Informatique
Vous êtes ici : Page d'accueil > Informatique > Sécurité

Sécurité


Introduction - Notions de Base - Identifier les risques - Les Signaux d'Alarme - Outils Indispensables - Conseils - Informations Additionnelles



La notion de sécurité informatique est de plus en plujs courante de nos jours. Virus, chevaux de Troie, attaques en tous genres rendent les ordinateurs vulnérables aux actes de personnes malintentionnées. J'en ai fait $les frais dernièrement, ma machine s'étant faite attaquée par l'extérieur via mon serveur FTP...

J'ai donc décidé de mettre en place cette petite rubrique afin de faire la synthèse des faiblesses et failles de ma machine, qui j'espère ne sont pas présentes sur la votre.


  • Introduction

Les problèmes de virus concernent la plupart des gens, et plus particulièrement ceux qui ne sont pas au courant des risques potentiels de la messagerie électronique. Mais il existe des risques plus importants pour ceux qui utilisent leur ordinateur de facon plus poussée, comme par exemple un service de serveur FTP, Http, ou tout simplement ceux qui utilisent une connection haute vitesse...


  • Notions de base
L'IP (Internet Protocol)

L'adresse IP, composée de quatre groupes de 3 chiffres séparés par des points, représente l'adresse electronique de votre machine sur le réseau. Je ne rentrerai pas dans les détails, mais je vous recommande vivement le site de Commentcamarche.com pour avoir une explication plus précise.

Lien express : site de Comment ça Marche ?

Cette adresse IP vous permet de localiser une machine sur l'Internet. Elle est capitale pour pouvoir accéder à un serveur FTP, car si vous ne l'avez pas, vous ne pouvez donc pas communiquer avec le serveur FTP distant. C'est tout le problème d'ailleurs des IP variables, car elles changent toutes les xx heures. Je parle de cela plus précisément dans la rubrique "monter son serveur FTP". Dans le cas des connections cable ou ADSL, l'IP de votre machine sur le réseau va changer toutes les 24 heures en général, ce qui se traduit par une déconnection/reconnection physique automatique au réseau. L'attribution de votre IP est faite de façon dynamique par le serveur de votre fournisseur d'accès (DHCP), il est donc quasiment impossible que vous ayez deux fois la même IP.

La plage de risque est donc assez réduite pour vous faire attaquer si vous ne proposez pas de services Http (serveur web) ou FTP.

En revanche, si vous possédez un site web hébergé sur votre machine, avec un système de routage d'IP vers une Url visible de tous, alors là, vous pouvez tout à fait devenir une cible potentielle. Cette url, qu'elle soit chez no-ip, dyndns, dns2go ou autre, vous localise de façon permanente sur le Net. Cette url fait alors le pont avec l'IP (changeant) de votre machine (voir encore ici "monter son serveur FTP"), ce qui la rend donc localisable.... D'où le risque.


Sachez également que ICQ peut être une source de risque importante. De petits programmes permettent de sniffer l'IP à partir d'un numéro d'ICQ... C'est d'ailleurs la raison pour laquelle j'ai ôté mon numéro d'ICQ de mon site... Trop risqué ! L'IP est une chose, les ports en sont une autre...


Les ports informatiques

Si l'IP permet d'identifier un ordinateurs sur le réseau, cette adresse ne suffit pas pour pouvoir permettre aux différents programmes de communiquer avec l'internet. Pour cela, il existe les Ports. Un port est comme une porte vers l'extérieur, une "porte de sortie", numérotée. Ces portes sont au nombre de 65535, répartis comme suit :

"Les ports 0 à 1023 sont les ports reconnus ou réservés (Well Known Ports). Ils sont assignés par le IANA (Internet Assigned Numbers Authority) et sont, sur beaucoup de systèmes, uniquement utilisables par les processus système ou les programmes exécutés par des utilisateurs privilégiés. Un administrateur réseau peut toutefois lier des services aux ports de son choix.

Les ports 1024 à 49151 sont appelés ports enregistrés (Registered Ports).

