Comment cloner son disque dur

Cloner des disques consiste à copier tout le contenu d’un disque vers un autre.
Cela est utile lorsque vous changez de disque dur sur un même ordinateur et souhaitez tout récupérer.
A l’issu du clonage, vous pouvez remplacer l’ancien disque par le nouveau, l’ordinateur devrait démarrer normalement et vous devriez retrouver votre environnement.
Voici quelques solutions de clonage de disque, que je me suis amusées à tester.

Table des matières [masquer]

• 1 Introduction
• 2 Cloner un disque en Windows 7
• 3 Cloner un disque avec GNU/Linux
  • 3.1 dd (data dump)
  • 3.2 CloneZilla
• 4 Cloner un disque avec Windows
  • 4.1 Easeus Disk Copy Home
  • 4.2 Minitool Partition Wizard (Fail en Dual-boot)
  • 4.3 Macrium Reflect
• 5 Conclusion
• 6 Cas où le disque est plus petite
• 7 Copier Windows par la copie de partitions

Introduction

Avant de commencer, il convient d’avoir quelques notions sur le fonctionnement des partitions de disque, pour cela, vous pouvez lire la page : les partitions de disques.

Pré-requis : il faut bien entendu que le second soit au minimum de la taille du premier ou plus… si le second disque est plus petit, vous comprenez bien que vous ne pourrez pas copier l’intégralité du disque.

La configuration utilisée dans ce tutoriel.
La machine possède un dual-boot Windows Ubuntu :

• Le disque départ 60 Go
• Le disque d’arrivée 80 Go (plus volumineux, ça permettra de parler un peu du redimensionnement des partitions)
  Sur la gestion des disques de Windows, on obtient :

Cloner un disque en Windows 7

Pour les cas simple, à savoir cloner un disque en Windows 7.
Vous pouvez lire cette page : Cloner son disque Windows 7
Il s’agit d’un disque avec Windows 7 avec un disque dur HD classique en EFI/MBR.
Dans cet article, nous verrons les logiciels suivants :

• EaseUs Copy Disk
• CloneZilla
• Macrium Reflect
• MiniTool Partition Wizard Free

Cloner un disque avec GNU/Linux

dd (data dump)

Dans cet exemple de clonage de disques sur Linux, nous n’allons pas utiliser gparted, mais la commande dd.
dd est utilitaire Linux vieux comme le monde qui existera encore pendant longtemps… de ce fait, cette méthode est et restera fonctionnelle encore longtemps.
dd fait de la copie en RAW, secteur par secteur, ainsi, le partitionnement et le système de fichiers utilisés n’a pas d’importance.
dd support donc les disques de type MBR, GPT, sans problème.

Il faut passer par un CD Live Linux, même si Linux est installé (ce qui est le cas dans cet exemple puisqu’on a un Dual-Boot). La partition système ne devant pas être monté (utilisé si vous préférez)

La partition système doit être démonté, donc vous devez utiliser un CD Live.
Je suis passé par un CD Live Ubuntu, dans mon cas puisqu’il s’agit de copier le premier disque vers le second, nous allons donc cloner /dev/sda vers /dev/sdb
Pour rappel, si vous désirez lister le contenu des partitions, vous pouvez utiliser la commande : sudo fdisk -l /dev/sdX
Avant de commencer, saisissez sudo mount et vérifiez qu’aucune partition /dev/sda n’est montée.
Sinon sudo umount /dev/sdaX pour démonter la partition où X est le numéro de la partition.
La commande dd dans notre cas sera :

sudo dd if=/dev/sda of=/dev/sdb bs=XXXMo

bs permet de définir la taille des blocs à copier.
Par défaut, c’est 512k, il ne faut surtout pas laisser cette valeur car sinon la copie va prendre des années.
Vous pouvez vous inspirer de ce tableau pour choisir la valeur.

Dans mon cas, j’ai pris 100Mo :
La copie a dû prendre même pas 1H.
On vérifie le contenu des partitions de /dev/sdb qui sont exactement les mêmes que /dev/sda
Je retire le disque 0 (/dev/sda) et no problemo, tout boot, un coup de gestion des disques sur Windows.
On a bien que le disque de 80 go (/dev/sdb).
Comme vous pouvez le constater, dd a copié l’intégralité du disque 0 sur le début du disque de 80 Go, de ce fait, la place disque se retrouve tout à la fin.
On ne pourra agrandir que la partition qui juxte, soit la partition C.
C’est le problème d’avoir les partitions EFI, en plein milieu du disque, chose évoquée sur la page : Le partitionnement de disque.

dd peut paraître austère car en ligne de commande, mais c’est au final, extrêmement simple, si on veut copier un disque dans son intégralité.
Si vous choisissez la bonne valeur bs, la copie de disque peut aller très rapidement.
dd est un utilitaire très puissant qui peut aussi être utilisé pour effectuer des images disque, plus d’informations : Comment créer une image système avec Linux

