Malekal's forum

[Topxm]

Salut,

Ca roule je m'occupe de la partie 2 (pour Apparaitre)

[Citoyen]

Bonjour à tous

je revois la partie 1, ok?

A+

[Malekal_morte]

yep!

[Topxm]

Alors par la 2ème partie de : http://www.malekal.com/tutorial_NIS2008_partie2.php

Tutorial et Guide Norton Internet Security 2008 (NIS 2008)
Deuxième partie
Ce tutorial fait suite à la partie 1 du Tutorial et Guide Norton Internet Security
Protection contre le phishing / fauduleux
Norton Internet Security vous protège sur le navigateur Internet Explorer des sites frauduleux/phishing.

La barre Norton peut vous informer par exemple si votre ordinateur n'est pas sécurisé et si surfer comporte des risques.
Par exemple, lorsque Autoprotect est désactivé, la barre Norton vous l'informe (mettre un point ou : )

Si vous visitez une page suspecte, 3 options vous sont proposées :

* Accéder à une page vierge pour "sortir" du site suspect
* En savoir plus sur le phishing et fraude en ligne
* Continuer à accéder à la page (Accéder à la page Web)

Par contre, si la page est connue pour être une page frauduleuse, l'accès est interdit et vous obtenez la page ci-dessous (mettre un point ou : )

Rapports et Statistiques
Le journal d'activités permet de consulter les activités de la suite Norton Internet Security

Le journal Norton Internet Security est vraiment très complet, vous pouvez savoir tout ce qui a été effectué par la suite de sécurité à tout moment.
Cela va (ajouter : )

* Des connexions réseau établies avec les adresses locales/distances et les ports, le nombre d'octets envoyés/reçus et la durée de la connexion.
* Les activités du pare-feu, l'historique des programmes qui se sont connectés, les nouvelles règles créées, etc...
* Activités du service : les évènements sur votre connexion réseau (activation de protocoles, connexions intranet , etc...)
* Risques de sécurité (Sans le S ???) : l'historique des détections Auto-Protect. (ajouter un point)
* Activités de protection : historique des analyses. (ajouter un point)
* Message d'erreur : historique des erreurs de la suite de sécurité.

Il est bien sûr possible d'imprimer un évènement, une suite ou exporter une catégorie au format texte par le menu Journal / Exporter la catégorie en tant que.. (soit un point soit trois)

Voici quelques captures des options de protection, ces dernières sont accessibles depuis le bouton Configurer sur Auto-Protect ou Logiciels Espions

Toutes les options ne seront pas détaillées, seules les plus importantes seront mentionnées.
Si vous souhaitez avoir des informations sur des options en particulier, cliquez sur le bouton Aide en haut à droite.Dans les options Auto-Protect, il est important de vérifier que l'Auto-Protect est activé et chargé au démarrage du système.

La protection de messagerie protège contre les vers qui se propagent par mail. Cette dernière scanne les mails entrants et sortants à la recherche de pièce jointe infectée.

Laissez les options par défaut, notamment la suppression automatique des menaces sortantes.
Au cas où vous rencontrez des problèmes d'envoi de mails, pièces jointes supprimées etc... Vous pouvez tenter de désactiver l'analyse des messages sortants afin de vérifier que l'antivirus ne rentre pas en conflit.

Les options de messagerie instantanée permettent de configurer les protections contre les vers de messagerie instantanée qui sont un vecteur d'infection de plus en plus présent et tendent à remplacer les infections par mail (pour plus d'informations Infection par MSN, Explications, prévention, désinfection). (Cette phrase me chagrine ==> tendent à remplacer les infections par mail !?)

Ces options restent grisées si aucun client de messagerie instantanée n'est installé sur l'ordinateur.

Dans les paramètres généraux, on retrouve les options des analyses manuelles.
De même laissez les options par défaut.

Dans les paramètres LiveUpdate / Paramètres généraux, on retrouve deux options LiveUpdate.
Il est important de laisser l'option activer LiveUpdate automatique afin d'effectuer une mise à jour automatique de la définition virale.

L'option Exécuter l'Analyse rapide chaque fois que la protection a été mise à jour permet d'effectuer une analyse rapide de l'ordinateur afin d'éventuellement détecter les nouveaux virus qui ont été ajoutés dans la nouvelle définition virale suite à la mise à jour.
A vous de voir si vous désirez désactiver cette option afin de gagner un peu en ressource dans le cas d'un ralentissement, sachant qu'il peut y avoir des mises à jour de définition virale toutes les heures voir toutes les deux heures.

Dans tous les cas, Auto-Protect est censé détecter les menaces.

Dans les options avancées / Exclusions d'analyse, il est possible d'exclure des éléments de l'analyse des risques ou Auto-Protect.

