DOSSIER TIRÉ DE L’ENCYCLOPÉDIE EN LIGNE

« COMMENT ÇA MARCHE »Adresse sur le net :

http://www.commentcamarche.net/

SECURITEET

PROTECTIONDES

ORDINATEURS

1

LA SÉCURITÉ INFORMATIQUE

La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.

La sécurité informatique consiste généralement en quatre principaux objectifs :

L'intégrité, c'est-à-dire garantir que les données sont bien celles qu'on croit être

La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources

La disponibilité, permettant de maintenir le bon fonctionnement du système informatique

La non répudiation, permettant de garantir qu'une transaction ne peut être niée

De nécessaires besoins de sécurité

Avec le développement de l'utilisation d'Internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs

Mise en place d'une politique de sécurité

La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés.

La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire : Elaborer des règles et des procédures à mettre en oeuvre dans les différents

services de l'organisation

Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion

Sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations

La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au sens large) en terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.

Ainsi, il ne revient pas aux administrateurs informatiques de définir les droits d'accès des utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique est donc de faire en sorte que les ressources informatiques et les droits d'accès à celles-ci soient en cohérence avec la politique de sécurité retenue. De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter les informations concernant la sécurité à sa direction, éventuellement de la conseiller sur les stratégies à mettre en oeuvre, ainsi que d'être le point d'entrée concernant la communication aux utilisateurs des problèmes et recommandations en terme de sécurité.

La nécessité d'une approche globale

La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue.

2

Cela signifie que la sécurité doit être abordée dans un contexte global :

La sensibilisation des utilisateurs aux problèmes de sécurité

La sécurité logique, c'est-à-dire la sécurité au niveau des données

La sécurité des télécommunications

La sécurité des applications La sécurité physique, soit la sécurité au niveau des infrastructures matérielles

INTRODUCTION DES RISQUES ET DES TYPOLOGIES DE PIRATES

Introduction

Le risque en terme de sécurité est généralement caractérisé par l'équation suivante :

Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques d'intrusions.

Qu'est-ce qu'un hacker ?

Le terme de hacker est souvent utilisé pour désigner un pirate informatique. Les victimes de piratage sur des réseaux informatiques aiment à penser qu'ils ont été attaqués par des pirates chevronnés ayant soigneusement étudié leur système et ayant développé des outils spécifiquement pour créer une faille dans leur système.

Le terme hacker a eu plus d'une signification depuis son apparition à la fin des années 50. A l'origine ce nom désignait d'une façon méliorative les programmeurs émérites, puis il servit au cours des années 70 à décrire les révolutionnaires de l'informatique, qui pour la plupart sont devenus les fondateurs des plus grandes entreprises informatiques.

C'est au cours des années 80 que ce mot a été utilisé pour catégoriser les personnes impliquées dans le piratage de jeux vidéos, en désamorçant les protections de ces derniers, puis en en revendant des copies.

Aujourd'hui ce mot est souvent utilisé à tort pour désigner les personnes s'introduisant dans les systèmes informatiques

Les différents types de pirates

En réalité il existe de nombreux types d'"attaquants" catégorisés selon leur expérience et selon leurs motivations :

Les white hat hackers, hacker au sens noble du terme, dont le but est d'aider à l'amélioration des systèmes et technologies informatiques, sont généralement à l'origine des principaux protocoles et outils informatiques que nous utilisons aujourd'hui. Le courrier électronique en est un exemple

Les black hat hackers, plus couramment appelés pirates (ou appelés également crackers par extension du terme), c'est-à-dire des personnes s'introduisant dans les systèmes informatiques dans un but nuisible

o Les Script Kiddies (traduisez gamins du script, parfois également surnommés crashers, lamers ou encore packet monkeys, soit les singes des paquets réseau) sont de jeunes

3

utilisateurs du réseau utilisant des programmes trouvés sur Internet, généralement de façon maladroite, pour vandaliser des systèmes informatiques afin de s'amuser.

o Les phreakers sont des pirates s'intéressant au réseau téléphonique commuté (RTC) afin de les utiliser gratuitement grâce à des circuits éléctroniques (qualifiées de box, comme la blue box, la violet box, ...) connectés à la ligne téléphonique dans le but d'en falsifier le fonctionnement.

o Les carders s'attaquent principalement aux systèmes de cartes bancaires pour en comprendre le fonctionnement et en exploiter les failles

o Les crackers ne sont pas des biscuits apéritifs au fromage mais des personnes dont le but est de créer des outils logiciels permettant d'attaquer des systèmes informatiques ou de casser les protections contre la copie des logiciels payants.

Les hacktivistes (contraction de hackers et activistes que l'on peut traduire en cybermilitant ou cyberrésistant), sont des hackers dont la motivation est principalement idéologique. Ce terme a été largement porté par la presse, aimant à véhiculer l'idée d'une communauté parallèle (qualifiée généralement de underground, par analogie aux populations souterraines des films de science-fiction.

Dans la réalité ce type de distinction n'est bien évidemment pas aussi nette, dans la mesure où certains (white hat) hackers ont parfois été crackers (black hat hackers) auparavant et parfois inversement. Les habitués des listes de diffusion et des forums voient souvent des sujets à propos de la différence qu'il convient de faire entre pirate et hacker. Le terme de troll est généralement utilisé pour désigner les sujets délicats déclenchant un engouement dans les réponses.

Quelques exemples de trolls :

je me suis fait pirater par un hacker

Windows est-il plus robuste que Mac ?

Mieux vaut-il utiliser PHP ou ASP ?

...

