Guide de rétablissement à la suite d'une infection par un logiciel malveillant

Numéro : TR11-001
Date : 09 novembre 2011

Public cible

Le présent rapport est destiné aux organisations des gouvernements fédéral, provinciaux et territoriaux, des administrations municipales, ainsi que des infrastructures critiques et des industries connexes dont les systèmes informatiques pourraient être contaminés par du code malveillant.

Objet

Le présent document fournit des directives sur la façon de rétablir un système informatique infecté par du code logiciel malveillant, par exemple un outil de dissimulation d'activité (« rootkit »).

Évaluation

L'exploitation d'un système informatique connecté à Internet entraîne des risques inévitables pour l'intégrité et la confidentialité des données. Diverses mesures d'atténuation réduisent considérablement ces risques, mais les vulnérabilités demeurent et peuvent être exploitées par des personnes malveillantes. Chaque jour, des milliers d'ordinateurs sur Internet sont compromis et utilisés pour voler des renseignements personnels (p. ex., renseignements sur les comptes bancaires et les cartes de crédit) et la propriété intellectuelle d'entreprise. De plus, ils sont parfois utilisés pour distribuer le code malveillant de manière à infecter encore plus de systèmes informatiques.

Les utilisateurs qui découvrent qu'un système informatique est infecté, en constatant des symptômes tels qu'une mauvaise performance ou une utilisation élevée de la bande passante ou en recevant un avis d'un tiers de confiance (p. ex., un fournisseur de services Internet en amont) doivent entreprendre un travail de rétablissement qui peut s'avérer complexe.

Les étapes suivantes peuvent simplifier le rétablissement à la suite d'une infection par du code malveillant. Il n'est malheureusement pas possible, en raison de la diversité de configurations de systèmes informatiques et des tactiques en constante évolution des maliciels pour éviter la détection et se protéger, de tenir compte ici de toutes les possibilités.

1. Signalez le problème à la sécurité de la TI ou au bureau de service : Dans un environnement d'entreprise ou dans le cadre d'un contrat de soutien des services de GI-TI, avisez dès que possible le fournisseur de service et suivez leurs instructions.

2. Déconnectez l'ordinateur d'Internet : Certains types de maliciels peuvent accéder aux données de l'ordinateur et s'en servir pour attaquer d'autres cibles. Un ordinateur débranché du réseau ne peut transmettre le code malveillant à d'autres systèmes ou envoyer les renseignements de l'ordinateur sur Internet. La manière la plus simple de déconnecter l'ordinateur est de physiquement débrancher le câble ou la ligne téléphonique de l'ordinateur ou du portatif et de désactiver toutes les connexions sans fil (Wi-Fi, HSPA, Bluetooth, etc.).

3. Sauvegardez les fichiers importants : Avant de commencer la réparation du système, copiez les fichiers importants sur un support de stockage amovible (CD, DVD, clé USB, disque dur externe). Voici des exemples de types de fichiers à sauvegarder : photos, vidéos, documents, dossiers courriel, favoris Internet. Ces fichiers peuvent avoir été compromis et doivent être balayés avant leur chargement sur un autre système informatique. Si vous effectuez régulièrement des sauvegardes vers un autre système, ces sauvegardes peuvent aussi avoir été infectées. Balayez les fichiers de sauvegarde pour détecter des infections.

4. Balayez l'ordinateur : Divers outils permettent de balayer un système informatique pour détecter et supprimer du code malveillant. Malheureusement, certains de ces outils sont eux-mêmes malveillants. On les nomme FakeAV, FakeAlert, etc. Il est donc essentiel de n'utiliser que des outils fiables (CD, supports USB, logiciels, etc.) au cours des étapes de rétablissement pour éviter d'aggraver un problème complexe. N'utilisez que des logiciels provenant de sources fiables et téléchargez-les sur un autre ordinateur, pas sur l'ordinateur infecté. Les principales entreprises antivirus offrent parfois un moteur de balayage gratuit qui peut détecter et supprimer certaines infections. Microsoft publie une liste de produits antivirus reconnus pour les systèmes Windows à l'adresse suivante :

http://www.microsoft.com/windows/antivirus-partners/windows-xp.aspx (en anglais seulement)

Assurez-vous de télécharger l'outil de balayage d'une source fiable, à partir d'un ordinateur non infecté branché à Internet, et d'installer les définitions et les fichiers de signature à jour. Certains outils exigent de démarrer l'ordinateur en mode sans échec avant de lancer le balayage.