Lors de faux positif (lorsque l'antivirus détecte un virus dans un fichier alors qu'il n'y en a pas) ou pour gagner du temps/ressources dans les analyses, il peut être intéressant d'ajouter des dossiers/fichiers à exclure de ces analyses.

Bien entendu, il faut faire attention à ce que vous mettez en exclusion et aux fausses bonnes idées. Par exemple "tiens je vais mettre mon répertoire de téléchargement en exclusion, ça fera beaucoup de choses en moins à analyser"... mais si vous téléchargez un élément infectieux et l'exécutez, il ne sera pas analysé par Auto-Protect et ce sera l'infection.

De même, Exclusions de signatures permet d'exclure des signatures de l'analyse.
Cela peut aussi être intéressant (! accent + un seul R) en cas de faux positif sur une signature en particulier.

Par exemple si Norton détecte Adware.Adbars sur un fichier alors que celui-ci est sain, vous pouvez avoir alerte sur alerte (une alerte à chaque fois donc pas d'S ???).Le temps qu'une mise à jour corrige le problème, vous pouvez exclure la signature Adware.Adbars des analyses (On peut aussi exclure le fichier qui cause le faux positif de l'analyse).

Protection contre les logiciels espions permet de désactiver la détection de certaines catégories de logiciels espions.

Options Divers permet de configurer diverses options.
Notez qu'il est possible de protéger la configuration de Norton Internet Security via un mot de passe au cas où vous seriez plusieurs utilisateurs sur l'ordinateur, cela peut être intéressant.

Nb : attention, lors de tes corrections, tu as mis interessant / interressant pour ==> intéressant
Si ça peut t'encourager il y a une nette amélioration !

[Citoyen]

Tutorial et Guide Norton Internet Security 2008 (NIS 2008)

Première partie


Norton Internet Security 2008 est la suite de sécurité de Symantec
Cette suite vous protège des menaces de l'internet en proposant :

* Un antivirus
* Un antispyware
* UN antispam pour vos courriers
* Un pare-feu
* Un anti-phishing
* Un inspecteur de sécurité

Ce dernier est disponible en français.

Sommaire

1. Tutorial et Guide Norton Internet Security 2008 (NIS 2008)
2. Première partie
1. Présentation de Norton Internet Security2008
2. Mise à jour de Norton Internet Security 2008
3. Scanner son ordinateur avec Norton
4. Quarantaine
5. Autoprotect : Protection en temps réel
6. Inspection de la sécurité / Scan de vulnérabilités
7. Pare-Feu / Firewall
1. L'accès par application
2. Contrôle d'approbation
8. Paramètres Avancés
9. Liens

Présentation de Norton Internet Security2008 .
L'interface de Norton Internet Security 2008 se présente avec deux onglets en haut Norton Protection Center & Norton Internet Security.

Norton Protection Center vous donne un état de la protection de votre ordinateur, il vous informe si votre ordinateur est à jour et protégé.
Les éléments de Norton Internet Security activés.
Une alerte à gauche vous prévient si votre ordinateur est vulnérable ou non, ces alertes sont graduées par couleur: orange si alerte moyenne, rouge si dangereuse.

En bas à gauche, des tâches rapides permettent d'effectuer une mise à jour de Norton, analyser son ordinateur ou visualiser les journaux.

Si vous ???????????????????????????

Norton Internet Security permet d'avoir accès aux éléments de sécurité de la suite.
Vous pouvez alors les (supprimer les) configurer les éléments de la suite (en cliquant sur chaque ligne, vous obtenez un bouton Configurer), ou effectuer des analyses, visualiser les rapports.
Tutorial Norton Internet Security 2008
Mise à jour de Norton Internet Security 2008
La première chose à faire si vous venez d'installer Norton Internet Security 2008 est d'effectuer une mise à jour.
Les mises à jour se font à travers le programme LiveUpdate, ce dernier peut se lancer via les tâches rapides en bas à gauche.

Ce dernier peut aussi se lancer automatiquement en arrière plan pour effectuer des mises à jour de la définition virale.

* La fenêtre LiveUpdate s'ouvre
* Cliquez sur le bouton Next pour passer à l'étape suivante.

Tutorial Norton Internet Security 2008

* Le téléchargement &espacel'installation des mises à jour s'effectue alors..

Tutorial Norton Internet Security 2008

* Une fois les mises à jour installées, cliquez sur le bouton Finish pour fermer la fenêtre LiveUpdate

Tutorial Norton Internet Security 2008

* Certaines mises à jour nécessitent le redémarrage de l'ordinateur, une fenêtre vous en informe.
* Laissez l'option Redémarrer l'ordinateur maintenant puis cliquez sur OK.

Tutorial Norton Internet Security 2008

Scanner son ordinateur avec Norton
Scanner votre ordinateur peut vous permettre de détecter des malwares présents et de les supprimer.
Pour une meilleur efficacité, il est conseillé d'effectuer le scan en mode sans échec afin que les malwares ne soient pas actifs durant le scan (cela peut empêcher leur éradication). Comment redémarrer en mode sans échec ?

