1. Introduction
4. Les différentes natures de risques
1. Introduction Sommaire
- Plus les produits informatiques offrent de fonctions, plus ils sont potentiellement faillibles.
- Beaucoup de personnes ont repris le concept « Les affaires c’est la guerre », ce concept se déplace naturellement au monde de l’information, puisque l’information est un outil pour les affaires.
- D’autres ont pour challenge systématique de prouver qu’ils peuvent passer aux travers des protections, parfois dans un but ludique ou se voulant utilitaire à la communauté, d’autres fois dans un but purement mercantile.
- La diffusion sur l’internet de générateur de virus, de méthodes d’attaques de réseaux ou de site WEB, de cheval de Troie ... donnent la possibilité à pratiquement n’importe qui, d’utiliser ces techniques.
- Les systèmes d’information des entreprises sont devenus vitaux pour celles-ci, ils sont de ce fait des cibles toutes indiquées pour diverses populations (hacker, cracker, script kiddies, concurrent...).
Vous pensez peut être que c’est de la paranoïa ?
C’est malheureusement la réalité et au vue de l’augmentation exponentielle à la fois des failles (augmentation en parallèle aux nouveaux produits et nouvelles fonctions induites), des techniques destructrices (virus, prise de contrôle...) et d’espionnage (spyware, chevaux de Troie...).
Extrait de « La vie cachée des virus », Isabelle Dumonteil, 01net du 29/11/2001
« Une analyse du trafic internet réalisée par Arbor Network sur une période de sept semaines (du 19/10 au 03/11) a permis de comptabiliser près de 640 milliards de tentatives d’infection ...(5 milliards pour 2 souches de nimda) »
En conclusion à cette introduction, les perspectives d’avenir sur ce sujet ne sont pas à l’optimisme, et comme il vaut mieux prévenir que guérir...
1) Un glossaire en fin de ce document vous donne les définitions des termes employés. - Beaucoup de personnes ont repris le concept « Les affaires c’est la guerre », ce concept se déplace naturellement au monde de l’information, puisque l’information est un outil pour les affaires.
Si le marché de la sécurité est un marché en pleine expansion, 25% en 2000 et prévision de maintien de cette croissance à 23% pour les cinq années à venir, c’est qu’il existe de bonnes raisons.
Ces bonnes raisons sont liées à divers facteurs (que je ne citerai pas tous, il existe plein de documents sur le sujet) :
2. Objectif du document Sommaire
Si la peur n'efface pas le danger, la prudence ,le bon sens et l'information, permet dans la majeure partie des cas de l'éviter.
Ce document de par la nature de son contenu, ne peut être exhaustif, en effet il existe sur ce sujet, pléthore de livres, documents, site WEB...
Les conseils contenus dans ce document, sont valables aussi bien pour l'informatique en entreprise que dans le cadre de l'informatique personnelle, chez vous avec votre matériel, si vous en possédez, vous êtes votre propre administrateur et responsable de la sécurité.
Ce point est d'autant plus important, qu'un pourcentage non négligeable d'infections est dû aux importations maison travail (quand cela est permis par l'entreprise).
3. Les risques Sommaire
- Un document sur lequel vous travaillez depuis longtemps et que vous devez livrer de toute urgence, est détruit par un virus et bien évidemment vous n'en avez ni copie, ni sauvegarde.
- Un virus a envoyé un mail de votre part à tout votre carnet d'adresses et/ou à celui de votre société.
- Vous apprenez que votre PC sert de plate-forme à des attaques distribuées suite à l'infection de celui-ci par un cheval de Troie.
- ...
Il est bon de se rappeler que certaines entreprises "sinistrées informatiques" ne s'en sont jamais remises, alors qu'avec quelques règles de bon sens, dans bien des cas, le pire aurait pu être évité.
- Un virus a envoyé un mail de votre part à tout votre carnet d'adresses et/ou à celui de votre société.
Comme tout danger (les sinistres informatiques), il n'est pas réservé aux autres, faut-il avoir eu une expérience malheureuse pour en avoir conscience?
