pare-feu

Commentaires

Transcription

pare-feu
Partie VII – Chapitre I
La sécurité informatique
LA SECURITE D'UN RESEAU ?
La sécurité d'un réseau est un niveau de garantie que l'ensemble des machines du réseau
fonctionnent de façon optimale et que les utilisateurs des dites machines possèdent
uniquement les droits qui leur ont été octroyés.
Il peut s'agir :
- d'empêcher des personnes non autorisées d'agir sur le système de façon malveillante
- d'empêcher les utilisateurs d'effectuer des opérations involontaires capables de nuire
au système
- de sécuriser les données en prévoyant les pannes
- de garantir la non-interruption d'un service
On distingue généralement deux types d'insécurité :
l'état actif d'insécurité
c'est-à-dire la non-connaissance par l'utilisateur des fonctionnalités du système, dont
certaines pouvant lui être nuisibles (par exemple la non-désactivation de services réseaux
non nécessaires à l'utilisateur)
l'état passif d'insécurité
c'est-à-dire lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les
dispositifs de sécurité dont il dispose
Le but des agresseurs
Les motivations des agresseurs que l'on appelle communément "pirates" peuvent être
multiples :
• l'attirance de l'interdit
• le désir d'argent (violer un système bancaire par exemple)
• le besoin de renommée (impressionner des amis)
• l'envie de nuire (détruire des données, empêcher un système de fonctionner)
• Procédé des agresseurs
• Le but des agresseurs est souvent de prendre le contrôle d'une machine afin de
pouvoir réaliser les actions qu'ils désirent. Pour cela il existe différents types de
moyens :
• l'obtention d'informations utiles pour effectuer des attaques
• utiliser les failles d'un système
• l'utilisation de la force pour casser un système
• Comment se protéger ?
• se tenir au courant
• connaître le système d'exploitation
• réduire l'accès au réseau (firewall)
• réduire le nombre de points d'entrée (ports)
• définir une politique de sécurité interne (mots de passe, lancement d'exécutables)
• déployer des utilitaires de sécurité (journalisation)
Firewall (pare-feu)
Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel
réseau informatique) est susceptible d'être victime d'une attaque d'un pirate informatique.
La méthodologie généralement employée par le pirate informatique consiste à scruter le
réseau (en envoyant des paquets de données de manière aléatoire) à la recherche d'une
machine connectée, puis à chercher une faille de sécurité afin de l'exploiter et d'accéder aux
données s'y trouvant.
Cette menace est d'autant plus grande que la machine est connectée en permanence à
internet pour plusieurs raisons :
La machine cible est susceptible d'être connectée sans pour autant être surveillée ;
La machine cible est généralement connectée avec une plus large bande passante ;
1
Partie VII – Chapitre I
La sécurité informatique
La machine cible ne change pas (ou peu) d'adresse IP.
Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes
possédant une connexion de type câble ou ADSL, de se protéger des intrusions réseaux en
installant un dispositif de protection.
Qu'est-ce qu'un pare-feu?
Un pare-feu (appelé aussi coupe-feu, garde-barrière ou firewall en anglais), est un système
permettant de protéger un ordinateur ou un réseau d'ordinateurs des intrusions provenant
d'un réseau tiers (notamment internet). Le pare-feu est un système permettant de filtrer les
paquets de données échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante
comportant au minimum les interfaces réseau suivante :
une interface pour le réseau à protéger (réseau interne) ;
une interface pour le réseau externe.
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié,
constituant un intermédiaire entre le réseau local (ou la machine locale) et un ou plusieurs
réseaux externes. Il est possible de mettre un système pare-feu sur n'importe quelle machine
et avec n'importe quel système pourvu que :
La machine soit suffisamment puissante pour traiter le traffic ;
Le système soit sécurisé ;
• Aucun autre service que le service de filtrage de paquets ne fonctionne sur le
serveur.
• Dans le cas où le système pare-feu est fourni dans une boîte noire « clé en main »,
on utilise le terme d'« appliance ».
• Fonctionnement d'un système pare-feu
Un système pare-feu contient un ensemble de règles prédéfinies permettant :
• D'autoriser la connexion (allow) ;
• De bloquer la connexion (deny) ;
• De rejeter la demande de connexion sans avertir l'émetteur (drop).
• L'ensemble de ces règles permet de mettre en oeuvre une méthode de filtrage
dépendant de la politique de sécurité adoptée par l'entité.
On distingue habituellement deux types de politiques de sécurité permettant :
• soit d'autoriser uniquement les communications ayant été explicitement autorisées :
"Tout ce qui n'est pas explicitement autorisé est interdit".
• soit d'empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une
définition précise et contraignante des besoins en communication.
Le filtrage simple de paquets
Un système pare-feu fonctionne sur le principe du filtrage simple de paquets (en anglais
« stateless packet filtering »). Il analyse les en-têtes de chaque paquet de données
(datagramme) échangé entre une machine du réseau interne et une machine extérieure.
