'est pas recommandé de modifier la
valeur par défaut (10). Dans des circonstances normales, il n'y a aucune raison de le faire. Si l'analyse prend fin prématurément
en raison du nombre d'archives imbriquées, l'archive reste non vérifiée.
· Taille de fichiers maximale : cette option permet de spécifier la taille maximale (après extraction) des fichiers à analyser qui
sont contenus dans les archives. Si l'analyse prend fin prématurément en raison de cette limite, l'archive reste non vérifiée.
6.1.5.6 Autres
Activer l'optimisation intelligente
Lorsque l'option Optimisation intelligente est activée, les paramètres sont optimisés de manière à garantir le niveau d'analyse le
plus efficace sans compromettre la vitesse d'analyse. Les différents modules de protection proposent une analyse intelligente en
utilisant différentes méthodes. L'option Optimisation intelligente n'est pas définie de manière fixe dans le produit. L'équipe de
développement d'ESET Development Team met en œuvre en permanence de nouvelles modifications qui sont ensuite intégrées dans
ESET Cyber Security par l'intermédiaire de mises à jour régulières. Si l'option Optimisation intelligente est désactivée, seuls les
paramètres définis par l'utilisateur dans le noyau ThreatSense de ce module particulier sont appliqués lors de la réalisation
d'une analyse.
Analyser l'autre flux de données (analyseur à la demande uniquement)
Les autres flux de données (branchements de ressources/données) utilisés par le système de fichiers sont des associations de
fichiers et de dossiers invisibles pour les techniques ordinaires de détection de virus. De nombreuses infiltrations tentent d'éviter
la détection en se faisant passer pour d'autres flux de données.
6.1.6 Une infiltration est détectée
Des infiltrations peuvent atteindre le système à partir de différents points d'entrée : pages Web, dossiers partagés, courrier
électronique ou périphériques amovibles (USB, disques externes, CD, DVD, etc.).
Si votre ordinateur montre des signes d'infection par un logiciel malveillant (par exemple des ralentissement, des blocages
fréquents, etc.), nous vous recommandons d'effectuer les opérations suivantes :
1. Cliquez sur Analyse de l'ordinateur.
2. Cliquez sur Analyse intelligente (pour plus d'informations, reportez-vous à la section Analyse intelligente 15 ).
3. Lorsque l'analyse est terminée, consultez le journal pour connaître le nombre de fichiers analysés, infectés et nettoyés.
Si vous ne souhaitez analyser qu'une certaine partie de votre disque, cliquez sur Analyse personnalisée et sélectionnez les cibles à
analyser.
Pour donner un exemple général du traitement des infiltrations par ESET Cyber Security, supposons qu'une infiltration soit
détectée par la protection en temps réel du système de fichiers, qui utilise le niveau de nettoyage par défaut. La protection en
temps réel va tenter de nettoyer ou de supprimer le fichier. Si aucune action n'est prédéfinie pour le module de protection en temps
réel, vous êtes invité à sélectionner une option dans une fenêtre d'alerte. Généralement, les options Nettoyer, Supprimer et
Aucune action sont disponibles. Il n'est pas recommandé de sélectionner Aucune action, car les fichiers infectés seraient
conservés dans leur état infecté. Cette option concerne les situations où vous êtes sûr que le fichier est inoffensif et a été détecté
par erreur.
Nettoyage et suppression : utilisez le nettoyage si un fichier a été attaqué par un virus qui y a joint du code malveillant. Dans ce
cas, essayez d'abord de nettoyer le fichier infecté pour le restaurer dans son état d'origine. Si le fichier se compose uniquement de
code malveillant, il sera supprimé.
18
Suppression de fichiers dans des archives : en mode de nettoyage par défaut, l'archive complète n'est supprimée que si elle ne
contient que des fichiers infectés et aucun fichier sain. Autrement dit, les archives ne sont pas supprimées si elles contiennent
également des fichiers sains. Cependant, soyez prudent si vous choisissez un nettoyage strict : dans ce mode, l'archive est
supprimée si elle contient au moins un fichier infecté, quel que soit l'état des autres fichiers qu'elle contient.
6.2 Analyse et blocage de supports amovibles
ESET Cyber Security peut exécuter une analyse à la demande du support amovible introduit (CD, DVD, USB, périphérique iOS, etc.).
Les supports amovibles peuvent contenir du code malveillant et constituer un risque pour votre ordinateur. Pour bloquer des
supports amovibles, cliquez sur Configuration du blocage des supports (voir l'illustration ci-dessus) ou sur Configuration > Saisie
des préférences de l'application... > Supports dans la fenêtre principale du programme et sélectionnez Activer le blocage des
supports amovibles. Pour autoriser l'accès à certains types de supports, désélectionnez les volumes souhaités.
REMARQUE : Pour autoriser l'accès à un lecteur de CD-ROM externe connecté à votre ordinateur par le biais d'un câble USB,
désélectionnez l'option CD-ROM.
19
7. Antihameçonnage
Le terme hameçonnage (en anglais : phishing) définit une activité criminelle basée sur l'ingénierie sociale (c'est-à-dire la
manipulation des personnes pour leur soutirer des informations confidentielles). Le hameçonnage est souvent utilisé pour obtenir
l'accès à des données sensibles telles que des numéros de comptes bancaires, des numéros de cartes de paiement, des codes PIN
ou des noms d'utilisateur ainsi que leur mot de passe.
Nous vous recommandons de maintenir activé l'antihameçonnage (Configuration > Saisie des préférences de l'application... >
Protection Anti-Phishing). Toutes les attaques par hameçonnage potentielles en provenance de sites Web ou de domaines
référencés dans la base de logiciels malveillants d'ESET seront bloquées. Une notification d'avertissement sera également affichée
pour vous informer de l'attaque.
20
8. Protection Internet et de la messagerie
Pour accéder à la protection Internet et de la messagerie, cliquez dans le menu principal sur Configuration > Internet et
messagerie. Vous pouvez également accéder aux paramètres détaillés de chaque module en cliquant sur Configuration...
· Protection de l'accès Web : surveille la communication HTTP entre les navigateurs et les serveurs distants.
· Protection du client de messagerie : permet de contrôler la communication par courrier électronique effectuée via les
protocoles POP3 et IMAP.
· Protection Anti-Phishing : bloque les éventuelles attaques de hameçonnage en provenance de sites Web ou domaines
répertoriés dans la base de données ESET des logiciels malveillants.
8.1 Protection Web
La protection de l'accès Web surveille les communications entre les navigateurs Web et les serveurs distants et respecte les règles
du protocole HTTP (Hypertext Transfer Protocol).
Pour effectuer un filtrage Internet, définissez les numéros de port pour la communication HTTP
21
et/ou les adresses URL
21
.
8.1.1 Ports
L'onglet Ports permet de définir les numéros de port utilisés pour les communications HTTP. Par défaut, les numéros de port 80,
8080 et 3128 sont prédéfinis.
8.1.2 Listes d'URL
La section Listes d'URL permet de spécifier des adresses HTTP à bloquer, à autoriser ou à exclure du contrôle. Les sites Web
figurant dans la liste des adresses bloquées ne seront pas accessibles. Les sites Web répertoriés dans la liste des adresses
exclues sont accessibles sans recherche de code malveillant.
Pour réserver l'accès aux adresses URL figurant dans la liste des URL autorisées, sélectionnez l'option Limiter les adresses URL.
Pour activer une liste, sélectionnez l'option Activé située en regard du nom de la liste. Si vous souhaitez être averti lors de la
saisie d'une adresse figurant dans la liste courante, sélectionnez Notifiée.
Dans n'importe quelle liste, vous pouvez utiliser les symboles spéciaux * (astérisque) et ? (point d'interrogation). L'astérisque
remplace toute chaîne de caractères, tandis que le point d'interrogation remplace n'importe quel caractère. Soyez particulièrement
prudent dans la définition des adresses exclues, car la liste ne doit contenir que des adresses fiables et sûres. De même, il faut
veiller à utiliser correctement les symboles * et ? dans cette liste.
8.2 Protection de la messagerie
La protection de la messagerie permet de contrôler la communication par courrier électronique effectuée via les protocoles POP3
et IMAP. Lorsqu'il examine les messages entrants, le programme utilise toutes les méthodes d'analyse avancées comprises dans le
moteur d'analyse ThreatSense. L'analyse des communications suivant les protocoles POP3 et IMAP est indépendante du client de
messagerie utilisé.
Moteur ThreatSense : Configuration : la configuration avancée de l'analyseur de virus permet de configurer les cibles à analyser,
les méthodes de détection, etc. Cliquez sur Configuration pour afficher la fenêtre de configuration détaillée de l'analyseur.