Les ports 49152 à 65535 sont les ports dynamiques ou privés."

Source : http://www.commentcamarche.net/internet/port.php3

Certains ports sont bien connus, commes les ports 20 et 21, qui sont utilisés pour le protocole FTP, ou le port 80 pour le protocole Http. Ces ports sont autant de possibilités d'accéder à une machine... C'est pour cela qu'il convient de bien les sécuriser, et surveiller ceux qui sont utilisés, et pour quelle application.

Liens express :
http://crayondecouleur.free.fr/html/body_ports.html
http://hackzcm.free.fr/hack3.htm



Les serveurs FTP ou HTTP

Monter ce type de serveur (voir aussi monter son serveur FTP) présente l'avantage de pouvoir échanger facilement des données entre utilisateurs. Ce type de service, réservé au utilisateurs de connections haute vitesse, a aussi ses inconvénients, car ceci créé une porte d'accès (un port) au contenu de votre machine. J'en ai récemment payé le prix en me faisant attaquer début janvier par l'extérieur. Je m'en suis aperçu un peu tard hélas, et je n'ai pu que constater les dégats : plus de 50Go de données effacées sans que je m'en rende compte. Evidemment, je serais plus à même aujourd'hui de me rendre cxompte que quelquechose d'anormal se produit sur mon PC...

Ce type d'attaque reste marginal pour les utilisateurs dit 'normaux', qui n'exploite pas ce genre de fonction avancée.



  • Identifier les risques

Pour savoir comment se protéger contre quelquechose, il faut déjà savoir à quoi on a affaire. Ici, je parle évidemment des risdques liés à l'internet, et à fortiori à la messagerie électronique, usage principal de l'internet pour beaucoup de personnes. Je classerai les risques dans plusieurs catégories :



Virus et assimilés

- Virus
Un virus se caractérise en général par un fichier (ou parfois plusieurs fichiers), composé de séquences de codes qui peuvent s'exécuter de façon soit lors de son ouverture, soit lors d'un évènement pré-determiné (lors du lancement d'autres applications). Il pourra infecter (se loger dans) des documents de texte (comme les macro-virus Word), dans des scripts Virtual Basic (type Nimda), dans la mémoire de l'ordinateur, dans certains fichiers systèmes de windows, ou meme dans la base de registre sous forme d'entrées illégales. J'ai rencontré plusieurs virus réels, notamment un qui m'a marqué, car il s'installait dans l'un des fichiers de démarrage de l'ordinateur et lui ordonnait de rebooter à une certaine ligne. Le PC rebootait donc en permanence à chaque démarrage...

Les niveaux de dégâts sont assez variables, de l'altération de fichiers systèmes qui provoquera l'instabilité de votre machine, ou sa panne, à la destruction pure et simple de vos fichiers... De par mes différentes expériences dans la maintenance de systèmes, j'ai constaté que les virus les plus courants sont en général les macros virus, faciles à éliminer. Mais de plus en plus les virus ont changé de structure pour des séquences de codes plus simples et surtout beaucoup plus facilement contaminable. Ils voyagent par la messagerie eléctronique et sont appellés des vers (ou Worms).


- Vers (ou Worms)
Les vers sont plus vicieux dans la mesure ou leur action se limite la plupart du temps aux réseaux de messagerie. Les dégâts sont moins sérieux mais sont plus étendus dans le temps. Un ver a la possibilité de se reproduire et d'étendre ainsi son influence. Par exemple, il va arriver dans votre boite aux lettre sous la forme d'un message de quelqu'un que vous ne connaissez (peut être) pas, dont le sujet et le corps sont souvent sans queue ni tête. Le ver utilise un système de choix aléatoire dans une liste de termes standard du type "bonjour voila les dernières photos que tu m'avais demandées". Dans lla ou es pièces jointes se trouve un fichier infecté qui va s'exécuter lors de son ouverture et permettre au ver de se reproduire. souvent, le ver va créer son propre message encore une fois et se transférer à tous les contacts de votre carnet d'adresses. Le but principal de ce type de virus est de saturer les serveur de courrier eléctronique par des volumes de messages auto-générés qui occupent la bande passante de ces serveurs. Certains peuvent en outre être plus dangereux...