La culture du "Z"

Voici un certain nombre de définitions propres au milieu "underground" :

Warez : piratage de logiciels

o Appz (applications + warez) : piratage d'applications

o Gamez (games + warez) : piratage de jeux vidéos

Serialz (serials + warez): il s'agit de numéros de série permettant d'enregistrer illégalement des copies de logiciels commerciaux

Crackz (cracks + warez): ce sont des programmes écrits par des crackers, destinés à supprimer de manière automatique les systèmes de protection contre la copie des applications commerciales

Le langage "C0wb0y"

Les adeptes de la communication en temps réél (IRC, chat) se sont sûrement déjà retrouvés engagés dans une discussion avec un utilisateur s'exprimant dans une langue peu commune, dans laquelle les voyelles sont remplacées par des chiffres. Ce langage, particulièrement utilisé dans le milieu underground, se nomme le langage "c0wb0y". Il consiste à remplacer certaines lettres (la plupart du temps des voyelles) par des chiffres. Voici quelques substitutions possibles :

4

E=3

A=4

B=8

O=O

I=| Voici ce que cela donne sur des mots courants :

Abeille = 4B3|ll3

Tomate = T0m4t3

METHODOLOGIE DES INTRUSIONS

Cet article a pour but d'expliquer la méthodologie généralement retenue par les pirates pour s'introduire dans un système informatique. Il ne vise pas à expliquer comment compromettre un système mais à comprendre la façon dont il peut l'être afin de mieux pouvoir s'en prémunir. En effet, la meilleure façon de protéger son système est de procéder de la même manière que les pirates afin de cartographier les vulnérabilités du système. Ainsi cet article ne donne aucune précision sur la manière dont les failles sont exploitées, mais explique comment faire en sorte de les déceler et de les corriger.

Le but de l'agresseur

Les hackers ayant l'intention de s'introduire dans les systèmes informatiques recherchent dans un premier temps des failles, c'est-à-dire des vulnérabilités nuisibles à la sécurité du système, dans les protocoles, les systèmes d'exploitations, les applications ou même le personnel d'une organisation ! Les termes de vulnérabilité, de brèche ou en langage plus familier de trou de sécurité (en anglais security hole) sont également utilisés pour désigner les failles de sécurité.

Pour pouvoir mettre en oeuvre un exploit (il s'agit du terme technique signifiant exploiter une vulnérabilité), la première étape du hacker consiste à récupérer le maximum d'informations sur l'architecture du réseau et sur les systèmes d'exploitations et applications fonctionnant sur celui-ci. La plupart des attaques sont l'oeuvre de script kiddies essayant bêtement des exploits trouvés sur Internet, sans aucune connaissance du système, ni des risques liés à leur acte.

Une fois que le hacker a établi une cartographie du système, il est en mesure de mettre en application des exploits relatifs aux versions des applications qu'il a recensées. Un premier accès à une machine lui permettra d'étendre son action afin de récupérer d'autres informations, et éventuellement d'étendre ses privilèges sur la machine.

Lorsqu'un accès administrateur (le terme anglais root est généralement utilisé) est obtenu, on parle alors de compromission de la machine (ou plus exactement en anglais root compromise), car les fichiers systèmes sont susceptibles d'avoir été modifiés. Le hacker possède alors le plus haut niveau de droit sur la machine.

La dernière étape du hacker consiste à effacer ses traces, afin d'éviter tout soupçon de la part de l'administrateur du réseau compromis et de telle manière à pouvoir garder le plus longtemps possible le contrôle des machines compromises.

La récupération d'informations sur le système

5

L'obtention d'informations sur l'adressage du réseau visé, généralement qualifiée de prise d'empreinte, est un préalable à toute attaque. Elle consiste à rassembler le maximum d'informations concernant les infrastructures de communication du réseau cible :

Adressage IP

Noms de domaine

Protocoles de réseau

Services activés

Architecture des serveurs

... En connaissant l'adresse IP publique d'une des machines de votre réseau ou bien tout simplement le nom de domaine de votre organisation, un hacker est potentiellement capable de connaître l'adressage du réseau tout entier, c'est-à-dire la plage d'adresses IP appartenant à l'organisation visée et son découpage en sous-réseaux. Pour cela il suffit de consulter les bases publiques d'attribution des adresses IP et des noms de domaine :

http://www.iana.net

http://www.ripe.net pour l'Europe

http://www.arin.net pour les Etats-Unis

Lorsque la topologie du réseau est connue par le hacker, il peut le scanner (le terme balayer est également utilisé), c'est-à-dire déterminer à l'aide d'un outil logiciel (appelé scanner ou scanneur en français) quelles sont les adresses IP actives sur le réseau, les ports ouverts correspondant à des services accessibles, et le système d'exploitation utilisé par ces serveurs. L'outil le plus connu pour scanner un réseau est Nmap, reconnu par de nombreux administrateurs réseaux comme un outil indispensable à la sécurisation d'un réseau. Cet outil agit en envoyant des paquets TCP à un ensemble de machines sur un réseau (déterminé par une adresse réseau et un masque), puis il analyse les réponses. Selon l'allure des paquets TCP reçus, il lui est possible de déterminer le système d'exploitation distant pour chaque machine scannée.

Il existe un autre type de scanneur, appelé mappeur passif (le plus connu étant Siphon), permettant de connaître la topologie réseau du brin physique sur lequel le mappeur analyse les paquets. Contrairement aux scanners précédents, cet outil n'envoie pas de paquets sur le réseau et est donc totalement indétectable par les systèmes de détection d'intrusion.

Enfin certains outils permettent de capturer les connexions X (un serveur X est un serveur gérant l'affichage des machines de type UNIX. Ce système a pour caractéristique de pouvoir utiliser l'affichage des stations présentes sur le réseau, afin d'étudier ce qui est affiché sur les écrans et éventuellement d'intercepter les saisies sur les claviers des machines vulnérables.

Lorsque le "scan" du réseau est terminé, il suffit au hacker d'examiner le fichier journal (log) des outils utilisés pour connaître les adresses IP des machines connectées au réseau et les ports ouverts sur celles-ci. Les numéros de port ouverts sur les machines peuvent lui donner des informations sur le type de service ouvert et donc l'inviter à interroger le service afin d'obtenir des informations supplémentaires sur la version du serveur.