Ajouter la notification à la note de bas de page du message : après l'analyse d'un message, une notification peut y être ajoutée avec
les résultats de l'analyse. Ne vous fiez pas aveuglément à ces notifications, car elles peuvent ne pas figurer dans des messages
HTML problématiques ou être contrefaites par certains virus. Les options suivantes sont disponibles :
· Jamais : aucune notification ne sera ajoutée.
· Courriers infectés uniquement : seuls les messages contenant des logiciels malveillants seront marqués comme vérifiés.
· Tous les courriers analysés : le programme ajoute une notification à chaque message analysé.
Ajouter une note à l'objet des messages infectés reçus et lus/envoyés : cochez cette case si vous souhaitez que la protection de la
messagerie ajoute un avertissement de virus au message infecté. Cette fonctionnalité permet un filtrage simple des messages
infectés. Elle augmente aussi le niveau de crédibilité vis-à-vis du destinataire et, en cas de détection d'une infiltration, elle fournit
des informations précieuses sur le niveau de menace d'un message ou d'un expéditeur donné.
Modèle ajouté à l'objet du courrier infecté : modifiez ce modèle pour changer le format du préfixe ajouté à l'objet d'un message
infecté.
21
Dans la partie inférieure de la fenêtre, vous pouvez également activer/désactiver la vérification de la communication par courrier
électronique effectuée via les protocoles POP3 et IMAP. Pour en savoir plus, reportez-vous aux rubriques suivantes :
· Vérification par protocole POP3 22
· Vérification par protocole IMAP 22
8.2.1 Vérification par protocole POP3
Le protocole POP3 est le protocole le plus répandu pour la réception de courrier électronique dans un client de messagerie. ESET
Cyber Security assure la protection de ce protocole quel que soit le client de messagerie utilisé.
Le module de protection assurant cette vérification est automatiquement lancé au démarrage du système et reste ensuite actif en
mémoire. Vérifiez que le module est activé pour que le filtrage des protocoles fonctionne correctement ; la vérification par
protocole POP3 est effectuée automatiquement sans qu'il soit nécessaire de reconfigurer le client de messagerie. Par défaut,
toutes les communications sur le port 110 sont analysées, mais vous pouvez y ajouter d'autres ports de communication au
besoin. Les numéros de ports doivent être séparés par des virgules.
Si l'option Activer la vérification par protocole POP3 est activée, tout le trafic POP3 fait l'objet d'un contrôle des logiciels
malveillants.
8.2.2 Vérification par protocole IMAP
Le protocole IMAP (Internet Message Access Protocol) est un autre protocole Internet destiné à la récupération de courrier
électronique. IMAP présente certains avantages par rapport à POP3. Il permet notamment la connexion simultanée de plusieurs
clients à la même boîte aux lettres et permet de conserver les informations d'état des messages telles que le fait de savoir si le
message a été lu, si une réponse a été envoyée ou s'il a été supprimé. ESET Cyber Security offre une protection pour ce protocole
quel que soit le client de messagerie utilisé.
Le module de protection assurant cette vérification est automatiquement lancé au démarrage du système et reste ensuite actif en
mémoire. Assurez-vous que la vérification par protocole IMAP est activée pour que le module fonctionne correctement ; le contrôle
du protocole IMAP est effectué automatiquement sans qu'il soit nécessaire de reconfigurer le client de messagerie. Par défaut,
toutes les communications sur le port 143 sont analysées, mais vous pouvez y ajouter d'autres ports de communication au
besoin. Les numéros de ports doivent être séparés par des virgules.
Si l'option Activer la vérification par protocole IMAP est activée, tout le trafic IMAP fait l'objet d'un contrôle des logiciels
malveillants.
22
9. Mettre à jour
Des mises à jour régulières de ESET Cyber Security sont nécessaires pour conserver le niveau maximum de sécurité. Le module de
mise à jour garantit que le programme est toujours à jour en téléchargeant les modules de détection les plus récents.
Cliquez sur Mettre à jour dans le menu principal pour afficher l'état actuel de la mise à jour de ESET Cyber Security, notamment la
date et l'heure de la dernière mise à jour. Vous pouvez également savoir si une mise à jour est nécessaire. Pour commencer le
processus de mise à jour manuellement, cliquez sur Mettre à jour les modules.
Dans des circonstances normales, lorsque des mises à jour sont correctement téléchargées, le message La mise à jour n'est pas
nécessaire : les modules installés sont à jour apparaîtra dans la fenêtre Mise à jour. Si les modules ne peuvent pas être mis à jour,
il est recommandé de vérifier les paramètres de mise à jour 23 . Cette erreur est généralement liée à la saisie incorrecte de
données d'authentification (nom d'utilisateur et mot de passe) ou à la configuration incorrecte des paramètres de connexion 32 .
La fenêtre Mise à jour contient également le numéro de version du moteur de détection. Le numéro de version est lié à la page web
d'ESET qui contient des informations sur la mise à jour du moteur de détection.
9.1 Configuration des mises à jour
Pour supprimer toutes les données de mise à jour stockées temporairement, cliquez sur le bouton Effacer situé en regard de
l'option Effacer le cache de mise à jour. Utilisez cette option si vous rencontrez des problèmes de mise à jour.
9.1.1 Options avancées
Pour désactiver les notifications affichées après chaque mise à jour, sélectionnez Ne pas afficher de notification de réussite des
mises à jour.
Activez le mode test pour télécharger des modules en cours de développement qui font l'objet de tests finaux. Les mises à jour des
versions précommerciales contiennent souvent des correctifs qui résolvent les problèmes du produit. L'option Mise à jour
reportée permet de télécharger les mises à jour quelques heures après leur publication pour s'assurer que les clients ne
recevront pas de mises à jour comportant des problèmes.
ESET Cyber Security enregistre des instantanés du moteur de détection et de modules du programme à utiliser avec la
fonctionnalité Restauration des mises à jour. Conservez l'option Créer des instantanés des fichiers de mise à jour activée pour
qu'ESET Cyber Security enregistre automatiquement ces instantanés. Si vous pensez qu'une mise à jour du module de détection
et/ou d'un module du programme est instable ou corrompue, vous pouvez utiliser la fonctionnalité de restauration pour restaurer
une version précédente et désactiver les mises à jour pendant une période donnée. Vous pouvez également activer les mises à jour
précédemment désactivées si vous les avez reportées indéfiniment. Lors de l'utilisation de la fonctionnalité Restauration des
mises à jour pour restaurer une mise à jour précédente, ayez recours au menu déroulant Définir la période d'interruption sur pour
spécifier la période d'interruption des mises à jour. Si vous sélectionnez jusqu'à révocation, les mises à jour normales ne
reprendront pas une fois que vous les aurez manuellement restaurées. Définissez la période d'interruption des mises à jour avec
précaution.
Définir automatiquement l'âge maximal de la base de données : permet de définir le délai maximal (en jour) au terme duquel les
modules de détection sont signalés comme étant obsolètes. La valeur par défaut est 7 jours.
9.2 Comment créer des tâches de mise à jour
Vous pouvez déclencher manuellement les mises à jour en cliquant sur Mettre à jour dans le menu principal, puis sur Mettre à
jour les modules.
Les mises à jour peuvent également être exécutées sous forme de tâches planifiées. Pour configurer une tâche planifiée, cliquez sur
Outils > Planificateur. Par défaut, les tâches suivantes sont activées dans ESET Cyber Security :
· Mise à jour automatique régulière
· Mise à jour automatique après ouverture de session utilisateur
Chacune des tâches de mise à jour peut être modifiée selon les besoins de l'utilisateur. Outre les tâches de mise à jour par défaut,
vous pouvez créer de nouvelles tâches avec votre propre configuration. Pour plus d'informations sur la création et la
configuration des tâches de mise à jour, reportez-vous à la section Planificateur 26 .
23
9.3 Mise à jour de ESET Cyber Security vers une nouvelle version
Pour bénéficier d'une protection maximale, il est important d'utiliser la dernière version de ESET Cyber Security. Pour rechercher
une nouvelle version, cliquez sur Accueil dans le menu principal. Si une nouvelle version est disponible, un message s'affiche.
Cliquez sur En savoir plus... pour afficher une nouvelle fenêtre contenant le numéro de la nouvelle version et la liste des
modifications.
Cliquez sur Oui pour télécharger la dernière version ou cliquez sur Pas maintenant pour fermer la fenêtre et télécharger la mise à
niveau ultérieurement.