* L'icône de Norton peut être accessible sur le bureau pour démarrer la suite , sinon cliquez sur le menu Démarrer puis Norton Internet Security / Norton Internet Security.
* Cliquez sur l'onglet Norton Internet Security en haut.
* Déroulez Tâches et analyses puis cliquez sur Effectuer une analyse.

Tutorial Norton Internet Security 2008

* Effectuer une analyse complète du système scanne tous les disques, si vous avez plusieurs partitions, ces dernières seront toutes scannées.
* Effectuer une analyse rapide ne scanne que les éléments suceptibles de contenir des menaces.
* Effectuer une analyse personnalisée permet de choisir les dossiers à scanner.

Si vous soupçonnez une infection de votre ordinateur, il est recommandé d'effectuer une analyse complète du système.
Tutorial Norton Internet Security 2008

* L'analyse commence, les éléments en cours de scan apparaissent en haut de la fenêtre.
* Le nombre total d'éléments analysés apparaît dans le tableau en bas avec le nombre de menaces détectées.

Tutorial Norton Internet Security 2008

* Une fois l'analyse terminée, le nombre d'éléments à risque détectés apparaît.
* Norton prend les mesures adéquates selon les menaces détectées.


Tutorial Norton Internet Security 2008

* L'onglet Résultats détaillés permet de visualiser la liste des menaces détectées.
* En cliquant sur les + devant chaque menace, vous obtenez des informations supplémentaires (fichier infecté etc..)
* En cliquant sur le nom de la menace, vousespaceobtenez des informations.

Tutorial Norton Internet Security 2008

Quarantaine
La quarantaine permet de placer un fichier dans un emplacement protégé, géré par l'antivirus.
En plaçant un fichier infectieux en quarantaine, vous rendez l'infection inopérante.
Les fichiers mis en quarantaine peuvent être accessibles par l'utilisateur via l'interface graphique de l'antivirus, il est alors possible de supprimer les fichiers mis en quarantaine, les restaurer à leurs emplacements d'origine.

Voir FAQ : la quarantaine des antivirus

Pour visualiser les éléments mis en quarantaine, dans Tâches et analyses, cliquez sur Gérer les éléments en quarantaine puis allez à la quarantaine.

Les éléments mis en quarantaine apparaissent sous forme de liste.
Si vous avez beaucoup d'éléments dans la quarantaine, vous avez la possibilité d'effectuer une recherche sur le nom à partir du champ Recherche rapide en haut.
Tutorial Norton Internet Security 2008
En cliquant sur l'icône de l'élément mis en quarantaineespaceTutorial Norton Internet Security 2008 ou en cliquant sur le bouton: Plus d'infos, en bas à droite, vous pouvez obtenir des informations sur le fichier mis en quarantaine.
Les boutons à droite?????????????Si titre, séparer du paragraphe pécédent?

* Restaurer le risque permet de replacer le fichier à son emplacement d'origine, dans le cas d'un fichier infectieux, cela peut restaurer l'infection
* Supprimer de l'historique supprime l'élément de l'historique de quarantaine
* Transmettre à Symantec envoie l'élément au laboratoire de Symantec pour analyse. Cela peut être intéressant, si le fichier est détecté par l'heuristique (technologie BloudHound) pour ajouter une signature.

Tutorial Norton Internet Security 2008
Autoprotect : Protection en temps réel
Auto-protect est la protection en temps réel. Pour rappel, la protection en temps réel d'un antivirus est l'élément qui scrute en permanence le système à la recherche de menaces.
Auto-protect scanne les fichiers téléchargés, les fichiers lus, ouverts etc..

Si une menace est détectée, une popup d'alerte s'ouvre alors pour vous en informer.
Tutorial Norton Internet Security 2008

Toujours dans la partie Norton Internet Security / Paramètres et Auto-Protect, vous pouvez désactiver la protection.
Via le bouton Configurer vous pouvez aussi configurer l'Auto-Protect.

Tutorial Norton Internet Security 2008

Tutorial Norton Internet Security 2008 (supprimer)

Inspection de la sécurité / Scan de vulnérabilités

L'inspection de sécurité inspecte la configuration de votre ordinateur afin de détecter des éléments vulnérables.
En outre, l'inspection de sécurité vérifie que vous avez bien assigné un mot de passe aux utilisateurs Windows ou un mot de passe trop faible.
Pour rappel, il convient de maintenir Windows et vos logiciels à jour afin de corriger les vulnérabilités qui peuvent par exemple être exploitées par des sites WEB piégés afin d'infecter votre ordinateur.

* Pour scanner son ordinateur, dans Tâches et analyses, puis Exécutez l'inspection de la sécurité, puis Analyser maintenant.
* Le scan s'effectue alors.