Pour les Virus et autres vers, un bon anti-virus suffit. Que ce soit Norton, F-Prot ou Panda Antivirus, ces softwares sont la plupart du temps équipés de systèmes de mise-à-jour automatiques qui vous protégeront même contre les derniers virus. Voir aussi ma page sur les Virus pour plus d'informations.



- Hack et intrusion sur votre machine

Alors là, c'est un peu plus technique...

Trojan, ou cheval de troie
C'est certainement la forme la plus vicieuse de contamination. Le Cheval de Troie, aussi appellé Trojan ou "BackDoor" est un programme qui a pour but d'ouvrir des accès privilégiés sur une machine cible. Ce fichier souvent téléchargé à votre insue, va s'installer également à votre insue avec un programme de Peer-to-Peer ou autre progamme de partage de fichiers, de téléchargements gratuits, etc. Le trojan va alors ouvrir une porte d'accès sur votre ordinateur (un port) qui peut être utilisée par un utilisateur lambda à distance. Ces petits programmes ne sont pas toujours décelés par les anti-virus, car leur présence est parfois totalement transparente.

Il est recommandé de se munir d'un software de scan qui vont vous prévenir si un ou des trojan(s) se trouvent sur votre machine. Parmis ceux-là, vous trouverez Pest-Patrol, Anti-Trojan et bien d'autres.

Lien express :
http://www.anti-trojan-software-reviews.com/

Soyez donc vigilants par rapport aux softwares douteux que vous pourriez installer...


Attaques FTP ou Http

Ce type d'attaque ne concerne que ceux qui utilisent les fonctions avancées de l'internet, comme la gestion d'un serveur FTP ou Http. Ce type de service peut attirer pas mal de problèmes, comme des attaques de hackers par exemple. L'utilisation de IIS ou de tout autre programme de serveur Http, doit impliquer automatiquement une protection de votre machine, et de vos ports en particulier. J'en parle un peu plus bas. Faire tourner un serveur Http ou FTP signifie que vous allez mettre à disposition des ressources de votre machine aux utilisateurs extérieurs, et donc ouvrir des portes d'accès, ces fameux Ports. Tout port ouvert doit être sécurisé, et vousvous devez de vous assurer que les ports non utilisés soient invisibles de l'extérieur... D'où l'utilisation d'un FireWall (voir plus bas).

Remote Phone Connection De même, ce genre d'attaque ne touche que les utilisateurs de connections haute vitesse, de type Cable ou ADSL. Pourquoi ? Car elles sont en général permanentes, c'est à dire que la machine qui est connectée conserve la même adresse IP pendant en général un certain temps. En règle général, les fournisseurs d'accès haute vitesse font varier les IP attribuées plus ou moins souvent, comme toutes les 24 heures par exemple, ce ci pour éviter d'exposer les utilisateur à des risques d'attaque. Cela dit, certaines formules permettent d'avoir une IP fixe, c'est à dire non changeante. Dans ce cas, il est impératif d'assurer la protection de sa machine, qui deveitn alors très facile à localiser sur le réseau.



  • Les signaux d'alarme

Un certain nombre de choses doivent vous mettre la puce à l'oreille dans le cadre de la protection de votre machine...

Traffic anormal en upstream ou downstream sur votre machine

Si vous savez que vous n'utilisez pas votre connexion Internet, que vous n'vez aucune application générant de traffic entrant/sortant, et que vous remarquez que vous avez malgré tout des bytes qui entrent et sortent, méfiez vous, car il peut s'agir d'un cheval de troie, ou d'un spyware (voir rubrique Spywares).

Il petit programme pas cher comme DUMeter peut vous permettre de visualiser de façon graphique les flux ascendant et descendant de votre connexion internet. La capture ci-dessous représente typiquement un traffic anormal. C'était ma machine en l'occurence qui était concernée. Mêmes si les débits ne sont pas importants, ils peuvent charrier des informations parfois confidentielles.