Si vous cliquez sur Oui, le fichier est téléchargé dans le dossier des téléchargements (ou dans le dossier par défaut défini par votre
navigateur). Lorsque le téléchargement du fichier est terminé, lancez le fichier et suivez les instructions d'installation. Votre nom
d'utilisateur et votre mot de passe sont transférés automatiquement vers la nouvelle installation. Il est recommandé de vérifier
régulièrement si des mises à niveau sont disponibles, en particulier si vous installez ESET Cyber Security à partir d'un CD ou d'un
DVD.
9.4 Mises à jour du système
La fonctionnalité de mise à jour du système macOS est un composant important conçu pour protéger les utilisateurs des logiciels
malveillants. Pour une sécurité maximale, nous vous recommandons d'installer ces mises à jour dès qu'elles sont disponibles. En
fonction du niveau de sécurité que vous indiquez, ESET Cyber Security vous indiquera les mises à jour manquantes. Vous pouvez
ajuster les notifications de disponibilité des mises à jour dans Configuration > Saisie des préférences de l'application... (ou
appuyez sur cmd+,) > Alertes et notifications > Configuration... en modifiant les options Conditions d'affichage situées en regard de
l'option Mises à jour du système d'exploitation.
· Afficher toutes les mises à jour : une notification s'affiche dès qu'une mise à jour système est manquante
· Afficher uniquement les mises à jour recommandées : vous êtes informé des mises à jour recommandées uniquement
Si vous ne souhaitez pas être informé de l'absence de mises à jour, désélectionnez la case située à côté de Mises à jour du système
d'exploitation.
La fenêtre de notification présente les mises à jour disponibles pour le système d'exploitation macOS, ainsi que les applications
mises à jour par l'outil Software updates natif de macOS. Vous pouvez exécuter la mise à jour directement depuis la fenêtre de
notification ou à partir de la section Accueil de ESET Cyber Security en cliquant sur l'option d'installation des mises à jour
manquantes.
La fenêtre de notification contient le nom, la version, la taille et les propriétés (marqueurs) de l'application, ainsi que d'autres
informations sur les mises à jour disponibles. La colonne Marqueurs contient les informations suivantes :
· [recommended] : le fabricant du système d'exploitation recommande d'installer cette mise à jour pour améliorer la sécurité et
la stabilité du système.
· [restart] : l'ordinateur doit être redémarré après l'installation.
· [shutdown] : l'ordinateur doit être arrêté, puis redémarré après l'installation.
La fenêtre de notification indique les mises à jour récupérées par l'outil de ligne de commande 'softwareupdate'. Les mises à jour
récupérées par cet outil peuvent être différentes de celles affichées par l'application Software updates. Si vous souhaitez installer
toutes les mises à jour disponibles qui sont répertoriées dans la fenêtre des mises à jour système manquantes, vous devez utiliser
l'outil de ligne de commande 'softwareupdate'. Pour en savoir plus sur cet outil, consultez le manuel « softwareupdate » en
saisissant man softwareupdate dans une fenêtre de terminal. Cette option est recommandée uniquement pour les utilisateurs
chevronnés.
24
10. Outils
Le menu Outils contient des modules qui simplifient l'administration du programme et offrent des options supplémentaires pour
les utilisateurs chevronnés.
10.1 Fichiers journaux
Les fichiers journaux contiennent tous les événements importants qui se sont produits et fournissent un aperçu des menaces
détectées. La consignation (enregistrement dans les fichiers journaux) représente un puissant outil pour l'analyse système, la
détection de menaces et le dépannage. La consignation est toujours active en arrière-plan, sans interaction de l'utilisateur. Les
informations sont enregistrées en fonction des paramètres de verbosité. Il est possible de consulter les messages texte et les
journaux, ainsi que d'archiver les journaux, directement à partir de l'environnement ESET Cyber Security.
Vous pouvez accéder aux fichiers journaux depuis le menu principal ESET Cyber Security en cliquant sur Outils > Journaux.
Sélectionnez le type de journal souhaité dans le menu déroulant Journal, en haut de la fenêtre. Les journaux suivants sont
disponibles :
1. Menaces détectées : cette option permet de consulter toutes les informations concernant les événements liés à la détection
d'infiltrations.
2. Événements : cette option permet aux administrateurs système et aux utilisateurs de résoudre des problèmes. Toutes les
actions importantes exécutées par ESET Cyber Security sont enregistrées dans les journaux des événements.
3. Analyse de l'ordinateur : ce journal affiche les résultats de toutes les analyses effectuées. Pour afficher les détails d'une
analyse de l'ordinateur à la demande, double-cliquez sur l'entrée correspondante.
4. Sites Web filtrés : cette liste s'avère utile si vous souhaitez afficher les sites Web qui ont été bloqués par la protection de
l'accès Web. Ces journaux permettent de voir l'heure, l'URL, l'état, l'adresse IP, l'utilisateur et l'application ayant ouvert une
connexion au site Web en question.
Vous pouvez copier les informations affichées dans chaque section directement dans le Presse-papiers en sélectionnant l'entrée
souhaitée, puis en cliquant sur le bouton Copier.
10.1.1 Maintenance des journaux
La configuration de la consignation de ESET Cyber Security est accessible à partir de la fenêtre principale du programme. Cliquez
sur Configuration > Saisie des préférences de l'application (ou appuyez sur cmd+,) > Fichiers journaux. Les options suivantes peuvent
être spécifiées pour les fichiers journaux :
· Supprimer les anciennes entrées du journal automatiquement : les entrées de journal plus anciennes que le nombre de jours
spécifié sont automatiquement supprimées (90 jours par défaut).
· Optimiser automatiquement les fichiers journaux : permet la défragmentation des fichiers journaux si le pourcentage spécifié
d'enregistrements inutilisés est dépassé (25 % par défaut).
Toutes les informations pertinentes affichées dans l'interface graphique (messages de menace et d'événement) peuvent être
stockées dans des formats lisibles par l'œil humain tels que le format en texte brut ou CSV (Comma-separated values). Si vous
souhaitez que ces fichiers puissent être traités par des outils tiers, cochez la case à côté de Activer la consignation dans des fichiers
texte.
Pour définir le dossier cible dans lequel les fichiers journaux sont enregistrés, cliquez sur Configuration... à côté de Options
avancées.
En fonction des options sélectionnées dans Fichiers journaux texte : Modifier, vous pouvez enregistrer les journaux avec les
informations suivantes :
· Les événements tels que Nom d'utilisateur et mot de passe non valides, Les modules n'ont pas pu être mis à jour etc. sont écrits
dans le fichier eventslog.txt.
· Les menaces détectées par l'analyseur au démarrage, la protection en temps réel ou l'analyse de l'ordinateur sont stockées dans
le fichier threatslog.txt.
· Les résultats de toutes les analyses sont enregistrés au format scanlog.NUMBER.txt.
Pour configurer les filtres Entrées du journal d'analyse de l'ordinateur par défaut, cliquez sur Modifier et
sélectionnez/désélectionnez les types de journaux en fonction de vos besoins. Vous trouverez des explications plus détaillées de
ces types de journaux dans la section Filtrage des journaux 26 .
25
10.1.2 Filtrage des journaux
Les journaux stockent des informations sur les événements système importants : La fonctionnalité de filtrage des journaux permet
d'afficher des entrées concernant un type d'événement spécifique.
Les types de journaux les plus fréquemment utilisés sont répertoriés ci-dessous :
·
·
·
·
·
Avertissements critiques : erreurs système critiques (par exemple, le démarrage de la protection antivirus a échoué).
Erreurs : messages d'erreur du type Erreur de téléchargement de fichier et erreurs critiques.
Avertissements : messages d'avertissement.
Entrées informatives : messages d'informations concernant des mises à jour, des alertes, etc.
Entrées de diagnostic : informations nécessaires au réglage du programme et de toutes les entrées décrites ci-dessus.
10.2 Planificateur
Le planificateur est accessible depuis le menu principal de ESET Cyber Security, dans Outils. Le planificateur contient la liste de
toutes les tâches planifiées et des propriétés de configuration telles que la date et l'heure prédéfinies, ainsi que le profil d'analyse
utilisé.
Le planificateur gère et lance les tâches planifiées qui ont été préalablement définies et configurées. La configuration et les
propriétés comprennent des informations telles que la date et l'heure, ainsi que des profils spécifiques à utiliser pendant
l'exécution de ces tâches.
