Aller au contenu


Sécurité du PC / Windows

Started by Txon, 24 juin 2007 06:16

  • Sujet fermé Ce sujet est fermé
10 replies to this topic

#1 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:16




Sécurité du PC
Dangers et solutions !!!


Pendant le forum économique mondial qui se déroulait en janvier 2007 à Davos (Suisse), Vint Cerf a expliqué que, des 600 millions d’ordinateurs connectés chaque jour à Internet, de 100 à 150 millions seraient en fait des machines zombies. Ceux-ci sont des ordinateurs contaminés par un ver informatique sans que leurs propriétaires le sachent.
Comment en est-on arrivé là ? ...
  • Les FAIs ne se préoccupent pas de ce problème et ne le feront que contraints ou lorsque leurs "tuyaux" seront saturés.
  • Les gouvernements des pays les plus concernés ne font rien de concret pour enrayer le fléau. Celui de la France tout particulièrement délaisse la sécurité des internautes pour se consacrer à la croissance des bénéfices des éditeurs de musique ou de vidéo.
  • Le système d'exploitation et certains programmes standards couramment utilisés donnent une illusion de sécurité alors qu'ils sont vulnérables, qu'ils comportent ont des failles de sécurité, des « trous » qui simplifient les intrusions, le piratage ou sont simplement inefficaces contre certaines attaques.
  • Il n’y aurait pas de "botnet" sans la croissante masse d’internautes ignorants des moindres mesures de sécurité
Sur ce dernier point en particulier, il y a beaucoup à dire. L'utilisateur ordinaire, par son insouciance est souvent son propre pire ennemi. Depuis quelques temps déjà et de plus en plus souvent, les parasites ont une apparence inoffensive qui trompe beaucoup de défenses. Ils sont souvent activés par des manipulations inconscientes ou volontaires ...
  • Navigation dans un site piégé par un « drive-by download ».
  • «clic» intempestif sur une pièce jointe à un mail,
  • DRM d'un CD ou d'un DVD, logiciel d'application protégé/piégé par son éditeur etc.
Un PC peut être attaqué à n'importe quel moment par différentes méthodes. Même si certains vous disent qu'ils surfent depuis des années sans le moindre pépin, sachez qu'en moyenne il suffit d'une vingtaine de minutes de connexion à Internet pour qu'un PC mal protégé soit infecté et qu'en une dizaine de minutes supplémentaires le maliciel introduit a commis son forfait.


CITATION(Yves Crespin - directeur de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information )
« Ce qu’il faut ancrer dans la tête des gens, c’est que l’on ne peut plus surfer sur le web sans firewall ni antivirus ».
Au moins pour cette fois, il faut le croire et se procurer tous les moyens de défense adéquats, mais ça ne suffit pas. Outre une stricte hygiène comportementale, l'usager devra veiller à ce que le système d'exploitation et les logiciels de protection qu'il utilise soient mis à jour aussi fréquemment que possible. Il faut absolument éviter tous les systèmes et logiciels obsolètes.


Les Protections : détail.
Les liens vers les sujets liés à celui-ci (rootkits etc.) se trouvent au bas de ce document. [/list]

…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#2 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:19

.../...

Les premières précautions ...

... Séparation système / données - Sauvegardes du système et des logiciels de confiance




[1] – Partitionnement du (des) disque(s).
CITATION(Txon)
Si le client utilise son PC tel qu’il est fourni, logiciels et données vont se retrouver mélangés dans la pagaille la plus totale. contrôle quand il s’agit de produits commerciaux. Une sauvegarde intégrale aurait été la bienvenue ...
  • En cas de détérioration du système d’exploitation, une réinstallation pourra s’avérer nécessaire. Sauf exception, elle devra être complète. Même les logiciels applicatifs devront être remis en place, avec en prime la perte de temps que représente leur validation puis leur mise à jour et l’angoisse de la perte des clés de contrôle quand il s’agit de produits commerciaux. Une sauvegarde intégrale aurait été la bienvenue.
  • Pour utiliser un deuxième système d’exploitation, l’utilisateur sera souvent obligé à des manipulations fastidieuses et incertaines. Parfois, ce sera impossible en leur état naturel.
  • Séparer les données des logiciels est peut être contraignant, mais c’est la seule manière d’effectuer facilement des sauvegardes très nécessaires.
C’est tout une organisation du disque et de son contenu qui est nécessaire pour assurer ses arrières et repartir rapidement sus des bases saines ou pour profiter pleinement ...
  • de son ordinateur avec plusieurs systèmes d’exploitation,
  • d’une installation sécurisée.
>> Partitions et multiboot ... Séparer logiciels et données, multiples systèmes et démarrages du PC.