2
Partie VII – Chapitre I
La sécurité informatique
Ainsi, les paquets de données échangée entre une machine du réseau extérieur et une
machine du réseau interne transitent par le pare-feu et possèdent les en-têtes suivants,
systématiquement analysés par le firewall :
adresse IP de la machine émettrice ;
adresse IP de la machine réceptrice ;
type de paquet (TCP, UDP, etc.) ;
numéro de port (rappel: un port est un numéro associé à un service ou une application
réseau).
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et
la machine cible, tandis que le type de paquet et le numéro de port donnent une indication
sur le type de service utilisé.
Le tableau ci-dessous donne des exemples de règles de pare-feu :
Règle
Action
IP source
IP dest
Protocol
Port source
Port dest
1
Accept
192.168.10.20
194.154.192.3
tcp
any
25
2
Accept
any
192.168.10.3
tcp
any
80
3
Accept
192.168.10.0/24
any
tcp
any
80
4
Deny
any
any
any
any
any
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des
services courants (les ports 25 et 110 sont par exemple associés au courrier électronique, et
le port 80 au Web). La plupart des dispositifs pare-feu sont au minimum configurés de
manière à filtrer les communications selon le port utilisé. Il est généralement conseillé de
bloquer tous les ports qui ne sont pas indispensables (selon la politique de sécurité retenue).
Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il
correspond au protocole Telnet, permettant d'émuler un accès par terminal à une machine
distante de manière à pouvoir exécuter des commandes à distance. Les données échangées
par Telnet ne sont pas chiffrées, ce qui signifie qu'un individu est susceptible d'écouter le
réseau et de voler les éventuels mots de passe circulant en clair. Les administrateurs lui
préfèrent généralement le protocole SSH, réputé sûr et fournissant les mêmes fonctionnalités
que Telnet.
Le filtrage dynamique
Le filtrage simple de paquets ne s'attache qu'à examiner les paquets IP indépendamment les
uns des autres, ce qui correspond au niveau 3 du modèle OSI.
Or, la plupart des connexions reposent sur le protocole TCP, qui gère la notion de session,
afin d'assurer le bon déroulement des échanges. D'autre part, de nombreux services (le FTP
par exemple) initient une connexion sur un port statique, mais ouvrent dynamiquement (c'està-dire de manière aléatoire) un port afin d'établir une session entre la machine faisant office
de serveur et la machine cliente.
Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les ports à laisser passer
ou à interdire. Pour y remédier, le système de filtrage dynamique de paquets est basé sur
l'inspection des couches 3 et 4 du modèle OSI, permettant d'effectuer un suivi des
transactions entre le client et le serveur. Le terme anglo-saxon est « stateful inspection » ou
« stateful packet filtering », traduisez « filtrage de paquets avec état ».
Un dispositif pare-feu de type « stateful inspection » est ainsi capable d'assurer un suivi des
échanges, c'est-à-dire de tenir compte de l'état des anciens paquets pour appliquer les
règles de filtrage. De cette manière, à partir du moment où une machine autorisée initie une
3
Partie VII – Chapitre I
La sécurité informatique
connexion à une machine située de l'autre côté du pare-feu; l'ensemble des paquets
transitant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.
Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège
pas pour autant de l'exploitation des failles applicatives, liées aux vulnérabilités des
applications. Or ces vulnérabilités représentent la part la plus importante des risques en
terme de sécurité.
Le filtrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application. Le
filtrage applicatif opère donc au niveau 7 (couche application) du modèle OSI, contrairement
au filtrage de paquets simple (niveau 4). Le filtrage applicatif suppose donc une
connaissance des protocoles utilisés par chaque application.
Le filtrage applicatif permet, comme son nom l'indique, de filtrer les communications
application par application. Le filtrage applicatif suppose donc une bonne connaissance des
applications présentes sur le réseau, et notamment de la manière dont elle structure les
données échangées (ports, etc.).
Un firewall effectuant un filtrage applicatif est appelé généralement « passerelle applicative »
(ou « proxy »), car il sert de relais entre deux réseaux en s'interposant et en effectuant une
validation fine du contenu des paquets échangés. Le proxy représente donc un intermédiaire
entre les machines du réseau interne et le réseau externe, subissant les attaques à leur
place. De plus, le filtrage applicatif permet la destruction des en-têtes précédant le message
applicatif, ce qui permet de fournir un niveau de sécurité supplémentaire.
Il s'agit d'un dispositif performant, assurant une bonne protection du réseau, pour peu qu'il
soit correctement administré. En contrepartie, une analyse fine des données applicatives
requiert une grande puissance de calcul et se traduit donc souvent par un ralentissement des
communications, chaque paquet devant être finement analysé.
Par ailleurs, le proxy doit nécessairement être en mesure d'interpréter une vaste gamme de
protocoles et de connaître les failles afférentes pour être efficace.
Enfin, un tel système peut potentiellement comporter une vulnérabilité dans la mesure où il
interprète les requêtes qui transitent par son biais. Ainsi, il est recommandé de dissocier le
pare-feu (dynamique ou non) du proxy, afin de limiter les risques de compromission.
Notion de pare-feu personnel
Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on
parle de firewall personnel (pare-feu personnel).