Tutorial Norton Internet Security 2008

* En cliquant sur le bouton Détails, il est possible d'afficher les paramètres détectés qui peuvent mettre en péril la sécurité de votre ordinateur.
* Il est alors possible de sélectionner les éléments à corriger.
* En cliquant sur le bouton Corriger de la fenêtre de l'inspection de la sécurité, les paramètres seront alors corrigés.

Tutorial Norton Internet Security 2008
Enfin il est possible de configurer l'inspecteur de la sécurité pour exclure certains éléments du scan, ceci se fait à partir de Tâches et analyses, puis Exécutez l'inspection de la sécurité, puis Analyser maintenant.
Vous pouvez alors supprimer des catégories ou ajouter des exclusions, ceci est réservé aux utilisateurs avancés.
Tutorial Norton Internet Security 2008
Pare-Feu / Firewall
Le pare-feu protège votre ordinateur contre les connexions entrantes et les connexions sortantes des programmes illicites.

L'accès par application

Vous devez en général configurer le parefeu en spécifiant si telle ou telle application a le droit de se connecter à internet.
En général, lorsqu'une nouvelle application tente de se connecter à internet, une alerte s'ouvre vous demandant si l'on doit ou non laisser cette application se connecter.

* Dans le cas d'une application connue que vous avez installée et utilisée, vous pouvez lui donner accès à internet.
* Dans le cas d'une application inconnue ou suite à une infection, il convient de bloquer l'accès à internet sur le pare-feu.

Pour plus d'informations sur le fonctionnement des pare-feux, voir Article sur le fonctionnement des firewall sous Windows

Cependant, Norton Internet Security intègre un système qui configure automatiquement les règles lors de l'exécution d'une nouvelle application afin d'éviter d'être harcelé par des popups.
A l'installation de la suite, les règles sur le pare-feu seront créées automatiquement. Il convient donc d'installer la suite sur un PC sain et non infecté.

J'ai essayé une infection MSN (voir sa fiche Backdoor.Win32.IRCBot.azh/pictura-0012.JPEG_www.myspace.com).
Au moment de l'essai, le fichier dllmonitor.exe n'était pas détecté par Norton.

Norton Internet Security a créé une règle automatique pour permettre son accès.
Tutorial Norton Internet Security 2008
On retrouve dllmonitor.exe avec un accès personnalisé dans la liste des contrôles des programmes du pare-feu
Tutorial Norton Internet Security 2008

Cela enlève donc tout l'intérêt du pare-feu puisque le fichier infectieux a un accès à internet et peut effectuer les opérations pour lesquelles il a été conçu.

Il est possible de configurer le pare-feu de Norton Internet Security pour contrôler soi-même les applications qui auront ou non accès à internet.
Une popup d'alerte s'ouvrira pour vous demander si telle ou telle application peut avoir accès à internet.

Bien entendu, il faut faire très attention et appliquer la règle suivante : ne jamais donner accès à internet sur le pare-feu à une application dont on ne connaît pas la provenance sinon on obtiendra le résultat ci-dessus, un fichier infectieux qui aura accès à internet sur le pare-feu.

Il vaut mieux être un utilisateur avancé si vous désirez contrôler les accès à internet par vos applications.

Si vous désirez configurer le pare-feu de la sorte, déroulez l'arborescence Paramètres, puis cliquez sur Pare-feu Personnel,[/color] puis Configurer.

* A gauche, cliquez sur Paramètres Généraux
* Dans la partie Traitement par pare-feu, cochez Me demander
* Cliquez sur OK.

Tutorial Norton Internet Security 2008
Tutorial Norton Internet Security 2008
Dès lors, lorsqu'une nouvelle application n'ayant pas de règle sur le pare-feu tentera de se connecter à internet, vous obtiendrez la popup suivante :
Tutorial Norton Internet Security 2008
Cinq choix s'offrent à vous :

* Autoriser cette instance : le programme aura accès à internet uniquement durant cette instance d'exécution. Aucune règle sur le pare-feu pour cette application n'est créée. Lors de la prochaine exécution de l'application, l'alerte de sécurité s'ouvrira à nouveau.
* Bloquer cette instance : le programme n'aura PAS accès à internet uniquement durant cette instance d'exécution. Aucune règle sur le pare-feu pour cette application n'est créée. Lors de la prochaine exécution de l'application, l'alerte de sécurité s'ouvrira à nouveau.
* Toujours autoriser les connexions sur tous les ports (recommandé) : une règle est créée pour cette application qui pourra accéder à internet à chaque nouvelle exécution.
* Toujours bloquer les connexions sur tous les ports : crée une règle sur le pare-feu qui bloque la connexion pour cette application de manière permanente.
* Créer une règle de filtrage manuellement : permet de créer une règle personnalisée via l'assistant.