CloneZilla

CloneZilla j’en parle déjà sur ce topic : CloneZilla : Tutoriel comment cloner son disque et image système
La page de téléchargement de CloneZilla : http://clonezilla.org/downloads/download.php?branch=stable
Prenez le format ISO afin de pouvoir créer une clé USB bootable ou un DVD.
Les pages avec les utilitaires pour créer une clé USB Bootable : Outils création USB Live
Dans le cas d’un DVD, vous pouvez graver l’ISO avec ImgBurn par exemple.
Une fois le support CloneZilla créé, voici comment démarrer dessus : Booter sur un CD, DVD ou clé USB
Le principe est simple, on se laisse guider pour lancer le clonage des disques.
Ce n’est pas hyper complexe avec CloneZilla, jusqu’il faut bien suivre les étapes et bien répondre aux questions (il en pose vraiment bcp)
Dans l’ordre :
Prenez la seconde option : device-device

Prendre Beginer :

Choisir : disk_to_local_disk

Il ne reste plus qu’à choisir le disque source :

et le disque de destination qui recevra toutes les données

Ne pas mettre de vérification puisqu’il y a de Windows.

On va vous demande, deux fois, si vous souhaitez continuer, faire y.
Les données sur le disque de données, s’il y en a seront complètement supprimées.



et la copie de clone s’effectue.

Au final, aucun souci, j’ai mis le disque de 80 Go en premier.
Windows et Ubuntu sans soucis.

Cloner un disque avec Windows

Sous Windows, il existe une multitude de logiciels de partitionnement qui font aussi du clonage de disque.
Tous les utilitaires de partitionnement ont une fonction de clonage de disque : Outils de partition de disque
Il faut juste regarder les termes de l’utilisation de ces outils de partitions, car certains, n’offrent pas la fonction de clonage dans la version gratuite ou celle-ci est limitée.
Exemple avec Eaesus Disk Copy Home qui est limité à 1 To et ne permet pas la copie d’un disque HDD/SDD

L’un des avantages de ces logiciels est qu’il est aussi possible de faire des copies de partitions pour les redimensionner.
Donc si les partitions du départ sont mal faites au niveau taille, vous pouvez corriger en copiant le tout vers le nouveau disque.
Il faut respecter l’ordre des partitions.

Easeus Disk Copy Home

Il faut créer un CD Live, ce que le programme se propose de faire, soit en créant un fichier ISO, soit en gravant le DVD ou en préparant une clé USB bootable.
Seulement, le CD Live n’est pas compatible EFI, du coup, ça boot pas.
J’ai arrêté là.

J’ai tout de même tester en MBR, voir la page : Tutoriel EaseUS Disk Copy

Minitool Partition Wizard (Fail en Dual-boot)

Minitool Partition Wizard est un utilitaire de gestion de disque et de partition gratuit mais en anglais.
Télécharger et installer Minitool Partition Wizard : Télécharger Minitool Partition Wizard
Pour le fonctionnement, se reporter au tuto : Tutoriel MiniTool Partition Wizard
Vous n’avez pas besoin de prendre le CD Live, installez le programme sur votre Windows.
Allez dans le menu Wizard puis Copy Disk Wizard.

Laissez-vous ensuite guider, on vous demande le disque source à copier.
Sélectionnez le donc le disque 0 puis faites Next (suivant)

puis le disque de destination

Il est ensuite possible de redimensionner les partitions à l’arrivée.
On arrive alors au même point qu’avec un clonage par dd, l’espace disque se trouvant à la fin, vous n’allez pouvoir agrandir que la dernière partition, soit celle de Windows.

Minitool Partition Wizard affiche les résultats.
Si cela vous convient, vous pouvez lancer l’opération par le bouton Apply en haut à gauche.

et c’est parti :

Lorsque MiniTool Partition Wizard va s’attaquer à la partition C, cela va nécessiter un redémarrage de l’ordinateur

Démarrez sur Windows et MiniTool Partition Wizard va se lancer.

On obtient..  donc notre second disque cloné, seulement les premières partitions sont en RAW.
Regardez les premières partitions du Disque 1, vous avez la mention RAW que vous n’avez pas sur le disque 0.
RAW signifie donnée brute, en clair, la partition est endommagée et les données sont illisibles.

Seulement dans le cas d’un dual-boot, c’est le drame.. Le second disque ne démarre pas.
Mini Tool Partition Wizard a la bonne idée de mettre les partitions Linux en Microsoft basic data, y compris celle du SWAP… (comparez avec l’introduction).
Du coup Grub boot pas.

En conclusion, Mini Tool Partition Wizard va fonctionner si vous êtes sans dual et que avec du Windows.
Si vous avez un Dual-Boot Windows/Linux, oubliez.
D’autre part, la copie prend vraiment énormément de temps, cela a dû prendre presque 3h, alors qu’avec dd, c’était bouclé en même 1H.

Macrium Reflect

J’ai ensuite essayé avec Macrium Reflect, ça se passe là : http://www.macrium.com/reflectfree.aspx
L’installeur va télécharger le programme (570Mo tout de même).
Puis lance le programme d’installation.

Cloner don disque avec Macrium Reflect en vidéo :

On arrive là dessus.

On lance le clonage de disque avec le bouton Clone this Disk.
On sélectionne le disque de départ et de destination.

puis on coche toutes les partitions et on fait Next.

Ici faire Next, Macrium Reflect donne la possibilité de planifier l’opération.

Un résumé des opérations qui seront effectuées.

et on laisse cocher pour effectuer le clonage des disques.