Ainsi, un firewall personnel permet de contrôler l'accès au réseau des applications installées
sur la machine, et notamment empêcher les attaques du type cheval de Troie, c'est-à-dire
des programmes nuisibles ouvrant une brêche dans le système afin de permettre une prise
en main à distance de la machine par un pirate informatique. Le firewall personnel permet en
effet de repérer et d'empêcher l'ouverture non sollicitée de la part d'applications non
autorisées à se connecter.
Les limites des firewalls
Un système pare-feu n'offre bien évidemment pas une sécurité absolue, bien au contraire.
Les firewalls n'offrent une protection que dans la mesure où l'ensemble des communications
vers l'extérieur passe systématiquement par leur intermédiaire et qu'ils sont correctement
configurés. Ainsi, les accès au réseau extérieur par contournement du firewall sont autant de
failles de sécurité. C'est notamment le cas des connexions effectuées à partir du réseau
interne à l'aide d'un modem ou de tout moyen de connexion échappant au contrôle du parefeu.
De la même manière, l'introduction de supports de stockage provenant de l'extérieur sur des
machines internes au réseau ou bien d'ordinateurs portables peut porter fortement préjudice
à la politique de sécurité globale.
Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le
pare-feu et notamment de surveiller son journal d'activité afin d'être en mesure de détecter
les tentatives d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une
veille de sécurité (en s'abonnant aux alertes de sécurité des CERT par exemple) afin de
modifier le paramétrage de son dispositif en fonction de la publication des alertes.
4
Partie VII – Chapitre I
La sécurité informatique
La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de
sécurité.
Notion de cloisonnement
Les sytèmes pare-feu (firewall) permettent de définir des règles d'accès entre deux réseaux.
Néanmoins, dans la pratique, les entreprises ont généralement plusieurs sous-réseaux avec
des politiques de sécurité différentes. C'est la raison pour laquelle il est nécessaire de mettre
en place des architectures de systèmes pare-feux permettant d'isoler les différents réseaux
de l'entreprise : on parle ainsi de « cloisonnement des réseaux » (le terme isolation est
parfois également utilisé).
Architecture DMZ
Lorsque certaines machines du réseau interne ont besoin d'être accessibles de l'extérieur
(serveur web, un serveur de messagerie, un serveur FTP public, etc.), il est souvent
nécessaire de créer une nouvelle interface vers un réseau à part, accessible aussi bien du
réseau interne que de l'extérieur, sans pour autant risquer de compromettre la sécurité de
l'entreprise. On parle ainsi de « zone démilitarisé » (notée DMZ pour DeMilitarized Zone)
pour désigner cette zone isolée hébergeant des applications mises à disposition du public. La
DMZ fait ainsi office de « zone tampon » entre le réseau à protéger et le réseau hostile.
Les serveurs situés dans la DMZ sont appelés « bastions » en raison de leur position d'avant
poste dans le réseau de l'entreprise.
La politique de sécurité mise en oeuvre sur la DMZ est généralement la suivante :
Traffic du réseau externe vers la DMZ autorisé ;
Traffic du réseau externe vers le réseau interne interdit ;
Traffic du réseau interne vers la DMZ autorisé ;
Traffic du réseau interne vers le réseau externe autorisé ;
Traffic de la DMZ vers le réseau interne interdit ;
Traffic de la DMZ vers le réseau externe refusé.
La DMZ possède donc un niveau de sécurité intermédiaire, mais son niveau de sécurisation
n'est pas suffisant pour y stocker des données critiques pour l'entreprise.
Il est à noter qu'il est possible de mettre en place des DMZ en interne afin de cloisonner le
réseau interne selon différents niveaux de protection et ainsi éviter les intrusions venant de
l'intérieur.
5
Partie VII – Chapitre I
La sécurité informatique
Virus
Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on
l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé.
La définition d'un virus pourrait être la suivante :
« Tout programme d'ordinateur capable d'infecter un autre programme
d'ordinateur en le modifiant de façon à ce qu'il puisse à son tour se reproduire. »
Le véritable nom donné aux virus est CPA soit Code Auto-Propageable, mais par analogie
avec le domaine médical, le nom de "virus" leur a été donné.
Les virus résidents (appelés TSR en anglais pour Terminate and stay resident) se chargent
dans la mémoire vive de l'ordinateur afin d'infecter les fichiers exécutables lancés par
l'utilisateur. Les virus non résidants infectent les programmes présents sur le disque dur dès
leur exécution.
Le champ d'application des virus va de la simple balle de ping-pong qui traverse l'écran au
virus destructeur de données, ce dernier étant la forme de virus la plus dangereuse. Ainsi,
étant donné qu'il existe une vaste gamme de virus ayant des actions aussi diverses que
variées, les virus ne sont pas classés selon leurs dégâts mais selon leur mode de
propagation et d'infection.
On distingue ainsi différents types de virus :
Les vers sont des virus capables de se propager à travers un réseau
Les chevaux de Troie (troyens) sont des virus permettant de créer une faille dans un
système (généralement pour permettre à son concepteur de s'introduire dans le système
infecté afin d'en prendre le contrôle)
Les bombes logiques sont des virus capables de se déclencher suite à un événement
particulier (date système, activation distante, ...)
Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais
hoax), c'est-à-dire des annonces reçues par mail (par exemple l'annonce de l'apparition d'un
nouveau virus destructeur ou bien la possibilité de gagner un téléphone portable
gratuitement) accompagnées d'une note précisant de faire suivre la nouvelle à tous ses
proches. Ce procédé a pour but l'engorgement des réseaux ainsi que la désinformation.
Antivirus
Un antivirus est un programme capable de détecter la présence de virus sur un ordinateur et,
dans la mesure du possible, de désinfecter ce dernier. On parle ainsi d'éradication de virus
pour désigner la procédure de nettoyage de l'ordinateur.
Il existe plusieurs méthodes d'éradication :
La suppression du code correspondant au virus dans le fichier infecté ;
La suppression du fichier infecté ;
La mise en quarantaine du fichier infecté, consistant à le déplacer dans un emplacement où il
ne pourra pas être exécuté.
Détection des virus
Les virus se reproduisent en infectant des « applications hôtes », c'est-à-dire en copiant une
portion de code exécutable au sein d'un programme existant. Or, afin de ne pas avoir un
fonctionnement chaotique, les virus sont programmés pour ne pas infecter plusieurs fois un
même fichier. Ils intègrent ainsi dans l'application infectée une suite d'octets leur permettant
de vérifier si le programme a préalablement été infecté : il s'agit de la signature virale.
Les antivirus s'appuient ainsi sur cette signature propre à chaque virus pour les détecter. Il
s'agit de la méthode de recherche de signature (scanning), la plus ancienne méthode utilisée
par les antivirus.
Cette méthode n'est fiable que si l'antivirus possède une base virale à jour, c'est-à-dire
comportant les signatures de tous les virus connus. Toutefois cette méthode ne permet pas
la détection des virus n'ayant pas encore été répertoriés par les éditeurs d'antivirus. De plus,
6
Partie VII – Chapitre I
La sécurité informatique
les programmeurs de virus les ont désormais dotés de capacités de camouflage, de manière
à rendre leur signature difficile à détecter, voire indétectable : il s'agit de "virus polymorphes".
Certains antivirus utilisent un contrôleur d'intégrité pour vérifier si les fichiers ont été modifiés.
Ainsi le contrôleur d'intégrité construit une base de données contenant des informations sur
les fichiers exécutables du système (date de modification, taille et éventuellement une
somme de contrôle). Ainsi, lorsqu'un fichier exécutable change de caractéristiques, l'antivirus
prévient l'utilisateur de la machine.
La méthode heuristique consiste à analyser le comportement des applications afin de
détecter une activité proche de celle d'un virus connu. Ce type d'antivirus peut ainsi détecter
des virus même lorsque la base antivirale n'a pas été mise à jour. En contrepartie, ils sont
susceptibles de déclencher de fausses alertes.
Types de virus
Les virus mutants
En réalité, la plupart des virus sont des clones, ou plus exactement des «virus mutants»,
c'est-à-dire des virus ayant été réécrits par d'autres utilisateurs afin d'en modifier leur
comportement ou leur signature.
Le fait qu'il existe plusieurs versions (on parle de variantes) d'un même virus le rend d'autant
plus difficile à repérer dans la mesure où les éditeurs d'antivirus doivent ajouter ces nouvelles
signatures à leurs bases de données.
Les virus polymorphes
Dans la mesure où les antivirus détectent notamment les virus grâce à leur signature (la
succession de bits qui les identifie), certains créateurs de virus ont pensé à leur donner la
possibilité de modifier automatiquement leur apparence, tel un caméléon, en dotant les virus
de fonction de chiffrement et de déchiffrement de leur signature, de façon à ce que seuls ces
virus soient capables de reconnaître leur propre signature. Ce type de virus est appelé «virus
polymorphe» (mot provenant du grec signifiant «qui peut prendre plusieurs formes»).
Les rétrovirus
On appelle « rétrovirus » ou « virus flibustier » (en anglais bounty hunter) un virus ayant la
capacité de modifier les signatures des antivirus afin de les rendre inopérants.
Les virus de secteur d'amorçage
On appelle « virus de secteur d'amorçage » (ou virus de boot), un virus capable d'infecter le
secteur de démarrage d'un disque dur (MBR, soit master boot record), c'est-à-dire un secteur
du disque copié dans la mémoire au démarrage de l'ordinateur, puis exécuté afin d'amorcer
le démarrage du système d'exploitation.
Les virus trans-applicatifs (virus macros)
Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un
langage de script commun pouvant être inséré dans la plupart des documents pouvant
contenir des macros, il s'agit de VBScript, un sous-ensemble de Visual Basic. Ces virus
arrivent actuellement à infecter les macros des documents Microsoft Office, c'est-à-dire qu'un
tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une
portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les
fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows).
Or, de plus en plus d'applications supportent Visual Basic, ces virus peuvent donc être
imaginables sur de nombreuses autres applications supportant le VBScript.
Le début du troisième millénaire a été marqué par l'apparition à grande fréquence de scripts
Visual Basic diffusés par mail en fichier attaché (repérables grâce à leur extension .VBS)
avec un titre de mail poussant à ouvrir le cadeau empoisonné.
Celui-ci a la possibilité, lorsqu'il est ouvert sur un client de messagerie Microsoft, d'accéder à
l'ensemble du carnet d'adresse et de s'autodiffuser par le réseau. Ce type de virus est appelé
ver (ou worm en anglais).
