Commençons par introduire la différence entre format et extension d'un fichier.
Un fichier n'est fondamentalement qu'une suite de 0 et de 1 compréhensibles par l'ordinateur.
Chaque fichier a un format (une convention d'écriture en quelque sorte), qui lui confère des propriétés et lui permet d'être interprété par des logiciels.
L'extension, c'est le suffixe du nom du fichier, qui lui est renseigné par le créateur du fichier (exemple : logo-anssi.jpg pour une image représentant le logo de l’ANSSI).
La convention veut que l'extension du fichier corresponde à son format, cela permet non seulement d'identifier rapidement le format du fichier mais aussi de lui associer un logiciel par défaut (c’est-à-dire le logiciel automatiquement choisi pour l’ouvrir).
Quelqu'un de malveillant tentera d'exploiter des formats et des extensions courants pour inciter l'utilisateur à double-cliquer innocemment pour ouvrir un fichier.
Ainsi, il pourra exécuter du code malveillant au sein de l'application configurée par défaut pour l'ouverture.
Vous voici potentiellement contaminé et souvent sans comprendre pourquoi vous ne parvenez pas à ouvrir le fichier.
!IMPORTANT!
- Désactivez l’exécution automatique de périphériques amovibles
- Afficher systématiquement l’extension des fichiers
- Windows 10 = Explorateur de fichiers > Affichage > Extensions de noms de fichiers
Retenons tout d'abord que le risque zéro n’existe pour aucun format.
Les formats les plus exploités par les pirates restent sûrement ceux des fichiers texte formatés comme PDF ou DOC(X)/XLS(X) de Microsoft.
Et cela pour deux raisons principales :
Ce n’est pas qu'ils soient moins bien conçus que les autres logiciels (cela reste des millions de lignes de code rédigées par des humains) mais la découverte et l'exploitation de leurs vulnérabilités assurent une large cible au pirate, ils sont donc étudiés de près par les chercheurs de vulnérabilités.
Le format de fichier exécutable (extension .exe la plus courante) est aussi un bon vecteur de code malveillant.
Que faire alors ?
Ne plus ouvrir ces fichiers ?
Non, ce n'est pas une pratique envisageable.
D’autres mesures doivent donc être prises pour pouvoir se défendre.
Celles-ci, présentées plus en détail dans le module dédié à la sécurisation du poste de travail, consistent entre autres à :
Outre la démarche de sécurisation, rappelons qu'il est important de bien réagir en cas de problème. Comme indiqué dans l'unité précédente, en contexte professionnel le bon réflexe consiste à contacter les référents en sécurité des systèmes d'informations (DSI, OSSI, RSSI, supérieur hiérarchique… en fonction de votre entité).
Oui, définitivement oui !
Un logiciel (gratuit ou payant) se télécharge depuis le site de son éditeur.
N'utilisez pas de plateforme de téléchargements « fourre-tout », c'est le meilleur moyen de télécharger une version remodelée du programme intégrant dans le meilleur des cas une publicité ou une extension inutile pour votre navigateur, ou pire un code malveillant.
Qui plus est, penser qu'aujourd'hui encore des pirates « éthiques » crackent des logiciels payants (en désactivant la saisie d'un code de licence par exemple) pour les mettre gracieusement à la disposition de la communauté est une illusion !
Un logiciel payant qui est cracké, rappelons tout d'abord que c'est illégal... mais c'est aussi un moyen pour le pirate d'installer (ou plutôt de faire installer par l'utilisateur) un code malveillant qui lui rapportera in fine de l'argent.
De la même manière, un film s'achète en DVD (ou Blu-ray si vous préférez !) ou se télécharge sur une plateforme de vidéo à la demande !
Se rendre sur un site de téléchargement (« direct download » ou « DD ») illégal est synonyme de prise de risques, certes avec les droits d'auteur, mais surtout pour l'intégrité de son ordinateur.
Le fichier téléchargé ou les sites web visités peuvent contenir du code malveillant.
Nous reviendrons sur ce thème lors de l’unité dédiée à la navigation Web.
Par ailleurs considérer qu'un proche est une source sûre est une bonne chose… dans le monde réel, mais comme vous le verrez dans l'unité sur la messagerie, le nom d'expéditeur de messages électroniques est falsifiable sur Internet.
Un ami, un collègue vous envoie un lien ou une pièce jointe en écrivant simplement « c'est super, regarde ça ! ». Est-ce bien son genre ?
Le nom du fichier joint ou le lien Web ont-ils un point commun avec vos sujets habituels ?
Sa messagerie électronique a peut-être été compromise et un pirate aura récupéré sa liste de contacts…
En cas de doute, un coup de téléphone pour vérifier s'impose !
Et quand bien même votre interlocuteur est bien l'expéditeur, se porte-t-il garant du contenu ou s'est-il contenté de transférer un contenu de source inconnu ?
Cela a été présenté dans l'unité précédente, le « phénomène » de ransomware (ou rançongiciel en français) qui consiste à rendre illisible toutes vos données et à vous demander une rançon pour les déchiffrer est très courant.
Quelles sont les solutions pour vous prémunir de ces attaques ?
Pour commencer, disposer d'une sauvegarde de ses données précieuses sur un support externe est une bonne pratique à plus d'un titre (panne matérielle…) et constitue une bonne contre-mesure à ce type de maliciel.
Une précision quant à la sauvegarde des fichiers importants sur des supports amovibles isolés :
Les sauvegardes n’étant que des copies de fichiers, ces fichiers peuvent être infectés, c’est pourquoi il est important d’avoir plusieurs versions de vos sauvegardes.
Une stratégie classique consiste à garder une sauvegarde par an, ainsi que les sauvegardes des différents mois de l’année courante, et des différentes semaines du mois en cours.
En entreprise, ce genre de stratégie est étudié dans les plans de continuité d’activité.
Assurez-vous que votre sauvegarde, qu’elle soit manuelle (par copier-coller) ou automatique (programmée selon un plan), fonctionne.
Les sauvegardes réalisées par copier-coller peuvent être facilement vérifiées puisqu’il suffit de vérifier que les fichiers sur le disque sont bien fonctionnels.
À l’inverse, les sauvegardes automatisées qui sont réalisées à l’aide de solutions logicielles sont plus difficiles à contrôler mais il est indispensable de vérifier régulièrement que la configuration permet bien de récupérer les informations sauvegardées.
Retenez également qu’il est important de bien tester vos procédures de restauration.
En effet, la restauration est l’étape inverse de la sauvegarde, elle consiste à remplacer les données « courantes » par les données sauvegardées.
Notez bien que votre sauvegarde doit être réalisée lorsque l’ordinateur est déconnecté du système de sauvegarde afin qu’elle ne soit pas affectée par le rançongiciel.