Démarche de décontamination

Septembre 2015
Depuis quelques mois, les entreprises françaises sont la cible d’attaques informatiques utilisant des logiciels
1
malveillants (ou malwares), dont le but est de réaliser des opérations bancaires à l’insu des utilisateurs de l’entreprise.
Les pages qui suivent proposent une démarche simple pour vérifier si un ordinateur de l’entreprise est compromis et le
cas échéant, pour le nettoyer (en particulier face au malware DRIDEX qui sévit très largement actuellement).
En effet, les systèmes de protection informatique mis en place par LCL sur ses sites Internet ne peuvent être optimaux
que si le client, de son côté, se protège également contre les risques informatiques.
AVERTISSEMENT :
Compte-tenu de l’évolution permanente des menaces, LCL ne peut pas garantir que ce document, même s’il est entièrement
respecté, assure une protection totale et globale vis-à-vis de ces menaces.
Les liens et logiciels de sécurité tels que mentionnés dans ce document sont utilisés sous le contrôle et la responsabilité
exclusive du client et ne peuvent en aucun cas engager la responsabilité de LCL.
En considération de l’aspect technique du contenu de ce document, LCL préconise fortement de s’adresser à des
professionnels spécialisés dans la sécurité informatique (cf chapitre 3)
1
Un logiciel malveillant (en anglais : malware) est un programme développé dans le but de nuire à un système informatique,
sans le consentement de l'utilisateur dont l'ordinateur est infecté.
Crédit Lyonnais SA au capital de 1 847 860 375 € - SIREN 954 509 741 - RCS Lyon - siège social : 18 rue de la République 69002 Lyon –
siège central : 20 avenue de Paris 94811 Villejuif Cedex - numéro ORIAS : 07 001878
1
Comment confirmer la compromission d’un ordinateur ?
1.1
Comprendre le déroulement d’une compromission
L’infection d’un ordinateur peut se faire en une ou plusieurs étapes. Dans le cas du malware DRIDEX,
l’infection se déroule en 3 étapes : un programme malveillant, contenu dans une macro d’un
document Microsoft Office, s’active et télécharge un nouveau script qui lui-même télécharge le
malware en tant que tel.
un collaborateur de
l'entreprise reçoit
un courriel
inhabituel avec une
pièce jointe
un collaborateur de
l’entreprise
navigue sur un site
infecté
Il ouvre la pièce
jointe
A son insu, un code
malveillant se
télécharge sur son
ordinateur
1.2
le code malveillant
s'exécute et se
connecte sur
Internet
un nouveau script
est exécuté et va
télécharger et
exécuter le malware
Le malware
s'installe sur
l'ordinateur
Les indices comportementaux
Lorsque le malware s’installe sur un ordinateur, il se fait discret. Cependant, certaines anomalies
peuvent conduire à soupçonner une activité malveillante :
• si les date et heure de dernière connexion affichées sur le site de banque en ligne2 ou
tout autre site sensible (Webmail par exemple) ne correspondent pas à la dernière
connexion, il y a sans doute eu une connexion à l’insu de l’utilisateur légitime, peut-être
un vol de données voire des opérations frauduleuses ;
• la consultation des comptes bancaires de l’entreprise fait apparaître des opérations dont
l’entreprise n’est pas à l’origine : virement sur un IBAN inconnu, paiement de prestations
sur des sites en ligne,… ;
• l’antivirus détecte une attaque et la bloque, mais celle-ci revient systématiquement ;
