Cyber Expert – Investiguer vos programmes au démarrage

Votre ordinateur démarre … mais pas toujours en toute sécurité

Le démarrage d’un système est une phase critique : c’est à ce moment que de nombreux programmes s’exécutent automatiquement. Certains sont légitimes (antivirus, mises à jour système), d’autres peuvent être malveillants (malwares persistants, backdoors). 

Comprendre et surveiller les programmes au démarrage est essentiel pour garantir la sécurité de votre poste de travail ou de votre infrastructure.

Pourquoi s'intéresser aux programmes au démarrage ?

Le démarrage d’un ordinateur est un moment critique. C’est là que tout commence : votre système se met en route, les protections s’activent… mais parfois aussi, des programmes indésirables ou malveillants.

Surveiller ce qui s’exécute au démarrage est essentiel pour plusieurs raisons :

Détection de malware : De nombreux logiciels malveillants s’installent pour se relancer à chaque démarrage.

Amélioration des performances : Moins de programmes inutiles au démarrage = un démarrage plus rapide.

Analyse post-compromission : Dans le cadre d’une réponse à incident, identifier les anomalies dès le boot est essentiel.

Comment les programmes se lancent-ils au démarrage ?

Lorsqu’un ordinateur s’allume, il ne lance pas seulement le système d’exploitation : il exécute aussi une série de programmes automatiquement, sans vous demander votre avis. Cette mécanique est pratique pour certains logiciels légitimes, comme votre antivirus ou vos outils de synchronisation cloud. Mais c’est aussi un terrain de jeu idéal pour les programmes malveillants.

Voyons quelques méthodes qui expliquent comment ces programmes arrivent à se lancer dès le démarrage :

Les clés de registres

 Sur un ordinateur Windows, le registre est une immense base de données qui contient des informations essentielles sur le système. Certains emplacements du registre, comme les clés “Run” ou “RunOnce”, permettent à des programmes de se déclarer pour s’exécuter automatiquement à chaque démarrage.

Votre antivirus ajoute une entrée dans la clé “Run” pour se lancer dès que vous allumez votre ordinateur. Un malware peut faire exactement la même chose pour rester caché.

Le dossier “Démarrage” (Windows)

Il existe un dossier spécial dans Windows appelé Dossier de démarrage (“Startup Folder”). Tout programme ou raccourci placé dans ce dossier sera automatiquement exécuté au lancement de Windows.

Si vous placez un document Word ou un logiciel dans ce dossier, il s’ouvrira automatiquement à chaque démarrage.

Les tâches planifiées

Windows dispose d’un Planificateur de tâches (Task Scheduler) qui permet de programmer des actions automatiques, comme le lancement d’un programme à une certaine heure ou à un événement précis… y compris au démarrage.

Un cybercriminel peut créer une tâche cachée pour lancer un logiciel espion à chaque démarrage sans apparaître dans les listes classiques.

Les services système

Certains programmes fonctionnent comme des services système. Un service est une application qui tourne en arrière-plan, souvent invisible pour l’utilisateur.

De nombreux services sont indispensables (par exemple, pour la gestion du réseau), mais des programmes malveillants peuvent aussi se faire passer pour des services légitimes.

Un faux service peut en réalité être un malware qui s’exécute silencieusement dès le démarrage.

Détecter un nouveau service : dans la peau d'un analyste

Pour surveiller les programmes qui tentent de se lancer au démarrage, les professionnels de la cybersécurité utilisent des outils puissants comme les SIEM (Security Information and Event Management). Ces plateformes collectent en temps réel des milliers d’événements issus des ordinateurs et serveurs pour détecter rapidement toute activité anormale.

Sous Windows, l’événement 7045 est généré lorsqu’un nouveau service est installé.

Et c’est important, car un service peut être configuré pour se lancer automatiquement à chaque démarrage du système !

En clair : un événement 7045 peut être le signe qu’un logiciel, légitime ou malveillant, s’est installé pour démarrer automatiquement.

Un exemple concret

Prenons un exemple réel issu de notre environnement de supervision en observant les événements 7045 provenant d’un poste utilisateur depuis notre SIEM ELK.

Notre sonde de supervision remonte automatiquement les logs système afin de permettre une meilleure corrélation des événements et de disposer d’un maximum d’informations sur les actions réalisées dans le système d’information. Parmi les données les plus pertinentes collectées, on retrouve :

  • La date de l’événement (première colonne à gauche)

  • Le nom du service installé (quatrième colonne)

  • Le type de démarrage du service (cinquième colonne)

  • La commande ou le chemin d’exécution lié au service (sixième colonne)

Ces éléments sont essentiels pour identifier des comportements suspects. Lors d’une attaque informatique, il est courant qu’un programme malveillant s’installe comme un service système, précisément pour se relancer automatiquement à chaque redémarrage de la machine.

Prenons un exemple courant : un logiciel malveillant peut établir une connexion vers un serveur distant contrôlé par l’attaquant. En s’assurant que ce service redémarre à chaque fois que l’ordinateur est allumé, l’attaquant maintient un accès permanent au système, souvent sans éveiller les soupçons.

Analyser une alerte de sécuité ... ?

Détecter un programme suspect au démarrage, c’est une première étape. Une fois l’alerte remontée par le SIEM, voici quelques vérifications qu’un analyste peut réaliser :

1. Confirmer la légitimité du service

Avant toute suppression, il faut analyser le service :

  • Le binaire est-il signé numériquement ?

  • Le chemin d’accès semble-t-il inhabituel (ex. : C:\Users\Public, Temp, etc.) ?

  • Est-il connu dans des bases comme VirusTotal, Hybrid Analysis, Malpedia ?

Si le doute subsiste, on passe à l’étape suivante

 

2. Isoler la machine concernée

En cas de suspicion élevée, mieux vaut isoler temporairement la machine du réseau pour éviter toute propagation ou communication avec un serveur de commande et contrôle.

3. Analyser le binaire suspect

Le fichier peut être :

  • analysé statiquement (hash, signature, chaîne de caractères),

  • ou lancé dans un environnement de type bac à sable (sandbox) pour observer son comportement.

 

4. Supprimer la persistance

Une fois confirmé que le service est malveillant, il faut supprimer :

  • Le binaire malveillant

  • L’entrée du service (via le registre, sc delete, ou les outils d’administration)

  • Éventuellement d’autres points de persistance (tâches planifiées, clé Run, etc.)

5. Remonter l’incident et documenter

Chaque événement suspect doit être :

  • enregistré,

  • catégorisé,

  • et partagé avec les équipes concernées.

Cela permet d’enrichir la base de connaissance interne et de renforcer les règles de détection.

6. Renforcer les mécanismes de surveillance

Enfin, cette détection doit déboucher sur des améliorations concrètes :

  • Ajouter une règle de détection sur le nom ou le comportement du binaire

  • Renforcer les droits d’exécution sur les répertoires vulnérables

  • Éduquer les utilisateurs sur les comportements à risque

Et ensuite ?

Surveiller les programmes au démarrage, c’est un bon début. Mais c’est encore mieux quand on comprend ce qu’on observe et pourquoi c’est important.

Chez Cyber Expert, on partage ce savoir au quotidien.

Si vous voulez approfondir ces sujets ou simplement échanger sur vos pratiques, n’hésitez pas à nous contacter.

En attendant !

Retrouvez notre fiche récapitulatif disponible en téléchargement !

Télécharger le récap

Laisser un commentaire