Ainsi pour connaître la version d'un serveur HTTP, il suffit de se connecter au serveur Web en Telnet sur le port 80 : telnet www.commentcamarche.net 80puis de demander la page d'accueil : GET / HTTP/1.0Le serveur répond alors les premières lignes suivantes :

6

HTTP/1.1 200 OK

Date: Thu, 21 Mar 2002 18:22:57 GMT

Server: Apache/1.3.20 (Unix) Debian/GNULe système d'exploitation, le serveur et sa version sont alors connus. Le Social Engineering (que l'on peut traduire par ingénierie sociale) consiste à exploiter l'erreur humaine, c'est-à-dire d'utiliser la naïveté et la gentillesse exagérée des utilisateurs du réseau, pour obtenir des informations sur ce dernier. Ce procédé consiste à entrer en contact avec un utilisateur du réseau, en se faisant passer en général pour quelqu'un d'autre, afin d'obtenir des renseignements sur le système d'information ou éventuellement pour obtenir directement un mot de passe. De la même façon une faille de sécurité peut être créée dans le système distant en envoyant un cheval de Troie à certains utilisateurs du réseau. Il suffit qu'un des utilisateurs exécute la pièce jointe pour qu'un accès au réseau interne soit donné à l'agresseur extérieur.

C'est la raison pour laquelle la politique de sécurité doit être globale et intégrer les facteurs humains (par exemple la sensibilisation des utilisateurs aux problèmes de sécurité) car le niveau de sécurité d'un système est caractérisé par le niveau de son maillon le plus faible.

Le repérage des failles

Après avoir établi l'inventaire du parc logiciel et éventuellement matériel, il reste au hacker à déterminer si des failles existent.

Il existe ainsi des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur réseau à des tests d'intrusion afin de constater si certaines applications possèdent des failles de sécurité. Les deux principaux scanneurs de failles sont :

Nessus

SAINT

Il est également conseillé aux administrateurs de réseaux de consulter régulièrement les sites tenant à jour une base de données des vulnérabilités :

SecurityFocus / Vulnerabilities Ainsi, certains organismes (notamment les CERT) sont chargés de capitaliser les vulnérabilités et de fédérer les informations concernant les problèmes de sécurité. L'intrusion

Lorsque le pirate a dressé une cartographie des ressources et des machines présentes sur le réseau, il est en mesure de préparer son intrusion.

Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les machines qu'il a recensées. Pour ce faire, plusieurs méthodes sont utilisées par les pirates :

Le social engineering, c'est-à-dire en contactant directement certains utilisateurs du réseau (par mail ou par téléphone) afin de leur soutirer des informations concernant leur identifiant de connexion et leur mot de passe. Ceci est généralement fait en se faisant passer pour l'administrateur réseau.

La consultation de l'annuaire ou bien des services de messagerie ou de partage de fichiers, permettant de trouver des noms d'utilisateurs valides

L'exploitation des vulnérabilités des commandes R* de Berkeley.

le brute force cracking, consistant à essayer de façon automatique différents mots de passe sur une liste de compte (par exemple l'identifiant, éventuellement suivi d'un chiffre, ou bien le mot de passe password, ou passwd, ...

7

Extension de privilèges

Lorsque le pirate a obtenu un ou plusieurs accès sur le réseau en se logeant sur un ou plusieurs comptes peu protégés, celui-ci va chercher à augmenter ses privilèges en obtenant l'accès root (en français superutilisateur ou superadministrateur), on parle ainsi d'extension de privilèges.

Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau à la recherche d'informations supplémentaires.

Il lui est ainsi possible d'installer un sniffeur (en anglais sniffer), c'est-à-dire un logiciel capable d'écouter (le terme reniffler, ou en anglais sniffing, est également employé) le trafic réseau en provenance ou à destination des machines situées sur le même brin. Grâce à cette technique, le pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à des comptes possédant des privilèges étendus sur d'autres machines du réseau (par exemple l'accès au compte d'un administrateur) afin d'être à même de contrôler une plus grande partie du réseau.

Les serveurs NIS présents sur un réseau sont également des cibles de choix pour les pirates car ils regorgent d'informations sur le réseau et ses utilisateurs.

Compromission

Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles. Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation existant entre les différentes machines.

Cette technique d'usurpation d'identité, appelée spoofing, permet au hacker (dans le sens pirate du terme) de pénétrer des réseaux privilégiés auxquels la machine compromise a accès.

Porte dérobée

Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à compromettre une machine, il peut arriver qu'il souhaite pouvoir revenir. Pour ce faire celui-ci va installer une application afin de créer artificiellement une faille de sécurité, on parle alors de porte dérobée (en anglais backdoor).

Nettoyage des trace

Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant les fichiers de logs des machines dans lesquelles il s'est introduit, c'est-à-dire en supprimant les lignes d'activité concernant ses actions.

Conclusion

Si vous êtes responsable d'un réseau connecté à internet, il vous revient d'en assurer sa sécurité, et par conséquent de tester les failles de celui-ci. C'est la raison pour laquelle, un administrateur réseau se doit d'être au courant des vulnérabilités des logiciels qu'il utilise et de se "mettre dans la peau d'un pirate" afin d'essayer de s'introduire dans son propre système. Lorsque les compétences au sein de l'entreprise ne sont pas suffisantes pour mener à bien cette opération, il convient de faire réaliser un audit par une société spécialisée dans la sécurité informatique.

Qu'est-ce que la sécurité d'un réseau ?

La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau fonctionnent de façon optimale et que les utilisateurs des dites machines possèdent uniquement les droits qui leur ont été octroyé.

LA SECURITE D’UN RESEAUIl peut s'agir d'empêcher des personnes non autorisées

d'agir sur le système de façon malveillante

8

d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire au système

de sécuriser les données en prévoyant les pannes

de garantir la non interruption d'un service

Les causes de l'insécurité

On distingue généralement deux types d'insécurité :

l'état actif d'insécurité, c'est-à-dire la non connaissance par l'utilisateur des fonctionnalités du systèmes, dont certaines pouvant lui être nuisibles (par exemple la non désactivation de services réseaux non nécessaires à l'utilisateur)

l'état passif d'insécurité, c'est-à-dire lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose

Le but des agresseurs

Les motivations des agresseurs que l'on appelle communément "pirates" peuvent être multiples :

l'attirance de l'interdit

le désir d'argent (violer un système bancaire par exemple)

le besoin de renommée (impressionner des amis)

l'envie de nuire (détruire des données, empêcher un système de fonctionner.