• l’antivirus détecte une partie de l’attaque sans parvenir à la bloquer ;
• l’ordinateur devient anormalement lent ;
• certaines applications ne peuvent pas être lancées, notamment le gestionnaire de
tâches, l’invite de commande Windows, l’interface de l’antivirus ;
• l’ordinateur affiche une fenêtre de l’UAC (User Account Control ou «contrôle du compte
de l'utilisateur») afin d’autoriser une opération avec des privilèges élevés alors que
l’utilisateur de l’ordinateur n’est pas à l’initiative de ladite opération ;
• une fenêtre ou un pop-up fugitif3 s’affiche lorsqu’une application est lancée ou lorsque
certains documents ou fichiers sont ouverts ;
• l’antivirus ne se met plus à jour ;
• les mises à jour du système de l’ordinateur ne s’installent plus ;
• la page d’accueil du navigateur Web est modifiée et il devient impossible de la changer ;
• certains sites (notamment ceux liés à la sécurité) ne sont pas accessibles ;
2
Sur LCL Entreprises et LCL EspacePro, cette information se trouve dans la partie droite de la page restituée immédiatement
après l’authentification sur le site
3
Une fenêtre fugitive est une fenêtre qui apparaît puis disparaît immédiatement
Crédit Lyonnais SA au capital de 1 847 860 375 € - SIREN 954 509 741 - RCS Lyon - siège social : 18 rue de la République 69002 Lyon –
siège central : 20 avenue de Paris 94811 Villejuif Cedex - numéro ORIAS : 07 001878
•
•
les publicités qui s’affichent sont anormales (vente de produits pharmaceutiques, sites
pornographiques,…) ;
…
1.3
Les autres indices
Il peut arriver également que l’alerte vienne de l’extérieur :
• de relations professionnelles ou amicales qui s’étonnent de recevoir des messages
inhabituels de la part d’un collaborateur ;
• de l’équipe ou du service informatique de l’entreprise qui a repéré des comportements
suspects de l’ordinateur d’un collaborateur sur le réseau local ou sur Internet.
2
Comment réagir en cas de compromission ?
Si l’ordinateur donne des signes de compromission ou s’il y a simplement suspicion de
compromission, dérouler les points de 2.1 à 2.4.
Ces 4 premières étapes génèrent des fichiers de logs ou informations.
Il est possible de les fournir au service ou prestataire informatique de l’entreprise pour analyse ou de
faire appel à une société spécialisée (cf chapitre 3)
2.1
Détecter le malware DRIDEX
DRIDEX est un malware très actif depuis juin 2015. Il est diffusé notamment par courriel avec pièce
jointe. Il cible les clients des banques et particulièrement les ordinateurs des entreprises. Attention,
ce type de malware est en capacité de tenter la réalisation de transactions frauduleuses à l’insu de
l’entreprise. Une recherche sur Internet permet de trouver des outils capables de le détecter.
2.2
Exécuter un ou plusieurs scanners antimalwares distincts de
l’antivirus
L’antivirus habituel n’a rien détecté (s’assurer qu’il est bien à jour et lancer un scan complet de
l’ordinateur concerné).
Aux fins d’augmenter les chances de détecter l’intrus, utiliser un second antivirus (dit « en ligne »,
c’est-à-dire téléchargeable et qui peut être installé pour un essai gratuit).
Ci-dessous quelques liens suggérés, étant précisé que LCL n’assure pas d’assistance sur la mise en
œuvre et l’utilisation des produits suggérés. L’utilisation de ces produits est réalisée sous la seule
responsabilité de l’entreprise. L’objectif est de réaliser un scan complet de l’ordinateur concerné.
