Dans cet article, nous allons aborder les détections malveillantes faites par les antivirus autour des connexions réseaux ou sites WEB.
Les antivirus peuvent protéger des sites malveillantes en bloquant ces derniers.
Les suites de sécurité ou « internet security » embarquent un pare-feu qui quand à lui bloque et filtre les connexions réseaux.

Ces alertes contiennent souvent des informations qui ne sont pas faciles à lire ou à comprendre pour les utilisateurs.
Le but de cette page est de comprendre les détections et alerte de virus ainsi que les implications qui en découlent.
A partir de là, vous saurez comment réagir et ne pas paniquer lorsqu’une alerte de virus survient.

De ce fait, pas mal de choses seront détaillées afin de bien comprendre l’ensemble du fonctionnement de votre connexion internet.

Comprendre les connexion réseaux

Avant d’expliquer les alertes et notifications des antivirus concernant des blocages de connexions, il faut déjà comprendre de quoi nous parlons.
Voici un schéma d’une connexion classique que vous pouvez voir chez vous.
La connexion internet se fait pour tous les appareils (ordinateurs, tablettes, imprimantes, etc) à travers un routeur ou box généralement fournis et gérés par le fournisseur d’accès.

Pour simplifier dans cette architecture :

• Les connexions entrantes émises depuis internet vers un des appareils sont refusées par le routeur ou box, à moins qu’un transfert de ports n’ait été configurée ou qu’une application le fasse à travers l’UPnP.
• Toutes les connexions sortantes émises par les appareils vers internet sont autorisées par le routeur.

De ce fait, un malware qui tourne sur des ordinateurs n’agit généralement pas en tant que serveur, puisque la connexion vers l’ordinateur sera refusé mais émis des connexions vers un sites ou serveurs de contrôle.
Ce dernier répond et donne les instructions (télécharge ceci, attaque ce serveur, envoie du spam avec tels contenu de mails, etc) à l’ordinateur infecté.
Plus d’explications sur la page : Les botnets : réseau de machines infectées

Les connexions réseaux sont liées à des adresses IPs et ports sources et une adresse IP et ports de destination.
Dans le cas d’une connexion sortante, l’IP source est celle de votre connexion internet (et votre ordinateur dans votre réseau LAN) et l’adresse IP de destination est le serveur vers lequel vous vous connectez.
A l’inverse, dans une connexion entrante, l’IP source et le port source sont celui du serveur internet et l’adresse IP et le port de destination celui de votre ordinateur ou routeur.

Les protections des antivirus

Pour protéger les appareils et ordinateurs, les antivirus proposent deux protections :

• Un agent WEB qui travaille au niveau HTTP. Ce module de protection analyse les pages WEB généralement par le navigateur WEB. Le but est de détecter du code malveillant dans les pages internet, comme un JavaScript qui redirige l’utilisateur ou du Cryptojacking. L’agent WEB connaît les URLs et sites consultés et peut bloquer ces derniers à partir d’une liste noire (blacklist) comme du phishing ou encore des URLs de publicités liés à des adwares.
• Un pare-feu qui lui analyses toutes les connexions établies et n’autorisent que celles qui sont présentes dans une règle d’autorisation explicite.

D’un point de vue réseau, les deux protections ne fonctionnent pas au même niveau.
L’agent WEB travaille sur le protocole applicatif HTTP et ne voit que les URLs et contenues WEB et peuvent éventuellement modifier le contenu comme un proxy.
Du côté du pare-feu, on travaille au niveau des ports et des adresses IPs.
Ainsi lors de la connexion sur le site www.malekal.com : l’agent WEB voit les URLs contactées et le contenus des pages internet.
Alors que le firewall ne voit que les adresses IP et ports.

Les informations données par les deux types de protections peuvent être un peu différentes mêmes si on retrouve des informations identiques comme le processus de Windows qui est à l’origine de la connexion établie.