Les règles créées pour chaque application sont visualisables depuis Paramètres, puis cliquez sur Parefeu-Personnel, puis Configurer et enfin contrôle des programmes.

La liste des règles par application apparaît, le menu déroulant Accès permet d'autoriser ou bloquer l'accès internet à l'application.
Tutorial Norton Internet Security 2008
Pour les utilisateurs avancés, il est possible de créer des règles personnalisées en sélectionnant Personnalisé dans le menu déroulant d'accès.
Une fenêtre s'ouvre alors, à partir du bouton Ajouter, vous pouvez , via un assistant , ajouter des règles.
Attention, les règles sont exécutées dans l'ordre par le parefeu, veillez donc bien à les trier dans le bon ordre car cela peut influer sur le résultat final!
Tutorial Norton Internet Security 2008
Contrôle d'approbation
Le Contrôle d'approbation permet d'ajouter une liste d'ordinateurs qui pourront avoir accès aux dossiers partagés ou imprimantes partagées.




Dans l'onglet Approuvé, si vos ordinateurs sont en réseau, vous pouvez y ajouter les ordinateurs de votre réseau.
L'onglet Restreint permet, lui , de bloquer [/color]les dossiers partagés à des ordinateurs du réseau.
Tutorial Norton Internet Security 2008
Paramètres Avancés

Enfin dans le menu à gauche: Paramètres Avancés puis Configurer; vous pouvez ajouter des règles à tous les programmes.
Ces paramètres avancés sont destinés à des utilisateurs avancés.
Tutorial Norton Internet Security 2008
Liens
Si vous rencontrez toujours des problèmes, venez poster vos questions sur le forum

Sécuriser son ordinateur et connaître les menaces
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)
Les outils de suppression de Spywares/Malwares spécifiques
Autres tutorials anti-spywares

[VertigO]

Ca pour pas être infaillible, je confirmes

[Diamond]

Personne n'est infaillible

En tout cas je l'ai pas vu dans les corrections mais apparaît prend bien un accent circonflexe.
Tout comme apparaître d'ailleurs, mais le criconflexe ne se retrouve qu'à la 3ème personne du singulier (bon je parle pour quelques temps évidemment, si vous me sortez le plus-que-parfait du subjonctif )

[VertigO]

Salut Diamond,

Je viens de trouver autre chose dans mon livre de conjugaison concernant apparaitre. Il apparait justement que depuis la dernière réforme orthographique francophone, les accents circonflexes auraient été supprimés de ce mot ainsi que de tous les composants de paraitre.

[Diamond]

Bah pas chez moi !

C'est un livre belge non ?

[Malekal_morte]

J'ai tout corrigé, oublié de lire.

Sinon j'ai fait une page sur les pare-feu ; viewtopic.php?f=45&t=7601&p=54678#p54678
Vais aller corriger qq remontées de Citoyen avant que ça s'entasse de trop

[Citoyen]

Sinon j'ai fait une page sur les pare-feu ; viewtopic.php?f=45&t=7601&p=54678#p54678

Je prends si vous êtes tous à la plage............

[Citoyen]

viewtopic.php?f=45&t=7601&p=54678#p54678


Le fonctionnement et l'importance d'un pare-feu

Nouveau messagepar Malekal_morte le 13 Jan 2008 16:14

Voici un article qui aborde le fonctionnement des pare-feux, pour mieux comprendre son utilité.
Le pare-feu est un élément de sécurité important mais qui est assez méconnu de la majorité des internautes.
Il existe une page (qui commence à être ancienne) sur le site Article sur le fonctionnement des firewall sous Windows qui abordait déjà les principes de fonctionnement.
Cette page-ci sera un peu plus détaillée.. en espérant que vous puissiez bien comprendre l'importance des enjeux des pare-feux.


Qu'est-ce-qu'un pare-feu ? A quoi sert un pare-feu ?

Le pare-feu (firewall en anglais) est un élément de sécurité important. Le pare-feu permet de contrôler le trafic réseau, il est capable de bloquer le trafic réseau entrant et sortant.
On entend par trafic :

* Entrant : les connexions réseau depuis un réseau tiers VERS votre machine.
* Sortant : les connexions réseau émisent depuis la machine vers un autre réseau (dans notre cas ce sera internet).