Par défaut, les tâches planifiées suivantes sont affichées dans le planificateur :
·
·
·
·
·
Maintenance des journaux (une fois que l'option Afficher les tâches système est activée dans la configuration du planificateur)
Vérification des fichiers de démarrage après ouverture de session utilisateur
Vérification des fichiers de démarrage après une mise à jour réussie des modules de détection
Mise à jour automatique régulière
Mise à jour automatique après ouverture de session utilisateur
Pour modifier la configuration d'une tâche planifiée existante (par défaut ou définie par l'utilisateur), appuyez sur la touche Ctrl,
cliquez sur la tâche à modifier et sélectionnez Modifier. Vous pouvez également sélectionner la tâche et cliquer sur Modifier la
tâche.
26
10.2.1 Création de nouvelles tâches
Pour créer une nouvelle tâche dans le planificateur, cliquez sur Ajouter une tâche... ou appuyez sur la touche CTRL et cliquez dans
le champ vierge, puis sélectionnez Ajouter... dans le menu contextuel. Cinq types de tâches planifiées sont disponibles :
·
·
·
·
·
Exécuter l'application
Mettre à jour
Maintenance des journaux
Analyse de l'ordinateur à la demande
Vérification des fichiers de démarrage du système
REMARQUE : en choisissant Exécuter l'application, vous pouvez exécuter des programmes en tant qu'utilisateur système appelé
« nobody ». Les autorisations d'exécution des applications par l'intermédiaire du Planificateur sont définies par macOS.
Dans l'exemple ci-dessous, nous allons utiliser le Planificateur pour ajouter une nouvelle tâche de mise à jour, car c'est l'une des
tâches planifiées les plus utilisées :
1. Dans le menu déroulant Tâche planifiée, sélectionnez Mettre à jour.
2. Saisissez le nom de la tâche dans le champ Nom de la tâche.
3. Sélectionnez la fréquence de la tâche dans le menu déroulant Exécuter la tâche. Selon la fréquence sélectionnée, vous êtes
invité à indiquer différents paramètres de mise à jour. Si vous sélectionnez Définie par l'utilisateur, le système vous invite à
indiquer la date et l'heure au format cron (pour plus d'informations, reportez-vous à la section Création d'une tâche définie
par l'utilisateur 27 ).
4. À l'étape suivante, définissez l'action à entreprendre si la tâche ne peut pas être effectuée ou terminée à l'heure planifiée.
5. Dans la dernière étape, une fenêtre récapitulative apparaît ; elle affiche des informations sur la tâche planifiée en cours.
Cliquez sur Terminer. La nouvelle tâche planifiée est ajoutée à la liste des tâches planifiées.
Par défaut, ESET Cyber Security contient les tâches planifiées prédéfinies qui garantissent le fonctionnement correct du produit.
Ces tâches ne doivent pas être modifiées et sont masquées par défaut. Pour que ces tâches soient visibles, sélectionnez dans le
menu principal Configuration > Saisie des préférences de l'application... (ou appuyez sur cmd+,) > Planificateur et sélectionnez
l'option Afficher les tâches système.
10.2.2 Création de tâches définies par l'utilisateur
La date et l'heure de la tâche Définie par l'utilisateur doivent être indiquées au format cron sur l'année (chaîne composée de
6 champs séparés par un espace) :
minute(0-59) heure(0-23) jour du mois(1-31) mois(1-12) année(1970-2099) jour de la semaine(0-7)
(dimanche = 0 ou 7)
Exemple :
30 6 22 3 2012 4
Caractères spéciaux pris en charge dans les expressions cron :
· astérisque (* ) - l'expression correspond à toutes les valeurs du champ ; par exemple, un astérisque dans le 3e champ (jour du
mois) signifie « tous les jours »
· tiret (- ) - définit des plages ; par exemple, 3-9
· virgule (, ) - sépare les éléments d'une liste ; par exemple, 1,3,7,8
· barre oblique (/ ) - définit des incréments de plages ; par exemple, 3-28/5 dans le 3e champ (jour du mois) indique le 3e jour du
mois, puis une fréquence tous les 5 jours.
Les noms de jour (Monday-Sunday) et de mois (January-December) ne sont pas pris en charge.
REMARQUE : si vous définissez un jour du mois et un jour de la semaine, la commande n'est exécutée que si les deux champs
correspondent.
27
10.3 Quarantaine
La principale fonction de la quarantaine consiste à stocker les fichiers infectés en toute sécurité. Les fichiers doivent être placés
en quarantaine s'ils ne peuvent pas être nettoyés, s'il est risqué ou déconseillé de les supprimer ou s'ils sont détectés erronément
par ESET Cyber Security.
Vous pouvez choisir de mettre n'importe quel fichier en quarantaine. Cette action est conseillée si un fichier se comporte de façon
suspecte mais n'a pas été détecté par l'analyseur antivirus. Les fichiers de la quarantaine peuvent être soumis pour analyse au
laboratoire de recherche sur les menaces d'ESET.
Les fichiers du dossier de quarantaine sont répertoriés dans un tableau qui affiche la date et l'heure de mise en quarantaine, le
chemin de l'emplacement d'origine du fichier infecté, sa taille en octets, la raison (par exemple « ajouté par l'utilisateur ») et le
nombre de menaces (par exemple, s'il s'agit d'une archive contenant plusieurs infiltrations). Le dossier de quarantaine dans
lequel sont stockés les fichiers en quarantaine (/Library/Application Support/Eset/esets/cache/quarantine) reste dans le système
même après la désinstallation de ESET Cyber Security. Les fichiers en quarantaine sont stockés en toute sécurité dans un format
crypté et peuvent être restaurés après l'installation de ESET Cyber Security.
10.3.1 Mise en quarantaine de fichiers
ESET Cyber Security déplace automatiquement les fichiers supprimés en quarantaine (si vous n'avez pas désélectionné cette option
dans la fenêtre d'alerte). Vous pouvez mettre manuellement en quarantaine tout fichier suspect en cliquant sur Quarantaine... . Il
est également possible d'utiliser le menu contextuel : appuyez sur CTRL et cliquez dans le champ vierge, sélectionnez Quarantaine,
choisissez le fichier à mettre en quarantaine et cliquez sur Ouvrir.
10.3.2 Restauration depuis la quarantaine
Les fichiers en quarantaine peuvent également être restaurés à leur emplacement d'origine. Pour ce faire, sélectionnez un fichier
en quarantaine, puis cliquez sur Restaurer. L'option Restaurer figure également dans le menu contextuel : appuyez sur CTRL et
cliquez sur un fichier dans la fenêtre Quarantaine, puis sur Restaurer. Le menu contextuel propose également l'option Restaurer
vers... qui permet de restaurer des fichiers vers un emplacement autre que celui d'origine dont ils ont été supprimés.
10.3.3 Soumission de fichiers de quarantaine
Si vous avez placé en quarantaine un fichier suspect non détecté par le programme ou si un fichier a été considéré infecté par
erreur (ex. par l'analyse heuristique du code) et placé en quarantaine, envoyez ce fichier au laboratoire de recherche sur les
menaces d'ESET. Pour soumettre un fichier de la quarantaine, appuyez sur CTRL et cliquez sur le fichier, puis sélectionnez l'option
Soumettre le fichier pour analyse dans le menu contextuel.
10.4 Processus en cours
La liste Processus en cours affiche les processus en cours d'exécution sur l'ordinateur. ESET Cyber Security fournit des
informations détaillées sur les processus en cours pour protéger les utilisateurs à l'aide de la technologie ESET Live Grid.
· Processus : nom du processus en cours d'exécution sur l'ordinateur. Pour afficher tous les processus en cours, il est également
possible d'utiliser Activity Monitor (dans /Applications/Utilities).
· Niveau de risque : dans la majorité des cas, ESET Cyber Security et la technologie ESET Live Grid attribuent des niveaux de risque
aux objets (fichiers, processus, etc.) sur la base d'une série de règles heuristiques qui examinent les caractéristiques de chaque
objet, puis évaluent le potentiel d'activité malveillante. Cette analyse heuristique attribue aux objets un niveau de risque. Les
applications connues marquées en vert sont saines (répertoriées dans la liste blanche) et sont exclues de l'analyse. Cela permet
d'accroître la rapidité des analyses à la demande et en temps réel. Une application marquée comme étant inconnue (jaune) n'est
pas nécessairement un logiciel malveillant. Il s'agit généralement d'une nouvelle application. Si un fichier vous semble suspect,
vous pouvez le soumettre pour analyse au laboratoire de recherche sur les menaces d'ESET. Si le fichier s'avère être une
application malveillante, sa signature sera ajoutée à l'une des prochaines mises à jour.
