Menaces pesant sur un ordinateur sous système MS-WINDOWS

GENERALITES :

Un ordinateur, au sens large du terme (que ce soit un PC, un Mac, un PDA, un Smartphone), subissent des menaces de toutes parts. Ces menaces revêtent plusieurs formes :

  • les failles de sécurité du système d’exploitation. Grâce à elles, il est possible de connaître tout le contenu d’un ordinateur, dans le meilleur des cas, voire même d’en prendre le contrôle total, ceci généralement à l’insu de son propriétaire : une fois qu’elles ont été détectées, il peut s’écouler plusieurs jours avant que l’éditeur du système d’exploitation propose un patch de sécurité afin de les corriger (en attendant, l’ordinateur reste vulnérable)

  •  les failles de sécurité du Flash-Bios. Là, c’est un peu plus délicat car il s’agit d’un mini système d’exploitation mais ne concernant que la partie matérielle et située en mémoire flash (qui reste donc permanente). Cette fois, ce n’est plus l’éditeur qui corrige la faille mais le fabricant du matériel (les mise à jour peuvent, cette fois encore, s’avérer longue)
  • des programmes malicieux tels que les Trojan (chevaux de Troie) ou les keyloggers : ces programmes de petite taille ont pour objectif principale de récupérer toutes les données sensibles de l’utilisateur (principalement les données bancaires, mais pas uniquement), également tout ce qui peut être saisi au clavier (principalement les numéros de compte et les mots de passe)
  • des programmes espions qui sont chargés de profiler l’utilisateur (habitudes de surf, fichiers de données résidents, publicités ciblées…etc)
  • des programmes d’attaque (ces programmes ne s’activent que quand l’individu qui les contrôle le demande). Les ordinateurs hébergeant ces types de programmes sont appelés zombies. Les zombies servent généralement à provoquer des déni de services sur des serveurs (Attaque DoS)
  • des virus en tout genre et aux objectifs divers et varié
  • des tromperies en tout genre circulant par courriel, le but de ces tromperies étant de pousser l’utilisateur à acheter un produit (généralement une contre-façon) ou encore à laisser ses coordonnées de comptes bancaires sur un faux site (phishing) ou à soutirer de l’argent à l’utilisateur pour de faux motifs (arnaque africaine)
  • des fausses rumeurs en tout genre circulant par courriel (hoax)

 


CIBLAGE DU SYSTEME D’EXPLOITATION :

Certains systèmes d’exploitation sont d’avantage visés que d’autres par ces différentes menaces.
En réalité, ils sont la cible favorite des menace car ils occupent une part majoritaire sur le marché ; et, plus les cibles sont nombreuses, plus il y a de victimes.

Comme nous l’indique un article de ZD-Net (01), sur l’année 2013, le système d’exploitation le plus utilisé à travers le monde reste Microsoft-Windows 7. Et si l’on regarde, plus généralement, la part de marché occupé par des systèmes d’exploitation Microsoft reste de l’ordre de 91% ; ce qui en fait une cible idéale pour l’ensemble des menaces citées plus haut. De plus, si à ce chiffre déjà énorme, on ajoute la part de marché occupée par des système d’exploitation Apple, on arrive au chiffre d’environ 98%, représentant l’ensemble des systèmes privateurs.

Connaissant ces menaces, pourquoi les utilisateurs ne choisissent-ils donc pas un système d’exploitation libre tel que GNU-Linux, par exemple ? La 1ère réponse à cette question, et sans doute la seule majeure, est basée sur ces parts de marché, précisément. Les utilisateurs choisissent Microsoft car ils n’ont pas vraiment le choix ; ceci malgré le fait que des mesures légales aient été prises concernant les ventes liées (ordinateur+système d’exploitation). Et le marché tel qu’il est n’est pas prêt de changer car les lobby des éditeurs sont si important qu’ils sont capable même d’empêcher l’application de la législation.

L’APRIL (02) est unes association de défense des consommateurs. Elle se bat contre, précisément, ces ventes liées (voir à ce propos, la présentation (03) qu’elle en a faite) mais également dans le but de promouvoir les logiciels libres. Des unions de consommateurs, telles que l’AFUL (04), ont également tenté d’informer le grand public sur les ventes liées


FAILLES DE SECURITE DU SYSTEME D’EXPLOITATION :

Les failles d »un système d’exploitation, sont, en réalité, des bugs (05) ou des anomalies qui mettent en péril la sécurité d’un ordinateur. En effet, un système d’exploitation exempt de bug à 100% n’existe pas. Il en va de même de sa sécurité.