DUMeter



Protection automatique de Norton Anti-Virus désactivée

Protection Automatique Désactivée

Alors là, gros danger. Si vous remarquez que l'icône de Norton Anti-virus se retrouve barré d'une croix rouge, alors que vous n'avez rien touché, posez vous de sérieuses questions. Certes il se peut tout à fait que ce soit un accident. Mais songez aussi que certains virus, spywares ou chevaux de troie peuvent également intervenir sur ce genre de composant de protection qu'est votre anti-virus.

Si vous vous retrouvez dans cette situation, cliquez avec le bouton droit de la souris sur l'icône de Norton, et ré-activez la protection automatique. Vérifiez immédiatement la présence de virus, et mettez le fichier de signatures de Norton à jour (LiveUpdate).

Si vous ne pouvez pas ré-activer la protection automatique, ce n'est pas bon signe. Essayez d'installer un autre programme d'anti-virus, comme Panda, ou Mc Afee. Il existe également sur internet des versions d'évaluation fonctionnelles d'anti-trojans, pour supprimer un cheval de troie éventuel.




Interface administrateur de votre serveur FTP inaccessible

Cela m'est arrivé avec ServU FTP à deux reprises. Bug du programme ? Cheval de troie ? Difficile à dire, mais ce n'est pas normal et ne devrait pas se produire. Si vous perdez le contrôle sur vote serveur FTP, pensez à faire une vérification avec un anti-virus, un anti-spyware ou un anti-cheval de troie, considérez même une réinstallation du serveur (ce que j'ai dû faire) et un bon nettoyage de la base de registre.



Pop-Ups anormallement nombreuses, parfois sans même que Internet Explorer soit ouvert
Cookies

Petite explication sur les cookies...

Un cookie n'est pas seulement un gâteau aux pepites de chocolat... :-) C'est dans le jargon informatique un petit fichier .txt qui va s'écrire sur votre disque dur (sous Win 2K et XP, dans le répertoire C:\Documents and Settings\<username>\Cookies) lors de la visite d'un site internet. Ce petit fichier va stocker des informations sur votre façon de naviguer, vos préférences ou options cochées, etc. Ceci permet en fait au site de vous reconnaitre lors de votre visite suivante et de recharger vos préférences, définies lors de la visite précédent et stockées dans le cookie correspondant.

Comme vous l'avez compris, le risque réside dans le fait même que des informations sont écrites sur votre disque dur, dont vous n'avez pas toujours les détails. Ils peuvent ainsi contenir des informations vous concernant, noms d'utilisateurs, etc. Le cookie est cependant inoffensif par lui-même, car il n'ira pas chercher des informations sur votre système que vous n'avez pas spécifié à un moment de votre plein gré lors de la visite d'un site.

Cependant, certains site vous obligent à active l'acceptation des cookies dans internet explorer ou votre navigateur internet... A vous d'être prudent lors de votre navigation, et de supprimer les cookies si nécessaire. Pour ce faire, dans Internet Explorer, allez dans le menu Outils, puis Options Internet, puis Supprimer les cookies.


Exemple de cookie suspect
Exemple de cookie gênant détecté par AdAware

Il existe donc des cookies qui peuvent être gênants, car ils vont stocker des informations à vos insu, information qui peuvent être de nature personnelle. Soyez donc vigilents, je vous recommende d'utilisation de Adaware ou Spybot Search and Destroy qui feront le ménage sur votre disque dur des cookies suspects et autres spywares (voir plus bas et aussi la rubrique Spyware). Ces cookies s'attrapent généralement sur les sites "louches", comme les casinos en ligne, warez ou de pornographie.

Liens express :
- www.commentcamarche.net/ : plus d'information sur les cookies.