· Nombre d'utilisateurs : nombre d'utilisateurs utilisant une application donnée. Ces informations sont collectées par la
technologie ESET Live Grid.
· Temps de découverte : durée écoulée depuis la détection de l'application par la technologie ESET Live Grid.
· ID du progiciel : nom du fournisseur ou du processus de l'application.
Lorsque vous cliquez sur un processus, les informations suivantes apparaissent dans la partie inférieure de la fenêtre :
·
·
·
·
·
·
28
Fichier : emplacement de l'application sur l'ordinateur.
Taille du fichier : taille physique du fichier sur le disque.
Description du fichier : caractéristiques du fichier basées sur la description émanant du système d'exploitation.
ID du progiciel : nom du fournisseur ou du processus de l'application.
Version du fichier : informations fournies par l'éditeur de l'application.
Nom du produit : nom de l'application et/ou nom de l'entreprise.
10.5 Live Grid
Le système d'alerte anticipée Live Grid veille à ce qu'ESET soit immédiatement et continuellement informé des nouvelles
infiltrations. Ce système bidirectionnel remplit un seul objectif : améliorer la protection que nous vous offrons. Pour que nous
puissions détecter les nouvelles menaces dès qu'elles apparaissent, nous devons nous mettre en relation avec le plus grand
nombre possible de nos clients afin qu'ils agissent en « éclaireurs ». Deux options sont possibles :
1. Vous pouvez choisir de ne pas activer le système d'alerte anticipée Live Grid. Vous ne perdrez aucune fonctionnalité du logiciel
et continuerez de recevoir la meilleure protection que nous offrons.
2. Vous pouvez configurer le système d'alerte anticipée Live Grid afin de nous soumettre des informations anonymes sur les
nouvelles menaces et l'emplacement du nouveau code menaçant. Ces informations peuvent être envoyées à ESET pour une
analyse détaillée. L'étude de ces menaces aidera ESET à mettre à jour sa base de données de menaces et à améliorer la
capacité du programme à détecter les menaces.
Le système d'alerte anticipée Live Grid collecte des informations sur votre ordinateur concernant des menaces nouvellement
détectées. Ces informations peuvent contenir un exemple ou une copie du fichier dans lequel la menace est apparue, le chemin
d'accès à ce fichier, le nom du fichier, la date et l'heure, le processus qui a permis l'apparition de la menace sur votre ordinateur
et des informations sur le système d'exploitation de votre ordinateur.
Ce processus peut dévoiler occasionnellement au Laboratoire de menaces ESET certaines informations sur vous ou votre
ordinateur (noms d'utilisateur dans un chemin de répertoires, etc.), mais ces informations ne seront utilisées à AUCUNE autre fin
que celle de nous permettre de réagir immédiatement aux nouvelles menaces.
Pour accéder à la configuration de Live Grid, cliquez dans le menu principal sur Configuration > Saisie des préférences de
l'application... (ou appuyez sur cmd+,) > Live Grid. Sélectionnez l'option Activer le système d'alerte anticipé Live Grid pour l'activer,
puis cliquez sur l'option Configuration... en regard de l'intitulé Options avancées.
10.5.1 Configuration de Live Grid
Par défaut, ESET Cyber Security est configuré pour soumettre les fichiers suspects au laboratoire de recherche sur les menaces
d'ESET pour obtenir une analyse détaillée. Si vous ne souhaitez pas soumettre ces fichiers automatiquement, désélectionnez
l'option Soumission des fichiers.
Si vous trouvez un fichier suspect, vous pouvez le soumettre à notre laboratoire de recherche sur les menaces pour analyse. Pour
cela, cliquez sur Outils > Soumettre l'échantillon pour analyse à partir de la fenêtre du programme principal. S'il s'agit d'une
application malveillante, sa détection sera ajoutée à une prochaine mise à jour.
Soumettre des statistiques anonymes : le système d'avertissement anticipé ESET Live Grid collecte des informations anonymes sur
votre ordinateur concernant des menaces nouvellement détectées. Ces informations incluent le nom de l'infiltration, la date et
l'heure de détection, la version du produit de sécurité ESET, ainsi que des informations sur la version du système d'exploitation de
votre ordinateur et ses paramètres régionaux. Ces statistiques sont normalement fournies aux serveurs ESET une ou deux fois par
jour.
Voici un exemple de statistiques soumises :
#
#
#
#
#
#
#
#
#
utc_time=2005-04-14 07:21:28
country=“Slovakia“
language=“ENGLISH“
osver=9.5.0
engine=5417
components=2.50.2
moduleid=0x4e4f4d41
filesize=28368
filename=Users/UserOne/Documents/Incoming/rdgFR1463[1].zip
Filtre d'exclusion : cette option permet d'exclure certains types de fichier de la soumission. Par exemple, il peut être utile d'exclure
des fichiers qui peuvent comporter des informations confidentielles, tels que des documents ou des feuilles de calcul. Les fichiers
les plus ordinaires sont exclus par défaut (.doc, .rtf, etc.). Vous pouvez ajouter des types de fichiers à la liste des fichiers exclus.
Email de la personne à contacter (facultatif) : votre adresse électronique est utilisée si l'analyse exige des informations
complémentaires. Notez que vous ne recevrez pas de réponse d'ESET, à moins que des informations complémentaires soient
nécessaires.
29
11. Interface utilisateur
Les options de configuration de l'interface utilisateur permettent d'adapter l'environnement de travail selon vos besoins. Vous
pouvez accéder à ces options depuis le menu principal en cliquant sur Configuration > Saisie des préférences de l'application... (ou
appuyez sur cmd+, > Interface.
· Pour afficher l'écran d'accueil de ESET Cyber Security au démarrage du système, sélectionnez Afficher l'écran de démarrage.
· L'option Application présente dans le Dock permet d'afficher l'icône de ESET Cyber Security dans le Dock de macOS et de
basculer entre ESET Cyber Security et d'autres applications actives en appuyant sur cmd+tab. Les modifications entrent en
vigueur après le redémarrage de ESET Cyber Security (généralement provoqué par un redémarrage de l'ordinateur).
· L'option Utiliser le menu standard permet d'utiliser certains raccourcis clavier (voir Raccourcis clavier 10 ) et d'afficher des
éléments de menu standard (interface utilisateur, Configuration et Outils) sur la barre de menus macOS (en haut de l'écran).
· Pour activer les info-bulles de certaines options de ESET Cyber Security, sélectionnez l'option Afficher les info-bulles.
· L'option Afficher les fichiers masqués permet d'afficher et de sélectionner les fichiers masqués dans la configuration des cibles à
analyser d'une analyse de l'ordinateur.
· Par défaut, l'icône ESET Cyber Security est affichée dans les éléments de la barre de menus qui apparaissent à droite de la
barre de menus macOS (dans la partie supérieure de l'écran). Pour désactiver cette option, désélectionnez Afficher l'icône dans
les éléments de la barre de menus. Cette modification entre en vigueur après le redémarrage de ESET Cyber Security
(généralement provoqué par un redémarrage de l'ordinateur).
11.1 Alertes et notifications
La section Alertes et notifications vous permet de configurer le mode de traitement des alertes en cas de menace et des
notifications système dans ESET Cyber Security.
La désactivation de l'option Afficher les alertes désactive les fenêtres d'alerte et n'est recommandée que dans des situations très
précises. Nous recommandons à la majorité des utilisateurs de conserver l'option par défaut (activée). Les options avancées sont
décrites dans ce chapitre 30 .
La sélection de l'option Afficher les notifications sur le Bureau entraîne l'affichage des fenêtres d'alerte sur le bureau (par défaut
dans l'angle supérieur droit de votre écran) sans aucune intervention de l'utilisateur. Vous pouvez définir la période pour laquelle
une notification est affichée en réglant la valeur Fermer automatiquement les notifications après X secondes (5 secondes par
défaut).
Depuis la version 6.2 de ESET Cyber Security, vous pouvez empêcher l'affichage de certains états de protection dans l'écran
principal du programme (fenêtre État de la protection). Pour en savoir plus, consultez les états de protection 30 .
11.1.1 Afficher les alertes
ESET Cyber Security affiche des boîtes d'alerte vous informant de la disponibilité de nouvelles versions du programme, de mises à
jour du système d'exploitation, de la désactivation de certains composants du programme, de la suppression de journaux, etc.
Vous pouvez éviter l'affichage de chaque notification en sélectionnant l'option Ne plus afficher cette boîte de dialogue dans le
dialogue correspondant.