C’est parti…

50min dans mon cas, ce qui est acceptable.

A l’arrivée, les mêmes partitions.

Au final, Ubuntu boot plus, il faut le réparer.
Par contre, Windows démarre correctement, si on choisit le Windows Boot Manager dans le BIOS.

Conclusion

Et bien, si vous êtes en Dual-Boot Linux/Windows, ça semble assez galère.
Franchement privilégiez l’utilitaire dd, ça va vite et ça fonctionne sans problème.
Les programmes Windows fonctionnent bien si vous n’êtes pas en dual-boot, si c’est un clonage de disque avec seulement du Windows installé, vous pouvez prendre n’importe lequel des programmes mentionnés dans cette page, cela devrait fonctionner.
Par contre, en Dual-Boot, pour le moment à éviter, ça semble pas au point côté Linux.
Macrium et Clonezilla sont les plus indiqués.

Cas où le disque est plus petite

Les disques dur SSD sont souvent plus moins volumineux que les disques dur HD, car le Mo est plus chers.
Souvent donc, le disque SSD de destination est plus petite. Comme évoque dans l’introduction, le clonage n’est pas possible.
Exemple ci-dessous, avec deux partitions qui ont total font plus de 30 Go.
Le disque de destination fait 30 Go.
Les données sont donc plus volumineuses que le disque de destination, impossible donc de tout copier.

Macrium Reflect indique alors un message « Not all copied. Insufficient space » 
Il n’y a pas 36 solutions, il faut réduire l’espace de données, vous pouvez alors en déplacer sur un disque dur externe, ou une autre partition que la partition système.
Une fois que le total des données est plus petite que le disque de destination, cloner les disques sera possible.

Macrium Reflect accepte :

et tout le processus de clonage de disque se passe bien.


jusqu’au message « Clone Completed« .

Copier Windows par la copie de partitions

Dans le cas d’un Dual-Boot et d’un changement de disque, il est aussi possible de ne déplacer que Windows, si vous souhaitez abandonner le dual-boot.
Ce cas est documenté sur la page : Comment copier Windows d’un disque à un autre

REF.:

Dans cet article, vous trouvez les manipulations afin de savoir si votre disque dur est HDD ou SSD.
En effet, Windows ne donne pas clairement cette information et il faut parfois utiliser des commandes.
La gestion des disques de Windows ou encore les informations systèmes de Windows n’indiquent pas si le disque dur est HDD ou SSD.
Deux méthodes sont données ici pour afficher si votre disque dur est SSD ou HDD sur Windows 7, 8 et 10

Table des matières [masquer]

• 1 Comment savoir si on a un disque dur un SSD ou HDD sur Windows 7, 8 et 10
  • 1.1 Powershell
  • 1.2 Speccy
• 2 Autres liens autour du matériel de l’ordinateur

Comment savoir si on a un disque dur un SSD ou HDD sur Windows 7, 8 et 10

Pour connaître les différences en un disque dur HDD ou SSD, se rendre sur cet article : Qu’est-ce qu’un disque dur SSD ou HDD et les différences
Deux méthodes sont données ici pour savoir si vous avez un disque dur SSD ou HDD.

Powershell

En Powershell, il existe des commandes qui permettent d’obtenir des informations dont des informations sur les disques dur.
Pour lancer PowerShell :

• sur Windows 10 : ouvrez le menu démarrer puis Windows PowerShell
• Sur Windows 7 : menu Démarrer > Accessoires > Windows Powershell

puis saisissez la commande pour obtenir un tableau informative sur vos disques dur, notamment la colonne MediaType indique si votre disque dur est HDD ou SSD.

Get-PhysicalDisk

Speccy

Speccy est un utilitaire gratuit qui permet d’obtenir des informations sur le matériel de l’ordinateur, suivre les températures de l’ordinateur ou encore vérifier la santé du disque dur.
Plus d’informations, se reporter à notre tutoriel : Tutoriel Speccy : vérifier les composants de l’ordinateur
Le menu d’accueil donne un récapitulatif de la configuration matérielle de l’ordinateur dont des informations sur le disque dur.
On trouve alors la mention SATA ou SSD.

Le menu Storage contient les informations plus détaillées sur les disques (marque, modèle, etc) et vous donnent le type de disque dur : HDD ou SSD.
Vous trouverez aussi les remontés SMART en cas d’erreur matériel sur le disque dur.

Un disque dur SATA peut-être noté en SCSI, selon trois cas :
Le contrôleur Serial ATA (sur la carte mère ou via une carte contrôleur PCI) reçoit des pilotes Windows par défaut. Si Windows n’est pas en mesure de déterminer exactement quel type de périphérique le contrôleur Serial ATA est, il tentera d’assigner les pilotes de périphériques correspondants les plus proches. Étant donné que Serial ATA fonctionne selon les mêmes principes que SCSI, Windows attribue à un contrôleur Serial ATA une désignation SCSI.
L’architecture du bus Serial ATA (sur la carte mère ou via une carte contrôleur PCI) provient d’un HBA SCSI (adaptateur de bus hôte). De nombreuses entreprises qui produisent des contrôleurs Serial ATA produisent également des contrôleurs SCSI. Ces entreprises utilisent souvent une version modifiée d’un HBA SCSI sur les contrôleurs Serial ATA.
Le disque dur Serial ATA est connecté à un contrôleur RAID Serial ATA. Les contrôleurs RAID et SCSI ont la même désignation de périphérique dans Windows. Par conséquent, un disque dur Serial ATA sera détecté en tant que périphérique SCSI.
Merci à Parisien_entraide pour l’information.

