A lire aussi, cet autre dossier : Les vulnérabilités
Petit rappel une faille de sécurité est un bug qui modifie le comportement initial de l'application en autorisant des actions non prévues. En exploitant une faille de sécurité, on peut mettre en péril la sécurité du système :
- Monter en privilège, par exemple en devenant administrateur et donc faire tout ce que l'on veut sur la machine
- Executer un code (fichier).. sur la machine alors que cela est interdit..
La faille de sécurité locale :
Pour pouvoir être exploité l'attaquant doit avoir un accès à la machine (physique ou à distance telnet/ssh etc..).. il doit connaître un nom d'utilisateur et un mot de passe. Une fois connecté, il exploite pour par exemple élever ses privilèges d'un compte limité il devient administrateur sur la machine.
Il est donc important d'avoir un mot de passe fiable pour chaque utilisateur.
La faille de sécurité peut aussi être exploitée sans l'intervention extérieure.. par exemple si votre navigateur WEB comporte des failles ou un logiciels, la simple visite d'un site piégé peut permettre l'exploitation et la compromission du système.
Un exemple sur cette page :
IE6 VS IE 7 : Pourquoi maintenir son navigateur à jour ?
De même si votre lecteur vidéo/audio (Winamp, QuickTime etc..) comporte une faille, l'ouverture d'une vidéo/MP3 piégé peut permettre l'installation d'une infection sur votre système.
C'est aussi le cas pour les plugins de votre navigateur WEB : Exploitation SWF/PDF et Java - système non à jour = danger
L'exécution et l'installation de l'infection se fait automatiquement et à l'insu de l'utilisateur.
Conclusion : au lieu de vous demander quel est le meilleur antivirus, commencez par prendre l'habitude de maintenir votre système et vos logiciels à jour
Pour maintenir son système à jour, faites un Scan de vulnérabilités et mettez vos logiciels à jour.
Vous trouverez des exemples et explications supplémentaires sur les pages suivants :
- Exploits sur site WEB
- Flash, Java et Adobe Reader via des PDF malicieux.
- Le danger des failles de sécurité
La faille de sécurité à distance :
Les failles de sécurité les plus dangereuses sont celles qui sont exploitables à distance.. c'est à dire que la faille peut être exploitée par simple connexion à distance depuis un autre poste.
Les auteurs de malwares profitent de ces failles à distances pour infecter les ordinateurs, tout simplement en automatisant les tâches.
Pour cela, ils infectent quelques ordinateurs qui a leur tour tentent d'infecter d'en infecter d'autre et ainsi de suite... Les ordinateurs infectés tentent en permanence d'infecter d'autres ordinateur sur le réseau, il est alors impossible d’arrêter ces infections car il faudrait stopper TOUS les ordinateurs infectés en même temps de par le monde.
Ces infections se nomment vers, ils peuvent se propager d'une manière vulgurante, sautant d'ordinateurs en ordinateurs.
Les vers les plus connus ont été Blaster, Sasser etc...
Voici un schéma qui illustre ces infections :
Attention, seul les ordinateurs connectés avec un modem sont affectés, ceux connectés avec un routeur/box ne le sont pas
Lorsque vous installez Windows.. ce dernier installe par défaut des services qui ouvrent des ports (imaginez cela comme des ports ouvertent par lesquels d'autres ordinateurs peuvent se connecter pour utiliser le service installé sur l'ordinateur), seulement si vous installez de vieilles versions de Windows sans service pack, ces services comportent des failles qui sont automatiquement exploités par les autres ordinateurs infectés du réseau.
Dès la connexion votre ordinateur est alors infecté!
Comment se protéger des infections par failles de sécurités
Voici quelques conseils qui vont vous permettre de vous prévenir de ses infections
La première chose mais qui n'est pas toujours la plus simple est de maintenir son système à jour (Windows & les logiciels installés).
- En ce qui concerne Windows, il convient d'activer les mises à jour automatiques et/ou se connecter régulièrement sur Windows Update, pour plus d'informations, reportez-vous au sujet : Maintenir Windows à jour avec Windows Update
- Pour les logiciels installés, vous trouverez un scan de vulnérabilités qui permet de vous indiquer si vos logiciels sont à jour : Scan de vulnérabilités
En second lieu vous devez installez un pare-feu (firewall), vous trouvez une liste munie d'un guide dans la partie Tutoriels Logiciels du site.
Un pare-feu est un programme qui permet de filtrer les connexions entrantes et sortantes. Donc un pare-feu permet de renforcer la sécurité de votre ordinateur et vous protège des tentatives d'intrusions ainsi que des tentatives d'infections depuis l'extérieur.
Dans le cas où votre système est vulnérable par une faille à distance, le pare-feu (s'il est bien configuré) vous protège.
Attention contrairement aux idées reçues le pare-feu ne ferme pas tout à fait les ports, certes du point de vue extérieures, le port semble fermer (ou masquer) si le pare-feu filtre les tentatives de connexion mais si l'on se place du point de vue du système, le port reste ouvert.
Ce qui signifie que si votre système n'est pas à jour mais protégé par un mot de passe, si votre pare-feu s'arrête, votre ordinateur sera infecté.
Voici le schéma explicatif :
Pour aller plus loin : Il faut fermer les ports, pour fermer vous devez arreter l'application ou le service à l'origine de l'ouverture du port.
Certains programmes permettent de fermer les ports dangereux, c'est le cas de Windows Worms Doors Cleaner (WWDC) ou en français ZebProtect
Attention, si votre ordinateur est en réseau la fermeture du port 445 peut empêcher le partage de fichiers/imprimantes
Pour aller plus loin, je vous invite à lire l'article Pourquoi et comment je me fais infecter?
Cas particuliers
Formatage et réinstallation de Windows
Si vous réinstallez votre système pour une raison X et que vous possedez un CD Windows XP sans service pack ou avec le service pack 1 et si vous vous connectez avec un modem, à la première connexion c'est l'infection assurée!
Vous devez donc télécharger au prélable un pare-feu ou les mises à jour afin de vous connecter protégé, cet article vous explique comment Préparer le formatage de son ordinateur
Le Windows cracké
Microsoft lors des mises à jour vérifie l'authenticité de votre copie de Windows, si celle-ci est piratée, les mise à jour sont interdites, cela signifie :
- que si vous vous connectez via un modem, si votre pare-feu s'arrête (pour une raison X, ou parce que vous avez été infectée par une autre voie..), c'est l'infection générale.
- votre navigateur WEB internet explorer n'est pas à jour et comporte des failles locales.. ce qui signifie que la simple visite d'un site piégé entraîne l'infection.
Il est donc conseillée d'avoir une copie légale ou dans le cas où vous ne souhaitez pas payer vos logiciels, passez à GNU/Linux
Conclusion
Une des règles élémentaires en matière de sécurité est de garder son système à jour si vous ne voulez pas vous faire infecter en tombant sur un site piégé ou en vous connectant directement à internet.
L'autre règle de base est de télécharger et installer des programmes depuis des sources sûres (pas de P2P, le premier site venu etc..) et ne pas les cracker... Les cracks étant une voie d'infection très utilisée.
Quelques liens pour améliorer la sécurité de votre ordinateur : Vous trouverez des exemples et explications supplémentaires sur l'exploitation de vulnérabilités locales via des pages WEB malicieuses sur les pages suivants :