Liste des boîtes de dialogue (Configuration > Saisie des préférences de l'application... > Alertes et notifications > Configuration...)
affiche la liste de toutes les boîtes d'alerte déclenchées par ESET Cyber Security. Pour activer ou masquer chaque notification,
cochez la case à gauche du nom de la boîte de dialogue. Vous pouvez aussi définir des conditions d'affichage des notifications sur
les nouvelles versions du programme et du système d'exploitation.
11.1.2 États de protection
L'état de la protection actuelle de ESET Cyber Security peut être modifié en activant ou en désactivant les états dans Configuration >
Saisie des préférences de l'application... > Alertes et notifications > Afficher dans l'écran État de la protection : configuration. L'état
des différentes fonctionnalités du programme est affiché ou masqué dans l'écran principal de ESET Cyber Security (fenêtre État de
la protection).
Vous pouvez masquer l'état de la protection des fonctionnalités suivantes :
·
·
·
·
·
·
30
Antihameçonnage
Protection de l’accès Web
Protection du client messagerie
Mise à jour du système d'exploitation
Expiration de la licence
Redémarrage requis de l'ordinateur
11.2 Privilèges
Les paramètres ESET Cyber Security peuvent être très importants pour la stratégie de sécurité de votre organisation. Des
modifications non autorisées peuvent mettre en danger la stabilité et la protection de votre système. Par conséquent, vous pouvez
définir les utilisateurs autorisés à modifier la configuration du programme.
Pour définir les utilisateurs privilégiés, cliquez sur Configuration > Saisie des préférences de l'application... (ou appuyez sur cmd+,)
> Privilèges. Sélectionnez les utilisateurs ou les groupes dans la liste située à gauche, puis cliquez sur Ajouter. Pour afficher tous
les utilisateurs/groupes du système, sélectionnez Afficher tous les utilisateurs/groupes. Pour supprimer un utilisateur,
sélectionnez son nom dans la liste Utilisateurs sélectionnés située à droite, puis cliquez sur Supprimer.
REMARQUE : si la liste Utilisateurs sélectionnés est vide, tous les utilisateurs sont considérés comme étant privilégiés.
11.3 Menu contextuel
Pour activer l'intégration des menus contextuels, cliquez sur Configuration > Saisie des préférences de l'application... (ou appuyez
sur cmd+,) > Menu contextuel en sélectionnant l'option Intégrer dans le menu contextuel. Vous devez vous déconnecter ou
redémarrer l'ordinateur pour que les modifications entrent en vigueur. Les options du menu contextuel sont disponibles dans la
fenêtre du Finder lorsque vous appuyez sur la touche CTRL en cliquant sur n'importe quel fichier.
31
12. Divers
12.1 Importer et exporter les paramètres
Pour importer une configuration existante ou exporter votre configuration de ESET Cyber Security, cliquez sur Configuration >
Importer ou exporter les paramètres.
Ces opérations sont utiles si vous devez sauvegarder votre configuration actuelle de ESET Cyber Security pour l'utiliser
ultérieurement. Exporter les paramètres est également pratique pour les utilisateurs qui souhaitent utiliser leur configuration
préférée de ESET Cyber Security sur plusieurs systèmes. Il est facile d'importer un fichier de configuration afin de transférer les
paramètres souhaités.
Pour importer une configuration, sélectionnez Importer les paramètres, puis cliquez sur Parcourir pour accéder au fichier de
configuration à importer. Pour procéder à l'exportation, sélectionnez Exporter les paramètres, puis utilisez le navigateur pour
sélectionner l'emplacement d'enregistrement du fichier de configuration sur votre navigateur.
12.2 Configuration du serveur proxy
Les paramètres de serveur proxy peuvent être configurés dans Configuration > Saisie des préférences de l'application .... (ou
appuyez sur cmd+,) > Serveur proxy. La spécification du serveur proxy à ce niveau définit les paramètres de serveur proxy globaux
pour toutes les fonctions de ESET Cyber Security. Les paramètres définis ici seront utilisés par tous les modules nécessitant une
connexion à Internet. ESET Cyber Security prend en charge les authentifications de type Accès de base et NTLM (NT LAN Manager).
Pour spécifier des paramètres de serveur proxy à ce niveau, cochez la case Utiliser le serveur proxy, puis entrez l'adresse IP ou
l'URL du serveur proxy dans le champ Serveur proxy. Dans le champ Port, spécifiez le port sur lequel le serveur proxy accepte les
connexions (3128 par défaut). Vous pouvez également cliquer sur Détecter pour laisser le programme renseigner les deux
champs.
Si la communication avec le serveur proxy exige une authentification, entrez un nom d'utilisateur et un mot de passe valides dans
les champs correspondants.
32
13. Glossaire
13.1 Types d'infiltrations
Une infiltration est un élément de logiciel malveillant qui tente de s'introduire dans l'ordinateur d'un utilisateur et/ou de
l'endommager.
13.1.1 Virus
Un virus est une infiltration qui endommage les fichiers existants de votre ordinateur. Les virus informatiques sont comparables
aux virus biologiques parce qu'ils utilisent des techniques similaires pour se propager d'un ordinateur à l'autre.
Les virus informatiques attaquent généralement les fichiers, scripts et documents exécutables. Pour proliférer, un virus attache
son « corps » à la fin d'un fichier cible. En bref, un virus informatique fonctionne de la manière suivante : après l'exécution du
fichier infecté, le virus s'active lui-même (avant l'application originale) et exécute sa tâche prédéfinie. C'est après seulement que
l'application originale peut s'exécuter. Un virus ne peut pas infecter un ordinateur à moins qu'un utilisateur n'exécute ou n'ouvre
lui-même le logiciel malveillant (accidentellement ou délibérément).
Les virus peuvent varier en fonction de leur gravité et de leur cible. Certains sont extrêmement dangereux parce qu'ils ont la
capacité de supprimer délibérément des fichiers du disque dur. D'autres, en revanche, ne causent pas de réels dommages : ils ne
servent qu'à gêner l'utilisateur et à démontrer les compétences techniques de leurs auteurs.
Il est important de noter que, contrairement aux chevaux de Troie et aux spyware, les virus sont de plus en plus rares, car d'un
point de vue commercial, ils ne sont pas très attrayants pour les auteurs de logiciels malveillants. En outre, le terme « virus » est
souvent utilisé mal à propos pour couvrir tout type d'infiltrations. On tend à le remplacer progressivement par le terme « logiciel
malveillant » ou « malware » en anglais.
Si votre ordinateur est infecté par un virus, il est nécessaire de restaurer les fichiers infectés à leur état original, en les nettoyant à
l'aide d'un programme antivirus.
13.1.2 Vers
Un ver est un programme contenant un code malveillant qui attaque les ordinateurs hôtes et se propage via un réseau. La
différence fondamentale entre les virus et les vers est que les vers ont la capacité de se répliquer et de voyager par eux-mêmes. Ils
ne dépendent pas des fichiers hôtes (ou des secteurs d'amorçage). Les vers se propagent par l'intermédiaire d'adresses
électroniques de votre liste de contacts ou exploitent les vulnérabilités de sécurité des applications réseau.
Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que les virus. Par le biais d'Internet, ils peuvent se propager à
travers le monde en quelques heures seulement et parfois en quelques minutes. Leur capacité à se répliquer indépendamment et
rapidement les rend plus dangereux que les autres types de logiciels malveillants.
Un ver activé dans un système peut être à l'origine de plusieurs dérèglements : il peut supprimer des fichiers, dégrader les
performances du système ou même désactiver certains programmes. Par sa nature, il peut servir de « moyen de transport » à
d'autres types d'infiltrations.
Si votre ordinateur est infecté par un ver, il est recommandé de supprimer les fichiers infectés, car ils contiennent probablement
du code malicieux.
13.1.3 Chevaux de Troie
Les chevaux de Troie étaient auparavant définis comme une catégorie d'infiltrations dont la particularité est de se présenter
comme des programmes utiles pour duper ensuite les utilisateurs qui acceptent de les exécuter. Aujourd'hui, les chevaux de Troie
n'ont plus besoin de se déguiser. Leur unique objectif est de trouver la manière la plus facile de s'infiltrer pour accomplir leurs
desseins malveillants. Le terme « cheval de Troie » est donc devenu un terme très général qui décrit toute infiltration qui n'entre
pas dans une catégorie spécifique.
La catégorie étant très vaste, elle est souvent divisée en plusieurs sous-catégories :
· Downloader : programme malveillant qui est en mesure de télécharger d'autres infiltrations sur Internet.
· Dropper : type de cheval de Troie conçu pour déposer d'autres types de logiciels malveillants sur des ordinateurs infectés.