Connexions ou sites malveillants détectées par votre antivirus

Une fois que vous avez compris comment fonctionne les connexions, vous ne devriez pas avoir de problème pour comprendre les alertes et détections des antivirus.

L’agent WEB

Généralement, ces alertes contiennent le processus et le nom de la détection, un peu comme pour les détections de fichiers.
Ci-dessous une menace bloquée par Avast! :

• L’objet est l’URL du site bloqué
• Infection le nom de la détection, ici JS:Downloader indique qu’il s’agit d’un JavaScript capable de télécharger du contenu
• Processus : le processus à l’origine de la connexion, ci-dessous, c’est le programe JDownloader.

En clair donc, le programme JDownloader a tente de se connecter à une adresse uploadrocket.net et Avast! a détecté du contenu JavaScript:Downloader sur la page.

La même chose avec l’antivirus Kaspersky pour du phishing.

Autre exemple, toujours chez Avast!, Infection URL:MAL est liée à des listes noires de sites connus pour être liés à des logiciels malveillants.
On voit que le processus sources est firefox.exe car l’alerte provient dune extension parasite.
Celle-ci contrôle Firefox et effectue des connexions vers un serveur pour afficher des publicités ou envoyer des informations et données.

Ci-dessous, un autre processus MediaStreamingService.exe qui est en fait lié à l’adware Boxore (il n’existe plus) créent des connexions vers des URLs.

Si ces alertes sont redondantes, il y a des chances qu’un élément actif sur l’ordinateur génère régulièrement des connexions.
Ces derniers sont détectées et bloquées par l’antivirus et vous en êtes notifié.
Si l’alerte s’est ouverte une seule fois durant le surf, c’est plutôt lié au contenu d’une page WEB visitée.
Le processus source est alors votre navigateur internet : chrome.exe, firefox.exe
Par exemple une publicité vue comme dangereuse par votre antivirus durant le surf ou le contenu d’une page internet.
Les sites de streaming peuvent émettre ce type d’alerte de part leur contenu dangereux : Les sites de streaming et les virus

Le pare-feu

Les notifications et alertes liées au pare-feu et firewall sont plus complètes car vous avez en général les informations complètes de la connexion.
Ainsi dans l’alerte d’ESET Internet Security  on trouve les informations suivantes :

• Trafic réseau entrant : nous informe qu’il s’agit d’une connexion entrante
• Application : le processus ou l’application lié à la connexion, ici il s’agit de svchost.exe qui permet d’en déduire que c’est un service Windows.
• Reputation permet d’indiquer si la connexion est viable ou pas, c’est une information spécifique à NOD32.
• Service donne les informations sur le service Windows lié à la connexion
• Ordinateur distant, comme il s’agit d’une connexion entrant, c’est l’IP source : 92.63.197.100
• Le port local ici 22, ce qui permet de savoir qu’il s’agit d’un serveur SSH en cours de fonctionnement sur l’ordinateur. Le nom du service le confirme.
• Enfin l’alerte demande quelle action à mener : autoriser la connexion, toujours autoriser la connexion ou la bloquer.

Ici donc, c’est une connexion entrant vers le service SSH de l’ordinateur puisque le port d’écoute est le port 22.
L’IP émettrice se trouve en Ukraine. Des sites sur internet permettent de localiser géographiquement une adresse, par exemple http://en.utrace.de/?query=92.63.197.100
Plus d’informations sur la page : Adresse IP et confidentialité : localisation, informations
Ici on peut donc en déduire qu’il s’agit d’un serveur acheté ou compromis afin d’effectuer des balyages sur internet ou des attaques bruteforces.

Autres liens

Les liens autour des virus et protections contre les menaces informatiques.

• Comment les virus informatiques sont distribués
• Quelles protections pour Windows 10 contre les virus ?
• Windows 10 et la protection contre les virus et attaques informatiques
• Sécuriser son Windows contre les trojan, virus et autres logiciels malveillants