15 replies to this topic

[Txon]

"Les attaques par « drive-by-download » sont maintenant très répandus et sont particulièrement nuisibles pour les utilisateurs car elles se servent massivement de dépassements de mémoire tampon pour injecter des logiciels malveillants dans leurs ordinateurs."

"Drive-by Downloads" ... programme injecté automatiquement dans les ordinateurs des visiteurs d'un site web, sans leur consentement et sans qu'ils en aient conscience.

Extraits de The Register du 23 janvier 2008 ...
... Ces derniers mois, les surveillants de sécurité de Sophos découvrent chaque jour une moyenne de 6.000 nouvelles pages du « web » infectées ... Leur étude met en lumière le problème des « drive-by-download » sur les sites compromis, une tactique sur le point d'éclipser comme moyen de propagation des logiciels malveillants, les courriers électroniques infestés par des virus ... Les sites compromis contiennent souvent des éléments d'attaque exploitant une faille informatique qui permettent aux « hackers » d'introduire des chevaux de Troie et similaires dans les PCs vulnérables. La faille très connue du « iFrame » dans Internet Explorer demeure le vecteur préféré pour les attaques de maliciels au cours de l'année dernière.
... Selon PandaLabs, un demi-million d'ordinateurs sont infestés par des « bots » chaque jour (deviennent des « PC zombies ») ... Environ 11 pour cent des ordinateurs dans le monde entier sont devenus un élément criminel des réseaux de zombies, qui sont responsables de 85 pour cent de tous les spams envoyés.

Pour s'en protéger, il faut commencer par naviguer sur le web avec des logiciels sécurisés. Les défenses habituelles installées sur le PC, pare-feu, HIPS, antivirus seront là pour essayer de bloquer les maliciels qui ont réussi à passer.

Un logiciel de navigation sécurisé, ce n'est certainement pas une vieille version d'Internet Explorer truffée de failles de sécurité. Quel que soit le navigateur utilisé, il faut bien entendu disposer de la plus récente des versions disponibles. Même ainsi, rien n'est certain puisque de nouvelles vulnérabilités peuvent être découvertes à tout moment, et trop souvent, les prédateurs sont les mieux informés.

Contre les « drive-by-download », une première solution est de faire confiance aux fonctions « DEP » incluses dans Windows XP SP2, Windows Server 2003 SP1 et Vista. A vous de voir si c'est satisfaisant.

Une autre est d'utiliser la navigateur « Firefox » avec son extension « NoScript ». C'est déjà un complément intéressant pour les fonctions insuffisantes de Windows.

Une troisième est d'utiliser un vrai logiciel « DEP » (Data Execution Prevention) qui protège les mémoires tampons citées plus haut.
Le graticiel « Comodo Memory Firewall » (à ne pas confondre avec « Comodo Firewall Pro ») répond à beaucoup d'attentes.

Comodo Memory Firewall en détail

-> ICI <-

Agur !

[noisette]

Merci Txon,

je me pose une question à propos: faut-il désactiver la DEP en cas d'utilisation de Comodo Memory Firewall ?

(je suppose que non mais je préfère demander)

[Txon]

Salut noisette !

Tout ce que je peux te dire c'est que je ne l'ai pas désactivé et que tout semble fonctionner normalement.
(Le mot "normalement" ne va pas bien avec un module de Windows )
Pas de conflit à signaler pour l'instant.

Agur !

[noisette]

Le paramètre de ton boot.ini est sur "optin" ?

je teste avec "AlwaysOn": si j'ai bien compris ton article, ainsi que le sens des paramètres de la DEP, "optin" exerce une surveillance du système d'exploitation uniquement, "AlwaysOn" ajoute celle des processus applicatifs. (tu me diras si je me trompe ).

[noisette]

Très simple d'utilisation puisque la configuration par défaut convient pour la plupart d'entre nous, vraiment très simple ... il suffit de l'installer.