Autres liens autour du matériel de l’ordinateur

Quelques autres liens du site autour du matériel de l’ordinateur, disque dur et partitions de disque.

• Composants et fonctionnement d’un ordinateur
•  Tutoriel Speccy : vérifier les composants de l’ordinateur
• Partitions du disque dur
• Qu’est-ce qu’un disque dur SSD ou HDD et les différences

REF.:

Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc

Les antivirus utilisent des termes qui ne sont pas forcément bien connus des internautes.
Cet article énumère les catégories de logiciels malveillants avec une description pour chacun d’eux.
Pour rappel, il existe un autre article sur le forum : Index des menaces et programmes malveillants/Malwares

Table des matières [masquer]

• 1 Les généralités sur les menaces
• 2 Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, etc
  • 2.1 Virus
  • 2.2 Trojan ou Cheval de troie
  • 2.3 Backdoor ou porte dérobée
  • 2.4 Spywares
  • 2.5 Keylogger
  • 2.6 Worms ou vers informatiques
  • 2.7 Rootkit
  • 2.8 Rogues ou scarewares
  • 2.9 Ransomwares ou rançongiciels
  • 2.10 Adwares
  • 2.11 Les Browser Hijacker
  • 2.12 PUP
  • 2.13 Exploit et Drive-by download
  • 2.14 Malvertising
• 3 La nomenclature des antivirus
  • 3.1 Les familles de malwares
  • 3.2 Les détections génériques
• 4 Autres termes liés aux logiciels malveillants
  • 4.1 Dropper et Payload
• 5 Autres liens autour des logiciels malveillants

Les généralités sur les menaces

Les menaces informatiques sont diverses et évoluent dans le temps, surtout depuis les premières dans les années 70 et 80.
Si l’on peut catégoriser les menaces, la plupart du temps, un malware endosse plusieurs catégories.
Ainsi, un ransomware peut très bien voler les mots de passe dans l’ordinateur, ce qui fait de lui, à la fois un ransomware et un spyware.
Il ne faut pas donc pas penser qu’un logiciel malveillant peut-être classé dans une seule catégorie.
Si vous cherchez un historique de ce qui a pu se faire comme attaques de malwares jusqu’à nos jours, vous pouvez lire la page : Les virus informatiques : fonctionnement et protections

Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, etc

Virus

Les virus désignent les logiciels malveillants capables d’infecter les exécutables (fichiers .exe ou .dll).
Ce dernier va insérer du code dans le fichier exécutable qui au moment de l’exécution va charger le logiciel malveillant en mémoire.
A partir de là, ce dernier devient actif est infecte à son tour tous les exécutables qui seront ouvert par l’utilisateur.
Les virus sont arrivés arrivés très tôt, dans les années 70 et se propageaient par disquette, puis par la suite par des fichiers mis en ligne sur internet.
Les derniers virus informatiques les plus importants ont été Sality, Virut et Ramnit.
De nos jours, le terme Virus est détourné de son origine pour englober la totalité des menaces informatiques et logiciels malveillants sans distinction.
En anglais, le terme pour désigner les logiciels malveillants dans leurs intégralités est malware.

Trojan ou Cheval de troie

Le Trojan ou Cheval de troie est un logiciel malveillant caché dans un logiciel présenté comme légitime.
Il s’agit d’un parallèle avec l’attaque de la ville de troie où les soldats étaient cachés à l’intérieur du cheval donné en cadeau à la ville.
Cela a permis de faire entrer les soldats et contourner les murailles pour prendre d’assaut cette dernière.
Dans le cas d’un trojan, l’utilisateur pense télécharger un fichier sain comme un setup ou un crack, au moment du lancement, le trojan s’installe sur l’ordinateur.
Ce dernier possède alors des fonctionnalités malveillantes comme la possibilité de contrôler l’ordinateur à distance, enregistrer les frappes claviers (keylogger), envoyer des mails de spams, etc.
En général, la plupart des trojans font joindre l’ordinateur dans un botnet (réseau d’ordinateur zombis) pour contrôler ces derniers.
Cela permet de sous-louer ces ordinateurs pour mener des attaques, des scans ou envoyer des mails de spams.
Le fonctionnement d’un cheval de troie se compose :

1. d’un fichier qui est copié a un emplacement précis
2. un point de chargement de Windows pour charger le malware au démarrage de Windows.

Seul les Trojan FileLess et les trojans utilisant des injections de DLL fonctionnent de manière différentes, pour ce dernier, se reporter à la page : Trojan avancé : fonctionnement de cheval de troie plus complexe
Il existe donc des sous-catégorie de trojan, par exemple :

• Trojan.Spambot : est capable d’envoyer des mails de spams.
• Trojan.PWS ou Trojan.Stealer : est spécialisé dans le vol de mot de passe, par exemple les mots de passe des navigateurs internet et peut avoir des fonctions de keylogger.
• Trojan.Proxy transforme l’ordinateur en proxy afin de vendre ce dernier pour permettre aux cybercriminels de se cacher. Exemple sur cette page : BackDoor.Proxybox : Votre PC transformé en proxy
• Trojan Patched : ce dernier modifie un fichier système de Windows pour y insérer son code et être chargé par Windows.

