La sécurité informatique est devenue aussi importante que la sécurité humaine, car nous sommes tous ammené à enregistrer des informations importantes, voire confidentielles sur notre ordinateur, il est donc indispensable d'empêcher de parfaits inconnus d'accéder à ces informations. Il est évident que la sécurité absolue n'existera jamais, du moins tant que la sécurité sera fondée par un humain. Nous allons voir dans cet article une manière de tester la sécurité de notre ordinateur pour qu'un intrus n'ai pas la tâche facile.







Il faut avant tout se dire qu'un ordinateur n'est jamais totalement à l'abris. Effectivement connecté sur internet, il y a potentiellement au moins 2 milliard d'individus qui peuvent être un lamer voulant donc voler, ou détruire les informations que contient votre ordinateur.

Je vais définir de manière simple quelques comportements que l'on nomme souvent par 'hacker'.

Lamer :
Un lamer est une personne dont l'objectif est de nuir. Un lamer n'est pas forcément une personne qui n'a pas ou peu de savoir, mais plutôt une personne qui n'a pas l'éthique d'un hacker, dont la morale n'est pas limitée par le respect des autres. 'lame' signifie 'boiteux' ou encore 'éclopé' en anglais. Lamer a un conotation très négative sur l'individu ciblé, un lamer n'appartient pas à groupe de personnes défini, dans le sens oà il peut manquer de respect dans bien des domaines :
tchat, hacking, jeux vidéos (aussi appelé cheater), ...

Hacker :
Le hacking est fondamentelement un art plutôt qu'une science. C'est un art dans le sens oà le hacker n'a de valeur que par ce qu'il est capable de faire. Le hacker se différencie du lamer par sa conception des choses, il mettra en avant la technique et le savoir afin de percer la sécurité d'un système (informatique, électronique, humain, ...) et de proposer une solution à la faille trouvée. Les hackers sont divisés en plusieurs groupes, dont la différence réside dans leurs intentions:

Black hat :
Communauté de pirates informatiques dont le but est de s'introduire sur un système informatique. Leurs agissements sont souvent liés à une idéologie politique, mais leur savoir n'a pas de limite. Le côté underground du black hat fait qu'ils ne sont pas forcément connu pour partager ce qu'ils savent mais plutôt pour exposer des failles qu'ils exploiteront entre eux.

Grey hat :
le grey hat hacking ne fait tant parler de lui car il s'agit en fait d'une personne assoiffé par la connaissance et n'en faisant qu'à sa tête. Capable de coder un exploit ou un rootkit il ne fait ça ni dans l'intention de pirater une entreprise ni de surveiller sa petite amie mais pour lui, surtout pour accumuler un savoir.

White hat :
Les white hat hackers ne forment pas forcément une communauté, car un consultant en informatique, qui est là pour auditer la sécurité d'un site, d'un réseau ou d'un serveur peut être considéré comme un white hat hacker, et agit à des fins professionnels.

Cracker :
Contrairement aux définitions que l'on peut trouver sur internet, je ne considère par un cracker comme une personne étant décidé à pénétrer un système afin de le détruire (pour moi, c'est le rôle du lamer) mais plutôt une personne qui a pour but de reverser un logiciel afin de faire sauter ses protections, ses limites. Il est possible d'agir sur des applications distantes, (exploitation d'overflows) et c'est dans ce sens que le cracker rejoint le hacker.

Au vue de ces informations, on peut se demander sur 2 milliards de personnes les quelles ont une mauvaise intention. Pour aider à juger de cela, il faut se dire que les hackers font très souvent des tests sur des réseaux sécurisés plutôt que l'ordinateur d'un simple particulier, dont l'intérêt est médiocre. Les hackers se regroupent plus souvent pour se défier que pour défacer (rendre inexploitable) des sites, ou crasher des serveurs, fait par eux-même dans le cadre de challenge.





Je ne présenterais aucun antivirus, plein de sites le font très bien. Cette section va expliquer quelques méthodes d'analyse et leur faiblesses.

Un antivirus possède au moins 2 méthodes d'analyse. La méthode par dictionnaire, c'est à dire qu'il va scanner le fichier, vérifier sa somme de contrôle (checksum) et si cette somme est dans le dictionnaire alors le fichier est considéré comme infecté. Cette somme de contrôle est calculée à partir d'une adresse précise dans le programme (start code) et vérifie si l'instruction appelée est celle du programme (checksum inconnu) ou celle d'une routine programmée par un virus (checksum connu dans le dicitonnaire). La seconde méthode ne va pas vérifier le checksum mais les appels système que fait le programme, par exemple si le programme fait un appel à "format c:" il sera considéré comme étant un virus ou un programme dangereux. Cela dit, sur ce dernier point, les anti-virus sont assez limités, les plus récents d'entre eux vont protéger les accès au registre, aux drivers (fichier *.sys, *.drv, utilisé par les rootkits)

Pour tester son poste il y a plusieurs choses à faire :
- Posséder une grande liste de virus.
- Packer certains virus avec UPX par exemple
- Protéger les virus avec yoda's Protector ou d'autres ' obfuscateur '

Vous allez vite voir les limites de l'antivirus, une fois les virus protégés. C'est à ce moment qu'intervient le HIPS.





Avant de démontrer l'utilité d'un HIPS, nous allons parler des leaktests et des firewalls. Les leaktests sont développés afin de tester la limite des parefeux, ils sont cruels dans le sens oà peu de pare-feux les bloquent tous. Il y a plein de comparatifs sur internet qui vous aideront à choisir le bon pare-feu, cependant il n'y a pas que ça à tester, il faut également tester la résistance du service (ou serveur) face à crash et face à un crasher (programme ayant pour but de planter Windows). Certains pare-feux contiennent une partie HIPS, c'est à dire qu'ils protègent des applications inconnues et qu'ils empêchent certains appels systèmes. Comme cité dans l'article concernant le Firewalling, pour moi un pare-feu ne doit s'en tenir qu'à la protection réseau.





Parmis d'autres systèmes de protection il y en a un très simple : limiter les droits aux utilisateurs. Un virus a besoin des accès à la base de registre : dans un environnement Windows sur compte invité, l'accès à la base de registre est prohibé le virus ne peut pas s'installer, de même que pour les dossiers systèmes, les dossiers de démarrage, ...

Les droits ne suffisent cependant pas pour une sécurité maximale, il faut accompagner l'ordinateur d'un ou plusieurs autres outils de sécurité spécifique.
Il y a pour cela ce qu'on appelle un HIPS : Host Intrusion Prevention Système -ou- Système de Prévention d'Intrusion sur Hôte. Il y a ProcessGuardian et StackGuard qui ont une bonne réputation. Le rôle du HIPS est d'interdire l'execution de programme non connus, de protéger le système de buffer overflow et l'installation de rootkits, ils protègent donc de la base de registre, des hooks, de l'installation de driver et de services et également de protéger les accès mémoires. L'avantage des système *NIX est que cela ne gène pas la mise à jour, alors que la mise à jour Microsoft se veut très intrusive : création de processus cachés, création d'exécutable en écoute sur des ports cachés, nom des fichiers executables de mise à jour aléatoire, ... Pour les systèmes *BSD et *NIX (Unix, Linux, QNX, ...) il existe PaX et GRSecurity qui sont tout aussi efficaces que leurs homologues Microsoft.

Pour des raisons de simplicités je conseil au débutants de configurer un compte Utilisateur - voire Invité pour les personnes n'ayant pas besoin d'accèder - par exemple au cache ARP ou à la base de registre. La sécurité informatique est avant tout un état d'esprit plutôt que d'installer une tone de programme faisant tous 1000 choses.





Pour résumer : limiter votre environnement et utiliser une version de Windows qui se met à jour, dans l'idéal utiliser Linux :). Pour débuter sous Linux je conseille Ubuntu, Mandriva ou Knoppix. Pour des systèmes experts, afin de protéger en amont, il y a les systèmes *BSD, qui ont pour ça une bonne réputation. Voici mon système de sécurité à titre d'information à ce jour (6 octobre 2007) :

Windows = NOD32 2.7 + Jetico 2.0.30 + ProcessGuardian
Ubuntu = KlamAV + FireHole (scripts pour IPtables, ARPtables et EBtables) + PaX
FireFox -> plugins : AdBlock Plus, CookieSafe, DOM Inspector, Flashgot, NoScript




   =>   Écrit par : Nicolas, le 06 octobre 2007


 
Mots clés :  
  general 
  
  people 
    >   Articles connexes :

Comment gagner du temps sur Internet

Comment gagner du temps sur Internet



Pourquoi le Macbook Pro 2017 ?

Pourquoi le Macbook Pro 2017 ?



Geeks, nerds, hackers, pirates, ...

Geeks, nerds, hackers, pirates, ...


1297210