Par exemple:
4. Les différentes natures de risques Sommaire
Ne sont pas présents dans ce chapitre, les risques concernant les administrateurs et spécialistes de la sécurité (attaque Dos, sniffing ...).
4.1. Virus, vers et chevaux de Troie
L'évolution majeure de ces dernières années est certainement celle des moyens de propagations et de réplications (les vers).
En effet, jusqu'à il y a peu, pour être infecté, il fallait déclencher l'infection virale par une action volontaire (lancer un exécutable), maintenant (dans certaines conditions) le simple fait de consulter une page Web ou de prévisualiser les mails présents dans une boîte aux lettres peut suffire.
Les prémices à cette évolution ont été les premiers "macro-virusWord", dû à la capacité d'un produit (Word en l'occurrence) à interpréter et exécuter un langage (VBA) contenu dans un document.
Ce problème s'étend potentiellement à tout produit présentant les mêmes caractéristiques (navigateur internet, outils de messagerie, machine virtuelle ...) et dont la conception n'a, soit, pas tenu compte dès le départ des incidences possibles sur la sécurité, soit, pas assez poussé les investigations dans ce sens.
Ces problèmes sont en général réglés par des correctifs des produits incriminés (patch), mais il ne se passe pas une semaine sans que de nouvelles failles soient détectées et parfois exploitées.
Les virus et vers se font remarquer de par leurs propagations ou de leurs actions destructrices, à l'encontre des chevaux de Troie, qui eux ont pour tâches d'ouvrir une porte dérobée permettant la fuite d'information, la prise de contrôle à distance ... et de ce fait se doivent d'être le plus discrets possible.
4.2. Les canulars (hoax) Sommaire
- Saturation des services de messagerie
- Saturation du WEB
- Désinformation
- Préparation d’une attaque virale
- Attaque d’une société ou d’une personne sur une rumeur
- ...
En effet un simple calcul montre que, dans le cas d’un message diffusé en moyenne à dix personnes, puis de ces dix personnes, de nouveaux à dix autres chacune (2ème rang), ce message touche un million de personnes quand il atteint le sixième rang de diffusion.
Dernièrement un message signalait un nouveau virus, demandait de l’effacer et de diffuser l’information, ce soi-disant virus n’était en fait qu’un exécutable de Windows. Les personnes (et elles ont été nombreuses) à ne pas réfléchir avant d’agir et à suivre ces directives se sont retrouvées avec un système abîmé par leurs soins. L’histoire ne s’arrête pas là, un nouveau message mettant à disposition l’exécutable effacé, contenait cette fois, non pas l’exécutable effacé, mais sous le même nom un vrai Cheval de Troie.
Les exemples sont nombreux, un site est dédié au sujet (hoaxbuster.com).
- Saturation du WEB
Sous leurs différents aspects, ils peuvent apparaître anodins, voir marrants, la réalité est tout autre.
Qui n'a pas reçu un jour dans sa boite aux lettres, un message demandant de diffuser à tout son carnet d'adresses une information primordiale, une lettre chaîne, une pétition ...
Le prétexte semble toujours honorable (alerte virus, épidémie, pétition pour ...), il fait appel à la sensibilité, aux peurs ou aux croyances, et semble venir "d'autorité compétente"...
Leurs buts sont divers:
4.3. Le social engineering Sommaire
De même que les canulars, ce principe s'appuie sur "la faille humaine" de croire sans réfléchir.
Cette technique s'applique parfois à de l'escroquerie pure et simple, dont on a eu une illustration dernièrement, avec des personnes ayant donné leurs numéros de carte bancaire ainsi que leurs codes par téléphone à leurs soit disant banquiers, qui n'était en fait que des escrocs.
Si ce phénomène est moins connu, c'est que les entreprises ou les personnes victimes de ce style d'attaques ne s'en vantent pas.
Ces techniques sont simples, souvent sans risques pour la personne mal intentionnée. Par exemple, on vous appelle par téléphone en se faisant passer pour l'administrateur système et on vous demande votre login et mot de passe, vous seriez étonné du nombre de personnes répondant spontanément à ce genre de sollicitation.