Les liens du site autour des trojan :

• Comment fonctionnent les trojans
• Trojan RAT (Remote Access Tool)
• Trojan Banker : botnet spécialisé dans le vol de compte
• Trojan MSIL
• Les trojan bitcoin qui vise à faire miner l’ordinateur à l’insu de l’utilisateur pour générer des crypto-monnaies

Backdoor ou porte dérobée

Les backdoor sont des portes dérobées qui permettent de contrôler un ordinateur ou système.
Initialement, l’ordinateur visé était tourné en tant que serveur, c’est à dire que la backdoor ouvrait un port et le pirate pouvait s’y connecter.
De nos jours, la plupart des trojan ont des fonctionnalités de Backdoor afin de pouvoir contrôler l’ordinateur.
La plupart fonctionne en tant que client qui se connecte à un centre de contrôle (C&C : Command & Center) qui peut être un serveur WEB ou un serveur IRC (Backdoor.IRC).
A noter que les sites internet peuvent aussi être visés par des backdoor notamment à travers des Shell PHP que qui font partie de la catégorie des backdoor PHP : Détecter des backdoors PHP parmi ses fichiers
Les liens du site autour des backdoor :

• Backdoor.IRC : le couteau suisse
• BoSSaBoTv2 : another Linux Backdoor IRC
• Backdoor IRC évoluée : Rootkit
• Backdoor IRC (snk) vise Skype
• Backdoor.Perl.Shellbot.B et Backdoor.Linux.Tsunami.A
• Les Virus MSN étaient pour la plupart des backdoor IRC

Spywares

Les Spywares sont des logiciels espions.
Comme leur nom l’indique, ces derniers permettent d’espionner un utilisateur, cela peut aller de fonctionnalités de keylogger, le vol de mot de passe, à l’activation et Piratage de Webcam de la webcam.
Initialement dans les années 2000, les spywares n’étaient pas visés par les antivirus et on devait utiliser des logiciels comme Spybot ou Ad-aware pour les supprimer.
Les tracking cookies étaient aussi inclus dans ce type de menaces.
Cela a permis aux éditeurs d’antivirus de vendre des solutions supplémentaires sous le nom d’antispyware.
Mais à partir de 2005, la distinction est devenu intenable dans le sens où la plupart des menaces informatiques et trojan intègre des fonctions espions.
On peut tout de même distinguer plusieurs type de Spywares :

• Password Stealer : malware qaui vise à voler les mots de passe de l’ordinateur. Les mots de passe enregistrés dans le navigateur internet ou client FTP.
• Banking Trojan : Trojan spécialisé dans le vol de compte bancaire ou capable de modifier les pages du site de la banque pour falsifier les transactions.
• InfoStealer : Malware qui capable de voler toutes sortes d’informations connues dans l’ordinateur comme les nom d’utilisateur, mot de passe, adresse email, historique de surf, fichiers logs, informations systèmes, documents ou autres médias.
• Keylogger : enregistreur de frappes clavier, se reporter au paragraphe suivant.

De nos jours, la catégorie ou distinction n’existe plus vraiment entre les spywares et trojan.

Keylogger

Les keylogger sont des enregistreurs de frappes clavier qui ont pour but de récupérer des mots de passe.
Cela peut aussi servir pour espionner un utilisateur et classe donc ces menaces dans la catégorie spywares.
On distingue les keylogger logiciels qui sont des programmes tournant sur le système d’exploitation, des keyloggers matériels qui sont des dispositifs que l’on peut par exemple brancher à un clavier.
La plupart des trojans qui visent à voler des données ont des fonctionnalités de keylogger.

• Les keylogger ou enregistreur de frappes clavier
• Les anti-Keylogger pour se protéger des keyloggers 

Worms ou vers informatiques

Les vers informatiques ou worms en anglais sont des logiciels malveillants capables de se propager tout seul d’un ordinateur à l’autre.
C’est donc leur mode de propagation qui donne ce nom à ce type de menaces informatique.
On distingue grosso modo, deux types de vers informatiques :

• Les vers qui vont exploiter des vulnérabilités distantes, en envoyant des requêtes sur le réseau, ils vont pouvoir infecter des ordinateurs vulnérables. Les vers les plus connus sont Blaster ou Conficker.
• Les vers Worm.Autoruns ou Worm.VBS qui utilisent les médias amovibles (clés USB, disque dur externe, etc) pour se propager d’un ordinateur à l’autre. Se reporter à la page : Les virus sur clé USB.

2017 a connu le premier ransomware, Wannacry, avec des fonctionnalités de vers informatique pour infecter les ordinateurs : FAQ – WannaCry (WanaDecryptor) 
Enfin, pour plus d’informations sur ce type de menaces, suivre la page suivante : vers informatiques (worms) : description et fonctionnement

Rootkit

Les rootkits sont des logiciels malveillants connus pour leurs capacités à se dissimuler dans le système.
Les rootkits ont très vite existé sur Linux ou Windows.
On distingue en général deux types de rootkits :

• les rootkits kernel-mode qui dans le cas de Windows fonctionne avec un pilote / drivers
• les rootkits userland qui fonctionne au niveau utilisateur. Pour ceux qui ont connus courant l’adware Magic.Control possedait des fonctions de rootkit userlant, plus d’infos : Supprimer Magic.Control / egdaccess / Adaware.NaviPromo

Dans les deux cas le fonctionnement est le même, il s’agit de détourner les appels systèmes (Appel API) de Windows vers le rootkit.
Ce dernier va alors répondre et falsifier les réponses.
Par exemple, si une application fait un appel API pour obtenir la liste des processus Windows, le rootkit peut détourner l’appel pour retourner une liste sans le processus du rootkit.
Ainsi, le gestionnaire de tâches par exemple ne listera pas le processus malveillant.
Des rootkits kernel-mode peuvent détourner les appels systèmes liés aux systèmes de fichiers pour cacher un fichier de l’explorateur de fichiers ou interdire la suppression de ce dernier.

Pour ce dernier, ils ont explosés en 2005/2007 avec notamment des rootkits kernel-mode avec Rustock, Cutwail puis le malware TDSS et ZeroAccess.
Ces deux derniers ont été particulièrement actifs durant plusieurs années :

• Rootkit.TDSS TDL 4 (Trojan.Alureon)
• ZeroAccess / Sirefef.B / Rootkit.Win32.ZAccess / MAX++

Par la suite, les rootkits se sont attaqués au secteur MBR du disque pour se rendre actif très tôt au démarrage de Windows.
On appelle ces malwares les bootkits : Rootkit MBR (Bootkit) : comment détecter et supprimer
Certains adwares ont utilisés des fonctions rootkit comme Pilotes « bsdriver.sys » & « cherimoya.sys » : abengine
La suppression est donc plus complexe, il faut en général utiliser un outil dédiés comme TDSSKiller ou gmer.

Rogues ou scarewares

Les rogues ou scarewares sont des menaces qui ont été très importantes de 2004 à 2011.
Ces derniers ont été remplacés par les ransomwares de type Trojan Winlock.
Le mot scarewares peut se traduire par logiciel alarmant ou logiciel qui tente de faire peur.
Un rogue est programme qui tente de se faire passer pour légitime dans le but de faire acheter une licence.
Très longtemps, les rogues se sont fait passer pour de faux antivirus.
Le procédé était simple, un trojan vise à afficher de fausses alertes indiquant que l’ordinateur est infecté, tout en installant la partie Rogue.
Cette dernière va lancer des analyses de l’ordinateur et détecter toutes sortes de menaces mais pour les supprimer, l’utilisateur devra acheter le faux antivirus.
Ces attaques reposent donc sur la peur de l’utilisateur face aux nombres alertes et messages d’alertes et d’erreurs.

• Vous trouverez une liste de rogues et scarewares sur la page suivante, certains étaient relativement bien fait : Rogues/Scareware
• Du côté des fausses alertes de sécurité, se rendre sur la page : Les Rogues et alertes de sécurité

De manière générale pour ce qui est de fausses alertes de virus ou autres, vous pouvez lire l’article : Arnaque : fausse alerte de virus

En 2011, plusieurs évolutions ont été constatés :

• Certains Rogues se faisaient passer pour des logiciels de réparation de disques. Le malware cachait les fichiers et affichaient de faux messages d’erreurs lors de tentatives d’accès aux fichiers
• Les derniers faux antivirus bloquaient l’accès à Windows, on s’approchait donc des Trojan WinLock (voir partie ransomware).

Enfin, l’arrivé des PUPs en 2012 a permis une nouvelle prolifération des scarewares avec des sociétés étrangères.
Accouplé à des lenteurs dus aux Adwares, des logiciels d’optimisation et de nettoyages étaient aussi installés. Ces derniers pouvaient apparaître comme des solutions aux lenteurs dus aux adwares.
Des logiciels très peu fiables avec des méthodes proches des rogues ont vu le jour : Reimage Repair et MacKeeper
Par le suite, ces procédés de fausses alertes de virus ou d’erreur ont été portés sur Android pour toucher les smartphones et tablettes : Fausses pages web et messages de virus téléphones/tablettes 
Enfin, des logiciels de mises à jour de pilotes : Faux programmes de mises à jour de pilotes et drivers
Tout en ayant de faux antivirus, comme TotalAV : TotalAV présentation et avis
De manière générale, il existe et existera toujours des logiciels de nettoyages peu fiables.
Tous ces procédés sont aussi résumés sur l’article : Les logiciels de nettoyage de Windows

Ransomwares ou rançongiciels

Les ransomwares ou rançongiciels sont des menaces informatiques qui prennent en otage l’ordinateur ou les documents et demandent à payer une somme d’argent pour récupérer l’accès à ces derniers.
On peut distinguer deux types de ransomwares :

• Les ransomwares qui chiffrent les données et demandent de payer une rançon pour récupérer l’accès à ces derniers. Fin 2015, ces derniers ont explosé avec notamment le ransomware TeslaCrypt puis Locky.
  • crypto-ransomware / rançongiciels chiffreurs de fichiers
  • Ransomwares/Rançongiciels : Cerber, Spora et Jaff
• Les Trojan WinLock qui vise à bloquer l’accès à Windows. Fin 2011, les Trojan Winlock se faisant passer pour les autorités ont été très utilisés jusqu’en 2013 : Les Trojan Winlock Fake Police. 

Le malware Reveton a été Trojan WinLock le plus actif, à noter que ce dernier voler aussi les mots de passe. Par la suite, le même groupe a produit le ransomware CryptXXX qui voler aussi les mots de passe.
Il existe aussi des ransomwares qui bloque le navigateur internet, on noteraBrowlock (pour Browser Lock) :

• Virus Gendarmerie Nationale – DLCC Division de lutte contre la cybercriminalité
• Virus Police Nationale

Les arnaques de support téléphoniques ont part la suite utilisé ces méthodes pour bloquer les navigateurs internet sur de fausses erreurs de Windows pour demander à contacter une hotline téléphonique.
Enfin début 2018, un Trojan Winlock « Windows a détecté des activités suspectes » faisant croire à une erreur Windows bloque ce dernier pour pousser ces mêmes arnaques téléphoniques.

Adwares

Les adwares sont des logiciels publicitaires qui sont souvent distribués en mode PUP (voire plus bas).
Des sociétés avec pignon sur rue ont très vite développer des logiciels publicitaires qu’ils ont proposés comme sponsors à des éditeurs de logiciels.
Le but est donc de monétiser leur programme en faisant installer des adwares sur les ordinateurs.
Une fois actif, l’adware va charger des publicités sur l’ordinateur comme des popups à intervalle régulier, des onglets qui vont s’ouvrir au moindre clic sur une page.
Cela devient donc vite agaçant pour l’utilisateur de l’ordinateur.
Dans les années 2004, la société française Eorezo a été très active à travers des widget qui modifiaient la page de démarrage et installer un adware sur les ordinateurs.
Par la suite, ces adwares ont été caché dans des tutoriels en vidéo (Tuto4PC) qui étaient notamment promus par le site telecharger.com : 01net/telecharger.com : ça ne s’arrange pas
A partir de 2011, une explosion a eu lieu avec l’âge d’or des PUPs, des logiciels de nettoyage comme AdwCleaner ont alors vu le jour pour désinfecter et supprimer les adwares.
Les adwares se sont aussi attaqués au monde du Mac et Android :

• Les adwares sur Android
• Adwares et publicités sur MacOSX

On peut assister à des adwares très évolués comme Magic.Control (voire partie rootkit) ou encore Adwares v-bates qui patchait le fichier système dnsapi.dll
Les liens autour des Adwares :

• Supprimer les popups de publicités / Adware
• Désinfection manuelle de Windows (Trojan, Adware etc)

Les Browser Hijacker

Les Browser Hijacker pour pirate des navigateurs internet sont des logiciels malveillants qui modifient les paramètres des navigateurs internet.
Le but est d’imposer un moteur de recherche en page de démarrage et moteur de recherche par défaut.
Cela permet de faire gagner de l’argent à l’auteur en augmentant l’audience d’un moteur de recherche ou en gagnant de l’argent sur le volume de trafic envoyer vers des moteurs de recherche.
Ce sont des outils très utilisés dans la guerre des moteurs de recherche.
Ces Browser Hijacker sont massivement utilisés avec les adwares et pousser par les plateformes PUPs.
Une page sur le site est consacrée à ces menaces : Browser Hijacker : les pirates des navigateurs Internet

PUP

PUP pour Potentially Unwanted Programs soit les programmes potentiellement indésirables.
Il s’agit de programmes proposés à l’installation de logiciels sains.​_
C’est un moyen de monétiser un logiciel, puisque l’éditeur du logiciel va gagner de l’argent à chaque installation réussie.
On peut voir cela comme du sponsoring.
La plupart du temps les programmes proposés à l’installation sont des adwares ou des Browser Hijacker.
De ce fait, ce type de procédés est très mal perçu par les internautes.
Ces méthodes ont explosé depuis 2011 où plusieurs plateformes de PUPs ont sévi.
Par exemple, la plateforme InstallCore est assez spécialisé pour proposer à des sites de téléchargement (telecharger.com ou Clubic y sont passés) pour pousser des programmes additionnels.

• Clubic test le repack et propose des PUPs 
• Les sites de téléchargements qui repackent
• Softonic : Repack de logiciels => PUPs / LPIs 

Mais InstallCore est aussi actif à travers de faux messages de mises à jour Flash ou Java (voir : Fausses mises à jour Java / Flash).
Pour un détails plus complet sur InstallCore, lire : InstallCore : PUPs et Adwares
D’autres exemples de plateformes de PUPs comme Win32/Amonetize : Adwares et PUPs est plutôt spécialisé dans les faux cracks.

La plupart des PUPs proposent l’installation de multiples programmes malveillants et parasites comme :

• Un Browser Hijacker qui va modifier le moteur de recherche du navigateur internet
• Un ou plusieurs adwares
• des scarewares avec de faux logiciels d’optimisations ou de détections de malwares. L’ordinateur étant ralenti par les adwares qui tournent, ces faux nettoyeurs pouvaient passer comme une solution aux problèmes rencontrés.

