Il est courant d’entendre que Linux est un système d’exploitation inviolable, exempt de virus et de menaces informatiques. Cependant, cette perception est loin de la réalité. Bien que Linux soit généralement plus sécurisé que d’autres systèmes d’exploitation, il n’est pas complètement à l’abri des attaques malveillantes.
Pourquoi Linux n’est pas à l’abri des virus
Plusieurs virus et vulnérabilités ont été découverts au fil des ans, démontrant que Linux n’est pas aussi immunisé qu’on ne le pense contre les menaces informatiques.
Les premiers virus Linux, tels que Staog et Bliss, ont été identifiés il y a plusieurs décennies, prouvant que le système n’est pas inviolable. De plus, des vulnérabilités récentes dans des programmes essentiels comme XZ Utils ont mis en lumière les risques potentiels pour les utilisateurs Linux. En outre, des exemples de malware comme Linux.Wifatch et Linux.Encoder.1 montrent que les systèmes Linux peuvent être infectés par des vers et des ransomwares.
Dans ce post nous allons voir pourquoi il est crucial de rester vigilant face aux menaces informatiques, même sur ce système d’exploitation réputé sécurisé. Nous allons faire connaissance avec 2 outil: ClamAV et rkhunter.
ClamAV
ClamAV (Clam AntiVirus) alias « la tomate vénère » est un logiciel antivirus open source, principalement utilisé sur les systèmes Unix, Linux, mais également disponible pour Windows et macOS. Il est souvent utilisé avec les serveurs de messagerie pour filtrer les emails contenant des virus, bien que les systèmes sur lesquels il s’exécute soient moins vulnérables aux menaces qu’il détecte, qui sont principalement ciblées vers Microsoft Windows.
Caractéristiques Clés
- Licence : ClamAV est distribué sous licence GPL, ce qui signifie qu’il est gratuit et open source.
- Utilisation : Il est très utilisé pour la détection de divers types de menaces, y compris les virus, les chevaux de Troie (trojan), les logiciels espions (spyware), et les scripts malveillants (malware).
- Mises à jour : ClamAV se met à jour automatiquement pour inclure de nouvelles signatures de virus, ce qui permet une détection efficace des menaces émergentes.
- Plateformes : Disponible sur plusieurs plateformes, y compris Linux, Windows, et macOS.
- Impact sur les performances : ClamAV a un impact minimal sur les performances du système, ce qui le rend adapté aux systèmes moins puissants.
Interfaces Graphiques
Pour une utilisation plus conviviale, il existe des interfaces graphiques comme Clamtk pour GTK et KlamAV pour KDE. Sous macOS, ClamXAV est une version spécifique qui utilise le moteur de détection ClamAV. Dans ce post nous allons regarder rapidement Clamtk.
Installation
L’installation est très simple. Vous pouvez télécharger et installer le fichier correspondant à votre système d’exploitation ici.
Si vous êtes sous une distrib Linux Debian-based, juste sudo apt get install clamav (Pour les autres, il faudra l télécharger, décompresser et exécuter)
Mise à jour des signatures
Avant de commencer à utiliser ClamAV, il faut tout d’abord mettre à jour la base de données de ClamAV contenant les signatures virales connues, ce qui permettra ensuite de les détecter lors des scans.
sudo freshclam
Scan manuel
Avec ClamAV, vous pouvez comme sur la plupart des antivirus scanner un disque complet, un dossier, un fichier. Son utilisation est très intuitive. Il vous suffira d’utiliser la commande clamscan suivi du chemin souhaité.
Voici quelques exemples pour les systèmes UNIX/Linux
sudo clamscan / (Pour scanner tout le disque)
sudo clamscan /home/Toto/Dowloads (Pour scanner tout le dossier de téléchargement de l’utilisateur Toto)
sudo clamscan /home/Toto/Documents/recette-de-ratatouille.pdf (Pour scanner un fichier PDF précis)
sudo clamscan /home/Toto/Dowloads -log=report.log (Pour sauvegarder le résultat dans un fichier de log)
sudo clamscan /home/Toto/Dowloads --remove=yes (Pour supprimer automatique les fichiers malicieux)
On peut bien entendu combiner plusieurs options:
Protection en temps réel
Il est possible d’utiliser aussi ClamAV comme un antivirus à la Windows, qui vérifie en temps réel l’ensemble du système ou seulement un ou plusieurs dossiers que vous aurez paramétrés. Ce n’est pas très compliqué à mettre en place, si vous souhaitez optimiser cette partie, tout est expliqué dans la documentation officielle. Mais nous irons ici droit au but pour une utilisation simple qui vous permettra de tester cette fonction rapidement.