Certains n'ésiteront pas à mettre un costume et une cravate, à rentrer dans une société pour faire un repérage, à se faire passer pour un réparateur...
5. Les parades Sommaire
Avoir conscience, que le risque zéro n'existe pas.
Réfléchir avant d'agir et faire preuve de bon sens.
Bien que les firewall et anti-virus soient mis à jour régulièrement, il présenteront toujours des failles, un bon exemple est le virus homepage, celui-ci n'est qu'un clone de virus de type "love letter" (melissa, I love you), mais encodé puis appelé avec une fonction de décodage, il a ainsi échappé a plusieurs anti-virus se basant sur la signature et n'utilisant pas de méthode heuristique (encodé il n'a plus la même signature).
Aussi bons que puissent être les administrateurs système, les spécialistes de la sécurité, la politique globale de sécurité de l'entreprise (firewall, anti-virus ...), tout cela peut être compromis par un simple click.
Pour éviter cela, la première des choses à savoir est sur quoi vous clickez, donc votre explorateur Windows doit afficher les extensions (menu explorateur affichage option désélectionner "cacher les extensions pour les types de fichiers connus"). Le virus Sircam, active cette fonction (cacher les extensions ...) automatiquement.
Copier et sauvegarder à différents endroits vos données importantes.
Pensez aussi à la sécurité physique de votre PC, ne le laissez pas accessible surtout s'il est connecté à un réseau d'entreprise avec votre identifiant et votre mot de passe.
Protégez son accès avec les solutions préconisées, écran de veille avec mot de passe (dans ce cas, désactivez la fonction "autorun" du CDROM si vous en avez un), programme de verrouillage (agréé par votre entreprise dans le cadre professionnel)...
Sinon vous acceptez le fait qu'on puisse usurper votre identité et par exemple qu'on envoie un mail mal intentionné de votre part ou autres choses désagréables qui se sont déjà produites dans la société civile.
5.1. Virus, vers et chevaux de Troie Sommaire
La mise à jour des anti-virus doit être systématique et de source vérifiée.
Il existe aussi des principes de « bacs à sable », qui consiste en une tâche surveillant toutes les actions de votre PC, couplée à une gestion des droits d’écriture, d’exécution, de suppression, de modification, de visualisation sur tous les fichiers, répertoires ou unités de stockage (disques, partitions, disquette...) de votre PC. L’inconvénient de ce principe est qu’il est gourmand en ressource et que le paramètrage de ces droits n’est pas forcément évident pour tout le monde.
Pour les Chevaux De Troie, bien que les anti-virus traitent de plus en plus ces CDT, vous pouvez charger (sur des sites de confiance), des programmes anti-cdt freeware ou shareware, essayer-les.
Pour les CDT, vous pouvez aussi, vérifier les process tournant sur votre PC avec procexp (sysinternals.com), et si vous ne savez pas distinguer les process, faites une recherche par exemple avec google et l'intitulé "optimisation monsystème (98,ME, 2000, XP, ...)" ou "processus obligatoires monsystème", cela vous permettra en plus d'optimiser votre système en ne gardant que les process (ou service), dont vous avez vraiment besoin.
Une forte proportion des virus actuels se propage par les messageries, et pour certains la prévisualisation (avec les messageries comme Outlook, Eudora... interprétant le contenu) suffit pour infecter le PC. Il existe des programmes freeware (par exemple outclock), qui vous permettent de ne ramener de votre ou vos comptes pop3 de messagerie, que les en-têtes de message (sans la pièce jointe), et de supprimer sur le serveur les messages indésirables (pas de sujet, expéditeur inconnu, ...).
Beaucoup de virus se déclenchent tout seul, profitent de failles d'un système, service ou logiciel, aussi
vérifiez que votre système, navigateur, messagerie sont sécurisés (patch et fix à appliquer).
Tenez vous au courant, par une lettre d'information (secuser.com) ou d'autres moyens, de la découverte des nouvelles failles et des parades à mettre en oeuvre.