  • Outils indispensables

Il existe quelques outils bien pratiques pour se protégér ou de prévenir de ce genre de problème :
- DUMeter : cette petite application vous permet de surveiller de façon graphique le traffic entrant et sortant de votre machine, en contrôlant les flux passant parvotre interface réseau. Très utile !
- AdAware (Free) - Détection et nettoyage des cookies et spywares
- Spybot Search and Destroy (Free) - Idem

- un bon FireWall...
Le FireWall peut être matériel ou logiciel. Le FireWall matériel est en général intégré à un routeur par exemple, qui va filtrer les ports, et fermer (et rendre invisible) ceux non utilisés. En règle générale, le port 80 est toujours ouvert pour le fonctionnement du protocole http. Vous avez la possibilité de paramétrer les ports à votre convenance en fonction des applications (voir informations diverses pour quelques informations sur les ports utilisé par certaines applications).

Le FireWall logiciel lui, va surveiller et filtrer les accès à l'internet (accès par l'interface réseau) et vous demander d'autoriser ou non l'accès vers l'extérieur, ou la requête venant de l'extérieur. Attention cependant, certains programmes n'aiment pas les FireWall, comme ICQ ou MSN, ou même les logiciel de partage de fichiers (P2P). A vous de bien paramétrer le tout.

Liens express :
- http://www.usenet-fr.net/ : plus d'information sur les firewalls.
- http://www.agnitum.com/ : Outpost Agnitum FireWall, une alternative gratuite de ZoneAlarm.

Firewall XP

Petite note additionnelle :

Windows XP intègre un FireWall efficace, qui bloquera la plupart des accès entrants lorsque activé. Pour le trouver :
Démarrer > Connections > Afficher toutes les connections.

Ensuite, faites un clic droit sur la connection pour en avoir les propriétés. Dans l'onglet Paramètres Avancés, activer le Pare-feu de connexion Internet.

FireWall XP
La fenêtre d'activation du FireWall XP

Attention cela dit, car si vous activez le FireWall, les tranfers de fichiers entre machines (sur un réseau local par exemple), ou le partage de fichier deviendra imporssible.



  • Conseils

Voici quelques conseils quant à l'organisation de vos données. Sur la plupart des ordinateurs vendus actuellement, le disque dur n'est pas partitionné, ce qui signifie que l'ensemble des données du système, ainsi que les documents de l'utilisateur sont sur le même volume (et disque). L'inconvénient principal est que en crash système, l'ensemble de vos données peuvent être rensues inaccessibles, et/ou en proie à une perte definitive. Si en cas de crash système, les données sont en général toujours là, une erreur utilisateur, tel un reformatage accidentel lors de la reinstallation de Windows, peut vous faire perdre vos donneés. Aussi, gardez en mémoire que le système de fichiers recommendé ppour Windows 2000 et Windows XP est NTFS, et qu'il n'est pas accessible directement par MS-DOS (il y a cependant des solutions pour contourner cela).

Afin de palier à ce problème, je recommande vivement la séparation de vos données personnelles et de vos applications. Pour ce faire, il vous faudra créer deux partitions, l'une sur laquelle vous installerez XP, et l'autre (ou les autres) sur laquelle vous aurez l'ensemble de vos documents. Ainsi, si votre système crash, vous aurez la possibilité de pouvoir reformater la partition et réinstaller le système sans toucher ou risquer de perdre vos données. JE VOUS RECOMMANDE CEPENDANT VIVEMENT de faire une copie de sauvegarde de vos informations régulièrement, pour éviter toute perte de données. Consultez la rubrique "Backup" pour plus d'information à ce sujet.

Pour les utilisateurs de P2P, je vous suggère d'utiliser un système dédié


Deux OS pour travail et P2P avec FAT32 et NTFS


  • Informations Additionnelles
Sauvegarde ICQ utilise Port 5190
MSN utilise Port 1863
Recovery
Test de vulnérabilité : Et hop, un freeware pour savoir si son PC est vulnerable : http://www.pcinternetpatrol.com/faq/audit.php check run et runonce dans registry






Dernière modification :

Haut de page
Home Page