J'imagine que les alertes sont rares, donc cela ne devrait pas rebuter ceux que les alertes répétitives saoulent. En mémoire, j'ai vu sur tes captures d'écran que la consommation se situait en pic à 5 Mo environ, elle reste pour l'instant sous 3 Mo chez moi: là encore, pas de quoi terroriser même les optimiseurs pathologiques.

Autre question qui m'est venue: pour les utilisateurs de firefox, no script reste-t-il utile ou est-il redondant avec CMF ?

[Txon]

Autre question qui m'est venue: pour les utilisateurs de firefox, no script reste-t-il utile ou est-il redondant avec CMF ?

Ils ne font pas exactement la même chose et me semblent plutôt complémentaires.

NoScript bloque les scripts (surtout les JavaScripts) "en amont" et les signale sur la page web ouverte.
Cependant, je ne suis pas certain que NoScrip soit capable de bloquer tous les scripts et en particulier ceux des "drive-by-download" bien faits (à ma connaissance il n'y a aucune preuve ni dans un sens ni dans l'autre). De plus, beaucoup d'usagers pressés autorisent trop vite les scripts sur un site qu'ils croient fiable. Or, de plus en plus de sites à l'aspect innocent sont piégés.

D'autre part, Comofo Memory Firewall empêche tous les "buffer overflows", pas seulement ceux qui sont dûs à des scripts intrusifs. Ca en fait donc aussi un protecteur contre les applications mal ficelées et les autres saletés qui s'attaqueraient aux buffers.

Je garde les deux. Aucune incompatibilité à signaler.

Agur !

[noisette]

ça roule

[herve91]

Bonjour,

Peut on l'installer avec n'importe quel firewall.

Pour l'instant j'utilise Online Armor.

Bonne journée

Hervé

Ps : je vais tenter l'install. Je verrais et je vous donne un retour dés que possible comme je travaille de nuit ( encore 3 nuits )

salut

[le barbier fou]

Excellente présentation, comme d'habitude.

Pour ceux que ça intéresse, CMF est intégré dans la toolbar proposée avec Comodo Firewall Pro lors de l'installation.

@herve91 : normalement, il ne devrait y avoir aucun conflit avec un pare-feu ( sauf si le firewall que tu as possède la même fonction, mais ce n'est pas le cas de OA, je pense ).

[Txon]

Peut on l'installer avec n'importe quel firewall.

Tant que le firewall (ou un autre logiciel de défense) ne veut pas faire la même chose (surveiller les mémoires tampons, les attaques « retlibc » ou les séquences « SEH »), les risques de conflit sont minimes.
Il est bien entendu préférable de vérifier avant quelles sont les caractéristiques techniques des logiciels de défense qui vont accompagner CMF.

Agur !

[Cafeolix]

Bonsoir,

plus d'un an après, CMF n'a pas évolué, la version téléchargeable sur le site officielle est toujours la 2.0.4.20 si je ne me trompe.

Est-il toujours d'actualité ?

[VB 6]

Salut, Cafeolix.

Pour cela, me faudrait la désignation complète de ton CMF (car vue comme ça, ont dirait une banque)
Aussi est ce quelqu'un connaitré les termes citez par Txon ?

Tant que le firewall (ou un autre logiciel de défense) ne veut pas faire la même chose (surveiller les mémoires tampons, les attaques « retlibc » ou les séquences « SEH »), les risques de conflit sont minimes.

merci et bonne journée,
VB6.

[Cafeolix]

CMF_Setup_2.0.4.20_XP_Vista_2k3_x32 - version du fichier 1.0.0.1 - Taille 3,26 Mo

[VB 6]

Je te confirme, que CMF 2.0.4.2 n'a changé de version, depuis.

[noisette]

Il était question que CMF soit intégré au pare-feu, il y a quelques mois: où en est-on ?

Il faudrait aller voir sur leur forum, je n'ai guère le temps là maintenant, qui a des niouzes ?

[Cafeolix]

Confirmation, merci Noisette de la piste