10 replies to this topic

[noisette]

Mise à jour: Sécurité: la Collection gratuite Automne-Hiver 2009 d'Infomars

##############################

Sécurité:

la Collection gratuite Automne-Hiver 2008 d'Infomars



 bidochonnterdb7c.jpg   47,21 Ko   9 Nombre de téléchargements 

Parce qu'internet n'est pas un long fleuve tranquille, et n'est pas près de le devenir, il est plus que nécessaire de protéger son PC avant même sa première connexion à internet si vous souhaitez naviguer sans trop risquer de voir votre machine transformée en radiateur électrique, en machine à rebooter ou en spammeuse automatique à l'insu de votre plein gré ^^.

Bien entendu, dans cette histoire, même si le risque zér0 est une foutaise (c'est un principe à ne pas oublier - que dis-je: à bannir), l'internaute que vous êtes est partie prenante: une tendance au clic compulsif, une navigation risquée, naïve ou irraisonnée, des poussées d'acné, tout ça ne vous aidera pas à garder un PC propre et fonctionnel. Si vous vous sentez concerné(e), optez alors pour les solutions les plus complètes (cf SandboxIE).

A savoir: avoir un PC sain est aussi un devoir vis à vis des autres internautes: en effet, beaucoup de PC infectés sont utilisés par des organisations peu-recommandables, à l'insu de leurs propriétaires, en de véritables parcs de machines zombies afin de spammer ou infecter d'autres PC à leur tour. Vous pouvez donc faire une analogie avec les êtres vivants et considérer un PC infecté comme potentiellement contagieux.

Je vous propose deux sélections de logiciels gratuits (pour usage personnel) permettant à un débutant ou un non-expert d'avoir une protection correcte. Les experts sont les bienvenus pour décrire leur propre solution, mais ce topic ne s'adresse pas spécifiquement à eux. Chaque solution contient les outils suivants:

• un pare-feu, qui contrôle en temps réel les entrées et sorties sur internet,
• un anti-virus, qui protège en temps réel spécifiquement des virus,
• un anti-spywares, qui protège en temps réel des autres malwares,
• un éventuel HIPS, qui surveille en temps réel le comportement de votre PC pour vous alerter en cas d'action suspecte.
• d'éventuels anti-malwares complémentaires pour réaliser des analyses ponctuelles périodiquement (par exemple, toutes les semaines).

Proposition 1:

• Pare-feu + Antivirus + HIPS: Comodo Internet Security (site officiel - tutoriel)
• Antispyware résident + HIPS: Spyware Terminator (site officiel - tutoriel)
• Pour les analyses complémentaires: MBAM, Spybot par exemple (ne pas installer le "Tea-timer").
• Pour le surf à risque: SandboxIE (voir "Solutions complémentaires" plus bas)
  Remarque: vous pouvez laisser les deux HIPS (ST et Comodo) cohabiter, mais si vous trouvez cela trop contraignant (à cause des fenêtres d'alertes) ou si vous avez un ordinateur peu puissant, ne gardez alors que celui de ST.

Proposition 2:

• Pare-feu + HIPS: Comodo Internet Security (désactiver l'antivirus dès l'installation - site officiel - tutoriel) ou Online Armor Free (site officiel - tutoriel)
• Antivirus : Antivir-free (site officiel - tutoriel)
• Antispyware résident + HIPS: Spyware Terminator (site officiel - tutoriel)
• Pour les analyses complémentaires: MBAM, Spybot par exemple (ne pas installer le "Tea-timer").
• Pour le surf à risque: SandboxIE (voir "Solutions complémentaires" plus bas)
  Remarque: vous pouvez laisser les deux HIPS (ST et Comodo) cohabiter, mais si vous trouvez cela trop contraignant (à cause des fenêtres d'alertes) ou si vous avez un ordinateur peu puissant, ne gardez alors que celui de ST.

Les plus hardis pourront de temps en temps scanner avec un antirootkit, tel que Avast Antirootkit.





Attention !