7
Partie VII – Chapitre I
La sécurité informatique
Les vers
Un ver informatique (en anglais worm) est un programme qui peut s'auto-reproduire et se
déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement
besoin d'un support physique ou logique (disque dur, programme hôte, fichier, etc.) pour se
propager; un ver est donc un
virus réseau.
Le fonctionnement d'un ver dans les années 80
La plus célèbre anecdote à propos des vers date de 1988. Un étudiant (Robert T. Morris, de
Cornell University) avait fabriqué un programme capable de se propager sur un réseau, il le
lança et, 8 heures après l'avoir laché, celui-ci avait déjà infecté plusieurs milliers
d'ordinateurs. C'est ainsi que de nombreux ordinateurs sont tombés en pannes en quelques
heures car le « ver » (car c'est bien d'un ver dont il s'agissait) se reproduisait trop vite pour
qu'il puisse être effacé sur le réseau. De plus, tous ces vers ont créé une saturation au
niveau de la bande passante, ce qui a obligé la NSA à arrêter les connexions pendant une
journée.
Voici la manière dont le ver de Morris se propageait sur le réseau :
Le ver s'introduisait sur une machine de type UNIX
il dressait une liste des machines connectées à celle-ci
il forçait les mots de passe à partir d'une liste de mots
il se faisait passer pour un utilisateur auprès des autres machines
il créait un petit programme sur la machine pour pouvoir se reproduire
il se dissimulait sur la machine infectée
et ainsi de suite
Les vers actuels
Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le
client de messagerie Outlook) grâce à des fichiers attachés contenant des instructions
permettant de récupérer l'ensemble des adresses de courrier contenues dans le carnet
d'adresse et en envoyant des copies d'eux-même à tous ces destinataires.
Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers
exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique
sur le fichier attaché.
Comment se protéger des vers ?
Il est simple de se protéger d'une infection par ver. La meilleure méthode consiste à ne pas
ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en fichier attachés.
Ainsi, tous les fichiers exécutables ou interprétables par le système d'exploitation peuvent
potentiellement infecter votre ordinateur. Les fichiers comportant notamment les extensions
suivantes sont potentiellement susceptible d'être infectés :
exe, com, bat, pif, vbs, scr, doc, xls, msi, eml
Sous Windows, il est conseillé de désactiver la fonction "masquer les extensions", car cette
fonction peut tromper l'utilisateur sur la véritable extension d'un fichier. Ainsi un fichier dont
l'extension est .jpg.vbs apparaîtra comme un fichier d'extension .jpg !
Ainsi, les fichiers comportant les extensions suivantes ne sont pas interprétés par le système
et possèdent donc un risque d'infection minime :
txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm
Il est courant d'entendre dire que les fichiers GIF ou JPG peuvent contenir des virus.
En effet, tous les fichiers peuvent contenir un morceau de code informatique véhiculant un
virus; pour autant le système devra préalablement avoir été modifié par un autre virus pour
être capable d'interpréter le code contenu dans ces fichiers !
8
Partie VII – Chapitre I
La sécurité informatique
Pour tous les fichiers dont l'extension peut supposer que le fichier soit infecté (ou pour les
extensions que vous ne connaissez pas) n'hésitez pas à installer un antivirus et à scanner
systématiquement le fichier attaché avant de l'ouvrir.
Voici une liste plus complète (non exhaustive) des extensions des fichiers susceptibles d'être
infectés par un virus :
Extensions
386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM, CAB, CLA, CLASS,
CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL, DOC, DOT DRV, DVB, DWG, EML,
EXE, FON, GMS, GVB, HLP, HTA, HTM, HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT,
MHTM, MHTML, MPD, MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT,
OV?, PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML, SHW,
SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX, VOM, VS?, VWP, VXE,
VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH, WSC, XML, XLS, XLT, ZIP
Les chevaux de Troie
On appelle « Cheval de Troie » (en anglais trojan horse) un programme informatique
effectuant des opérations malicieuses à l'insu de l'utilisateur. Le nom « Cheval de Troie »
provient d'une légende narrée dans l'Iliade (de l'écrivain Homère) à propos du siège de la
ville de Troie par les Grecs.
La légende veut que les Grecs, n'arrivant pas à pénétrer dans les fortifications de la ville,
eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en
abandonnant le siège.
Les troyens (peuple de la ville de Troie), apprécièrent cette offrande à priori inoffensive et la
ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui
s'empressèrent d'en sortir à la tombée de la nuit, alors que la ville entière était endormie,
pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ...
Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute
des commandes sournoises, et qui généralement donne un accès à l'ordinateur sur lequel il
est exécuté en ouvrant une porte dérobée (en anglais backdoor), par extension il est parfois
nommé troyen par analogie avec les habitants de la ville de Troie.
A la façon du virus, le cheval de Troie est un code (programme) nuisible placé dans un
programme sain (imaginez une fausse commande de listage des fichiers, qui détruit les
fichiers au-lieu d'en afficher la liste).
Un cheval de Troie peut par exemple
• voler des mots de passe ;
• copier des données sensibles ;
• exécuter tout autre action nuisible ;
• etc.
Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brêche volontaire dans
la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se
connectant de l'extérieur.
Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine,
c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en
ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor
(littéralement porte de derrière) ou de backorifice (terme imagé vulgaire signifiant "orifice de
derrière" [...]).
Un cheval de Troie n'est pas nécessairement un virus, dans la mesure où son but n'est pas
de se reproduire pour infecter d'autres machines. Par contre certains virus peuvent
également être des chevaux de Troie, c'est-à-dire se propager comme un virus et ouvrir un
port sur les machines infectées !
9
Partie VII – Chapitre I
La sécurité informatique
Détecter un tel programme est difficile car il faut arriver à détecter si l'action du programme
(le cheval de Troie) est voulue ou non par l'utilisateur.
Les symptômes d'une infection
Une infection par un cheval de Troie fait généralement suite à l'ouverture d'un fichier
contaminé contenant le cheval de Troie (voir l'article sur la protection contre les vers) et se
traduit par les symptômes suivants :
•
•
•
•
activité anormale du modem, de la carte réseau ou du disque: des données sont
chargées en l'absence d'activité de la part de l'utilisateur ;
des réactions curieuses de la souris ;
des ouvertures impromptues de programmes ;
des plantages à répétition ;
Principe du cheval de Troie
Le principe des chevaux de Troie étant généralement (et de plus en plus) d'ouvrir un port de
votre machine pour permettre à un pirate d'en prendre le contrôle (par exemple voler des
données personnelles stockées sur le disque), le but du pirate est dans un premier temps
d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant le troyen et dans
un second temps d'accèder à votre machine par le port qu'il a ouvert. Toutefois pour pouvoir
s'infiltrer sur votre machine, le pirate doit généralement en connaître l'adresse IP.
Ainsi :
• soit vous avez une adresse IP fixe (cas d'une entreprise ou bien parfois de
particuliers connecté par câble, etc.) auquel cas l'adresse IP peut être facilement
récupérée
• soit votre adresse IP est dynamique (affectée à chaque connexion), c'est le cas pour
les connexions par modem ; auquel cas le pirate doit scanner des adresses IP au
hasard afin de déceler les adresses IP correspondant à des machines infectées.
Se protéger contre les troyens
Pour se protéger de ce genre d'intrusion, il suffit d'installer un firewall, c'est-à-dire un
programme filtrant les communications entrant et sortant de votre machine. Un firewall
(littéralement pare-feu) permet ainsi d'une part de voir les communications sortant de votre
machines (donc normalement initiées par des programmes que vous utilisez) ou bien les
communications entrant. Toutefois, il n'est pas exclu que le firewall détecte des connexions
provenant de l'extérieur sans pour autant que vous ne soyez la victime choisie d'un hacker.
En effet, il peut s'agir de tests effectués par votre fournisseur d'accès ou bien un hacker
scannant au hasard une plage d'adresses IP.
Pour les systèmes de type Windows, il existe des firewalls gratuits très performant :
ZoneAlarm
Tiny personal firewall
En cas d'infection
Si un programme dont l'origine vous est inconnue essaye d'ouvrir une connexion, le firewall
vous demandera une confirmation pour initier la connexion. Il est essentiel de ne pas
autoriser la connexion aux programmes que vous ne connaissez pas, car il peut très bien
s'agir d'un cheval de Troie.
En cas de récidive, il peut être utile de vérifier que votre ordinateur n'est pas infecté par un
troyen en utilisant un programme permettant de les détecter et de les éliminer (appelé bouffetroyen).
C'est le cas de The Cleaner, téléchargeable sur http://www.moosoft.com.
Liste des ports utilisés habituellement par les troyens
Les chevaux de Troie ouvrent habituellement un port de la machine infectée et attendent
l'ouverture d'une connexion sur ce port pour en donner le contrôle total à d'éventuels pirates.
Voici la liste (non exhaustive) des principaux ports utilisés par les chevaux Troie (origine :
Site de Rico) :
10
Partie VII – Chapitre I
La sécurité informatique
11
WinCrash
23 – Chapitre
TTSI (Tiny Telnet Server)
Partie VII
La sécurité informatique
Ajan, Antigen, Email Password Sender, Happy99, Kuang 2, ProMail trojan, Shtrilitz,
25
Stealth, Tapiras, Terminator, WinPC, WinSpy
31
Agent 31, Hackers Paradise, Masters Paradise
41
Deep Throat
59
DMSetup
79
FireHotcker
80
Executor, RingZero
99
Hidden port
110
ProMail trojan
113
Kazimas
119
Happy 99
121
JammerKillah
421
TCP Wrappers
456
Hackers Paradise
531
Rasmin
555
Ini-Killer, NetAdmin, Phase Zero, Stealth Spy
666
Attack FTP, Back Construction, Cain & Abel, Satanz Backdoor, ServeU, Shadow Phyre
911
Dark Shadow
999
Deep Throat, WinSatan
1002
Silencer, WebEx
1010 à 1015 Doly trojan
1024
NetSpy
1042
Bla
1045
Rasmin
1090
Xtreme
1170
Psyber Stream Server, Streaming Audio Trojan, voice
1234
Ultor trojan
port 1234
Ultors Trojan
port 1243
BackDoor-G, SubSeven, SubSeven Apocalypse
port 1245
VooDoo Doll
port 1269
Mavericks Matrix
port 1349
BO DLL
(UDP)
port 1492
FTP99CMP
port 1509
Psyber Streaming Server
port 1600
Shivka-Burka
port 1807
SpySender
port 1981
Shockrave
port 1999
BackDoor
port 1999
TransScout
port 2000
TransScout
port 2001
TransScout
port 2001
Trojan Cow
port 2002
TransScout
port 2003
TransScout
port 2004
TransScout
port 2005
TransScout
port 2023
Ripper
port 2115
Bugs
port 2140
Deep Throat, The Invasor
port 2155
Illusion Mailer
port 2283
HVL Rat5
port 2565
Striker
port 2583
WinCrash
port 2600
Digital RootBeer
port 2801
Phineas Phucker
port 2989
RAT
(UDP)
port 3024
WinCrash
port 3128
RingZero
port 3129
Masters Paradise
port 3150
Deep Throat, The Invasor
12
port 3459
Eclipse 2000
Partie VII – Chapitre I
La sécurité informatique
Qu'est-ce qu'un hoax ?