· Backdoor : application qui communique à distance avec les pirates et leur permet d'accéder à un système et d'en prendre le
contrôle.
· Keylogger : programme qui enregistre chaque touche sur laquelle tape l'utilisateur et envoie les informations aux pirates.
33
· Composeur : programme destiné à se connecter à des numéros surtaxés. Il est presque impossible qu'un utilisateur remarque
qu'une nouvelle connexion a été créée. Les composeurs ne peuvent porter préjudice qu'aux utilisateurs ayant des modems par
ligne commutée, qui sont de moins en moins utilisés.
Les chevaux de Troie prennent généralement la forme de fichiers exécutables. Si un fichier est identifié comme cheval de Troie sur
votre ordinateur, il est recommandé de le supprimer, car il contient sans doute du code malveillant.
13.1.4 Rootkits
Les rootkits sont des programmes malveillants qui permettent aux attaquants via Internet d'accéder à un système tout en cachant
leur présence. Après avoir accédé à un système (généralement en exploitant une vulnérabilité de celui-ci), les rootkits utilisent des
fonctions du système d'exploitation pour éviter d'être détectés par les logiciels antivirus : ils cachent leurs processus et fichiers. Il
est donc quasiment impossible de les détecter par des techniques de test ordinaires.
13.1.5 Logiciels publicitaires
Le terme anglais « adware » désigne parfois les logiciels soutenus par la publicité. Les programmes qui affichent des publicités
entrent donc dans cette catégorie. Les logiciels publicitaires ouvrent généralement une nouvelle fenêtre contextuelle
automatiquement dans un navigateur Internet. Cette fenêtre contient de la publicité ou modifie la page d'accueil du navigateur. Ils
sont généralement associés à des programmes gratuits et permettent aux développeurs de ces programmes de couvrir les frais de
développement de leurs applications (souvent utiles).
Les logiciels publicitaires proprement dits ne sont pas dangereux ; tout au plus dérangent-ils les utilisateurs en affichant ces
publicités. Le danger tient dans le fait qu'ils peuvent aussi avoir des fonctions d'espionnage (comme les spyware).
Si vous décidez d'utiliser un logiciel gratuit, soyez particulièrement attentif au programme d'installation. La plupart des
programmes d'installation vous avertissent en effet qu'ils installent également un logiciel publicitaire. Souvent, vous pourrez
désactiver cette installation supplémentaire et installer le programme sans logiciel publicitaire.
Certains programmes refusent de s'installer sans leur logiciel publicitaire ou voient leurs fonctionnalités limitées. Cela signifie
souvent que les logiciels publicitaires accèdent au système d'une manière « légale », dans la mesure où les utilisateurs l'ont
accepté. Dans ce cas, mieux vaut jouer la sécurité. Si un logiciel publicitaire est détecté sur votre ordinateur, il est préférable de le
supprimer, car il est fort probable qu'il contienne du code malveillant.
13.1.6 Spyware
Cette catégorie englobe toutes les applications qui envoient des informations confidentielles sans le consentement des
utilisateurs et à leur insu. Les spyware utilisent des fonctions de traçage pour envoyer diverses données statistiques telles que la
liste des sites Web visités, les adresses électroniques de la liste de contacts de l'utilisateur ou la liste des touches du clavier
utilisées.
Les auteurs de ces spyware affirment que ces techniques ont pour but d'en savoir plus sur les besoins et intérêts des utilisateurs
afin de mieux cibler les offres publicitaires. Le problème est qu'il n'y a pas de distinction claire entre les applications utiles et les
applications malveillantes, et que personne ne peut garantir que les informations récupérées ne sont pas utilisées à des fins
frauduleuses. Les données récupérées par les spyware peuvent être des codes de sécurité, des codes secrets, des numéros de
compte bancaire, etc. Les spyware sont souvent intégrés aux versions gratuites d'un programme dans le but de générer des gains
ou d'inciter à l'achat du logiciel. Les utilisateurs sont souvent informés de la présence d'un spyware au cours de l'installation
d'un programme qui vise à les inciter à acquérir la version payante qui en est dépourvue.
Parmi les produits logiciels gratuits bien connus qui contiennent des logiciels espions, on trouve les applications clients de
réseaux P2P (poste à poste). Spyfalcon ou Spy Sheriff (et beaucoup d'autres) appartiennent à une sous-catégorie spécifique de
logiciels espions : ils semblent être des programmes anti-logiciel espion alors qu'ils sont en réalité eux-mêmes des logiciels
espions.
Si un fichier est détecté comme étant un spyware sur votre ordinateur, il est recommandé de le supprimer, car il existe une forte
probabilité qu'il contienne du code malveillant.
13.1.7 Applications potentiellement dangereuses
Il existe de nombreux programmes authentiques qui permettent de simplifier l'administration des ordinateurs en réseau.
Toutefois, s'ils tombent entre de mauvaises mains, ces programmes sont susceptibles d'être utilisés à des fins malveillantes. ESET
Cyber Security permet de détecter ces menaces.
Les applications potentiellement dangereuses sont en général des logiciels commerciaux légitimes. Cette classification comprend
les programmes d'accès à distance, les applications de résolution de mot de passe ou les keyloggers (programmes qui
enregistrent chaque frappe au clavier de l'utilisateur).
34
13.1.8 Applications potentiellement indésirables
Les applications potentiellement indésirables ne sont pas nécessairement malveillantes, mais elles sont susceptibles d'affecter
les performances de votre ordinateur. L'installation de ces applications nécessite généralement l'accord de l'utilisateur. Si elles
sont présentes sur votre ordinateur, votre système se comporte différemment (par rapport à son état avant l'installation). Voici les
changements les plus significatifs :
·
·
·
·
·
affichage de nouvelles fenêtres ;
activation et exécution de processus cachés ;
augmentation des ressources système utilisées ;
modification des résultats de recherche ;
communication des applications avec des serveurs distants.
13.2 Types d'attaques à distance
Les attaquants disposent de nombreuses techniques spéciales pour infiltrer des systèmes à distance. Ces techniques se divisent
en plusieurs catégories.
13.2.1 Attaques par déni de service
Le déni de service (DoS) cherche à rendre un ordinateur ou un réseau indisponible pour ses utilisateurs. La communication entre
les utilisateurs affectés est bloquée et ne peut plus fonctionner correctement. Les ordinateurs exposés à de telles attaques doivent
généralement faire l'objet d'un redémarrage pour fonctionner à nouveau correctement.
Le plus souvent, les cibles sont des serveurs Web et le but est de les rendre indisponibles pendant un certain temps.
13.2.2 Empoisonnement du cache DNS
En empoisonnant le DNS (serveur de noms de domaine), les pirates peuvent faire croire au serveur DNS de n'importe quel
ordinateur que les fausses données qu'ils fournissent sont légitimes et authentiques. Ces fausses informations sont mises en
cache pendant un certain temps, permettant aux attaquants de réécrire les réponses DNS d'adresses IP. Les utilisateurs qui tentent
d'accéder à des sites Web sur Internet téléchargeront alors des virus ou des vers informatiques au lieu du contenu d'origine.
13.2.3 Balayage de ports
Le balayage de ports vise à déterminer quels ports de l'ordinateur sont ouverts sur un ordinateur hôte d'un réseau. Un analyseur
de ports est un logiciel conçu pour détecter ces ports.
Un port d'ordinateur est un point virtuel qui traite les données entrantes et sortantes. Il est donc crucial du point de vue de la
sécurité. Dans un grand réseau, les informations collectées par les analyseurs de ports peuvent aider à identifier des
vulnérabilités potentielles. Cette utilisation est légitime.
Cependant, le balayage des ports est souvent utilisé par des pirates pour tenter de compromettre la sécurité du réseau. La
première étape consiste à envoyer des paquets sur chaque port. Selon le type de réponse, il est possible de déterminer quels ports
sont utilisés. Le balayage en lui-même est inoffensif, mais sachez que cette opération peut révéler des vulnérabilités potentielles et
permettre à des attaquants de prendre le contrôle d'ordinateurs à distance.
Il est recommandé aux administrateurs de réseau de bloquer tous les ports inutilisés et de protéger ceux qui sont utilisés contre
tout accès non autorisé.
13.2.4 Désynchronisation TCP
La désynchronisation TCP est une technique utilisée dans les attaques de piratage TCP. Elle est déclenchée par un processus qui
associe aux paquets entrants un numéro séquentiel différent du numéro attendu. Ces paquets sont alors rejetés (ou enregistrés en
mémoire tampon, s'ils se trouvent dans la fenêtre de communication active).