Soignez l'interface chaise/clavier : c'est avant tout à ce niveau là que tout démarre. Toutes les protections du monde ne pourront pas grand chose contre une propension au clic compulsif, un goût prononcé pour l'aveuglette, une méconnaissance naïve des risques courants d'internet conduisant à confondre par exemple XXX avec une équation du troisième degré ou p0rn avec une abréviation du mot pop-corn... Loin de moi l'idée de condamner les goûts des uns et des autres, mais un certain nombre d'utilisations de votre connexion internet nécessite plus de vigilance pour être (presque) sans risque. Quoiqu'il en soit, nulle protection à 100% n'existe, ce qui signifie en particulier que d'installer des logiciels de protection ne dispense pas de rester vigilant.

Attention encore !

Utilisez un système à jour, un navigateur potable et lui aussi à jour (idem pour les applications pouvant accéder au net, comme un lecteur, un client, p2p, ...).

Attention enfin !

En cas d'infection , commencez par désactiver votre restauration système (vous la réactiverez une fois la machine désinfectée) et faites vos scans en mode sans échec (touche F8 au démarrage du PC).
En cas de doute (persistance ou résurgence de symptomes malgré divers scans avec vos habituels outils), vous êtes peut être infecté avec par un ou plusieurs maliciels résistants, plus ou moins bien cachés (cf rootkits). Une aide spécialisée doit alors être apportée : HijackThis, Zeb Help Process, antirootkit, antidotes spécialisés et aide sur le forum.

Sources et compléments:

• Tests : Matousec, virus.gr, av-comparatives.
• La section Sécurité du forum : sommaire des principaux sujets.
• Le navigateur: personnellement, je ne m'engagerais pas sur un Océan, se prétendrait-il Pacifique, sur un rafiot prenant l'eau de façon plus que notoire ... l'utilisation par exemple d'un navigateur comme Firefox avec l'extension Noscript est une très bonne approche, même si elle demande à l'utilisateur de régulièrement intervenir en connaissance de cause pour surfer tranquillement.
• Le fichier Host : ce fichier de votre système contient une liste d'adresses internet interdite à votre navigateur: c'est un organe de protection pas assez connu, car simplissime à comprendre, mettre à jour et utiliser: des abonnements gratuits à des listes toutes prêtes sont disponibles. Ne vous en privez pas.
• Autres antispywares généralistes gratuits: AdAware 2007 free, Ewido, SuperAntispyware.
• nettoyage : Ccleaner, nCleaner, Easycleaner, AngelCleaner et sous le contrôle d'un expert: Clean by fruit.
• Solutions complémentaires ou alternatives : un bac à sable avec SandboxIE (ici et là) - une session virtuelle avec Returnil Virtual System - une sélection de limiteurs de droits.
• Désactiver certains services, fermer certains ports avec Zeb Protect.

[Txon]

Salut et merci noisette !

Pour dire les choses d'une autre manière, mais un résultat pratiquement identique, il convient d'avoir différentes protection.

La toute première est l'utilisation d'une "machine virtuelle" afin que les maliciels qui pourraient s'infiltrer y soient automatiquement enfermés et "nettoyés" systèmatiquement à la fermeture de cette machine. Dans ce genre, il est certain que le graticiel Sandboxie est à la fois un des plus sûr de sa catégorie (virtualisation par isolation), un des moins consommateurs de ressources et un des plus simples.