[2] – Retour à un système « sain ».
Après des essais de logiciels dont on ne veut pas ou dans les cas graves d'infection par un maliciel - virus tenace ou rootkit très imbriqué dans le système - il est important de pouvoir revenir en arrière sur des bases solides : disposer de plusieurs installations de systèmes d'exploitation et de sauvegardes « saines ». Il faut, suivant les préférences de chacun et le niveau de sécurité désiré...
  • Se contenter d'utiliser l'outil de sauvegarde-restauration du système de Windows (utilitaire de création de ''point de restauration'' ...), disponible en cliquant sur « Démarrer », « Tous les programmes », « Accessoires », « Outils système » et « Restauration du système ». Le plus souvent, c'est très insuffisant.
  • Créer une « image » du système et des applications « sures » déjà installées tant que cet ensemble est encore « sain » - « Ghost » - sur un DVD bootable afin de les restaurer en cas de besoin.
  • Organiser son (ses) disque(s) ...
    • Créer plusieurs partitions systèmes (pour en avoir au moins deux) et au moins une partition pour les données afin de les isoler.
    • Charger dans chacune des partitions systèmes un système d'exploitation valide (ça peut être deux fois le même) et les logiciels « sûrs » couramment utilisés.
    • Effectuer sur disque une « image » du système et des applications « sures », qui sera utilisée pour une restauration rapide d'un ensemble « sain » à la place d'un système qui aurait été corrompu, à partir du deuxième système.

Logiciels gratuits pour effectuer les sauvegardes du systèmes et des applications ...

En complément ...
…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#3 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:23

.../...




Les premières précautions ...

... Windows : méfiance !!!



[3] ... Windows est un système d'exploitation non sécurisé. De plus, ses outils sont les plus visés par les pirates de toutes catégories. En outre, beaucoup contiennent des espions placés par Microsoft. A défaut de se lancer sur un système libre comme Linux, vous pouvez commencer par employer des utilitaires et logiciels gratuits plus performants et plus sûrs que ceux de Windows.
  • La palme des vulnérabilités revient à Internet Explorer, le navigateur de Microsoft que vous êtes peut-être en train d'utiliser pour lire cette page ...
  • Ensuite vient Outlook, le gestionnaire de messagerie électronique, à remplacer par Thunderbird (de Mozilla), Dream Mail, FoxMail, Pegasus Mail ou autre,
  • Messenger (Windows, MSN ou Live), ne sont pas exempts de failles et problèmes de contrôle.
    • Pour leur désactivation il existe plusieurs possibilités ... voir par exemple >> ICI ou LA.
    • Pour les remplacer, voyez >> Gaim et son extension audiovisuelle >> Gaim-vv, ou, à défaut, >>Trillian.
  • Citons aussi le mouchard Windows Media Player auquel il faut substituer Videolan (VLC), Media Player Classic (MPC), Winamp etc.
  • Il y a aussi les outils vulnérables de Windows ...
  • Pour abréger terminons par le pare-feu de Windows, qui est peut-être mieux que rien du tout mais qui est totalement insuffisant, une passoire à malwares (voir plus loin).
Ces changements ne suffisent pas ...
[4] -Cas particulier de Windows Vista dont le « p.d.g » de Microsoft, Steve Ballmer, a dit « Vista sera invulnérable ! ».
Au delà des rodomontades de circonstance pour la propagande, il y a la réalité ...
  • Le fameux "KPP" (Kernel Patch Protection) également connu sous le nom de "Patchguard", censé protéger contre toute atteinte au noyau de Windows par des logiciels non autorisés, a déjà été transpercé par des spécialistes comme Joanna Rutkowska ou les ingénieurs de la société Authentium. Accèder à des droits d'administrateur est facilement possible comme l'a encore une fois démontré Joanna Rutkowska ou l'ont fait les chercheurs Nitin et Vipin Kumar. Tout rootkit malveillant bien pensé pourra en faire autant.
  • Le firewall, celui de Windows XP insuffisamment remanié, est toujours mieux que rien mais demeure lamentable.
  • L'antivirus est un des plus mauvais de sa catégorie ... d'autres, gratuits, font beaucoup mieux.
  • L'antispyware, assez moyen, devra être complété par un autre ... ou être complètement par un graticiel plus performant.
Les produits de sécurité de Microsoft sont loin d'être à la hauteur du prix payé pour se servir du système d'exploitation. Le "KPP" en particulier est surtout là pour empêcher les utilisateurs ordinaires de contourner la licence d'utilisation et camoufler les mouchards de Microsoft.

Parce que le système "KPP" empêche aussi l'installation des logiciels de sécurité les plus performants de la concurrence, et à cause de leurs insuffisances, les logiciels de sécurité de Windows Vista deviennent dangereux pour tous les utilisateurs mal informés et ceux qui croient en leur « invulnérabilité ».