On appelle hoax (en français canular) un courrier électronique propageant une fausse
information et poussant le destinataire à diffuser la fausse nouvelle à tous ses proches ou
collègues.
Ainsi, de plus en plus de personnes font suivre (anglicisé en forwardent) des informations
reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax
est simple :
provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes
Les conséquences de ces canulars sont multiples :
• L'engorgement des réseaux en provoquant une masse de données superflues
circulant dans les infrastructures réseaux ;
• Une désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux
concepts ou véhiculer de fausses rumeurs (on parle de légendes urbaines) ;
• L'encombrement des boîtes aux lettres électroniques déjà chargées ;
• La perte de temps, tant pour ceux qui lisent l'information, que pour ceux qui la
relayent ;
• La dégradation de l'image d'une personne ou bien d'une entreprise ;
• L'incrédulité : à force de recevoir de fausses alertes les usagers du réseau risquent
de ne plus croire aux vraies.
Ainsi, il est essentiel de suivre certains principes avant de faire circuler une information sur
Internet.
Comment lutter contre la désinformation ?
Afin de lutter efficacement contre la propagation de fausses informations par courrier
électronique, il suffit de retenir un seul concept :
Toute information reçue par courriel non accompagnée d'un lien hypertexte vers un site
précisant sa véracité doit être considérée comme non valable !
Ainsi tout courrier contenant une information non accompagnée d'un pointeur vers un site
d'information ne doit pas être transmis à d'autres personnes.
Lorsque vous transmettez une information à des destinataires, cherchez un site prouvant
votre propos.
Comment vérifier s'il s'agit d'un canular ?
Lorsque vous recevez un courriel insistant sur le fait qu'il est essentiel de propager
l'information (et ne contenant pas de lien prouvant son intégrité), vous pouvez vérifier sur le
site hoaxbuster (site en français) s'il s'agit effectivement d'un hoax (canular).
Si l'information que vous avez reçue ne s'y trouve pas, recherchez l'information sur les
principaux sites d'actualités ou bien par l'intermédiaire d'un moteur de recherche.
Les bombes logiques
Sont appelés bombes logiques les dispositifs programmés dont le déclenchement s'effectue
à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou
n'importe quel appel au système.
Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de
machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le
jour de la Saint Valentin, ou la date anniversaire d'un événement majeur : la bombe logique
Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe
nucléaire ...
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en
saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise !
13
Partie VII – Chapitre I
La sécurité informatique
Les espiogiciels
Un espiogiciel (en anglais spyware) est un programme chargé de recueillir des informations
sur l'utilisateur de l'ordinateur sur lequel il est installé (on l'appelle donc parfois mouchard)
afin de les envoyer à la société qui le diffuse pour lui permettre de dresser le profil des
internautes (on parle de profilage).
Les récoltes d'informations peuvent ainsi être :
• la traçabilité des URL des sites visités,
• le traquage des mots-clés saisis dans les moteurs de recherche,
• l'analyse des achats réalisés via internet,
• voire les informations de paiement bancaire (numéro de carte bleue / VISA)
• ou bien des informations personnelles.
Les spywares s'installent généralement en même temps que d'autres logiciels (la plupart du
temps des freewares ou sharewares). En effet, cela permet aux auteurs des dits logiciels de
rentabiliser leur programme, par de la vente d'informations statistiques, et ainsi permettre de
distribuer leur logiciel gratuitement. Il s'agit donc d'un modèle économique dans lequel la
gratuité est obtenue contre la cession de données à caractère personnel.
Les spywares ne sont pas forcément illégaux car la licence d'utilisation du logiciel qu'ils
accompagnent précise que ce programme tiers va être installé ! En revanche étant donné
que la longue licence d'utilisation est rarement lue en entier par les utilisateurs, ceux-ci
savent très rarement qu'un tel logiciel effectue ce profilage dans leur dos.