Pour Windows
• Malwarebytes Anti-Malware (FR) https://fr.malwarebytes.org/mwb-download
• Sophos (FR) : http://www.sophos.com/fr-fr/products/free-tools/virus-removal-tool.aspx
• Sophos (EN) : http://www.sophos.com/en-us/products/free-tools/virus-removal-tool.aspx
• Kaspersky (FR) : http://support.kaspersky.com/fr/viruses/rescuedisk?level=2
• Kaspersky (EN) : http://support.kaspersky.com/viruses/rescuedisk?level=2#downloads
• Microsoft (FR) : http://www.microsoft.com/security/scanner/fr-fr/default.aspx
• Symantec (FR) : http://security.symantec.com/sscv6/home.asp?langid=fr
• Symantec (EN) : http://security.symantec.com/sscv6/home.asp?langid=en
• Trend Micro : http://esupport.trendmicro.com/solution/en-us/1038437.aspx
Crédit Lyonnais SA au capital de 1 847 860 375 € - SIREN 954 509 741 - RCS Lyon - siège social : 18 rue de la République 69002 Lyon –
siège central : 20 avenue de Paris 94811 Villejuif Cedex - numéro ORIAS : 07 001878
•
•
•
•
Dr Web (FR) : http://www.freedrweb.com/cureit/?lng=fr
Dr Web (EN) : http://www.freedrweb.com/cureit/?lng=en
…
Il y a aussi le MSRT (Malicious Software Removal Tool) de Microsoft. Microsoft publie tous les
mois une nouvelle version de l’outil MSRT destiné à détecter une liste de malwares définie et
limitée, ce qui le rend très ciblé et efficace. Il est fortement préconisé de l’utiliser à chacune
de ses mises à jour: https://www.microsoft.com/fr-fr/download/malicious-softwareremoval-tool-details.aspx
Pour MacOS
• Sophos (FR) : http://www.sophos.com/fr-fr/products/free-tools/sophos-antivirus-for-machome-edition.aspx
• Sophos (EN) : http://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-machome-edition.aspx
• Malwarebytes Anti-Malware for Mac (FR) https://fr.malwarebytes.org/mac-download/
Pour Android :
• Sophos (FR) : http://www.sophos.com/fr-fr/products/free-tools/sophos-mobile-securityfree-edition.aspx
• Sophos (EN) : http://www.sophos.com/en-us/products/free-tools/sophos-mobile-securityfree-edition.aspx
• Malwarebytes Anti-Malware mobile (FR) https://fr.malwarebytes.org/mobile/
Si malgré ces opérations, l’ordinateur concerné reste infecté (c’est-à-dire ayant toujours un
comportement anormal comme décrit précédemment), il est fortement recommandé de réinstaller
totalement l’ordinateur.
2.3
Changer les mots de passe
Le malware qui a infecté l’ordinateur concerné est le plus souvent en capacité de voler de
nombreuses informations, par exemple :
• la liste de contacts de messagerie (qui sera peut être exploitée pour une prochaine
campagne de spam) ;
• les identifiants/mots de passe de banque en ligne ;
• les identifiants/mots de passe de comptes de messagerie, de comptes Facebook, LinkedIn,
Twitter, Skype… ;
• les identifiants/mots de passe de sites de e-commerce ;
• le portefeuille Bitcoin et autres crypto-monnaies (ex : PayPal…) ;
• les clés privées PGP ;
• …
Il convient de changer le plus rapidement possible tous les mots de passe (à partir d’un autre
ordinateur, non infecté) et de prévenir les proches, partenaires, fournisseurs, clients qu’ils pourraient
être à leur tour victimes d’une cyber-attaque.
Crédit Lyonnais SA au capital de 1 847 860 375 € - SIREN 954 509 741 - RCS Lyon - siège social : 18 rue de la République 69002 Lyon –
siège central : 20 avenue de Paris 94811 Villejuif Cedex - numéro ORIAS : 07 001878
2.4
Surveiller les comptes de l’entreprise
Surveiller attentivement les comptes en ligne de l’entreprise, aux fins de réagir immédiatement si
une nouvelle anomalie était repérée. En particulier, vérifier que les numéros de téléphone et
adresses courriels qui sont référencés dans le profil de banque en ligne de l’entreprise sont corrects.
3
Liens utiles de l’ANSSI (Agence Nationale de la Sécurité des Systèmes
d'Information)
•
•
Les sociétés qualifiées par l’ANSSI qui pourront apporter de l’assistance
http://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-services-de-confiancequalifies/prestataires-daudit-de-la-securite-des-systemes-dinformation-passi-qualifies/
Les logiciels de sécurité recommandés par l’ANSSI
http://www.ssi.gouv.fr/particulier/logiciels-preconises-par-lanssi-2/
Crédit Lyonnais SA au capital de 1 847 860 375 € - SIREN 954 509 741 - RCS Lyon - siège social : 18 rue de la République 69002 Lyon –
siège central : 20 avenue de Paris 94811 Villejuif Cedex - numéro ORIAS : 07 001878