CITATION(Spybot S&D@juin 2007)
... chaque logiciel de sécurité certifié est enclin à une neutralisation par les maliciels ... dans le contexte d'une application de sécurité, c'est dangereux : l'éventuelle utilisation par les auteurs de maliciels d'une technique parfaitement documentée pour interrompre une application de sécurité, nuirait considérablement à la sécurité globale ...
... quelques personnes chez Microsoft semblent être trop certaines que Vista soit absolument sûr.


En attendant l'évolution des possibilités de sécurisation de Windows Vista promises par Microsoft avec un futur et lointain « service pack » SP1, Windows Vista sera vraisemblablement moins sûr qu'un Windows XP SP2 bien protégé par les logiciels de sécurité adéquats.

…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#4 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:25

.../...


Les premières précautions ...

... Isoler les dangers potentiels !!!


[5] - Sandbox
Par « sandbox » (littéralement « bac à sable ») on entend un procédé d'isolation destiné au fonctionnement d'un logiciel dans un espace séparé et confiné de l'ordinateur. A l'origine, la technique « sandbox » était utilisée essentiellement pour sécuriser les applets Java. Elle peut servir de cadre virtuel pour éviter la corruption du système en cas de problème : bogue d'une application, attaque de maliciel ...

Un logiciel gratuit comme >> Sandboxie crée un de ces environnements provisoires. Il peut être utilisé pour un fonctionnement sécurisé de tout logiciel susceptible de poser un problème ...
CITATION(Sandboxie)
Les logiciels antivirus et les outils antispywares balayent vos fichiers et le Registre à la recherche de virus connus et de logiciels non sollicités. De tels outils peuvent seulement enlever les virus et le spyware s'ils l'ont identifié, et habituellement seulement après que ce logiciel ait fait son chemin dans votre ordinateur. Ceci contraste avec l'approche de Sandboxie, qui maintient les virus et le spyware emprisonnés dans le sandbox, et les fait disparaître quand vous quittez la sandbox.
>> Sandboxie (explications en français).

Il existe d'autre logiciels d'isolation, parfois très différents ... Pour se faire une opinion rapide, on peut se fier au test comparatif réalisé par Ian "Gizmo" Richards >> Eight Security Sandboxes Reviewed and Rated (en).

D'une certaine manière, on peut considérer que les machines virtuelles décrites ci-dessous sont des sur-ensembles des logiciels d'isolation de ce type.



[6] - Machine virtuelle
Par « machine virtuelle », on entend généralement un système (virtual machine monitor) qui permet de faire fonctionner un système d'exploitation différent de celui qui est installé en natif sur l'ordinateur. Il est ainsi possible d'avoir sur une même machine un système Windows original et un système Linux virtualisé ou vice-versa.

Il est également possible d'avoir deux fois le même système, deux Windows par exemple, et de se servir de ce procédé dans deux sens opposés ...
  • Cacher des données confidentielles à tout indésirable qui s'introduirait dans la partie principale du PC,
  • Isoler des applications dont le fonctionnement pourrait présenter des risques (navigation, échange de messages et fichiers, essais nouveaux programmes ...) afin que le reste de l'ordinateur ne soit pas affecté en cas d'infection ou de dysfonctionnement. Seules les données contrôlées et saines seront transférées hors de la machine virtuelle.

L'utilisation d'une machine virtuelle est conseillée à tous ceux qui ont un ordinateur assez puissant pour que les ressources (surtout les mémoires) puissent être réparties entre plusieurs systèmes d'exploitation. A titre d'exemple, il est possible d'affecter une partition d'une trentaine de Go sur le disque et la moitié d'une mémoire de 1 Go à une machine virtuelle sous Windows XP SP2 sans que les performances générales de l'ensemble soient très affectées, sauf en cas d'usage de logiciels très lourds bien entendu.

Parmi les moniteurs de machine virtuelles gratuits, certains sont assez courants pour un usage de Windows ...
…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#5 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:29

.../...