Le but du pare-feu en matière de protection est donc :

* de bloquer les instrusions depuis un réseau tiers.
* améliorer de manière sensible la sécurité en bloquant les services/applications sensibles qui peuvent mettre en péril la sécurité de la machine. La majorité des internautes ont entendu parler du vers Blaster. Ce dernier utilise une vulnérabilité distante sur un service Windows pour se propager de machines en machines. Si les internautes utilisaient un pare-feu, Blaster n'aurait pas fait autant de dégâts (bien que la meilleure parade reste de maintenir Windows et ses logiciels à jour pour combler les vulnérabilités). C'est pourquoi Microsoft a incorporé un pare-feu dans le service pack 2.
* protéger son ordinateur des infections. Cet aspect sera détaillé plus bas dans cet article.
* assurer un contrôle de l'activité de son PC. Le pare-feu permet de s'assurer qu'aucune autre application que celles que vous avez décidé ne peut interagir avec internet. Dans le cas où vous avez plusieurs utilisateurs, vous êtes certain que si un autre utilisateur exécute une application, elle n'aura pas accès à internet.


Le pare-feu utilise un jeu de règles pour établir si une application a le droit ou non de se connecter à internet.
Généralement l'utilisateur a le droit à trois règles :

* Autoriser : l'application a le droit d'établir des connexions entrantes et sortantes.
* Bloquer : l'application n'a pas le droit de recevoir des connexions entrantes ou établir des connexions sortantes.
* Personnaliser : l'utilisateur établi lui-même les règles sur l'application.



Image

Voici un exemple concret.
Sur la capture ci-dessous, nous voyons qu'à droite, l'application iexplore.exe (Internet Explorer) a le droit de se connecter à internet (Allowed).
A gauche, sur le navigateur WEB Internet Explorer, la page WEB (ici Google) s'affiche.

Image

Maintenant nous bloquons l'accès à internet à l'application Internet Explorer (blocked) sur le pare-feu.
Le pare-feu bloque alors la connexion depuis le navigateur WEB. La page Google ne s'affiche plus, nous obtenons une erreur 404.

Image

Pour attribuer ou non à une application la connexion à internet,(j'ai modifié la tournure de la phrase, à toi de voir) le pare-feu utilise le mode apprentissage.
A chaque nouvelle application qui tente de se connecter à internet, le pare-feu va alors afficher une alerte pour demander à l'utilisateur si cette nouvelle application peut ou non se connecter à internet. Les options sont en général :

* Autoriser cette instance : le programme aura accès à internet uniquement durant cette instance d'exécution. Aucune règle sur le pare-feu pour cette application n'est créée. Lors de la prochaine exécution de l'application, l'alerte de sécurité s'ouvrira à nouveau.
* Bloquer cette instance : le programme n'aura PAS accès à internet uniquement durant cette instance d'exécution. Aucune règle sur le pare-feu pour cette application n'est créée. Lors de la prochaine exécution de l'application, l'alerte de sécurité s'ouvrira à nouveau.
* Toujours autoriser les connexions sur tous les ports (recommandé) : une règle est créée pour cette application qui pourra accéder à internet à chaque nouvelle exécution.
* Toujours bloquer les connexions sur tous les ports : crée une règle sur le pare-feu qui bloque la connexion pour cette application de manière permanente.
* Créer une règle de filtrage manuellement : permet de créer une règle personnalisée, l'utilisateur définit les paramètres de la règle.


Il est à noter que de plus en plus de pare-feux scannent automatiquement l'ordinateur à l'installation afin de créer les règles automatiquement pour ne pas submerger l'internaute de popups incessantes.


Les pare-feux dans la protection contre les infections

Avant de rentrer dans le vif du sujet, un petit rappel sur les infections.
La majorité des infections ont besoin de se connecter sur internet car :

* Dans le processus d'infection, beaucoup d'infections débutent par un Trojan-Downloader qui va télécharger les composants de l'infection et les exécuter sur la machine.
* L'infection une fois installée a besoin de se connecter à internet pour effectuer les tâches pour lesquelles elle a été prévue: interagir avec les pirates pour permettre le contrôle de la machine, se connecter à des serveurs de mails pour envoyer des mails de SPAM, se connecter à un site pour effectuer une attaque etc..


Le pare-feu peut être important dans ces cas-là car :

* Le pare-feu peut faire avorter l'infection, si le Trojan-Downloader ne peut se connecter à internet, il ne pourra télécharger et faire exécuter les composantes de l'infection sur le PC.
* Dans le cas de l'infection, le pare-feu peut détecter le trafic anormal issu de l'infection et le bloquer. Petit bémol, ce n'est pas toujours le cas (voir plus bas dans la partie limite des pare-feux).


Voici un exemple de visite d'un site sensible, à savoir un site de crack, avec un navigateur WEB non à jour et ayant des vulnérabilités.
Tout ceci est fait avec un antivirus désactivé.

Image

Sur la capture ci-dessus, COMODO Firewall fait une alerte à la visite du site WEB en précisant : "IEXPLORE.EXE (Internet Explorer) est une application sûre, qui est sur le point de créer un nouveau fichier/dossier C:\Documents and Settings\All Users\Start Menu\Programs\Startup\msn_0801_upd102045.exe"

Via une faille de sécurité, le site tente d'exécuter le fichier msn_0801_upd102045.exe qui installe une infection BZub.
Le pare-feu permet de bloquer l'exécution et la connexion de ce fichier source d'infection.
S'ensuit une seconde alerte :

Image

où le pare-feu nous informe qu'IEXPLORE.EXE (Internet Explorer) tente d'exécuter le fichier tmp3152.exe (qui sur le nom semble louche). Le pare-feu nous informe aussi qu'il a détecté un "possible malware behavior" c'est à dire un comportement suspect proche de ceux utilisés par les malwares.

En bloquant l'exécution du fichier, Internet Explorer affiche un message d'erreur d'exécution du fichier (ce qui est normal puisque le pare-feu empêche son exécution) :
Image

Voici le scan Virus Total du fichier :

Fichier tmp3152.exe reçu le 2008.01.13 13:47:26 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 8/32 (25%)

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.1.12.10 2008.01.11 -
AntiVir 7.6.0.46 2008.01.11 TR/Dropper.Gen
Authentium 4.93.8 2008.01.12 -
Avast 4.7.1098.0 2008.01.12 -
AVG 7.5.0.516 2008.01.12 PSW.Generic5.AGSP
BitDefender 7.2 2008.01.13 -
CAT-QuickHeal 9.00 2008.01.12 -
ClamAV 0.91.2 2008.01.13 -
DrWeb 4.44.0.09170 2008.01.13 -
eSafe 7.0.15.0 2008.01.10 suspicious Trojan/Worm
eTrust-Vet 31.3.5451 2008.01.11 -
Ewido 4.0 2008.01.13 -
FileAdvisor 1 2008.01.13 -
Fortinet 3.14.0.0 2008.01.13 -
F-Prot 4.4.2.54 2008.01.13 -
F-Secure 6.70.13030.0 2008.01.12 Trojan-Spy.Win32.BZub.bxb
Ikarus T3.1.1.20 2008.01.13 Trojan-Spy.Win32.BZub.bxb
Kaspersky 7.0.0.125 2008.01.13 Trojan-Spy.Win32.BZub.bxb
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.13 -
NOD32v2 2787 2008.01.13 a variant of Win32/TrojanDropper.Agent.NHB
Norman 5.80.02 2008.01.11 -
Panda 9.0.0.4 2008.01.13 -
Prevx1 V2 2008.01.13 -
Rising 20.26.62.00 2008.01.13 -
Sophos 4.24.0 2008.01.13 -
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.13 -
TheHacker 6.2.9.186 2008.01.11 -
VBA32 3.12.2.5 2008.01.13 -
VirusBuster 4.3.26:9 2008.01.12 -
Webwasher-Gateway 6.6.2 2008.01.13 Trojan.Dropper.Gen
Information additionnelle
File size: 106496 bytes
MD5: 32ffbc52c6847043347f62002f66a263
SHA1: 418c6b14e50f6e6708fc1398e979d348a7a7a1c0
PEiD: -
packers: UPX
packers: PE_Patch.UPX, UPX



Deux autres captures avec deux autres pare-feux qui détectent donc le fichier msn_0xxx_updxxxxx.exe :

Image
Image

On notera l'utilisation du social engineering avec l'utilisation du mot msn dans le nom du fichier infectieux afin de semer le doute chez les internautes, fichier légitime ou non ?
En faisant le bon choix (bloquer le fichier), le pare-feu a permis sans antivirus de bloquer l'installation de l'infection.

Les conclusions et limites des pare-feux

Suite à la démonstration ci-dessus, on notera que :

* Le pare-feu permet de bloquer l'installation de l'infection même sans antivirus. Dès lors, il permet d'être un complément important de l'antivirus dans la protection d'un ordinateur sur internet, surtout face aux infections inconnues de celui-ci.
* Beaucoup des pare-feux personnels, à l'heure actuelle, s'approchent des IDS / HIPS puisque certains détectent les modifications du registre, d'autres incorporent une détection comportementale et enfin certains permettent l'exécution ou non de nouveaux fichiers. Ce qui est un plus indéniable.


Les limites des pare-feux sont doubles :

* Une fois l'infection installée, le pare-feu peut permettre de bloquer ce pourquoi l'infection a été conçue. Par exemple, si l'infection est prévue pour envoyer des mails de SPAM à votre insu, le pare-feu va détecter le trafic sortant vers les serveurs de mails et vous en informer. Il est alors possible de bloquer ce trafic.
Néanmoins, il est toujours possible techniquement de duper le pare-feu, en première ligne, l'utilisation des rootkits ancrés très bas dans le système peut permettre d'outrepasser le pare-feu installé.
On revient alors au jeu du chat et la souris entre les auteurs de malwares et les éditeurs de sécurités.
Cet aspect ne sera pas évoqué en détail dans cet article, certains tests dits leaktests (test de fuite) permettent de tester l'efficacité des pare-feux.
Je vous renvoie vers un article très bien fait de Kaspersky : Les leaktests en tant qu'outils d'évaluation de l'efficacité du pare-feu.
* La seconde limite des utilisateurs est l'internet. La majorité des pare-feux fonctionnant en mode apprentissage, un utilisateur non averti, ne connaissant pas son système peut ne pas savoir quelle application laisser passer ou non. Lors d'une tentative d'infection, si l'utilisateur fait le mauvais choix en autorisant l'application sur le pare-feu, l'infection s'installera sans soucis.