Procédé des agresseurs

Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de moyens :

l'obtention d'informations utiles pour effectuer des attaques

utiliser les failles d'un système

l'utilisation de la force pour casser un système

Comment se protéger ?

se tenir au courant

connaître le système d'exploitation

réduire l'accès au réseau (firewall)

réduire le nombre de points d'entrée (ports)

définir une politique de sécurité interne (mots de passe, lancement d'exécutables) déployer des utilitaires de sécurité (journalisation)

LES PARE-FEUX

Introduction à la notion de firewall

Chaque ordinateur connecté à Internet (et d'une manière plus générale à n'importe quel réseau) est susceptible d'être victime d'une attaque d'un pirate informatique. Les pirates informatiques (généralement des hackers en culottes courtes cherchant à mettre en oeuvre des techniques d'intrusion trouvées sur Internet) scrutent le réseau (en envoyant des paquets de données de manière aléatoire) à la recherche

9

d'une machine connectée, puis cherchent une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.

Cette menace est d'autant plus grande que la machine est connectée en permanence à Internet pour plusieurs raisons :

La machine cible est susceptible d'être connectée sans pour autant être surveillée

La machine cible est généralement connectée avec une plus large bande passante

La machine cible ne change pas (ou peu) d'adresse IP

Ainsi, il est nécessaire, notamment pour les internautes ayant une connexion de type câble ou ADSL, de se protéger des intrusions réseaux en installant un système pare-feu.

Qu'est-ce qu'un pare-feu?

Un pare-feu (appelé aussi coupe-feu ou firewall en anglais), est un système permettant de protéger un ordinateur des intrusions provenant du réseau (ou bien protégeant un réseau local des attaques provenant d'Internet).

Un firewall peut éventuellement autoriser des communications de façon horaire (selon le jour ou l'heure par exemple).

D'autre part un firewall permet également de contrôler l'accès au réseau des applications installées sur la machine. En effet, les chevaux de Troie sont une sorte de virus ouvrant une brêche dans le système pour permettre une prise en main à distance de la machine par un pirate informatique. Le firewall permet d'une part de repérer les connexions suspectes de la machine, mais il permet également de les empêcher.

Le pare-feu est en réalité un système permettant de filtrer les paquets de données échangés avec le réseau.

Ainsi le système firewall est un système logiciel (parfois également matériel), constituant un intermédiaire entre le réseau local (ou la machine locale) et le "monde extérieur". Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de firewall personnel. Le fonctionnement d'un système firewall

Un système pare-feu contient un ensemble de règles prédéfinies permettant :

Soit d'autoriser uniquement les communications ayant été explicitement autorisées : "Tout ce qui n'est pas explicitement autorisé est interdit".

Soit d'empêcher les échanges qui ont été explicitement interdits

Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée par l'entité désirant mettre en oeuvre un filtrage des communications. La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en communication.

Le filtrage de paquets

Un système pare-feu fonctionnant sur le principe du filtrage de paquets analyse les en-têtes des paquets (aussi appelés datagrammes) échangés entre deux machines. En effet les machines d'un réseau relié à Internet sont repérées par une adresse appelée adresse IP.

Ainsi, lorsqu'une machine de l'extérieur se connecte à une machine du réseau local, et vice-versa, les paquets de données passant par le firewall contiennent les en-têtes suivants, qui sont analysés par le firewall:

L'adresse IP de la machine émettrice

L'adresse IP de la machine réceptrice10

Le type de paquet (TCP, UDP, ...)

Le numéro de port (rappel: un port est un numéro associé à un service ou une application réseau)

Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type de service utilisé. Certains ports sont associés à des service courants (les ports 25 et 110 sont généralement associés au courrier électronique, et le port 80 au Web) et ne sont généralement pas bloqués. Toutefois, il est nécessaire de bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).

Un des ports les plus critiques est le port 23 car il correspond à l'utilitaire Telnet qui permet d'émuler un accès par terminal à une machine distante de manière à pouvoir exécuter des commandes saisies au clavier à distance...

Le filtrage applicatif

Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications application par application. Le filtrage applicatif suppose donc une connaissance de l'application, et notamment de la manière de laquelle elle structure les données échangées.

Un firewall effectuant un filtrage applicatif est appelé passerelle applicative car il permet de relayer des informations entre deux réseaux en effectuant un filtrage fin au niveau du contenu des paquets échangés.

Les limites des firewalls

Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue.

Les firewalls ne protègent en effet que des communications passant à travers eux. Ainsi, les accès au réseau extérieur non réalisés au travers du firewall sont autant de failles de sécurité. C'est par exemple le cas des connexions effectuées à l'aide d'un modem. D'autre part, le fait d'introduire des supports de stockage provenant de l'extérieur sur des machines internes au réseau peut être fort préjudiciable pour la sécurité de ce dernier.

La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité. D'autre part la mise en place d'un système pare-feu n'exempt pas de se tenir au courant des failles de sécurité et d'essayer de les minimiser...

LES VIRUS

Introduction aux virus

Un virus est un petit programme situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé. La définition d'un virus pourrait être la suivante: "tout programme d'ordinateur capable d'infecter un autre programme

d'ordinateur en le modifiant de façon à ce qu'il puisse à son tour se reproduire."

Le véritable nom donné aux virus est CPA soit Code Auto-Propageable, mais par analogie avec le domaine médical, le nom de "virus" leur a été donné. Les virus résidents (appelés TSR en anglais pour Terminate and stay resident) se chargent dans la mémoire vive de l'ordinateur afin d'infecter les fichiers exécutables lancés par l'utilisateurs. Les virus non résidants infectent les programmes présents sur le disque dur dès leur exécution. Les virus vont de la simple balle de ping-pong qui traverse l'écran au virus destructeur de données, ce dernier étant la forme de virus la plus virulente. Ainsi, étant donné qu'il existe une vaste gamme de virus ayant des actions aussi diverses que variées, les virus ne sont pas classés selon leurs dégats mais selon leur mode de propagation et d'infection. On distingue ainsi différents types de virus :

11

les vers sont des virus capables de se propager à travers un réseau

les troyens (chevaux de Troie) sont des virus permettant de créer une faille dans un système (généralement pour permettre à son concepteur de s'introduire dans le système infecté afin d'en prendre le contrôle)

les bombes logiques sont des virus capables de se déclencher suite à un événement particulier (date système, activation distante, ...)

Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax), c'est-à-dire des annonces reçues par mail (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement,...) accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a pour but l'engorgement des réseaux ainsi que la désinformation.

Introduction aux antivirus

Les antivirus sont des programmes capables de détecter la présence de virus sur un ordinateur, ainsi que de nettoyer celui-ci dans la mesure du possible si jamais un ou des virus sont trouvés. On parle ainsi d'éradication de virus pour désigner la procédure de nettoyage de l'ordinateur.

La détection des virus

Les virus se reproduisent en infectant des "applications hôtes", c'est-à-dire en copiant une portion de code exécutable au sein d'un programme existant. Or, afin de ne pas avoir un fonctionnement chaotique, les virus sont programmés pour ne pas infecter plusieurs fois un même fichier. Ils intègrent ainsi dans l'application infectée une suite d'octets leur permettant de vérifier si le programme a préalablement été infecté : il s'agit de la signature virale.

Les antivirus s'appuient ainsi sur cette signature propre à chaque virus pour les détecter. Il s'agit de la méthode de recherche de signature (scanning), la plus ancienne méthode utilisée par les antivirus. Cette méthode n'est fiable que si l'antivirus possède une base virale à jour, c'est-à-dire comportant les signatures de tous les virus connus. Toutefois cette méthode ne permet pas la détection des virus n'ayant pas encore été répertoriés par les éditeurs d'antivirus. De plus, les programmeurs de virus les ont désormais dotés de capacités de camouflage, de manière à rendre leur signature difficile à détecter, voire indétectable; il s'agit de "virus polymorphes".

Certains antivirus utilisent un contrôleur d'intégrité pour vérifier si les fichiers ont été modifiés. Ainsi le contrôleur d'intégrité construit une base de données contenant des informations sur les fichiers exécutables du système (date de modification, taille, et éventuellement une somme de contrôle). Ainsi, lorsqu'un fichier exécutable change de caractéristiques, l'antivirus prévient l'utilisateur de la machine.

Les virus mutants

En réalité, la plupart des virus sont des clones, ou plus exactement des "mutants", c'est-à-dire des virus ayant été réécrits par d'autres utilisateurs afin d'en modifier leur comportement ou leur signature.

Le fait qu'il existe plusieurs versions (on parle de variantes) d'un même virus le rend d'autant plus difficile à repérer dans la mesure où les éditeurs d'antivirus doivent ajouter ces nouvelles signatures à leurs bases de données.

Les virus polymorphes

Etant donné que les antivirus détectent (entre autres) les virus grâce à leur signature (la succession de bits qui les identifie), certains créateurs de virus ont pensé à leur donner la possibilité de modifier automatiquement leur apparence, tel un caméléon, en dotant les virus de fonction de chiffrement et de déchiffrement de leur signature de façon à ce que seuls ces virus soient capables de reconnaître leur propre signature. Ce type de virus est appelé virus polymorphe (ce mot provenant du grec signifie qui peut prendre plusieurs formes).

Les rétrovirus

12

On appelle "rétrovirus" ou "virus flibustier" (en anglais bounty hunters) un virus ayant la capacité de modifier les signatures des antivirus afin de les rendre inopérants.

Les virus de boot

On appelle virus de boot, un virus capable d'infecter le secteur de démarrage d'un disque (MBR, soit master boot record), c'est-à-dire un secteur du disque copié dans la mémoire au démarrage de l'ordinateur, puis exécuté afin d'amorcer le démarrage du système d'exploitation.

Les chevaux de Troie

De plus, le virus peut représenter une faille dans la sécurité d'un réseau en créant des vulnérabilités dissimulées qu'un utilisateur extérieur pourra utiliser pour s'introduire dans le système, ou pour lui fournir des informations. Le but de ces virus est de se propager, de vulnérabiliser les systèmes, et de les "marquer" de telle façon qu'ils puissent être repérés par leurs créateurs. De tels virus dévoilent l'ensemble des systèmes d'informations d'une machine et brisent ainsi la confidentialité des documents qu'elle renferme, on appelle ce type de virus un cheval de Troie...

Les virus trans-applicatifs (virus macros)

Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de script commun pouvant être inséré dans la plupart des documents pouvant contenir des macros, il s'agit de VBScript, un sous-ensemble de Visual Basic. Ces virus arrivent actuellement à infecter les macros des documents Microsoft Office, c'est-à-dire qu'un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accèder au système d'exploitation (généralement Windows).

Or, de plus en plus d'applications supportent Visual Basic, ces virus peuvent donc être imaginables sur de nombreuses autres applications supportant le VBScript. Le début du troisième millénaire a été marqué par l'apparition à grande fréquences de scripts Visual Basic diffusés par mail en fichier attaché (repérables grâce à leur extension .VBS) avec un titre de mail poussant à ouvrir le cadeau empoisonné.

Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accèder à l'ensemble du carnet d'adresse et de s'autodiffuser par le réseau. Ce type de virus est appelé ver (ou worm en anglais).

LES CANULARS (HOAX)Qu'est-ce qu'un hoax ?

On appelle hoax (en français canular) un courrier électronique propageant une fausse information et poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou collègues.

Ainsi, de plus en plus de personnes font suivre (anglicisé en forwardent) des informations reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple :

provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes

Les conséquences de ces canulars sont multiples :

ils contribuent à engorger inutilement les réseaux en provoquant une masse de données superflues circulant dans les infrastructures réseaux,

ils tendent à provoquer de la désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs (on parle de légendes urbaines) pour certains de ces courriers,

ils encombrent inutilement nos boîtes aux lettres déjà chargées,

ils nous font perdre du temps,

ils peuvent contribuer à la dégradation de l'image d'une personne ou bien d'une entreprise, 13

ils provoquent un effet d'incrédulité, c'est-à-dire qu'à force de recevoir de fausses informations on finit par ne plus croire aux vraies.

Ainsi, il est essentiel de suivre certains principes avant de faire circuler une information sur Internet. Comment lutter contre la désinformation ?