Les logiciels de protection



[1] Solutions contre les infections.
  • [a] ... Solution « curative » ... détection des maliciels « a posteriori » en fonction d'une base de « signatures génétiques »
    Les premiers outils de protection des ordinateurs personnels se servaient uniquement d'une base de données qui regroupaient les informations permettant d'identifier les seuls maliciels de l'époque : les virus. Le rôle premier des antivirus était donc de charger sur le disque de l'utilisateur un fichier de « signatures » - liste noire - et de procéder à un « scan » de ce disque à la recherche de fichiers comparables afin de les éradiquer. Ce procédé présentait de nombreux inconvénients ...
    • Le travail de détection ne s'effectuait qu'à la demande des usagers, « après coup », et aucune politique préventive n'était en vigueur.
    • Bien sûr, ces interventions tardives n'empêchaient pas le travail destructeur du virus et les réparations étaient souvent difficiles, parfois même impossibles.
    • La base de signatures était souvent incomplète ce qui facilitait l'intrusion des nouveaux parasites.
    • Il est apparu de nouveaux types de maliciels comme les espiogiciels, les chevaux de Troie etc. aux caractéristiques techniques très différentes. Les antivirus inadaptés ont dû être complétés par de nouveaux outils spécialisés.
    Les éditeurs ont donc fait évoluer leurs produits dans deux domaines ...
    • Élargissement de la gamme de compétence à toutes les formes de maliciels.
    • Prévention (analyse heuristique, détection de pratiques douteuses) pour tenter de dépister et bloquer les intrus avant qu'ils aient pu nuire.
    Les héritiers de cette technique primitive sont des utilitaires de détection des intrusions toujours basés sur les bases de signatures - HIDS - dont les plus performants ont un large spectre d'utilisation.
  • [b] ... Solution « préventive » ... Analyse en temps réel des évènements afin de détecter et bloquer immédiatement les maliciels connus.
    C'est avec le développement des communications entre ordinateurs et surtout Internet que c'est vraiment fait sentir la nécessité d'empêcher les relations et transmissions louches ou non désirées. Ce rôle a été dévolu aux firewalls qui ont acquis une compétence en détection et contrôle de tout nouveau logiciel qui communique avec l'extérieur du PC.
    Par extension, des utilitaires qui empêchent le lancement de tout nouveau processus (ou module qui en dépend) qu'il soit suspect ou simplement inconnu, ont été mis au point. La prévention déjà citée plus haut se développe aussi par ce biais, mais d'une autre manière. Elle a donné naissance aux HIPS.
  • [c] ... Pour de plus amples informations sur les HIDS et HIPS, veuillez consulter >> Rootkits et antirootkits

[2] Il est facilement compréhensible qu'un système de défense doit comporter des utilitaires de chaque catégorie ...
  • Une « première ligne » dont les fonctions préventives HIPS tentent d'empêcher en temps réel l'intrusion des maliciels.
  • Une « deuxième ligne » plus dédiée à la recherche et à l'éradication « a posteriori », basée sur les scanners HIDS.

/!\ ... ... Aucun utilitaire isolé n'est efficace contre toutes les méthodes d'intrusion et contre tous les types de malwares ... ... /!\
  • Même si l'antivirus choisi par l'usager sait intervenir sur d'autres types de maliciels et s'ils est partiellement capable d'intervenir en temps réel, il doit être complété par des utiltaires spécialisés dans la détection d'autres parasites, antispywares par exemple, ou au contraire un logiciel capable d'intervenir sur un spectre plus complet de parasites.
  • De même le firewall devra être accompagné par un outil de prévention plus généraliste, afin de protéger également le noyau de Windows et le Registre.
Dans les deux cas, on retrouve des utilitaires classés ici dans la rubrique logiciels de protection complémentaires.

Qu'ils soient plutôt issus d'une de ces familles historiques ou de l'autre, tous les logiciels de protections sérieux s'équipent pour la détection des maliciels les plus récents qui, de plus en plus souvent, sont polymorphiques et s'exécutent en mode privilégié pour mieux se protéger contre la désactivation et être plus furtifs.

[3] Cas particulier du Registre Windows ...
Comme les maliciels ordinaires, la quasi totalité des rootkits malicieux cherche à démarrer au moins un de ses composants en même temps que Windows. Pour ce faire, il implante au moins une clé dans une des ruches consultées par le système pour savoir quels logiciels, bibliothèques et extensions doivent être lancées automatiquement ou modifie une clé existante.
Détecter et supprimer une clé de démarrage d'un rootkit ne va pas immédiatement interrompre son fonctionnement mais empêcher qu'il se relance au prochain boot. A ce moment là, ses techniques de furtivité et de défense ne peuvent pas être activées et il se retrouve à découvert, accessible aux antimaliciels classiques ou a une éradication manuelle.

[4] Comparatif de différentes méthodes de protection du système.
>> Comparative of various technologies to protect against malware << en - Andreas Clementi – oct 2006 (.pdf)

…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#6 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:37

.../...

Les intégrés « tout en un ».


Entendez par là des suites de sécurité provenant ou certifiés par un même éditeur de logiciel. Ils comprennent généralement les éléments de protection de base : firewall et antivirus. Certains d'entre eux incluent aussi un antispyware et ces ensembles ont parfois des capacités de détection des intrusions suivant une analyse comportementale.