Idéalement, le système devrait être balayé au moyen d'un CD autonome (« Live CD »), un CD de sauvegarde ou un système d'exploitation USB amorçable fiable. Vous pouvez aussi utiliser les outils de rétablissement du fabricant de l'ordinateur ou du fournisseur du système d'exploitation. Après avoir préparé l'outil de balayage, connectez et balayez le lecteur infecté, en activant les fonctions et les options appropriées (niveau de sensibilité, balayage du secteur d'amorçage). Suivez les instructions de suppression fournies par l'outil de balayage, le cas échéant.

Les virus les plus persistants infectent le MBR (enregistrement de démarrage principal) de l'ordinateur. Il s'agit de l'espace du disque dur lu par l'ordinateur au démarrage, avant le chargement du système d'exploitation. Dans ce cas, l'infection peut persister même après la suppression de code malveillant. Certains outils antivirus peuvent rétablir le MBR. Les fournisseurs de systèmes d'exploitation (p. ex., Microsoft) offrent aussi des outils qui peuvent s'avérer utiles. Par exemple, la console de récupération de Microsoft offre la fonction fixmbr.

5. Réinstallez le système d'exploitation : Si le balayage ne permet pas de détecter et de supprimer le code malveillant, vous devrez peut-être formater le disque et réinstaller le système d'exploitation. Tous les programmes et fichiers existants seront supprimés. Avant de réinstaller le système, prenez note des programmes et des paramètres pour être en mesure de rétablir la configuration du système. Il importe que la réinstallation supprime toutes les composantes numériques, y compris le MBR. Vous devrez peut-être exécuter manuellement les commandes format et fdisk. Dans un environnement d'entreprise, la réinstallation d'une image ne suffit peut-être pas à supprimer le code malveillant caché dans le MBR.

Suppression de code malveillant du MBR (systèmes Windows) :

A) Windows XP et systèmes antérieurs : Exécutez la commande « fdisk /mbr », conformément aux instructions de l'article suivant :
http://support.microsoft.com/kb/69013/fr

En utilisant un ordinateur non infecté, créez un disque amorçable conformément aux instructions de l'article suivant :
http://support.microsoft.com/kb/305595/fr

B) Windows Vista et Windows 7 : Utilisez bootrec.exe conformément aux instructions de l'article suivant :
http://support.microsoft.com/kb/927392/fr

Après avoir réinstallé le système d'exploitation, vous devez installer un logiciel antivirus et appliquer les correctifs et les mises à jour.

6. Récupérez les fichiers sauvegardés : Avant de copier les fichiers du support de stockage à l'ordinateur, effectuez un balayage complet du support au moyen du logiciel antivirus.

7. Balayez et examinez les autres appareils réseau : Les maliciels ont souvent une fonction de réplication qui leur permet de créer une copie d'eux-mêmes sur les lecteurs réseau utilisés par les autres ordinateurs ou d'infecter ces appareils par d'autres moyens. Les maliciels peuvent aussi modifier la configuration de l'infrastructure de réseau, par exemple les paramètres DNS et de pare-feu des routeurs et d'autres appareils. Ces appareils sont particulièrement vulnérables s'ils utilisent les mécanismes de contrôle d'accès par défaut (par exemple, le nom de compte et le mot de passe par défaut du fabricant) ou si une fonction d'enregistrement des frappes au clavier a été installée sur un ordinateur compromis utilisé pour accéder à l'appareil et le configurer. Les supports amovibles tel que les clés USB peuvent aussi être infectés et servir à propager le code malveillant à d'autres postes. Il est recommandé de balayer ces appareils en utilisant un produits antivirus reconnu. Il est aussi recommandé d'effectuer la vérification de l'état et la configuration des autres appareils réseau. Effectuer un redémarrage périodique ainsi qu'un changement de mot de passe des équipement de routage de petite entreprise ou de travailleur à domicile (SoHo).

8. Appliquez et tenez à jour la protection de l'ordinateur : Pour empêcher de nouvelles infections, envisagez les précautions suivantes :

Pour en savoir plus, consultez les références ci-dessous.

Mésures recommandées

Le CCRIC recommande que les propriétaires d'ordinateurs appliquent les pratiques exemplaires en matière de sécurité énoncées ci-dessus pour assurer la sécurité de leurs systèmes informatiques et des infrastructures connexes.

RÉFÉRENCES

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :