Malware Protection

À 01h12, j’ai cliqué sur un lien “Amazon suspendu”.
La page avait l’air parfaite. Logo nickel. Police identique. Bouton jaune rassurant.

Heureusement, rien ne s’est chargé.

La plupart des gens pensent que la protection contre les malwares fonctionne comme un détecteur de fumée :
le feu doit déjà être dans la maison pour que l’alarme sonne.

C’est précisément le problème.

L’antivirus traditionnel fonctionne en détection après contact :

Tu visites un site malveillant

Quelque chose se télécharge

L’antivirus analyse → détecte (peut-être) → supprime

Le malware a déjà touché ton système.
Entre le téléchargement et la détection, beaucoup de choses peuvent se produire :
identifiants capturés, fichiers chiffrés, données envoyées vers un serveur à l’autre bout du monde.

La séquence compte.

La protection DNS inverse totalement la séquence.

Comment Fonctionne la Protection DNS

Tu tentes d’accéder à un site malveillant

Le DNS vérifie le domaine → menace connue

Connexion bloquée avant tout téléchargement

Le domaine ne se résout pas.
La connexion ne s’ouvre pas.
Rien n’atteint ton appareil.

C’est la différence entre un videur qui contrôle la liste à l’entrée
et un agent de sécurité qui plaque quelqu’un à l’intérieur du bâtiment.

Stoix fonctionne à ce niveau-là.
Silencieux. En amont. Avant que quoi que ce soit ne commence.

Ce Qui Est Bloqué

1. Sites de distribution de malware

Domaines connus pour héberger :

  • Virus
  • Chevaux de Troie
  • Ransomware
  • Keyloggers
  • Hijackers de navigateur

Si le domaine est identifié, il ne charge jamais.

2. Sites de phishing

Copies quasi parfaites de :

  • Amazon
  • Gmail
  • PayPal
  • Banques
  • Exchanges crypto

Ces sites vivent parfois moins de 24 heures.
Ils apparaissent, volent des identifiants, disparaissent.

La vitesse de mise à jour des flux de menaces est cruciale.

3. Serveurs de Command & Control (C&C)

Même si un appareil est déjà infecté,
le malware doit “appeler à la maison” pour recevoir des instructions.

Si le serveur C&C est bloqué :

  • Pas d’exfiltration de données
  • Pas de nouvelles charges utiles
  • Pas de coordination

Un malware isolé devient beaucoup moins dangereux.

4. Domaines de typosquatting

gooogle.com
amaz0n.com
facebo0k.com

Une lettre en trop.
Un zéro à la place d’un “o”.

Stoix maintient des listes de patterns connus pour les cibles à fort trafic.

Scénarios Réels

Email de phishing

Sujet : “Votre compte Amazon est suspendu”.

Tu cliques.
Le domaine : amazn-secure-login.com.

La requête DNS part.
Le domaine est listé comme malveillant.
Connexion bloquée.
Tu vois une page d’avertissement au lieu d’un faux formulaire crédible.

Site légitime compromis

Un site d’actualité que tu visites souvent est piraté.
Il redirige vers un domaine malware.

La redirection tente de se résoudre.
DNS bloque.
Tu ne sais même pas qu’une attaque a été tentée.

Publicité malveillante

Un réseau publicitaire compromis sert un script malveillant.

Le domaine publicitaire tente de charger.
Bloqué.
La pub ne s’affiche jamais.
Le script ne s’exécute jamais.

Niveaux de Protection

Protection Core (Toujours Active)

  • Sites de malware
  • Phishing
  • Serveurs C&C
  • Ransomware connus
  • Cryptojacking

Actif pour tous les utilisateurs.

Protection Renforcée (Optionnelle)

Dans Content Policies, section Sécurité :

  • Blocage des domaines enregistrés depuis moins de 30 jours
  • Blocage de TLD historiquement abusifs (.tk, .ml, .ga, etc.)
  • Blocage de fournisseurs DNS dynamiques utilisés pour l’infrastructure d’attaque

Plus de faux positifs possibles.
Mais surface d’attaque réduite.

Ce Que la Protection DNS Ne Peut Pas Faire

Important.

  • Ne détecte pas un malware zero-day non catalogué
  • Ne scanne pas le contenu des fichiers
  • Ne supprime pas un malware déjà présent
  • Ne bloque pas un fichier malveillant copié via clé USB

La pile complète ressemble à ça :

  1. Filtrage DNS Stoix — bloque les domaines connus avant connexion
  2. Antivirus — analyse les fichiers
  3. Mises à jour système & navigateur — corrigent les vulnérabilités
  4. Hygiène numérique basique — vérifier les URL, gestionnaire de mots de passe

Le DNS est la première ligne.
Il absorbe le volume massif des menaces connues automatiquement.

Reconnaître les Menaces

Signaux de phishing

Le mécanisme principal : l’urgence.

“Votre compte sera suspendu dans 24h.”
“Activité inhabituelle détectée.”

La panique court-circuite le scepticisme.

Autres signaux :

  • Domaine mal orthographié
  • Email expéditeur incohérent
  • Demande de mot de passe par email
  • Offres irréalistes

Avant de cliquer :
survole le lien.
Regarde l’URL réelle dans la barre d’état.

Téléchargement suspect

  • Pop-up “Votre Flash Player est obsolète” (Flash est mort depuis 2020)
  • Installateurs qui ajoutent des programmes non demandés
  • Fichiers .exe, .scr, .js, .vbs inattendus
  • Tout venant d’un site de piratage

Si doute : va directement sur le site officiel du développeur.

Si un Malware Passe Quand Même

  1. Déconnecte immédiatement Internet
  2. Lance une analyse antivirus complète
  3. Change tous les mots de passe depuis un appareil propre
  4. Vérifie comptes bancaires et cartes
  5. Restaure depuis une sauvegarde si nécessaire

Surveiller ta Protection

Le Dashboard Analytics montre en temps réel :

  • Domaines bloqués
  • TLD suspects
  • Noms de domaines générés automatiquement
  • Correspondances multi-feeds

Un site légitime bloqué ?
Ajoute-le à ta Allowlist et signale-le à [email protected].

Ce que j’ai compris cette nuit-là ?

La plupart des attaques ne sont pas sophistiquées.
Elles sont opportunistes.

Elles comptent sur une seule chose :
que la porte soit déjà ouverte.

Le filtrage DNS, lui, ferme la porte avant même que quelqu’un ne frappe.