Ils ont le grand avantage de constituer des ensembles cohérents, compatibles, et de simplifier le choix des utilisateurs. Comme tous les outils « tout en un » ils ont cependant l'inconvénient de ne pas être toujours aussi performants que les utilitaires spécialisés et sont souvent de très gros consommateurs de ressources du PC.


Les ensemble les plus communs, par ordre alphabétique. Notes ...
  • Ce sont le plus souvent des logiciels « propriétaires », développés par d'importantes sociétés informatiques Ils sont parfois soumis à des licences d'utilisation draconiennes et les mises à jour des bases de connaissance peuvent être limitées dans le temps.
  • Les éditeurs de ces logiciels privilégient généralement leur antivirus qui peut être acquis séparément.
  • Aucun de ces « tout en un » n'est absolument complet et encore mois infaillible.
Tous ou presque sont des évolutions d'utilitaires anciens, progressivement adaptés aux nouveaux malwares et tout particulièrment pour ceux qui sont équipés de technologies « rootkits », mais sans l'efficacité des logiciels spécialisés. Comodo se distingue des autres par différents modules gratuits et indépendants ... firewall, antivirus, antiphishing, antispam etc.

Quel que soit le choix de l'utilisateur, il est prudent de compléter ces défenses, parfois avec un antispyware complémentaire, toujours avec un véritable antirootkit (ARK). A cause de problèmes d'incompatibilité, il est par contre déconseillé d'utiliser deux antivirus différents simultanément.

…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#7 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:43

.../...


Filtre - Firewall – Pare-feu
Le firewall incorporé à Windows XP est un mauvais firewall. Il ne filtre que les connexions "entrantes", pas les "sortantes". Il peut très facilement être désactivé depuis Internet, et donc n’est pas sûr, surtout s'il n'est pas secondé par le filtre efficace d'un « routeur » ...
  • Le mieux : Désactivez-le et utilisez un vrai pare-feu logiciel (voir ci dessous)
  • Le moins : Gardez-le mais complétez-le avec >> « FirePanel XP » (payant)

Note ... Le firewall de Windows Vista est meilleur, ce qui n'est pas difficile, mais reste un firewall médiocre qui donne une illusion trompeuse de sécurité.


[1] Voyez ...
[2] Surtout dans le cadre d'un réseau familial, vous pouvez seconder le firewall de votre choix avec un « proxy local » gratuit ...
[3] ''Un « routeur » bien configuré est aussi une bonne solution contre les attaques sur le réseau.''
Il ne vous protégera cependant pas toujours contre les saletés récoltées par imprudence (navigation ou « clic » hasardeux), les espions cachés dans les logiciels commerciaux ou d'un DRM (MTP) nuisible provenant d'un CD ou DVD du commerce etc.
Complétez-le au moins avec un firewall logiciel léger.


[4] arrow.gif Wi-Fi ... Méfiance !!!
CITATION(kareldjag - IDS for Wireless Network)
WPA2 (Wi-Fi Protected Access 2) fournit un niveau suffisant de sécurité, mais les attaques sont encore possibles. Beaucoup d'outils tels que Kismet, Scapy, NetStumbler, AirSnort, AirCrack, AiroPeek, CowPatty ou Wifitap sont disponible pour des intrusions.
Le risque doit surtout être pris en considération dans les grandes villes où le war-driving et le war-chalking sont pratiqués.
Pour une protection spécialisée de vos connexions Wi-Fi, voyez ...
…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#8 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:46

.../...



Indispensable antivirus
Pour lutter non seulement contre les virus, mais aussi beaucoup d'autres malwares
Voyez les études faites ... >> www.virus.gr, arrow.gif Tests d'antivirus >>> Juin 2007 >>> Mai 2007 >>> Avril 2007


[1] Quelques uns des antivirus .. Notez que l’anti-virus de « Norman » n’est pas le meilleur et qu’il comporte un firewall primitif qu’il faut désactiver (bien sûr, dans ce cas, il faut mettre un autre pare-feu).

Pour des raisons d'incompatibilité, il est déconseillé d'utiliser deux antivirus simultanément.


[2] Un « scan en ligne » (gratuit) peut détecter un virus qui se serait infiltré dans vos défenses ... Choisissez un scanner différent de l'antivirus que vous avez installé.

Pour contrôler un fichier douteux particulier, il existe des scanners « multi-moteurs » gratuits ...

[3] Si votre PC est infecté par un virus et avant de recourir au formatage, essayez d'éradiquer le virus avec un outil spécialisé dans la suppression des plus connus, à utiliser le plus souvent après un redémarrage en « mode sans échec » ...
  • D'autres applications existent pour un fonctionnement sous DOS.
  • Vous pouvez utiliser un antivirus depuis un « Bart CD » (voir en annexe ci-dessous) : exemple >> Avast! Bart CD
  • Pour une détournement de bureau (« desktop hijack ») essayez un outil comme >> SmitFraudFix.