Or dans certains cas, avec un soupçon de social engineering, il est très difficile pour l'internaute de faire la part des choses.

Nous ne pouvons que conseiller de suivre cette recette : si vous ne savez pas ce qu'est l'application/fichier, bloquez-la sur le pare-feu; en outre, (supprimer en outre) il est ensuite possible de poser la question sur des forums, dans le cas d'une application/fichier légitime, vous autorisez par la suite l'application/fichier sur le pare-feu.

FAQ sur les pare-feux

Une petite FAQ sur les questions qui reviennent le plus souvent sur les pare-feux.

Q - Est-ce que le pare-feu de Windows XP XP2 est efficace ?

Le pare-feu de Windows XP SP2 ne filtre que le trafic entrant, dès lors il ne protège que des intrusions venant de l'internet, comme par exemple les scans ou les infections automatisés (vers) qui exploitent des failles à distance comme c'était le cas du ver Blaster.
Il ne protège pas contre les infections via des Exploits sur les sites WEB piégés puisque le Trojan-Downloader à l'origine de l'infection va émettre une connexion sortante afin de télécharger le reste de l'infection sur un site WEB.
De plus (à la place de "en outre" pour éviter répétition), il est très facile aux infections d'ajouter des exceptions sur le pare-feu de Windows XP SP2. En effet, les exceptions ne sont que des entrées dans la base de registre, en exécutant les fichiers infectieux avec les droits administrateurs, le malware n'a juste qu'à ajouter l'entrée dans le registre pour mettre les fichiers infectieux en exception sur le pare-feu de Windows XP SP2.
En outre, les pare-feux s'approchant de plus en plus des IDS, il est conseillé d'en installer pour améliorer la sécurité de son PC.

Q - Je me connecte via un routeur, suis-je protégé ?

Un routeur agit comme pare-feu pour les ordinateurs du réseau local qui y sont connectés. Le routeur n'autorise que les connexions iniatialisées depuis le réseau local.
C'est à dire qu'il va autoriser les connexions sortantes depuis un ordinateur du réseau local et bloquer les connexions depuis internet via ces ordinateurs.
Dès lors, on retombe sur le cas ci-dessus avec le pare-feu Windows XP SP2.
Vous serez protégé des vers automatiques qui exploitent des failles distances (distantes? à distance?)mais pas des autres infections.
(supprimer "en outre")Les pare-feux s'approchant de plus en plus des IDS, il est conseillé d'en installer pour améliorer la sécurité de son PC.

Q - Quel est le meilleur pare-feu ?

Voici deux comparatifs effectués via des leaktests (tests de fuites) :
Leaktests de firewalleaktester.com : http://www.firewallleaktester.com/tests.php
LeakTests de matousec.com : http://www.matousec.com/projects/window ... esults.php

Pour plus d'informations sur les leaktests, je ne peux que vous renvoyer à l'article de Kaspersky : Les leaktests en tant qu'outils d'évaluation de l'efficacité du pare-feu.

Les tutorials des pare-feux du site de la partie "Aides Logiciels" : http://www.malekal.com/menu_tutorials_logiciels.php


Q - Comment puis-je vérifier que mon pare-feu fonctionne ?

Vous pouvez effectuer des tests d'intrusions via des sites WEB conçus (ajouter: pour cela). Le test n'est effectif que si vous vous connectez depuis un modem; si vous vous connectez depuis un routeur, ce sera le pareu-feu du routeur que vous testerez.
Test intrusion :
ixus.fr (en français
ShieldsUP! (en anglais)
QuickTest pcflank (en anglais)

LeakTest entrant et sortant : http://www.firewallleaktester.com/
(Tutorial : http://astuces.microcoms.net/securite/d ... ction.html )

Conclusion

A l'heure où les infections se multiplient, accouplé à un antivirus, l'utilisation d'un pare-feu filtrant les connexions entrantes et sortantes devient incontournable.

.............................................................................................................................................


un réseau,des réseaux
un pare-feu,des pare-feux
un jeu, des jeux

Quelle amélioration spectaculaire, y compris dans la ponctuation !!!!!!

[Malekal_morte]

Pour les "pare-feux" j'ai du mal avec les mots en deux mots pour les pluriel.
J'ai encore tendance à mettre un s !
Tu noteras que exécuter à son accent maintenant!