Dans cette technique, les deux extrémités de la communication rejettent des paquets reçus, ce qui permet aux attaquants de
s'infiltrer et de fournir des paquets présentant le numéro séquentiel correct. Les attaquants peuvent même manipuler ou modifier
la communication.
Les attaques par piratage TCP visent à interrompre les communications entre serveur et client, ou entre pairs. Elles peuvent
souvent être évitées en utilisant une authentification pour chaque segment TCP. Il est également conseillé d'utiliser la
configuration recommandée pour vos périphériques réseau.
35
13.2.5 Relais SMB
SMBRelay et SMBRelay2 sont des programmes spéciaux capables de mener des attaques contre des ordinateurs distants. Ces
programmes tirent parti du protocole de partage de fichiers SMB (Server Message Block), qui tourne par dessus NetBIOS. Un
utilisateur qui partage un dossier ou un répertoire sur un LAN utilise fort probablement ce protocole de partage de fichiers.
Au sein d'une communication en réseau local, les ordinateurs s'échangent des hachages de mots de passe.
SMBRelay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés entre le client et le serveur, puis les
modifie. Après la connexion et l'authentification, le client est déconnecté. SMBRelay crée alors une nouvelle adresse IP virtuelle.
SMBRelay relaie les communications du protocole SMB à l'exception de la négociation et de l'authentification. Les attaquants à
distance peuvent utiliser l'adresse IP tant que l'ordinateur client est connecté.
SMBRelay2 fonctionne selon le même principe que SMBRelay, si ce n'est qu'il utilise des noms NetBIOS plutôt que des adresses IP.
Les deux programmes peuvent mener des attaques de type « man-in-the-middle ». Ces attaques permettent à leurs auteurs de lire,
insérer et modifier les messages échangés entre deux points de communication à leur insu. Les ordinateurs exposés à de telles
attaques s'arrêtent souvent de répondre ou redémarrent de manière inattendue.
Pour éviter ces attaques, nous recommandons d'utiliser des mots de passe ou des clés d'authentification.
13.2.6 Attaques par ICMP
ICMP (Internet Control Message Protocol) est un protocole Internet populaire et largement utilisé. Il est essentiellement utilisé par
des ordinateurs en réseau pour envoyer divers messages d'erreur.
Les attaquants à distance tentent d'exploiter les faiblesses du protocole ICMP. Celui-ci est conçu pour une communication
unidirectionnelle ne nécessitant aucune authentification. Cela permet aux attaquants de déclencher des attaques par déni de
service ou d'autres attaques permettant à des utilisateurs non autorisés d'accéder aux paquets entrants et sortants.
Exemples types d'attaques ICMP : envoi massif de pings ou de messages ICMP_ECHO et attaques par rebond. Les ordinateurs
exposés à une attaque ICMP sont sensiblement ralentis (pour toutes les applications utilisant Internet) et éprouvent de la
difficulté à se connecter à Internet.
13.3 Courrier électronique
Le courrier électronique (e-mail) est une forme de communication moderne qui présente de nombreux avantages. Elle est souple,
rapide et directe, et a joué un rôle crucial dans la prolifération d'Internet dans le début des années 1990.
Malheureusement, le large anonymat que permettent le courrier électronique et Internet laisse une voie ouverte à des activités
illégales telles que le spam. Celui-ci couvre aussi bien des publicités non sollicitées que des canulars et la diffusion de logiciels
malveillants. L'inconfort et le risque que cela représente pour vous sont aggravés par le fait que le coût d'envoi des spams est
infime et que leurs auteurs disposent de nombreux outils pour se procurer des nouvelles adresses électroniques. Qui plus est, le
volume et la diversité du spam rendent difficile sa régulation. Plus longtemps vous utilisez la même adresse électronique, plus
elle risque d'aboutir dans la base de données d'un moteur de spam. Voici quelques conseils de prévention :
Si possible, ne publiez pas votre adresse électronique sur Internet,
ne donnez votre adresse électronique qu'à des personnes de confiance,
dans la mesure du possible, n'utilisez pas d'alias courants ; plus votre alias est compliqué, plus il sera difficile à épier,
ne répondez pas à des messages de spam déjà parvenus dans votre boîte de réception,
soyez prudent lorsque vous complétez des formulaires sur Internet ; méfiez-vous en particulier d'options telles Oui, je souhaite
recevoir des informations,
· utilisez des adresses électroniques « spécialisées » - par exemple une pour le travail, une pour vos amis, etc.,
· changez d'adresse électronique de temps à autre,
· utilisez une solution antispam.
·
·
·
·
·
13.3.1 Publicités
La publicité sur Internet est une des formes de communication commerciale en plus forte croissance. Ses principaux avantages en
termes de marketing sont ses coûts minimes et une communication très directe ; qui plus est, les messages sont diffusés quasi
instantanément. Nombre d'entreprises recourent à des outils de marketing par courrier électronique pour s'assurer une
communication efficace avec leurs clients et leurs prospects.
Ce type de publicité est légitime, car il peut être intéressant de recevoir des informations commerciales sur certains produits.
Hélas, de nombreuses entreprises envoient des messages commerciaux non sollicités en masse. Elles franchissent alors la
frontière entre la publicité par courrier électronique et le spam.
Le volume de messages non sollicités est devenu un réel problème et ne montre aucun signe de ralentissement. Leurs auteurs
tentent souvent de cacher le spam sous les dehors de messages légitimes.
36
13.3.2 Canulars
Un canular est une information erronée diffusée sur Internet. Le courrier électronique et les outils de communication tels que
Skype et ICQ en sont les vecteurs privilégiés. Le message en lui-même est souvent une plaisanterie ou une légende urbaine.
Les canulars relatifs à des virus informatiques visent à susciter la crainte, l'incertitude et le doute chez les destinataires, en
tentant de leur faire croire qu'il existe un « virus indétectable » qui supprime des fichiers et récupère les mots de passe ou
effectue d'autres opérations néfastes sur leur système.
Certains canulars opèrent par contagion, en poussant leurs destinataires à transférer le message à leurs contacts. Il existe des
canulars sur les téléphones mobiles, des faux appels à l'aide, des prétendus transferts de fonds secrets venant de l'étranger, etc.
Souvent, il est malaisé de déterminer l'intention de l'auteur du message.
Si vous recevez un message vous invitant à le transférer à tous vos contacts, il est bien possible qu'il s'agisse d'un canular. De
nombreux sites sur Internet permettent d'en vérifier la légitimité. Avant de transférer un tel message, effectuez une recherche sur
Internet pour vous assurer qu'il ne s'agit pas d'un canular.
13.3.3 Hameçonnage
Le hameçonnage (en anglais : phishing) définit une activité criminelle basée sur l'ingénierie sociale (consistant à manipuler des
personnes pour leur soutirer des informations confidentielles). Son but est d'obtenir l'accès à des données sensibles telles que
des numéros de compte bancaire, des codes PIN, etc.
Souvent, la technique consiste à se faire passer pour une personne ou une entreprise de confiance (p. ex. une institution
financière, une société d'assurances). Le message électronique peut sembler authentique et contiendra des graphismes et du
contenu pouvant provenir à l'origine de la source usurpée. Sous divers prétextes (vérification des données, opérations
financières), vous serez invité à fournir certaines données personnelles telles qu'un numéro de compte bancaire ou un nom
d'utilisateur et un mot de passe. Ces données, si vous les envoyez, pourront facilement être détournées et utilisées à mauvais
escient.
Les banques, compagnies d'assurances et autres entreprises légitimes ne vous demanderont jamais des noms d'utilisateur et des
mots de passe par le biais de messages non sollicités.
13.3.4 Identification du spam
D'une manière générale, plusieurs signes peuvent vous aider à identifier du spam (messages non sollicités) dans votre boîte aux
lettres. Si un message répond au moins à quelques-uns des critères ci-dessous, ce sera probablement un spam.
· L'adresse de l'expéditeur n'appartient pas à un de vos contacts,
· on vous propose une somme d'argent importante, mais vous devez commencer par engager un petit montant,
· sous divers prétextes (vérification des données, opérations financières), vous serez invité à fournir certaines données
personnelles telles qu'un numéro de compte bancaire ou un nom d'utilisateur et un mot de passe,
· le message est rédigé dans une langue étrangère,
· vous êtes invité à acheter un produit qui ne vous intéresse pas ; si vous décidez de l'acheter quand même, assurez-vous que
l'expéditeur est un vendeur fiable (consultez le fabricant original du produit),
· certains mots sont mal orthographiés afin de contourner les filtres antispam (par exemple vaigra au lieu de viagra, etc.).
37
">