Surtout lorsqu'on n'a pas adopté cette précaution, il faut s'armer de plusieurs types de logiciels qui agissent de manière différentes et se complètent pour assurer :
- Le blocage des communications non désirées entre ordinateurs, que le réseau soit intranet (domicile ou bureau) ou internet. C'est le rôle des pare-feux (firewalls) et parmi eux, deux graticiels se distinguent : Comodo Firewall Pro et Online Armor Free. Ils sont parmi les meilleurs. Le pare-feu proposé par Microsoft est le pire dans ce genre.
- Le blocage des maliciels de toutes catégories avant qu'ils soient actifs. C'est le rôle des HIPS généralement enrobés dans des pare-feux ou dans des anti-maliciels aux noms divers (anti-spywares, antu keyloggers etc.). Là encore, Comodo Firewall Pro et Online Armor Free font l'affaire. Comme rien n'est parfait, même pas ces logiciels là, il est prudent des les compléter avec un autre HIPS. Les tests réalisés avec le graticiel Spyware Terminator montrent qu'il vaut lui aussi bien mieux que des produits payants et renommés mais pas toujours très efficaces. Malheureusement Spybot S&D en tant que HIPS est dépassé. C'est pire pour AdAware. La solution proposée par Microsoft ne vaut vraiment pas grand chose.
D'autre part et pour bloquer un maximum de maliciels avant même qu'ils essaient de pénétrer dans le PC, il est prudent de s'aventurer sur la toile avec un navigateur sérieux et moins attaqué que le dangereux Internet Explorer. Firefox est peut-être ce qui se fait de mieux en la matière, surtout avec ses extensions NoScript et WOT (d'autres modules comme AdBlock Plus, Customize Google, RefControl et Stealther ne font pas de mal).
- La détection et l'éradication des maliciels qui auraient pu s'infiltrer malgré les protection précédentes. C'est le rôle traditionnel des HIDS et tout particulièrement des antivirus, qui, presque tous sont devenus des anti-maliciels-divers puisque ils s'en prennent maintenant à toutes les catégories de maliciels. Un graticiel comme Antivir ou Avast! est généralement suffisant, surtout si on prend la précaution d'effectuer le "scan" le contrôle à partir d'un système différent de celui qui est vérifiée. Surtout dans le cas contraire, et toujours parceque rien n'est parfait, il vaut mieux seconder le logiciel choisi par un autre, Spyware Terminator et/ou MBAM et/ou un des antivirus "externes" disponibles sur la toile.
- Aucun des logiciels cité ci-dessus n'est parfait pour lutter contre les maliciels protégés de la détection par un "rootkit". Il faut donc compléter sa panoplie de défense par un autre type de HIDS très spécialisé, un ou plusieurs ARKs (anti-rootkits) dignes de ce nom. Si RkUnhookerGmer domine le lot, dautres ARKs ne manquent pas d'intérêt, en particulier Gmer, Avast! antirootkit et RootRepeal.
Un contrôle de temps en temps avec un ARK n'est pas un luxe.

@+

[Gougou]

Salut,

J'ai quelques pitites questions :
1) IE7 est nativement exécuté dans un "sandbox". Qu'est-ce que cela vaut par rapport à Sandboxie?
2) Plus globalement, que vaut IE7? IE6, çà fait un bout de temps que je l'ai foutu à la benne mais y-a-t-il des analyses sur la dernière version de IE? (je le suppose tout de même plus attaqué que FFx mais bon, par curiosité...)
2) Est-ce qu'il existe un HIPS résidant qui est dispo pour Vista x64? J'ai testé Spyware Terminator mais il veut pas s'installer en résidant à cause d'un driver non-signé... (j'ai pas cherché à le signer moi-même, grosse flemme :oops: ). Ca me dérange pas trop vu que mon dernier scan manuel n'a rien trouvé mais bon, çà peut intéresser du monde peut-être.

[noisette]

Salut Gougou,

effectivement, un rapide coup d'oeil à quelques HIPS ne m'a permis que de trouver le HIPS de Comodo, mais je n'ai pas tout regardé.
Concernant IE7, le système ressemble, mais la Sandbox permet d'aller plus avant dans la simulation ou le test, sans avoir à installer en vrai. Un logiciel quelconque peut être installé dans le bac à sable

[Txon]

J'ai quelques pitites questions :

Je ne suis ni un spécialiste d'IE7 qui est neutralisé autant que faire se peut sur tous les PCs dont je m'occupe ni de Windows Vista que je n'ai pas faute de PC assez puissant pour le supporter.
Je ne peux te répondre donc qu'en fonction de ce que j'ai lu ici ou là.

Protected Mode (available in Windows Vista only), whereby the browser runs in a sandbox with even lower rights than a limited user account. As such, it can only write to the Temporary Internet Files folder and cannot install start-up programs or change any configuration of the operating system without communicating through a broker process. IE7 Protected Mode relies on the User Account Control technology.

"Le Mode protégé (disponible dans Windows Vista uniquement), fait en sorte que le navigateur s'exécute dans un bac à sable avec encore moins de droits qu'un compte utilisateur restreint. En tant que tel, il ne peut écrire que dans le dossier "Temporary Internet File"s et ne peut pas installer les programmes de "démarrage" (installation) ou start-up programs ou changer la configuration du système d'exploitation sans communiquer par l'intermédiaire d'un "broker process". Le Mode protégé d'IE7 repose sur la technique de contrôle du compte utilisateur."
Pour ce qui est de la notion de "broken process" pour Microsoft, tu peux voir -> ICI
Je croyais, jusqu'à lire cela, que le système utilisé par IE7 sous Vista était uniquement destinée à l'applet Java qui utilise une "Java Virtual Machine" pour interpréter le code Java.

De là à comparer ce système avec Sandboxie qui permet l'isolation non seulement du navigateur mais aussi de toute application qu'on lance en son sein, il y a, me semble-t-il, pas mal de chemin.

D'un autre côté, un HIPS sous Vista 64bits ne peut être qu'un logiciel ayant reçu les autorisations adéquates de Microsoft pour passer au travers de son système de protection du noyau (Patch Guard) et s'y installer. Les maliciels sont ou seront, théoriquement au moins, les seuls qui se passent d'autorisation.
Les éventuels HIPS disponibles sous Windows Vista sans cette possibilité ne peuvent excercer de surveillance que sur les activités en mode utilisateur ("ring 3"), ce qui est mieux que rien mais demeure insuffisant.
Sophos prétend avoir une solution, mais vu ses résultats sous XP et Vista 32bits, je n'ai pas envie de l'essayer. Pour GeSWall ce sera, parait-il, pour bientôt.

@+

[Gougou]

Donc, si je comprend bien, l'avantage de Sandboxie par rapport à IE7 sous Vista est de ne pas se limiter aux navigateurs?
Le navigateur étant tout de même le point d'entrée majeur aux malwares et autres joyeusetés, c'est quand même pas mal d'y avoir cette fonction par défaut? Ils parlaient de faire çà aussi pour FFx?

Pour les HIPS sous Vista64, les versions non-résidantes (qui se limitent à de la détection à posteriori?) sont tout de même aussi efficace ou certains fonctions sont limitées?

[Txon]

L"énorme avantage de Sandboxie est en effet de ne pas limiter son action à un seul navigateur. Tout logiciel qui ne cherche pas à s'installer dans le noyau de Windows peut s'y exécuter. Il bloque en effet toute tentative d'intrusion dans ce noyau. Les rootkits POC et les autres logiciels qui le tentent sont instantannément bloqués.
L'action de Sanboxie va au delà d'internet. L'intranet aussi est concerné ainsi que les "disques de voyage", les mails ...

La solution trouvée pour IE7 devrait en effet être incluse dans Firefox, mais il y a déjà des solutions avec NoScript d'un côté et Comodo Memory Firewall de l'autre.

Les HIPS dont la protection résidente ou la protection temps réel sont désactivés "(qui se limitent à de la détection à posteriori?)" ne sont plus des HIPS. Ils ne sont plus que des HIDS qui se contentent de balayer la mémoire et le disque à la recherche de saletés connues. Je ne vois pas pourquoi ils fonctionneraient plus mal sous Vista 64bits que sous Vista 32bits.

@+

[Gougou]

Oki merci pour les précisions

[Thelwin Argon]

Merci beaucoup pour toutes ces infos, je testerai sur mon PC quand je l'aurais sous la main ^

[Tchim]

Bonjour à tous,

[Extrait]
Attention enfin !
En cas d'infection , commencez par désactiver votre restauration système (vous la réactiverez une fois la machine désinfectée) et faites vos scans en mode sans échec (touche F8 au démarrage du PC).

Je croyais qu'il était préférable de procéder en premier à la désinfection du PC (en mode sans échec, en appuyant sur la touche F5 ou F8 suivant les PC) puis seulement après, désactiver la restauration système et redémarrer le PC, puis remettre enfin la restauration du système, pour éviter une nouvelle infection par une restauration du système où le/les virus ou Malwares pourraient encore se trouver...

Il semblerai qu'il-y-a plusieurs "écoles" pour cette phase.
Qu'en pensez-vous?

Tchim.

[noisette]

J'avoue que je pourrais faire exception en cas d'infection qui vient juste se passer, un "flagrant-délit" ^^, mais sinon, je préfère écraser les points de restauration, dont certains seront infectés (la proportion croissant avec l'ancienneté de l'infection).

Mais je n'ai rien contre les autres méthodes ^^. Ni contre en apprendre encore.