Afin de lutter efficacement contre la propagation de fausses informations par courrier électronique, il suffit de retenir un seul concept :

Toute information reçue par courriel non accompagnée d'un lien hypertexte vers un site précisant sa véracité doit être considérée comme non valable !

Ainsi tout courrier contenant une information non accompagnée d'un pointeur vers un site d'information ne doit pas être transmis à d'autres personnes. Lorsque vous transmettez une information à des destinataires, cherchez un site prouvant votre propos.

Comment vérifier s'il s'agit d'un canular ?

Lorsque vous recevez un courriel insistant sur le fait qu'il est essentiel de propager l'information (et ne contenant pas de lien prouvant son intégrité), vous pouvez vérifier sur le site hoaxbuster (site en français) s'il s'agit effectivement d'un hoax (canular).

Si l'information que vous avez reçue ne s'y trouve pas, recherchez l'information sur les principaux sites d'actualités ou bien par l'intermédiaire d'un moteur de recherche (Google étant un des plus fiables).

LES VERSLes vers

Un ver est un programme qui peut s'auto-reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...) pour se propager; un ver est donc un virus réseau.

La plus célèbre anecdote à propos des vers date de 1988. Un étudiant (Robert T. Morris, de Cornell University) avait fabriqué un programme capable de se propager sur un réseau, il le lança et, 8 heures après l'avoir laché, celui-ci avait déjà infecté plusieurs milliers d'ordinateurs. C'est ainsi que de nombreux ordinateurs sont tombés en pannes en quelques heures car le "ver" (car c'est bien d'un ver dont il s'agissait) se reproduisait trop vite pour qu'il puisse être effacé sur le réseau. De plus, tous ces vers ont créé une saturation au niveau de la bande passante, ce qui a obligé la NSA a arrêter les connexions pendant une journée.

Le fonctionnement d'un ver dans les années 80

Voici la façon dont le ver de Morris se propageait sur le réseau :

Le ver s'introduisait sur une machine de type UNIX

il dressait une liste des machines connectées à celle-ci

il forçait les mots de passe à partir d'une liste de mots

il se faisait passer pour un utilisateur auprès des autres machines

il créait un petit programme sur la machine pour pouvoir se reproduire

il se dissimulait sur la machine infectée

et ainsi de suite

Les vers actuels

Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le client de messagerie Outlook) grâce à des fichiers attachés contenant des instructions permettant de récupérer

14

l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant des copies d'eux-même à tous ces destinataires.

Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur le fichier attaché.

Comment se protéger des vers ?

Il est simple de se protéger d'une infection par ver. La meilleure méthode consiste à ne pas ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en fichier attachés.

Ainsi, tous les fichiers exécutables ou interprétables par le système d'exploitation peuvent potentiellement infecter votre ordinateur. Les fichiers comportant notamment les extensions suivantes sont potentiellement susceptible d'être infectés :

exe, com, bat, pif, vbs, scr, doc, xls, msi, eml

Sous Windows il est conseillé de désactiver la fonction "masquer les extensions", car cette fonction peut tromper l'utilisateur sur la véritable extension d'un fichier. Ainsi un fichier dont l'extension est .jpg.vbs apparaîtra comme un fichier d'extension .jpg !

Ainsi, les fichiers comportant les extensions suivantes ne sont pas interprétés par le système et possèdent donc un risque d'infection minime :

txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm

Il est courant d'entendre dire que les fichiers GIF ou JPG peuvent contenir des virus. En effet, tous les fichiers peuvent contenir un morceau de code informatique véhiculant un virus; pour autant le système devra préalablement avoir été modifié par un autre virus pour être capable d'interpréter le code contenu dans ces fichiers !

Pour tous les fichiers dont l'extension peut supposer que le fichier soit infecté (ou pour les extensions que vous ne connaissez pas) n'hésitez pas à installer un antivirus et à scanner systématiquement le fichier attaché avant de l'ouvrir.

LES CHEVAUX DE TROIE

On appelle "Cheval de Troie" (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. Le nom "Cheval de Troie" provient d'une légende narrée dans l'Iliade (de l'écrivain Homère) à propos du siège de la ville de Troie par les Grecs.

La légende veut que les Grecs, n'arrivant pas à pénétrer dans les fortifications de la ville, eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège.

Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ...

Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en

15

ouvrant une porte dérobée (en anglais backdoor), par extension il est parfois nommé troyen par analogie avec les habitants de la ville de Troie.

Un peu comme le virus, le cheval de Troie est un code (programme) nuisible placé dans un programme sain (imaginez une fausse commande de listage des fichiers, qui détruit les fichiers au-lieu d'en afficher la liste).

Un cheval de Troie peut par exemple

voler des mots de passe

copier des données sensibles

exécuter tout autre action nuisible ...

Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brêche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur. Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de derrière) ou de backorifice (terme imagé vulgaire signifiant "orifice de derrière" ...).

Un cheval de Troie n'est pas nécessairement un virus, dans la mesure où son but n'est pas de se reproduire pour infecter d'autres machines. Par contre certains virus peuvent également être des chevaux de Troie, c'est-à-dire se propager comme un virus et ouvrir un port sur votre machine !

Détecter un tel programme est difficile car il faut arriver à détecter si l'action du programme (le cheval de Troie) est voulue ou non par l'utilisateur.

Les symptômes d'une infection

Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un fichier contaminé contenant le cheval de Troie (voir l'article sur la protection contre les vers) et se traduit par les symptomes suivants :

activité anormale du modem: des données sont chargées alors que vous ne faites rien

des réactions curieuses de la souris

des ouvertures impromptues de programmes

des plantages à répétition

...

Principe du cheval de Troie

Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des données personnelles stockées sur le disque), le but du pirate est dans un premier temps d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans un second temps d'accèder à votre machine par le port qu'il a ouvert.

Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit généralement en connaître l'adresse IP. Ainsi :

soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de particuliers connecté par câble, ...) auquel l'adresse IP peut être facilement récupérée

16

soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour les connexions par modem; auquel cas le pirate doit scanner des adresses IP au hasard afin de déceler les adresses IP correspondant à des machines infectées.

Se protéger contre les troyens

Pour se protéger de ce genre d'intrusion, il suffit d'installer un firewall, c'est-à-dire un programme filtrant les communications entrant et sortant de votre machine. Un firewall (littéralement pare-feu) permet ainsi d'une part de voir les communications sortant de votre machines (donc normalement initiées par des programmes que vous utilisez) ou bien les communications entrant. Toutefois, il n'est pas exclu que le firewall détecte des connexions provenant de l'extérieur sans pour autant que vous ne soyez la victime choisie d'un hacker. En effet il peut s'agir de tests effectués par votre fournisseur d'accès ou bien un hacker scannant au hasard une plage d'adresses IP.

Pour les systèmes de type Windows, il existe des firewalls gratuits très performant :

ZoneAlarm

Tiny personal firewall

En cas d'infection

Si un programme dont l'origine vous est inconnue essaye d'ouvrir une connexion, le firewall vous demandera une confirmation pour initier la connexion. Il est essentiel de ne pas autoriser la connexion aux programmes que vous ne connaissez pas, car il peut très bien s'agir d'un cheval de Troie.

En cas de récidive, il peut être utile de vérifier que votre ordinateur n'est pas infecté par un troyen en utilisant un programme permettant de les détecter et de les éliminer (appelé bouffe-troyen). C'est le cas de The Cleaner, téléchargeable sur http://www.moosoft.com.

Liste des ports utilisés habituellement par les troyens

Les chevaux de Troie ouvrent habituellement un port de la machine infectée et attendent l'ouverture d'une connexion sur ce port pour en donner le contrôle total à d'éventuels pirates.

LES BOMBES LOGIQUESLes bombes logiques

Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système.

Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire ...

Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise !

LES ESPIONSLes espiogiciels

Un espiogiciel (en anglais spyware) est un programme chargé de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard) afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des internautes (on parle de profilage).

Les récoltes d'informations peuvent ainsi être :

la traçabilité des URL des sites visités, 17

le traquage des mots-clés saisis dans les moteurs de recherche,

l'analyse des achats réalisés via internet,

voire les informations de paiement bancaire (numéro de carte bleue / VISA)

ou bien des informations personnelles.

Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du temps des freewares ou sharewares). En effet, cela permet aux auteurs des dits logiciels de rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la gratuité est obtenue contre la cession de données à caractère personnel.

Les spywares ne sont pas forcément illégaux car la licence d'utilisation du logiciel qu'ils accompagnent précise que ce programme tiers va être installé ! En revanche étant donné que la longue licence d'utilisation est rarement lue en entier par les utilisateurs, ceux-ci savent très rarement qu'un tel logiciel effectue ce profilage dans leur dos.

Par ailleurs, outre le préjudice causé par la divulgation d'informations à caractère personnel, les spywares peuvent également être une source de nuisances diverses :

consommation de mémoire vive,

utilisation d'espace disque,

mobilisation des ressources du processeur,

plantages d'autres applications,

gêne ergonomique (par exemple l'ouverture d'écrans publicitaires ciblés en fonction des données collectées).

Les types de spywares

On distingue généralement deux types de spywares :

Les spywares internes (ou spywares internes ou spywares intégrés) comportant directement des lignes de codes dédiées aux fonctions de collecte de données.

Les spywares externes, programmes de collectes autonomes installés Voici une liste non exhaustive de spywares non intégrés : Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink, Cydoor, Comet Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa Toptext, Flashpoint/Flashtrack, Flyswat, Gator / Claria, GoHip, Hotbar, ISTbar, Lop, NewDotNet, Realplayer, SaveNow, Songspy, Xupiter, Web3000 et WebHancer

Se protéger

La principale difficulté avec les spywares est de les détecter. La meilleure façon de se protéger est encore de ne pas installer de logiciels dont on n'est pas sûr à 100% de la provenance et de la fiabilité (notamment les freewares, les sharewares et plus particulièrement les logiciels d'échange de fichiers en peer-to-peer). Voici quelques exemples (e liste non exhaustive) de logiciels connus pour embarquer un ou plusieurs spywares : Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh.

Qui plus est, la désinstallation de ce type de logiciels ne supprime que rarement les spywares qui l'accompagnent. Pire, elle peut entraîner des dysfonctionnements sur d'autres applications !

18

Dans la pratique il est quasiment impossible de ne pas installer de logiciels. Ainsi la présence de processus d'arrière plans suspects, de fichiers étranges ou d'entrées inquiétantes dans la base de registre peuvent parfois trahir la présence de spywares dans le système.

Si vous ne parcourez pas la base de registre à la loupe tous les jours rassurez-vous, il existe des logiciels, nommés anti-spywares permettant de détecter et de supprimer les fichiers, processus et entrées de la base de registres créés par des spywares.

De plus l'installation d'un pare-feu personnel peut permettre d'une part de détecter la présence d'espiogiciels, d'autre part de les empêcher d'accéder à Internet (donc de transmettre les informations collectées).

Quelques anti-spywares

Parmi les anti-spywares les plus connus ou efficaces citons notamment :

Ad-Aware de Lavasoft.de

Spybot Search&Destroy

LES KEYLOGGERSLes keyloggers

Un keylogger (littéralement enregistreur de touches) est un dispositif chargé d'enregistrer les frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.

Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité de l'ordinateur !

Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent servir à des personnes malintentionnées pour récupérer les mots de passe des utilisateurs du poste de travail ! Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accès dans une entreprise, une école ou un lieu public tel qu'un cybercafé).

Keyloggers : logiciel ou matériel

Les keyloggers peuvent être soit logiciels soient matériels. Dans le premier cas il s'agit d'un processus furtif (ou bien portant un nom ressemblant fortement au nom d'un processus système), écrivant les informations captées dans un fichier caché ! Les keyloggers peuvent également être matériel : il s'agit alors d'un dispositif (câble ou dongle) intercalé entre la prise clavier de l'ordinateur et le clavier.