Un double click sur un programme inconnu, peut suffire à infecter toute l'entreprise, votre PC ou réseau personnel, il convient donc d'être sûr de son innocuité avant de l'exécuter, pour cela les précautions minimales sont de le scanner à l'aide de l'anti-virus, d'être sûr de sa provenance (fournit et certifié par un tiers de confiance), dans le doute s'abstenir et demander conseil aux spécialistes.
Les sites de confiance peuvent être eux-mêmes victimes de piratage et avoir des pages corrompues, la seule façon de se protéger est (quand le réglage des navigateurs le permet) de n'accepter aucune action pouvant avoir une incidence sur la sécurité de votre PC (exécution de script, de composants active X, d'écriture sur votre disque...).
Mettez tout à "demander" (dans les options de sécurité de votre navigateur) vous serez étonné du nombre d'opérations potentiellement dangereuses qui s'exécute sur votre PC quand vous naviguez sur internet.
De plus en plus de sites WEB rendent obligatoire ces pratiques (cookies, script et active X), pour vous donner l'accès à certains services,
ces habitudes de navigation (sécurisée) sont contraignantes, mais en contrepartie sachez qu'il ne faut que quelques lignes de VBScript dans une
page HTML pour infecter votre PC.
Après une navigation sur un site dans lequel vous pensez pouvoir avoir confiance, et où vous avez autorisé les cookies, script et active X,
faites tourner un anti-spyware (adawre, spybot), bien entendu pour que le test soit significatif il faut les avoir fait tourner aussi avant,
si vous constatez que vous y avez ramassé des spywares, vous pourrez en tirer les conclusions qui s'imposent.
On trouve sur internet de nombreux programmes de "crackage" et autres (sniffeur, contournement de proxy...), ceux-ci sont très souvent vecteurs d'infections ou de failles, ainsi que les sites les ébergeant.
D'autre part dans le cas de "crackage" de programme en environnement professionnel, la responsabilité de l'entreprise est engagée en terme de non respect de licences, ces sites et programmes (warez, crack ...) sont à proscrire du cadre professionnel, ainsi que les programmes réservés aux administrateurs et spécialistes de la sécurité.
5.2. Les canulars (hoax) Sommaire
Tout message demandant ou proposant une diffusion de lui même est dans 100% (peut-être 99,99%) des cas un hoax, les titres racoleurs "attention virus", "très important", sont souvent un deuxième indice ...
Le meilleur moyen de s'en assurer est simplement de voir si la source du message (le premier expéditeur) est vérifiable et identifiable.
Ne vous laissez pas berner par de pseudo-référence (Directeur chez ..., Centre de Contrôle ....), vérifiez et vous verrez.
Un message ne doit jamais utiliser une technique dite "pyramidale" de diffusion, car même si ce n'était pas un hoax, cette technique de diffusion n'est pas viable.
Ne sous-estimez pas les diffuseurs de ce type de message, ils savent jouer sur la corde sensible de tout un chacun, et savent se greffer sur les événements du moment (fausse pétition pour les femmes afghanes, faux fonds de soutien aux catastrophes en cours ...).
La plupart des personnes relayant ces messages, le font par ce qu'elles sont pleines de bonnes intentions, c'est d'autant plus dur, de faire comprendre, qu'il faut savoir faire abstraction de sa nature humaine à vouloir sauver le monde et encore une fois de réfléchir avant d'agir.
En tout état de cause, gardez votre esprit critique.
5.3. Le social engineering Sommaire
Les mêmes règles applicables aux hoax sont applicables au social engineering.
Du bon sens et l'esprit critique, vérifiez et identifiez, certaines demandes doivent déclencher une alarme automatique dans votre esprit, par exemple personne n'a le droit de vous demander un mot de passe (même votre administrateur), ayez le même réflexe pour toutes informations ou actions qui peuvent vous être demandées par un tiers, non immédiatement et sûrement identifiable.
6. Glossaire Sommaire
Cheval de Troie dit aussi troyen, trojan, CDT - Programme permettant d'ouvrir une porte dérobée (port du PC), en vue de prise de contrôle à distance ou de déclenchement d'actions programmées.
Crack - Logiciel ou méthode permettant de "cracker".
Cracker (action) - Se dit pour l'action d'enlever une protection à un programme du commerce ou de briser une sécurité/protection d'un système.
Cracker (personne) - Pirate mal intentionné, faisant des dégâts là où il passe.
Crypter - Coder avec un algorithme public à base de clé de chiffrement.
Dos - Denial of service (déni de service), c'est par le biais d'une technique malveillante, d'empêcher l'accès à des ressources ou d'invalider celles-ci pour les personnes normalement autorisées.
Par exemple le "ping de la mort" qui en 1996 a frappé de nombreux systèmes, le principe est d'envoyer un paquet ICMP (protocole de contrôle de message internet) supérieur aux possibilités de traitement du dit paquet, la machine visée se dote alors d'un bel écran bleu (pour les machines NT).
Ddos - Dos distribué, l'attaquant se sert de machines clientes préalablement infectées et déclenche sur ordre d'une machine maître une attaque Dos vers une ou des cibles données.
Dernièrement un site orienté sécurité s'est vu attaqué par 417 machines (des serveurs NT et 2000) qui étaient donc infectées sans que personne s'en soit rendu compte.
Encoder - Coder avec un algorithme sans clé de chiffrement.
Firewall - Mur pare-feu, permettant de protéger le PC ou le réseau d'entreprise des données venant de l'internet.
Heuristique - Méthode ou discipline permettant de dégager les règles de la recherche et de la découverte.
Exploit - Méthode permettant d'utiliser une faille.
Fix - Programme permettant de corriger des erreurs nouvelles ou résiduelles suite à l'application d'un patch.
Hacking - Pénétrer un système, un site WEB, un réseau sans l'endommager, pour ensuite prévenir les personnes concernées ou le grand public et ainsi révéler les failles de sécurité existantes.
Hacker - Pirate normalement bien intentionné, ne faisant pas de dégâts et révélant aux personnes concernées ou au public les failles et parfois "l'exploit".
Machine virtuelle - Principe permettant l'interprétation et l'exécution d'un ou plusieurs langages sur différents systèmes d'exploitation (JAVA, PERL, WSH).
Patch - Programme permettant de corriger un exécutable, un système d'exploitation ou un service de celui-ci.
Script kiddie - Littéralement, adolescent se servant de programme de hack/crack disponible sur internet, sans en connaître le contenu technique.
Sniffing - Action d'utiliser un programme appelé "sniffer", permettant de surveiller et d'analyser le trafic des réseaux, cela peut permettre par exemple de voir des identifiants/mot de passe quand les transactions d'authentifications ne sont pas cryptées ou encodées.
Spyware - Logiciel espion, pouvant fournir des données vous concernant (vos habitudes de surf, le contenu de votre disque dur ...), mais souvent ne servant qu'à l'affichage de bannière de publicité des produits gratuits.
Ces produits peuvent être pernicieux, ralentir votre connexion et ouvrir une faille de sécurité, un fort pourcentage de produits gratuits (freeware) en sont dotés, certains préviennent de leurs présences (dans ce cas il est honnête de jouer le jeu, puisque cela sert de rétribution à l'auteur et que c'est annoncé) d'autres ne préviennent pas.
On peut aussi en "ramasser" sur le WEB, quand on navigue "non sécurisé".
VB - Visual Basic, un des principaux langage de programmation de Microsoft.
VBA - Visual Basic Application, langage commun dérivé de VB (ou se voulant commun suivant les versions) aux applications Microsoft.
VBS - Visual Basic Script, langage dérivé de VB, pouvant être interprété par la plupart des navigateurs internet et par des machines virtuelles (WSH).
Ver ou Worm - Virus exploitant la capacité de certains produits ou systèmes à interpréter et exécuter du code machine ou un langage, pour infecter et se diffuser de manière autonome.
Virus - Programme doté de capacité de réplication et parfois déclenchant diverses actions, mais au contraire des vers, étant déclencé par l'exécution d'un programme hôte.
WSH - Windows Scripting Host, machine virtuelle Microsoft.