[4] Tester son antivirus avec EICAR
>> Comment vérifier simplement que votre antivirus est actif.


[Note] ...
CITATION(kareldjag)
Les limites d'une protection par firewall uniquement secondée par un antivirus sont évidentes: impossibilité de recenser tous les malwares existants, et surtout de faire face aux nouvelles menaces (vulnerabilité non corrigée exploitée par un parasite par exemple), techniques de plus en plus sophistiquées (type furtive par les rootkits) etc.
Il faut compléter la base de défense constituée par le firewall et l'antivirus par une double ligne de défense constitituée par des « antimaliciels ».

…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#9 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:49

.../...

Une « première ligne » dont les fonctions préventives HIPS tentent d'empêcher en temps réel l'intrusion des maliciels.


Tous les utilitaires récents devraient pouvoir détecter tous les composants des maliciels injectés par des lanceurs anodins puis cachés par des techniques de rootkits. Certains, surtout ceux qui héritent d'un passé pesant n'y parviennent que dans des cas relativement simples ou pas du tout.
CITATION
En général, les HIPS surveillent le coeur du système d'exploitation, ils fonctionnent en mode kernel (mode noyau). Ceci signifie que les actions d'un rootkit sur le noyau du système seront possiblement détectées et qu'il pourra alors être arrêté.
Test comparatif réalisé par Ian "Gizmo" Richards >>> Six HIPS Programs Reviewed and Rated <<< (en - novembre 2006).

[1] ... Commerciaux ... (liste non exhaustive)

[2] ... Gratuiciels ... (liste non exhaustive)
  • >> 1-2-3 Spyware Free de Smart PC (HIPS + scanner)
  • >> All-Seeing Eye >> Test (en - kareldjag)
  • >> Anti Hook de InfoProcess .... version 2.6 pour Windows 9x, Me, 2k, XP, gratuit à usage personnel >> Infos Help (en) >> Description & FAQ (en) >> Test (en - kareldjag) >> Tutoriel (fr) >> F.A.Q (fr)
  • >> Arovax Shield >> Présentation >> Tutoriel (fr - xp.net)
  • >> BOClean de Comodo >> tutorial (en)
  • >> Buffer Zone (Trustware - version ''free'')
  • >> Core Force (licence GNU) >> F.A.Q (en) >> Présentation (fr - Ludovic Blin)
    CITATION(@LG)
    Ce programme est un firewall utilisant les bases du firewall OpenBSD PF, les connaisseurs apprécieront ... Les règles peuvent être définies par défaut et/ou par application ... Autre avantage, pouvoir ajouter des règles en exploitant directement l'affichage du journal des connexions et des flux bloqués.
    En plus de cela, CORE FORCE est aussi un système HIPS: Host Intrusion Protection System. De configuration relativement laborieuse, mais comment faire sans pour un HIPS ? Les éléments surveillés sont multiples, intégrant aussi la base de registre. Les règles d'accès peuvent être très précisément élaborées.
  • >> Cyberhawk (Novatic) >> Libellules - Présentation (fr).
  • >> DriveSentry
    CITATION
    DriveSentry permet non seulement de contrôler quels programmes ont accès aux disques (et autres mémoires de masse) mais il laisse également déterminer les types de fichiers, dossier, et les clefs du Registre auxquelles lles applications peuvent accéder.
  • >> Dynamic Security Agent (Privacyware) arrow.gif Test (fr)
  • >> GeSWall (GentleSecurity version Freeware) >> Présentation (fr - Blocus Zone).
  • >> Neova Guard >> Presentation (en)
  • >> OSSEC « open source » de Daniel B. Cid pour Linux et Windows Manuel (fr). Comparable à SNORT, mais avec une capacité de réaction en temps réel. Nécessite un serveur sous Linux.
  • >> Sandboxie arrow.gif Explications détaillées (fr)
  • >> Spybot S&D (résident « tea timer » + scanner + « vaccination) >> outils >> réglages (fr)
  • >> SpyCatcher™ Express de tenebril (HIPS + scanner)
  • >> Spyware Blaster >> Tutorial (fr) >> http://forum.telecharger.01net.com/microhebdo/questions_techniques_diverses/securite/spywareblaster_pas_a_pas-328554/messages-1.html (fr - herisson41)
  • >> SpywareGuard >> Tutorial (en) >> Tutoriel (fr)
  • >> Spyware Terminator (HIPS + scanner) arrow.gif Explications et tests (fr)
  • >> System Safety Monitor (SSM) ... Version v1.9.6b2 « free » - comprend un pack en fr, les nouvelles versions sont payantes >> Tutoriel (fr) >> Test (en - partiellement fr - kareldjag)
  • >> WinPatrol de BillP Studio (version fr disponible) >> F.A.Q (fr)
  • >> WehnTrust (Wehnus)
  • >> Winpooch de Benoît Blanchon >> Tests (fr) ... HIPS « open source » simple pour les débutants et très paramétrable pour les autres.
    CITATION(Jean-Charles Condo )
    Winpooch est un logiciel de sécurité informatique gratuit qui se charge de surveiller (et de bloquer s'il existe une règle le permettant) les modules en mémoire qui adoptent des comportements caractéristiques des logiciels espions, chevaux de Troie et vers informatiques, notamment l'écriture dans certaines clés de la base de registre, une tentative de connexion à Internet sur un port non standard ou la modification de fichiers système de Windows.
[3] Protection du Registre Windows ...
Les maliciels ne cachent pas tous leurs clés grâce à un rootkit et certains le font de manière insuffisante.
  • Le module [Démarrage] de Seem (voir ci-dessous) fournit une liste des clés de lancement les plus visibles, plus pratique et complète que celle de Windows. La suppression de celles qui sont indésirables est possible. Encore faut-il que l'utilisateur ait vérifié à quoi correspondent ces clés avant de décider ce qu'il garde ou élimine.
  • L'introduction de clés dans le Registre (ou la modification de clés existantes) peut être signalée par des utilitaires de surveillance assez communs (Ad-Aware avec son « Ad-Watch », Spybot S&D avec son résident « tea-timer » etc.), mais ils sont assez facilement contournables. C'est aussi le cas de logiciels de détection des intrusions comme Winpooch et CoreForce (déjà cités ci-dessus) dans lequel le rajout de règles permet une surveillance sur mesure, bien adaptée à ce genre de problème, mais ils ne sont pas infaillible non plus.
  • Il existe aussi des logiciels spécialisés, dédiés à la surveillance et à la préservation du Registre.
Registry Prot ...
CITATION
Petit utilitaire qui s'exécute de manière totalement transparente. Il vous prévient dès qu’un programme ou autres tente de s'implanter dans l'un des emplacements où se loge tout ce qui se lance automatiquement au démarrage de Windows. Il vous protège ainsi de toutes ces applications secrètes qui s'implantent en silence soit en créant une entrée dans la liste de démarrage soit en modifiant une ligne déjà existante de votre base de registre, à votre insu. Il agit donc comme un élément essentiel de sécurité dont, entre autres, contre les backdoors, les keylogger, les adwares, les barres d'outils, les BHOs, les hijacks etc.. Chaque fois que quelque chose tente de s'enregistrer dans la base de registre et sur votre liste de démarrage, vous êtes instantanément prévenu par une petite fenêtre en pop-up qui vous demande quel sort réserver à cette requête. Si vous choisissez de la rejeter, l'entrée est tout simplement supprimée.
>> Registry Prot >> kesaco ? aide (fr) >> Tutoriel (fr).