Se protéger des keyloggers

La meilleure façon de se protéger est la vigilance :

N'installez pas de logiciels dont la provenance est douteuse,

Soyez prudent lorsque vous vous connectez sur un ordinateur qui ne vous appartient pas ! S'il s'agit d'un ordinateur en accès libre, examinez rapidement la configuration, avant de vous connecter à des sites demandant votre mot de passe, pour voir si des utilisateurs sont passés avant vous et s'il est possible ou non pour un utilisateur lambda d'installer un logiciel. En cas de doute ne vous connectez pas à des sites sécurisés pour lesquels un enjeu existe (banque en ligne, ...)

Si vous en avez la possibilité, inspectez l'ordinateur à l'aide d'un anti-spyware.

KITS DE DESINFECTION

Qu'est-ce qu'un kit de désinfection ?

19

Un kit de désinfection est un petit exécutable dont le but est de nettoyer une machine infectée par un virus particulier. Chaque kit de désinfection est donc uniquement capable d'éradiquer un type de virus particulier voire une version particulière d'un virus.

Les utilitaires de désinfection présentés ci-dessous ne remplacent en rien l'action d'un logiciel antivirus. En effet l'antivirus a un rôle préventif, afin d'intercepter le virus avant l'infection de la machine. Toutefois en cas d'infection, les kits de désinfection en téléchargement sur ce site vous permettront de prendre des mesures correctives pour éradiquer le virus !

Comment utiliser les utilitaires de désinfection ?

Pour éradiquer un virus présent sur votre machine, pourvu que vous sachiez quel virus a infecté votre système, la meilleure méthode consiste tout d'abord à déconnecter la machine infectée du réseau, puis à récupérer le kit de désinfection adhoc.

Puis il s'agit de redémarrer l'ordinateur en mode sans échec (hormis pour WindowsNT) et de lancer l'utilitaire de désinfection.

D'autre part, certains vers se propagent par l'intermédiaire d'une faille de sécurité de Microsoft Internet Explorer, ce qui signifie que vous pouvez être contaminé par le virus en naviguant sur un site infecté. Pour y remédier il est nécessaire de télécharger le patch (correctif logiciel) pour Microsoft Internet Explorer 5.01 et supérieur. Ainsi, veuillez vérifier la version de votre navigateur et télécharger le correctif si nécessaire :

http://www.microsoft.com/windows/ie/download/critical/Q290108/default.asp

LES ANTI VIRUS

Un antivirus est un logiciel censé protéger un micro-ordinateur contre les programmes néfastes appelés virus, vers, macrovirus, etc.

Les principaux antivirus du marché se basent sur des fichiers de signature et comparent alors la signature génétique du virus aux codes à vérifier. Certains programmes appliquent également la méthode dite heuristique tendant à découvrir un code malveillant par son comportement.

Les antivirus peuvent scanner le contenu d'un disque dur, mais également la mémoire de l'ordinateur. Pour les plus modernes, ils agissent en amont de la machine en scrutant les échanges de fichiers avec l'extérieur, aussi bien en flux montant que descendant. Ainsi, les courriels sont examinés, mais aussi les fichiers copiés sur ou à partir de supports amovibles tels que cédéroms, disquettes, connexions réseau...

20

LES CONSIGNES

La médiatisation des virus fait que l'internaute est confronté à un grand nombre d'alertes plus ou moins justifiées, parfois davantage vouées à créer une psychose ou à flatter l'ego des concepteurs de virus, qu'à lui rendre service. Pour une protection efficace contre les tous virus, il suffit en effet de quelques gestes simples, qui devraient devenir des automatismes :

1. Appliquez régulièrement les correctifs de sécurité de vos logiciels, en particulier dans le cas des produits Microsoft (Internet Explorer, Outlook, Word, IIS, etc.), très répandus et fréquemment pris pour cible. Plusieurs outils existent afin de faciliter cette mise à jour, comme WindowsUpdate, OfficeUpdate et MBSA. Ces correctifs permettent de combler les failles utilisées par les virus, par exemple pour s'exécuter automatiquement à l'ouverture d'un courriel, ce qui limite d'autant leur capacité de nuire. Vous pouvez également consulter les communiqués sécurité et vous abonner à la liste Secuser Alerte pour être prévenu directement par e-mail ;

2. Installez un pare-feu (firewall), afin de stopper les attaques de virus exploitants certaines failles de sécurité même si le correctif n'a pas encore été appliqué. Activez le pare-feu de Windows XP ou installez un pare-feu personnel : il existe des solutions gratuites pour un usage non commercial comme ZoneAlarm ou Outpost ;

3. Installez un antivirus et mettez-le à jour régulièrement, afin de rester protégé contre les nouveaux virus. Vous trouverez dans le commerce des produits performants, en français et facile à utiliser. Si vous ne souhaitez pas investir dans la sécurité, adoptez au moins AntiVir ou Avast!, des antivirus gratuits pour un usage non commercial. Leurs performances sont bonnes voire excellentes, et comme pour les produits payants leur moniteur surveille votre système en temps réel et empêche l'ouverture accidentelle d'un fichier contaminé. Pour confirmer une alerte ou scanner ponctuellement votre disque dur, vous pouvez aussi utiliser l'antivirus gratuit en ligne.

4. Gardez à l'esprit qu'une pièce jointe n'est jamais anodine, même si elle provient d'une personne connue : cette dernière peut en effet avoir été victime d'un virus qui a utilisé son carnet d'adresses pour s'envoyer à tous ses correspondants ou son adresse peut avoir été usurpée. Paramétrez Windows pour qu'il affiche les extensions de tous les fichiers, ce qui vous permettra de découvrir que ANNA.JPG (simple image) est peut-être en réalité ANNA.JPG.vbs (VBscript probablement hostile). Prenez également le temps de lire le contenu des messages qui vous sont adressés avant d'ouvrir un fichier joint : si un collègue qui ne parle pas un traître mot d'anglais vous envoie soudain un mail dans la langue de Shakespeare, ou si un ami amoureux des belles lettres vous adresse un message composé de morceaux de phrases embrouillés, il y a lieu de se méfier et de demander confirmation à l'expéditeur. Dans le pire des cas, il peut s'agir d'un virus ou d'un cheval de Troie inconnu, non détecté ou encore imparfaitement détecté par votre antivirus.

21