Si ce n’est pas déjà fait, vous pouvez installer le daemon:
sudo apt install clamav-daemonVous pouvez alors le démarrer avec systemctl et vérifier que le status est bien sur enabled et active:
sudo systemctl start clamav-daemon
sudo systemctl status clamav-daemon
Pour qu’il se lance automatiquement au démarrage du PC vous pouvez aussi ajouter:
sudo systemctl enable clamav-daemonNous pouvons mainteant configurer le OnAccess en édiant le fichier clamd.conf :
sudo nano /etc/clamav/clamd.confVous pouvez simplement ajouter ou adapter selons vos besoins les options suivantes:
OnAccessIncludePath /home # Répertoire à surveiller (ex: /home, /, etc.)
OnAccessPrevention yes # Bloquer les fichiers malveillants
OnAccessMountPath / # Point de montage à surveiller
OnAccessExcludeUname clamav # Exclut utilisateurs ou groupes UNIX spécifiques
Quand c’est fait et que vous l’avez sauvegardé, vous pouvez taper sudo clamonacc, si aucune erreur apparaît alors vous pouvez passer à la suite.
Utilisation de la version graphique
Si vous préférez utiliser une version graphique de ClamAV plutôt qu’en ligne de commande, vous pouvez installer ClamTk:
sudo apt install clamtkVous pouvez ensuite le rechercher dans la liste de vos programmes et cliquer sur son nom
On peut maintenant voir les différentes options qu’il propose, son utilisation est très intuitive:
On peut voir quelques options qui seront très pratiques comme le Scheduler pour plannifier les scans:
La section Quarantine pour voir et gérer ce qui a été mis en quarantaine:
Ou bien encore la section Analysis pour vérifier la réputation d’un fichier:
D’autres fonctions sont disponibles, vous pourrez les découvrir et les tester au fil du temps.
rkhunter
Pour faire simple, rkhunter est un outil qui permet de détecter les rootkits, backdoors et autres types de menaces ocmme des exploits qui pourraient impacter des systèmes UNIX et Linux. Il vérifie les hashes SHA256, SHA512, SH1 et MD5 des fichiers importants, fichiers cachés, permissions, en les comparant avec les hashes connus, disponibles dans une base de données. Si un hash est différent de celui de la base de donnée, alors il a été modifié.
Installation
Rien de plus simple: sudo apt install rkhunter
Utilisation
Vous pouvez tout d’abord mettre la base à jour:
sudo rkhunter --update
Si vous obtenez cette même erreur, rien de dramatique, il suffit d’éditer le fichier /etc/rkhunter.conf :
sudo vim /etc/rkhunter.conf
Et vous pouvez apporter les modifications suivantes:
Remplacez 0 par 1 pour UPDATE_MIRRORS et remplacez 1 par 0 pour MIRRORS_MODE:
Supprimez le chemin indiqué pour WEB_CMD="/bin/false" pour ne garder que les guillemets:
Maintenant vous pouvez à nouveau exécuter sudo rkhunter --update
Maintenant que tout est corrigé, vous pouvez lister les tests disponibles avec sudo rkhunter --list:
Si vous voulez simplement vérifier l’ensemble du système: sudo rkhunter --checkall
Pour n’avoir que les alertes, vous pouvez aussi ajouter l’option --report-warnings-only .
Vous pouvez maintenant l’ajouter à Crontab pour automatiser le scan, il vous suffira quand vous avez un peu de temps de consulter le fichier de log qui se trouve par défaut dans /var/log/rkhunter.log . Vous pouvez modifier son emplacement avec l’option -l .
Enfin, après une mise à jour du système, vous pouvez aussi mettre à jour la base de rkhunter avec sudo rkhunter --propupd afin qu’il prenne en compte aussi les nouveautés / changements.
Conclusion
Maintenant, vous avez au moins 2 outils pour analyser votre système, que ce soit manuellement ou automatiquement. Gardez bien en tête que même si les distrib Linux sont moins ciblées et moins vulnérables que Windows, elles ne sont pas 100% sécurisées, rien ne l’est. On voit régulièrement et de plus en plus, comme ici ou là, une nouvelle attaque, une nouvelle vulnérabilité, une nouvelle faiblesse ou un nouveau bug qui touche aussi Linux.
Restez prudent, restez vigilant, restez constant.