Enfin un dossier complet sur les PUPs existent sur le site : Dossier Adwares/PUPs : programmes indésirables et parasites

Exploit et Drive-by download

Les Exploits sont des codes qui visent à exploiter une vulnérabilité connues ou inconnues (dites 0-day).
Les vers informatiques utilisent par exemple des exploits pour se propager d’un ordinateur à l’autre.
Le nom est donc générique pour un type de code malveillant, toutefois des menaces ont vu très vite le jour.
A partir de 2011, les Web Exploit ont explosé comme moyen d’infecter les ordinateurs.
A l’époque, les plugins Adobe Flash, Adobe Reader et Adobe Java étaient installés sur la plupart des navigateurs internet.
En chargeant une applet Java, Flash ou un PDF exploitant une vulnérabilité sur ces plugins, on pouvait faire exécuter de manière automatique un malware sur l’ordinateur.
Ainsi, à la simple visite d’un site internet piraté ou contenu une malvertising (publicité malveillante) qui redirige vers un exploit Web, les ordinateurs des internautes ont pu être infectés.
Le terme utilisé pour ce type d’attaque est Drive-by download.
La page suivante explique le fonctionnent en détails des Web Exploit : Les Exploits sur les sites WEB piégés
Voici une vidéo d’un Web Exploit en action :
Les premiers Web Exploit Kit, c’est à dire, des logiciels automatisés pour mettre en place ces attaques ont été vendus.
Le premier connu a été BlackHole, ce dernier fonctionnait en SaS, l’auteur maintenant à jour les exploits, que ce soit pour contourner les détections antivirus que pour en ajouter de nouveaux dès qu’une vulnérabilité été publiée. Mais d’autres ont suivi comme Angler Exploit Kit, Neutrino Exploit Kit  ou encore Magnitude ExploitKit.
La plupart des Web Exploit Kit fournisse des statistiques d’infection par pays, navigateur internet, etc.
Vous trouverez une présentation de BlackHole sur la page suivante : BlackHole Exploit WebKit : Présentation
Ce dernier a permis l’explosion des Trojan FakePolice.
Par la suite, des contre-mesures ont été apportés, notamment les navigateurs internet se sont mis à bloqués les plugins non à jour.

Malvertising

Malvertising est la concaténation de Malware et advertising, il s’agit donc de publicités malveillantes.
Les malvertising ont été très vite utilisés par les cybercriminels pour rediriger les internautes vers des Web Exploit Kit.
Le procédé est simple, vous visitez un site contenu une malvertising, celle-ci va charger la publicité mais aussi le Web Exploit qui va faire son travail pour tenter d’infecter l’ordinateur.
Tout est automatique à travers des JavaScript ou iframe.
La page suivante décrit le fonctionnement de ces dernières : Les publicités malicieuses « Malvertising », source de distribution des virus
Bien entendu, on peut porter le terme pour toutes publicités malveillantes.
Ainsi, des publicités menant à des scarewares ou arnaques de support téléphoniques sont aussi utilisées.
Les sites pornographiques mais surtout de streaming illégaux sont très vecteur de malvertising : Les sites de streaming et les virus

La nomenclature des antivirus

Les familles de malwares

Les menaces peuvent être classés par famille, quand il s’agit du même malware qui revient sous diverses campagnes ou utiliser par différents acteurs.
On trouve donc des centaines et des centaines de familles de malware comme Spybot, Carberp, etc.
Il peut aussi arriver que le code source d’un malware soit publié et utiliser pour donner une nouvelle famille.
C’est notamment le cas avec les Trojan Banker.
Vous trouvez une liste de famille de malwares sur la page : Index des menaces et programmes malveillants/Malwares

Les détections génériques

Les antivirus possèdent des détections génériques, c’est à dire des codes connus ou un ensemble de facteur qui font qu’un fichier peut-être déclaré comme malveillant.
Dans ces cas là, la famille du malware n’est alors pas mentionnée puisque inconnue mais un nom de détection générique peut revenir.
Les noms donnés peuvent être liés aux langages informatiques utilisés, par exemple Trojan.MSIL ou Trojan.VB.
Mais aussi liés aux actions que le malware peut effectuer : Trojan.Downloader, Trojan.PWS, Trojan.Stealer, ou Trojan.Spambot
On peut aussi avoir des détections génériques liées aux numéros de détection génériques de l’antivirus, exemple : Trojan.Gen.645
Vous trouvez une liste des détections génériques les plus communs sur la page : Index des menaces et programmes malveillants/Malwares

Autres termes liés aux logiciels malveillants

Dropper et Payload

Dans une chaîne d’attaque, on peut distinguer la partie qui installe l’infection (Dropper) de la partie qui va travailler une fois le malware actif dans le système (Payload).
Ainsi, si vous recevez un mail avec une pièce jointe contenant un script VBS, ce dernier est le dropper.
La seule fonction du script VBS est de télécharger et exécuter le Trojan dans l’ordinateur.
Un Trojan Downloader est aussi un dropper puisqu’il se charge de télécharger et exécuter le malware.
La page suivante aborde ces deux termes : Dropper & Payload : Explications

Autres liens autour des logiciels malveillants

Quelques liens du site autour des malwares :

• Comment les virus informatiques sont distribués
• Les virus informatiques : fonctionnement et protections
• Les virus sur Android

REF.: