Le but de cet article sera de démontrer qu'il est aussi abhérent et inutile d'installer de nombreux outils de protections alors que de bien configurer son poste en Windows XP suffit à bien limiter la possibilité de programmes malveillants. Nous allons dans un premier définir le besoin de l'utilisateur final, dans un second déterminer son environnement de travail et finalement définir les applicatifs selon le budget à installer pour protéger le poste.





0x01. BESOINS


Le besoin se défini par l'utilisation finale du poste, c'est à dire par l'ensemble des logiciels à installer, et surtout savoir, si l'utilisateur aura besoin de souvent installer d'autre logiciels ou non. L'installation d'un logiciel requiert certains droits, donné par défaut dans les systèmes Microsoft, ce qui permet donc (par défaut) à un utilisateur malveillant d' installer n'importe quel logiciel. Dans le contexte GNU/Linux, c'est relativement différent, car un virus affectant le système doit jouer sur la confiance de l'utilisateur (pour qu'il l'exécuter lui même en mode superutilisateur), ou bien sur une faille logicielle ou alors sur la mauvaise configuration des droits sur un fichier (on pensera au SUID)


Récapitulatif:
--------------
 
 
 [ DIFFERENCES ENTRE UN COMPTE ADMINISTRATEUR ET UN COMPTE UTILISATEUR ]

 Dossiers sensibles           | Utilisateur   | Groupe          | Droit
 -----------------------------+---------------+-----------------+---------------------
 C:/                          | Tout nouveau  | Administrateurs | Tout les droits
 C:/WINDOWS                   | compte créé   |                 | Tout les droits
 C:/WINDOWS/SYSTEM32          |               |                 | Tout les droits
 C:/WINDOWS/SYSTEM32/DLLCACHE |               |                 | Tout les droits
 C:/WINDOWS/SYSTEM32/DRIVERS  |               |                 | Tout les droits 
 
 Dossiers sensibles           | Utilisateur   | Groupe          | Droit
 -----------------------------+---------------+-----------------+---------------------
 C:/                          | Tout nouveau  | Utilisateurs    | Lecture / Création
 C:/WINDOWS                   | compte créé   |                 | Lecture / Ecriture
 C:/WINDOWS/SYSTEM32          |               |                 | Lecture
 C:/WINDOWS/SYSTEM32/DLLCACHE |               |                 | 
 C:/WINDOWS/SYSTEM32/DRIVERS  |               |                 | Lecture

 > Ce qui montre qu'il est facile pour un programme d'installer de nouveaux fichiers, 
   et de remplacer facilement les fichiers de Windows sur un compte administrateur...
 
 

 [ GNU / LINUX ]

 Dossiers sensibles           | Utilisateur   | Groupe          | Droit
 -----------------------------+---------------+-----------------+---------------------
 /                            | Tout nouveau  | Groupe associé  | Lecture seule   
 /etc                         | compte créé   | à l'utilisateur | Lecture seule   
 /bin                         |               |                 | Lecture seule   
 /sbin                        |               |                 | Lecture seule   
 /boot                        |               |                 | Lecture seule   

 > Si l'usager  root  modifie de manière incorrect les droits sur un fichier ou un dossier
   ( par exemple: tout les droits sur /bin/sh ) la corruption devient alors facile 

Il est donc important de ne pas donner tout les droits à quelqu'un qui n'en a pas besoin, il aura plus de chance de s'attirer des ennuis qu'autre chose.


Le fait d'avoir les droits utilisateurs va vous protéger de nombreuses attaques, mais les quelles ? Et quelles sont leur limites ? Nous allons voir ensemble comment protéger son ordinateur installé avec Windows XP édition professionnelle ou familiale. Il faut savoir que pour mieux administrer un Windows XP édition familiale il faut redémarrer en mode sans échec pour accéder aux options de sécurité sur les fichiers et dossiers (clic droit, onglet sécurité) et pour accéder au compte Administrateur.





0x02. REPERTOIRES SENSIBLES


Les répertoires sensibles sont des répertoires dont la corruption ou la modification de fichiers pourrait empêcher Windows d'effectuer ses tâches habituelles. Sur un compte utilisateur n'ayant pas les droits de l'administrateur, les actions menées par les logiciels malveillants (malware) sont considérablement réduite. Par défaut un utilisateur ajouté dans Windows est administrateur... enfin en réalité cela dépend de la manière dont il a été ajouté ! Voici d'abord une série de dossiers et de sous dossiers facilitant l'installation d'un malware :


 C:/ 
Permet à un programme de modifier BOOT.INI
Corrompre d'autres fichiers du démarrge de Windows (NTLDR, NTLDETECT.COM)

 C:/WINDOWS 
 C:/WINDOWS/SYSTEM32 
Permet à un programme d'être exécuté sans avoir à conna?tre le chemin complet ;
Modifier des fichiers de configurations: WIN.INI et SYSTEM.INI ;
Modifier des éxecutables indispensables à Windows ;

 C:/WINDOWS/SYSTEM32/DLLCACHE 
Modifier les fichiers protégés et de réparation de Windows

 C:/WINDOWS/SYSTEM32/DRIVERS 
Installation de drivers, utiles à l'exécution KernelLand des Rootkits
Manipulation des drivers existants, hook sur TCPIP.SYS

 C:/WINDOWS/SYSTEM32/DRIVERS/ETC 
Ce dossier particulier contient la liste des protocoles et des services disponible/supporté par Windows.
Il contient également des fichiers d'indentification des hôtes réseaux : HOSTS et LMHOSTS
(signifiant respectivement HÔTES et HÔTES RESEAUX (LAN MANAGER HOSTS).
Modifiés ces fichiers pourraient permettre à l'attaquant de détourner la communication.

 C:/Documents and Settings/All Users 
Comme son nom l'indique, il s'agit d'un dossier dont les fichiers sont commun à tout les utilisateurs.
Si un programme se trouve dans le C:/Documents and Settings/All Users/Menu démarrer/Démarrage ,
le programme s'exécutera automatiquement sur tout les comptes. 

La création d'un nouveau compte sur Windows XP Pro, peut se faire de d'une manière plus sécurisée:


/files/tutoriels/secu_xp/ajout_compte_1.bmp


De cette manière, le nouveau compte créé aura les droits utilisateurs et non administrateurs alors que la méthode classique (panneau de configuration > compte d'utilisateurs) créera un compte avec les droits administrateurs.





0x03. BASE DE REGISTRE


Le registre possède tout comme les fichiers son ACL (Access Control List), ce qui veut dire qu'il est possible d'effectuer les mêmes opération de sécurité (approbation, droits de lecture/écriture, ...). De même que précédemment dans la gestion des droits sur les fichiers et dossiers un compte utilisateur n'a pas tout les droits partout, ce qui limite de façon considérable l'installation de rootkits, ou autre malware évolué. De même que ci-dessus, nous allons voir une liste de clé de registre sensible ainsi que les conséquences d'avoir un accès total sur celles-ci.


Paramètres Internet Explorer communs à tout les utilisateurs
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Internet Settings

Exécution automatiques des programmes, configuration pour tout les utilisateurs
 ( Run= Lancer, RunOnce= Lancer une seule fois, RunOnceEx= Lancer une seule fois avec exception ) 
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnceEx

Chargement dès la connexion à Windows  (Winlogon= Windows Logging On) 
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/UIHost

Services Windows, exécution avec privilège supérieur à l'utilisateur
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services

Ouverture des fichiers éxecutables
HKEY_CLASSES_ROOT/exefile/shell/open/command 

Donner les droits utilisateurs à une personne ayant souvent besoin d'installer des logiciels peut s'avérer plus fastidieux, trop vouloir de sécurité va empêcher d'utiliser pleinement son ordinateur. De plus cela a ses limites dans le cas oà il y aurait un exploit permettant l'élévation de privilèges. Dans ce cas c'est souvent l'utilisateur SYSTEM qui est clibé puisqu'il a TOUT les droits, y compris sur les processus et les fichiers protégés de Windows.





0x04. APPLICATIONS A RISQUES


Les applications dites "à risques" sont essentiellement les applications susceptibles de modifier un ou plusieurs paramètres du système, ou bien d'accéder au réseau sur la simple volonté de l'utilisateur. Des virus utilise ces applications afin de faciliter le transfert des données, puisque la plus part de ces applications (donc des applications natives à Microsoft Windows XP) sont autorisées par les firewall. Il est donc très fortement conseillé de bloquer l'exécution de ces programmes pour le groupe utilisateur. Voici une liste de programmes à protégé (cette liste est probablement à compléter, merci de me contacter dans ce cas.


Applications réseaux :               Applications système :

 -- Commandes distantes               -- Base de registre
 c:/windows/system32/rcp.exe          c:/windows/regedit.exe
 c:/windows/system32/rexec.exe        c:/windows/system32/reg.exe
 c:/windows/system32/rsh.exe          c:/windows/system32/regedt32.exe

 -- Protocoles                        -- Administration
 c:/windows/system32/arp.exe          c:/windows/system32/at.exe
 c:/windows/system32/ftp.exe          c:/windows/system32/attrib.exe
 c:/windows/system32/netsh.exe        c:/windows/system32/cacls.exe
 c:/windows/system32/telnet.exe       c:/windows/system32/cmd.exe
 c:/windows/system32/tftp.exe         c:/windows/system32/command.com
                                      c:/windows/system32/control.exe
                                      c:/windows/system32/net.exe
                                      c:/windows/system32/ntsd.exe
                                      c:/windows/system32/runas.exe
                                      c:/windows/system32/regsvr32.exe
                                      c:/windows/system32/sysedit.exe
                                      c:/windows/system32/win.com 

Nous allons donc sécuriser notre ordinateur. Nous n'allons utiliser aucun outil afin de mieux comprendre, de mieux savoir ce qu'il faut changer. L'utilisation de logiciel est bien lorsqu'on a compris pourquoi et comment on doit fermer tel ou tel port, mais avant ces outils ne sont pas là pour simplifier la vie de quelqu'un qui veut comprendre, mais plutôt de quelqu'un qui veut installer plusieurs PC. Ils ont été fait essentiellement pour automatiser les tâches fastidieuse et répétitives.

Il est évident que de fermer un port ne suffit pas, un virus peut très bien utiliser un port ouvert, ou passer par le navigateur et ouvrir le port. Pour ça le virus a besoin de plusieurs choses, il a besoin d'avoir accès aux sockets, il a besoin d'être sur un compte administrateur pour s'installer dans les dossiers systèmes et dans la base de registre. Pour simplifier la tâche, nous allons écrire un fichier de la base de registre qui va sécuriser le poste, car même en tant qu'utilisateur, il est possible d'exécuter un programme à chaque démarrage de Windows.





0x05. BLOQUER LES APPLICATIONS A RISQUES


A cette liste nous pouvons associer un script MSDOS qui s'occupera de limiter les droits grâce à la commande CACLS :


cacls FICHIER /E /D UTILISATEURS 

Le script associé est donc :


 REM -- Commandes distantes
 cacls %WINDIR%/system32/rcp.exe     /E /D %USERNAME%
 cacls %WINDIR%/system32/rexec.exe   /E /D %USERNAME%
 cacls %WINDIR%/system32/rsh.exe     /E /D %USERNAME%

 REM -- Protocoles 
 cacls %WINDIR%/system32/arp.exe     /E /D %USERNAME%
 cacls %WINDIR%/system32/ftp.exe     /E /D %USERNAME%
 cacls %WINDIR%/system32/netsh.exe   /E /D %USERNAME%
 cacls %WINDIR%/system32/telnet.exe  /E /D %USERNAME%
 cacls %WINDIR%/system32/tftp.exe    /E /D %USERNAME%

 REM -- Base de registre
 cacls %WINDIR%/regedit.exe           /E /D %USERNAME%
 cacls %WINDIR%/system32/reg.exe      /E /D %USERNAME%
 cacls %WINDIR%/system32/regedt32.exe /E /D %USERNAME%

 REM -- Administration, accès aux services
 cacls %WINDIR%/system32/at.exe       /E /D %USERNAME%
 cacls %WINDIR%/system32/attrib.exe   /E /D %USERNAME%
 cacls %WINDIR%/system32/cacls.exe    /E /D %USERNAME%
 cacls %WINDIR%/system32/cmd.exe      /E /D %USERNAME%
 cacls %WINDIR%/system32/command.com  /E /D %USERNAME%
 cacls %WINDIR%/system32/control.exe  /E /D %USERNAME%
 cacls %WINDIR%/system32/net.exe      /E /D %USERNAME%
 cacls %WINDIR%/system32/net1.exe     /E /D %USERNAME%
 cacls %WINDIR%/system32/ntsd.exe     /E /D %USERNAME%
 cacls %WINDIR%/system32/runas.exe    /E /D %USERNAME%
 cacls %WINDIR%/system32/regsvr32.exe /E /D %USERNAME%
 cacls %WINDIR%/system32/sysedit.exe  /E /D %USERNAME%
 cacls %WINDIR%/system32/win.com      /E /D %USERNAME% 




0x06. CONFIGURATION PAR LE REGISTRE


Nous n'avons besoin de quasiment aucun ports sur le poste d'un particulier, c'est à dire dans une configuration "hors entreprise" (standalone), voici donc le fichier de registre associé à un tel besoin. Le registre permet de configurer l'ensemble du système, et permet donc de configurer les services comme les paramètres réseaux. Nous pouvons donc créer un fichier de base de registre pour configurer un poste de cette manière :


Windows Registry Editor Version 5.00
; Entete de fichier de base de registre sur Windows à base de NT 5.0 et plus
 
 
; Empeche au port 135 d'être accessible de l'exterieur		
; TCP    0.0.0.0:135            0.0.0.0:0              LISTENING		
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RpcSs]
"ListenOnInternet"="N"
 
; Désactive: Le partage de fichier et d'imprimantes (port 445)
; TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
; UDP    0.0.0.0:445            *:*
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/NetBT/Parameters]
"SmbDeviceEnabled"=dword:00000000		
 
; Désactive: Le service "Services IPSEC" 
; UDP    0.0.0.0:500            *:*
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/PolicyAgent]
"Start"=dword:00000004
 
; Désactive: Le service "Affichage des messages" 
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Messenger]
"Start"=dword:00000004
 
; Désactive: Le port 5000
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/upnphost]
"Start"=dword:00000004	
 
; Désactive: Le service "Horloge Windows"
; UDP    127.0.0.1:123          *:*
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time]
"Start"=dword:00000004	
 
; Désactive: Le service "Assistance TCP/IP NetBIOS"
; TCP    192.168.10.128:139     *:*
; UDP    192.168.10.128:138     *:*
; UDP    192.168.10.128:137     *:*
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/LmHosts]
"Start"=dword:00000004	
 
; Désactive: "Nettoyage de raccourcis inutilisés"
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Desktop/CleanupWiz]
"NoRun"=dword:00000000
 
; Désactive: Les RAW socket, protocol de communication réseau
; utilisé uniquement par les virus, très peu par les applications
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/AFD/Parameters]
"DisableRawSecurity"=dword:00000001
 
; Désactive: Les ping redirigés et les attaque contre les connexions massives entrantes. 
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Tcpip/Parameters]
"EnableICMPRedirect"=dword:00000000
"SynAttackProtect"=dword:00000001
 
; Désactive: Le redémarrage de l'ordinateur si le service d'appel de procédure distante a planté.
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RpcSs]
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,53,00,41,/
  00,00,00,00,00,60,ea,00,00,00,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 




0x07. LE GROUPE UTILISATEUR


Ensuite nous devons restreindre l'utilisateur afin qu'il n'installe pas ses programmes, pour cela il faut démarrer le service station de travail et le service serveur, ce sera la dernière fois que le service serveur sera lancé.


REM -- Active le service "Serveur"
REG ADD HKLM/SYSTEM/CurrentControlSet/Services/server /v Start /t REG_DWORD /d 3 /F
REM -- Et le lance !
NET START SERVER

REM -- Désactive le service "Station de travail"
REG ADD HKLM/SYSTEM/CurrentControlSet/Services/workstation /v Start /t REG_DWORD /d 3 /F
REM -- Et le stoppe
NET STOP WORKSTATION 

On restreint l'utilisateur afin de le protéger. Pour sécuriser totalement une machine il faut en plus:
- Mettre un mot de passe BIOS pour protéger de l'accès physique
- Cadenacer l'ordinateur afin qu'il ne soit pas démonté
- Empêcher à l'ordinateur de démarrer à partir d'autre chose que le disque dur > désactiver le démarrage sur: lecteur disquette, usb, cdrom, lan, c'est à dire tout autre chose que le disque dur.
- Configurer le compte administrateur avec un mot de passe fort (minuscule, majuscule, chiffre, symbole, 9 caractères)
- Désactiver les comptes utilisateurs inutiles



Voici une des procédures pour changer un utilisateur de groupe :


/files/tutoriels/secu_xp/users.jpg

Cela peut se faire également par MSDOS :


net localgroup utilisateurs %USERNAME% /ADD
net localgroup administrateurs %USERNAME% /DEL 




0x08. DESACTIVER LE PROTOCOL NETBIOS


On va aussi désactiver NetBIOS, nous n'avons pas de réseau d'entreprise chez nous, et même en entreprise les serveurs DNS remplacent NetBIOS. Il suffit d'aller dans les propriétés de la connexion réseau :


Menu démarrer > Panneau de configuration > [ Connexions réseaux et Internet ] > Connexions réseaux
       > Clic droit sur la carte réseau > Propriétés > Clic sur Protocole Internet (TCP/IP) > Propriétés  
/files/tutoriels/secu_xp/netbios-1.jpg

/files/tutoriels/secu_xp/netbios-2.jpg




0x09. LES SERVICES


Il faut également désactiver l'assistance à distance et le bureau à distance. Voici la liste des services Windows et l'état dans lequel je les conseille, sur un ordinateur quelconque ne se connectant pas au réseau d'entreprise. Il est temps de désactiver les services inutiles, pour ça il suffit d'aller dans la gestion de l'ordinateur (clic droit sur le poste de travail -> gérer) ou bien d'aller dans le menu démarrer et de taper services.msc . L'arrêt des services peut se faire par MSDOS :


REM -- Services à désactiver :
REM -- -----------------------
net stop "Accès à distance au registre"
net stop "Assistance TPC/IP NetBIOS"
net stop "Centre de sécurité"
net stop "Horloge Windows"
net stop "Pare-feu Windows / Partage de connexion Internet"
net stop "Planification de tâches"
net stop "Serveur"
net stop "Services IPSEC"
net stop "Service de découvertes SSDP"
net stop "Services Terminal Server"

REM -- Service à mettre en démarrage manuel :
REM -- --------------------------------------
net stop "Explorateur d'ordinateur"
net stop "Station de travail"
net stop "Service de restauration système"
net stop "Service de rapport d'erreurs" 




0x010. FICHIER DE DEMARRAGE BOOT.INI


Il faut également activer la protection des applications de Windows : le


DEP

. Pour cela on va devoir modifier le fichier C:/BOOT.INI. Il faut modifier le NoExecute=Optin en NoExecute=OptOut . Pour ça on doit déprotéger le fichier, l'éditer puis le reprotéger. Voici un extrait du site de Microsoft pour expliquer de manière précise ce qu'apporte ce paramètre dans le fichier C:/BOOT.INI :

OptIn Il s'agit de la configuration par défaut. Sur les systèmes utilisant des processeurs capables d'implémenter la prévention de l'exécution des données par voie matérielle, la fonctionnalité est activée par défaut pour certains binaires système et programmes qui Â? choisissent Â? la prévention (Â? opt-in Â?). Avec cette option, seuls les binaires système Windows sont couverts par défaut par cette fonctionnalité.

OptOut La prévention de l'exécution des données est activée par défaut pour tous les processus. Vous pouvez créer manuellement une liste de programmes spécifiques auxquels la fonctionnalité n'est pas appliquée à l'aide de la bo?te de dialogue Système du Panneau de configuration. Les professionnels des technologies de l'information peuvent utiliser la trousse à outils de compatibilité des applications pour supprimer (Â? opt out Â?) la prévention de l'exécution des données pour un ou plusieurs programmes. Les correctifs de compatibilité système pour la prévention de l'exécution des données sont appliqués.

AlwaysOn Ce paramètre fournit une couverture de prévention de l'exécution des données complète pour l'ensemble du système. Tous les processus sont toujours exécutés avec la fonctionnalité appliquée. La liste d'exceptions permettant d'exempter certains programmes de la prévention n'est pas disponible. Les correctifs de compatibilité système pour la prévention de l'exécution des données ne sont pas appliqués. Les programmes pour lesquels la fonctionnalité avait été supprimée à l'aide de la trousse à outils de compatibilité des applications sont exécutés avec la fonctionnalité appliquée.

AlwaysOff Ce paramètre ne fournit aucune couverture de prévention de l'exécution des données pour aucun élément du système, quelle que soit la prise en charge matérielle de la fonctionnalité. Le processeur ne s'exécute pas en mode PAE, à moins que l'option /PAE soit présente dans le fichier C:/boot.ini.

Maintenant, nous allons donc configurer notre boot.ini. Pour cela nous aurons besoin de passer par les commandes MSDOS car en temps normal, le fichier est protégé.


REM -- [ Console MSDOS ]
 
C:/>attrib BOOT.INI -h -s -r +a
C:/>notepad BOOT.INI

 
REM -- [ C:/BOOT.INI - Bloc-notes  ]
 
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)/WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)/WINDOWS="Démarrage avec DEP activé et strict" /noexecute=optout /fastdetect
multi(0)disk(0)rdisk(0)partition(1)/WINDOWS="Démarrage avec DEP activé" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(1)/WINDOWS="Démarrage normal" /fastdetect
multi(0)disk(0)rdisk(0)partition(1)/WINDOWS="Démarrage en mode sans échec" /SOS /SAFEBOOT MINIMAL /NOGUIBOOT 

 
REM -- [ Console MSDOS ]
 
C:/>attrib BOOT.INI +h +s +r -a
C:/> 


Pour information le fichier BOOT.INI n'est pas forcéement sur C:/, il est forcément sur la partition active Windows c'est à dire %SystemDrive% - pour connaitre la partition active de Windows sous MSDOS il suffit de taper :


echo %SystemDrive% 




0x011. ANTI-VIRUS


Inutile de présenter un logiciel de chaque catégories, la seule chose que j'aurais à dire est qu'un navigateur bien configuré peut éviter bon nombre d'intrusions, et ce même Internet Explorer, qui ne reste tout de même pas une référence étant donné la faible réactivité de mises à jour face à ses principaux concurrents : Firefox (Iceweasel), Opera. Inutile d'installer chacun de ces outils, un antivirus à jour et un firewall empêchant les connexions depuis l'extérieur ou vers l'extérieurs (dans le cas d'une backdoor ou d'un trojan) suffisent largement. Maintenant si vous avez à aller sur des sites contenant des contrôles ActiveX spéciaux, il peut s'avérer utile d'ajouter un anti-spyware pour protéger ce que le navigateur ne peut pas protéger.


Il faut redonner le bon rôle à chaque logiciel, un antivirus n'a pas à surveiller le traffic TCP/IP d'une application ! Il doit prévenir ou intercepter le comportement d'une application. Pour cela il n'existe pas dix-milles méthodes:

- Simulation:
NOD32 par exemple, possède une petite mémoire virtuelle "à tout faire". Ce qui explique sa rapidité, cet espace mémoire est utilisé afin de simuler (pour la méthode heuristique) le comportement du programme, si le programme fait un appel à certaines API (RegSetValueEx, CreateRemoteProcess, ...) il est considéré comme étant un virus, d'oà sa qualité à détecté les virus encore inconnus.

- Interception:
KASPERSKY est l'un des meilleurs exemples, effectivement il ne va pas nécessairement alerter l'utilisateur qu'un virus infecte son ordinateur si le programme change une valeur dans le registre, ou essaye d'injecter du code dans un autre processus mais va plutôt alerter et demander l'avis à l'utilisateur, pour cela Kaspersky, charge un driver (klin.sys) qui tente d'intercepter (par écriture dans la mémoire du process) l'activité du programme. Pour ce faire, Kaspersky installe des crochets sytèmes, c'est à dire que pour appeler une fonction Windows (API), un programme passe d'abord par Kaspersky plutôt que passer directement par le système.

L'avantage de la simulation est sa rapidité et le désavantage est qu'il existe des algorithmes afin de détecter si notre programme est dans une machine virtuelle ou non, et peut donc changer son comportement en conséquence. Dans le cas de l'interception il suffit juste d'arriver charger le drivers du rootkit (car s'il y a besoin d'une telle technique, on entre dans la catégorie des rootkits) avant même le chargement du driver de l'antivirus.





0x012. ANTI-ROOTKIS


Les anti-rootkits ne sont plus vraiment nécessaires car les techniques de scan des anti-virus modernes possèdent les mêmes que celles des anti-rootkits. Ils ont cependants des fonctionnalités très intéressantes que n'ont pas tout les antivirus:

- Liste de tout les processus (y compris les cachés)
- Liste des programmes au démarrage
- Liste des drivers chargés, ainsi que des services
- Recherche dans les flux alternatifs (ADS= Alternate Data Stream)
...

L'anti-rootkit doit être la solution de secours, car il est assez envahissant dans le sens oà il est susceptible de poser des questions trop souvent (comme l'activation du module ProActive de Kaspersky).





0x013. ANTI-SPYWARE


A priori de plus en plus inutile avec les antivirus récents ils ne le sont pas tant que ça. C'est clair en qu'en terme de détection ils sont presqu'inutile, mais ils peuvent faire du nettoyage dans votre navigateur ou dans vos fichiers temporaires, bien que cela ne se fasse de plus en plus par le biais de votre navigateur même...





0x014. ANTI-SPAM


L'anti-spam ne sert que dans des cas précis, car les messageries internet proposent leur propres filtres anti-spam. L'anti-spam est une solution pour les entreprises car c'est elles qui sont le plus ciblées par les spammeurs.





0x015. FIREWALL


Le firewall est franchement nécessaire car il empêche aux programmes de divulguer des informations concernant votre poste sans votre consetement. Certains firewall possède un HIPS intégré qui permet à des applications malsaines de modifier le comportement de Windows pour qu'il envoie des données privées.





0x016. ANONYMIZER


L'anonymizer permet de rester anonyme sur internet, fort utile il peut par exemple empêcher certains sites de vous tracer, connaissant votre adresse IP, il peut savoir dans quel pays vous êtes, la ville, votre fournisseur d'accès... Il peut également bloquer tout ce qui est pub (Privoxy, module de firefox, ou logiciel Windows et Linux) permet de bloquer la pub.





0x017. INFECTIONS PAR PAGES WEB


Les infections virales par le Web sont de plus en plus courante, du faux-codec se disant manquant pour lire votre vidéo alors qu'il s'agit d'un virus, en passant par le contrôle ActiveX qui va vous bombarder de pub, le Web pullule de virus plus souvent appelés "spyware" ou "adware". Pour cela il suffit de bien choisir son navigateur et de bien le configurer. En ce qui concerne Opera et Firefox, l'infection est souvent dû à du Social Engineering, c'est à dire en vous faisant croire que ce que vous télécharger va vous permettre telle ou telle chose (alors qu'en fait c'est tout autre chose...) soit dû à une faille de sécurité "aussi tôt découverte - aussi tôt exploitée". Prudence ! Voici une brève présentation des navigateurs les plus connus et de leurs avantages.





0x018. INTERNET EXPLORER


Internet Explorer (également appelé IE) ne respecte pas toutes les normes W3C, ce qui fait que l'affichage de certaine page peut mal se faire, ou pire qu'il éxecuter du code malveillant dans un contexte abhérant, par exemple si on ouvre un fichier de type JPEG (image compressée) dans lequel se trouve un script, celui-ci sera exécuté alors que l'extension de fichier ne devrait pas le permettre (à noter que Firefox et Opera ne l'execute pas). En contre partie Microsoft Internet Explorer possède une fonctionnalité très intéressante face à ses concurrents (pour les plus connus Firefox (Iceweasel) et Opera) qui est de pouvoir installer un composant ActiveX. Les composants ActiveX permettent entre autre de visualiser des vidéos à des formats particuliers, permettent dans une entreprise d'installer des modules nécessaire à une application Web, comme Evidian par exemple, etc. Il n'est pas à bannir pour cette raison, tout dépend après de l'environnement d'utilisation.

Ce qu'il faut savoir c'est que Windows Live Messenger (anciennement MSN Messenger) s'appuie sur les paramètres d'Internet Explorer. Internet Explorer est un peu plus complexe à désinfecter que ses concurrents par le fait qu'il est intimment lié à l'explorateur de fichiers de Windows, il y a cependant pas mal de choses à faire :

- Menu Outils > Gérer les modules complémentaires, les modules étant suspects à désinstaller, c'est à dire ceux n'étant pas de Microsoft
- Vider les fichiers temporaires : depuis les options, menu Outils > Option Internet > Supprimer...

Les fichiers d'Internet Explorer se situent dans les dossiers :
%USERPROFILE%/Local Settings/Temporary Internet Files
%USERPROFILE%/Application Data/Microsoft/Internet Explorer
%USERPROFILE%/Local Settings/Application Data/Microsoft/Internet Explorer





0x019. MOZILLA FIREFOX


Firefox est un logiciel OpenSource, c'est à dire dont les sources sont ouvertes à toutes modification. Les principaux avantages de Firefox (parfois nommé FF) sont :
- sa modularité, il est possible d'installer un nombre incalculable de modules
- sa communauté, étant OpenSource, les correctifs de sécurité sont développé en un temps record
- son respect des normes Web, dont la norme W3C.

Pour ce qui pourrait être de la désinfection, désinstaller certains modules (outils > modules supplémentaires) voire supprimer le profil (%USERPROFILE%/Application Data/Mozilla/Firefox/Profiles), ou tout simplement effacer ses traces (outils > effacer mes traces)





0x020. OPERA


Opéra, est un peu particuler, dans le sens oà étant payant avant, il est devenu gratuit. Opera a plusieurs particularités par rapport aux autres navigateur, qui peuvent aider à le choisir plutôt qu'un autre:
- il peut s'identifier en tant qu'un autre Navigateur, très utile, notamment pour certains contrôles ActiveX
- l'affichage des pages Web peut se faire en plusieurs, mode, dont certains qui permettent de voir l
- puis son module permettant de lire avec un système de voix, les pages Web

De même que pour Firefox: désinstaller certains modules (widgets > gérer les widgets) voire supprimer le profil (%USERPROFILE%/Application Data/Opera/Opera/profile), ou tout simplement effacer ses traces (outils > supprimer mes informations privées)





0x021. CONCLUSION


Il semble évident qu'un poste ayant une armada d'outils de protection allant sur des site de cracks, de téléchargements, de site à contenu amorale, ne pourra jamais complètement vous protéger. J'espère avoir bien fait passer le message:

apprenez à bien configurer votre Windows avant d'essayer quoi que ce soit, et surtout fa?tes une sauvegarde de votre système ! Une sauvegarde peu après l'installation de Windows ou du moins après s'être assuré qu'il n'a pas de problème de configuration. La sécurité est très importante, car vos données le son. Une bonne sécurité se résume en 3 points :

- Un environnement limité qui se met à jour automatiquement
- Au moins un antivirius régulièrement mis à jour (firewall optionnel dans certains contexte)
- Des mots de passe bien choisi et un minimum de méfiance.




   =>   Écrit par : Nicolas, le 15 mars 2012


 
Mots clés :  
  windows 
  
  security 
    >   Articles connexes :

Comment gagner du temps sur Internet



/tmp et /var/log en noexec sur macOS



Durcissement de Windows



6351662