…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#10 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 06:52

.../...

Une « deuxième ligne » plus dédiée à la recherche et à l'éradication « a posteriori », basée sur les scanners HIDS.


Certains des logiciels HIPS ci-dessus incorporent un scanner de maliciels de toutes sortes. L'antivirus parfois aussi. Si ces deux outils sont de bon niveau, il n'est pas nécessaire d'en avoir d'autre en permanence sur son PC, sauf un utilitaire spécialisé dans la détection des rootkits (ARK) car ils pratiquent une traque particulière qui met en échec beaucoup trop de logiciels conventionnels.

[1] ... Commerciaux ... (liste non exhaustive)
[2] ... Gratuiciels ... (liste non exhaustive)

[3] Comme pour les virus, il existe aussi des outils spécialisés pour l'éradication d'un rootkit particulier ... Exemples ... Quand ils existent, il est souvent préférable d'utiliser ces petits logiciels très spécialisés car l'imbrication de ce type de rootkits dans le système est telle qu'une solution « généraliste » est hasardeuse et qu'une solution « manuelle » est franchement périlleuse et peut très facilement mener à une détérioration du système.

…\…

"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)

#11 Txon

Txon

    AïoligaToR

  • Administrateur
  • PipPipPipPipPipPipPipPipPip
  • 5 302 Messages :

Posté 24 juin 2007 - 07:06

.../...