Par ailleurs, outre le préjudice causé par la divulgation d'informations à caractère personnel,
les spywares peuvent également être une source de nuisances diverses :
• consommation de mémoire vive,
• utilisation d'espace disque,
• mobilisation des ressources du processeur,
• plantages d'autres applications,
• gêne ergonomique (par exemple l'ouverture d'écrans publicitaires ciblés en fonction
des données collectées).
Les types de spywares
On distingue généralement deux types de spywares :
• Les spywares internes (ou spywares internes ou spywares intégrés) comportant
directement des lignes de codes dédiées aux fonctions de collecte de données.
Les spywares externes, programmes de collectes autonomes installés Voici une liste non
exhaustive de spywares non intégrés :
Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent Timesink, Cydoor, Comet
Cursor, Doubleclick, DSSAgent, EverAd, eZula/KaZaa Toptext, Flashpoint/Flashtrack,
Flyswat, Gator / Claria, GoHip, Hotbar, ISTbar, Lop, NewDotNet, Realplayer, SaveNow,
Songspy, Xupiter, Web3000 et WebHancer
Se protéger
La principale difficulté avec les spywares est de les détecter. La meilleure façon de se
protéger est encore de ne pas installer de logiciels dont on n'est pas sûr à 100% de la
provenance et de la fiabilité (notamment les freewares, les sharewares et plus
particulièrement les logiciels d'échange de fichiers en peer-to-peer). Voici quelques exemples
(e liste non exhaustive) de logiciels connus pour embarquer un ou plusieurs spywares :
Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou
encore iMesh.
Qui plus est, la désinstallation de ce type de logiciels ne supprime que rarement les
spywares qui l'accompagnent. Pire, elle peut entraîner des dysfonctionnements sur d'autres
applications !
Dans la pratique il est quasiment impossible de ne pas installer de logiciels. Ainsi la présence
de processus d'arrière plans suspects, de fichiers étranges ou d'entrées inquiétantes dans la
base de registre peuvent parfois trahir la présence de spywares dans le système.
14
Partie VII – Chapitre I
La sécurité informatique
Si vous ne parcourez pas la base de registre à la loupe tous les jours rassurez-vous, il existe
des logiciels, nommés anti-spywares permettant de détecter et de supprimer les fichiers,
processus et entrées de la base de registres créés par des spywares.
De plus l'installation d'un pare-feu personnel peut permettre d'une part de détecter la
présence d'espiogiciels, d'autre part de les empêcher d'accéder à Internet (donc de
transmettre les informations collectées).
Quelques anti-spywares
Parmi les anti-spywares les plus connus ou efficaces citons notamment :
• Ad-Aware de Lavasoft.de
• Spybot Search&Destroy
• Plus d'information
• WinFixer
• Analyse Hijackthis
• Spy sheriff
• Spy Axe
• DSO Exploit
15
Partie VII – Chapitre I
La sécurité informatique
Les keyloggers
Un keylogger (littéralement enregistreur de touches) est un dispositif chargé d'enregistrer les
frappes de touches du clavier et de les enregistrer, à l'insu de l'utilisateur. Il s'agit donc d'un
dispositif d'espionnage.
Certains keyloggers sont capables d'enregistrer les URL visitées, les courriers électroniques
consultés ou envoyés, les fichiers ouverts, voire de créer une vidéo retraçant toute l'activité
de l'ordinateur !
Dans la mesure où les keyloggers enregistrent toutes les frappes de clavier, ils peuvent
servir à des personnes malintentionnées pour récupérer les mots de passe des utilisateurs
du poste de travail ! Cela signifie donc qu'il faut être particulièrement vigilant lorsque vous
utilisez un ordinateur en lequel vous ne pouvez pas avoir confiance (poste en libre accès
dans une entreprise, une école ou un lieu public tel qu'un cybercafé).
Keyloggers : logiciel ou matériel
Les keyloggers peuvent être soit logiciels soient matériels. Dans le premier cas il s'agit d'un
processus furtif (ou bien portant un nom ressemblant fortement au nom d'un processus
système), écrivant les informations captées dans un fichier caché ! Les keyloggers peuvent
également être matériel : il s'agit alors d'un dispositif (câble ou dongle) intercalé entre la prise
clavier de l'ordinateur et le clavier.
Se protéger des keyloggers
La meilleure façon de se protéger est la vigilance :
N'installez pas de logiciels dont la provenance est douteuse,
• Soyez prudent lorsque vous vous connectez sur un ordinateur qui ne vous appartient
pas ! S'il s'agit d'un ordinateur en accès libre, examinez rapidement la configuration,
avant de vous connecter à des sites demandant votre mot de passe, pour voir si des
utilisateurs sont passés avant vous et s'il est possible ou non pour un utilisateur
lambda d'installer un logiciel. En cas de doute ne vous connectez pas à des sites
sécurisés pour lesquels un enjeu existe (banque en ligne, ...)
• Si vous en avez la possibilité, inspectez l'ordinateur à l'aide d'un anti-spyware.
16

Documents pareils

9-1-Virus et remedes 1

9-1-Virus et remedes 1 instructions programmées par son auteur. Pour la plupart, ils se multiplient et s’insèrent dans d’autres fichiers (programme hôte). Ils vont de la simple balle de ping-pong qui traverse l’écran à l...

Plus en détail