Annexe


[A]. Nettoyage quotidien du PC
Avant même de passer aux protections les plus nécessaires, commencez par enlever de votre PC tous les fichiers inutiles qui contiennent les traces de vos activités récentes avec un outil adéquat comme >> MRU Blaster, >> System CleanUp >> System Security Suite ou un « nettoyeur » plus général ... Si vous hésitez, voyez le sujet arrow.gif Nettoyer son PC / Windows


[B] - Vous pouvez cacher et / ou crypter les données ''sensibles'' présentes sur votre disque ...
arrow.gif Camouflage et cryptage


[C] Contrôlez et testez vos défenses actuelles
[a] Sauf cas particuliers, les « ports sensibles » de votre système doivent être « stealthed » (furtifs, invisibles).
CITATION( « 3psilon »)
Pour être ciblé, il faut être inclus dans un balayage d'adresse IP, il est donc important que le pc ne réponde pas aux pings et ne réponde pas ''négativement'' aux tentatives de connexion. Il ne faut pas répondre du tout. (c'est en fonction des flags des packets réseaux).
Il faut faire la sourde d'oreille et faire croire qu'il n'existe aucun pc à cette adresse là.
Cette configuration est dépendante du pare-feu et/ou du routeur. Le résultat est probant.
[b] Faites des essais complémentaires de vos systèmes de défense.
En plus des outils traditionnels, essayez ...
  • « ArnHideProcess ». « Cet outil est un driver de démonstration permettant de masquer le processus “explorer.exe”. Les techniques utilisées s’apparentent aux rootkits. Il hook une fonction (ZwQuerySystemInformation) de la SSDT lui permettant de cacher le processus “explorer.exe”. (« Al » - 3pislon)
    >> Cacher un processus de « Arnotic ».
  • arrow.gif Tests des défenses

[D] Les solutions de défense les plus notables du moment (juin 2007).
Les HIPS comme CoreForce et Winpooch sont sans aucun doute très performants lorsqu'ils sont convenablement paramétrés. Ils sont peut-être à la base des meilleures solutions de défense mais requièrent une bonne maîtrise du sujet pour définir les règles appropriées.
Ceux qui ne souhaitent pas se compliquer l'existence peuvent en rester à une solution classique et simple de défense ...
  • « Première ligne » ... Un firewall (Comodo FP gratuit est en même temps très performant et simple) et un HIPS complémentaires (Spyware Terminator ou Dynamic Security Agent sont actuellement ce qu'on fait de mieux comme gratuiciels simples).
  • « Deuxième ligne » ... Un antivirus (AVS, Antivir ou Avast!) et un scanner complémentaire comme celui de Spybot S&D par exemple (moins utile si on utilise Spyware Terminator qui en a un).
  • Les cerises sur le gâteau, ce sont les purs HIDS antirootkit ... IceSword, RkUnhooker, Seem (la nouvelle version 4.5 dès qu'elle va sortir officiellement) ...

[E] Vous pouvez compléter votre système de détection et de défense avec arrow.gif SEEm. Un utilitaire rare : assez complet, sympa, gratuit ... Il dispose de fonctions essentielles ...
CITATION(3psilon)
  • « Processus » permet entre autres de voir de quel éditeur de logiciel proviennent les programmes qui fonctionnent et, s'il y a un doute, une recherche sur Google peut être directement lancée. Il est donc possible de localiser des programmes indésirables, ceux pour lesquels il n'a jamais été procédé à une installation volontaire.
  • « TCP/UDP » permet de visualiser les connexions en cours soit en détail (connexion par connexion) soit en globalité pour chaque programme procédant à des échanges de données sur les réseaux. L'option de « capture des vitesses » est là pour un contrôle de la célérité et des volumes échangés.
  • Les fichiers de statistiques sont variés et permettent d'affiner le suivi du fonctionnement du PC.


[F] - Voyez aussi ces sujets ...
arrow.gif Roottkits et ARKs (antirootkits)
arrow.gif Principaux sujets de sécurité d'InfoMars
>> Mouchards de Windows.
>> Optimiser la protection de son PC /!\ Attention /!\ Pour utilisateurs avertis seulement – débutants s’abstenir.
>> Sécurité P2P / eMule
... et >> Méfiez-vous des sites et des anti-spywares crapuleux ou suspects !


*-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-* *-*-*-*-*-*-*

Fin provisoire ...
Ce dossier sera complété en fonction de vos demandes de précisons ou de l'évolution des logiciels disponibles gratuitement. En cas de doute en ce qui concerne la signification d'un mot ou d'une expression, vérifiez s'il existe une explication dans le lexique des mots et expressions utilisés dans l'environnement des rootkits et des ARKs.
Veuillez faire part de vos réflexions et poser vos questions dans le sujet réservé à cet effet ...
>>> ICI <<<

@+
"They who can give up essential liberty to obtain a little temporary safety, deserve neither liberty nor safety." (Benjamin Franklin)
Back to Sécurité

0 utilisateur(s) en train de lire ce sujet

0 membre(s), 0 invité(s), 0 utilisateur(s) anonyme(s)

  1. InfoMars.fr
  2. La sécurité en informatique
  3. Sécurité

Partenaires :