Ce type de bugs ou d’anomalie provient d’erreurs de programmation des développeurs du code source du système d’exploitation. Ce sont ces mêmes développeurs qui vont apporter les correctifs nécessaires. Il devient alors évident que ces correctifs ne seront apportés que dès lors où les développeurs auront été informés de l’existence de ces failles, en attendant, certaines personnes peuvent exploiter ces failles dans l’intention d’en informer le grand public de leur existence (dans ce cas, ce sont des hackers (06)) ou dans l’intention de s’approprier des données et diverses informations ou de prendre le contrôle de l’ordinateur (dans ce cas, ce sont des pirates (07))

1- Systèmes d’exploitation privateurs :
Concernant les systèmes d’exploitation privateurs (MS-WINDOWS, MAC OS…etc), la publication de nouveaux patch correctifs reste irrégulière ; et, bien que de tels systèmes d’exploitation soient payants, les patch ne le sont pas. Microsoft dispose d’un site spécialisé dans ces patchs correctifs : windows Update (08)

Quand à la mise à jour totale du système d’exploitation par de nouvelles versions, tout comme les patch, celle-ci reste encore plus irrégulière. De plus, dans le cas de système d’exploitation Microsoft, ceux-ci ont une durée de vie limitée ; il est courant que cet éditeur supprime du support tel ou tel système ; et Microsoft ne se prive pas de le dire dans cet article (09) par exemple… Cette raison est essentiellement commerciale puisque l’éditeur oblige quasiment les utilisateurs à changer leur système (voire leur ordinateur) qui ne sera plus supporté (dans les mises à jour et correctifs)

2- Systèmes d’exploitation libres :
Concernant les systèmes d’exploitation libres tels que GNU-LINUX, des patchs correctifs et des mises à jour des paquets ne sont pas réguliers ; mais, par contre, plus rapide que sur les systèmes privateurs : du fait que le code source de ces systèmes d’exploitation soient ouverts (lisible et modifiable), il y a, en effet, toute une communauté qui s’en occupe alors que les équipes ds développeurs des compagnies privatrices ne sont que quelques dizaines.

De plus, les mises à jour total du noyau GNU-LINUX et des distributions suit un calendrier précis : tous les 6 mois (2 fois par an). Gros avantage ici, c’est que GNU-LINUX, les différentes distributions et les programmes sont libres et très souvent gratuits. Vous aurez d’avantage d’info sur GNU-LINUX en allant consulter l’article général du Wiki (10)

3- La sécurité :
De nombreuses tentatives d’intrusion sur un système d’exploitation utilisent ses failles ou exploitent certaines faiblesses (par exemple, une ouverture de certains ports). De ces propos découle qu’il est primordial de disposer d’un système d’exploitation le plus sécurisé possible. Un système tel que GNU-LINUX s’en approche du fait de l’ouverture de son code et, donc, de la rapidité de réaction dans les modifications apportées (correctifs, améliorations…), permet ce type de sécurisation. De plus, l’existence de certains modules (11) a permis de renforcer cette sécurité.

Il existe des programmes appelés scanner de vulnérabilités (12) qui sont utilisés pour tester les failles de sécurité d’un système d’exploitation. Voici quelques uns de ces programmes : Nessus (13), Open VAS (14) ou Hping (15)


FAILLES DE SECURITE MATERIELLES  (Flash-Bios…etc) :

Les failles de sécurité matérielles concernent, en réalité, des instructions écrites sur les puces des cartes mères ou encore dans la mémoire permanente (ROM) des différents appareils (que ce soit des ordinateurs ou non) et qui sont erronées ou laisse apparaître anomalies et bugs.

La correction de ces failles s’effectuera par les fabricants du matériel. Quelques fois même, ces corrections ne seront pas effectuées : un nouveau matériel apparaitra purement et simplement sur le marché dans une nouvelle version.

Les anciens matériels à base de BIOS (16) sont beaucoup moins sensibles aux attaques qui peuvent y être effectuées que les matériel à base de UEFI (17). En effet, ceux-ci ont parfois des failles de sécurité qui peuvent être utilisées aux dépend de l’utilisateur. La pénétration d’un tel matériel peut s’effectuer grâce à des bootkits qui sont, évidement, non détectables par les anti-virus actuels, puisque le système d’exploitation n’est pas encore exécuté. SSTSI a écrit un article détaillé (18) à ce propos.

Un article de PC IMPACT (19) a été publié et concerne les failles repérées sur les ordinateurs de marque SAMSUNG

Dans tous les cas, et quelque soit le matériel que vous utilisez, vous devez disposer de la dernière version de firmware (uniquement celle disponible chez votre fabriquant de matériel). De plus, il est fortement recommandé de protéger l’accès à son système d’exploitation ainsi qu’à son firmware en les protégeant tous les 2 par un accès par mot de passe au démarrage.


PROGRAMMES MALICIEUX :

Souvent appelés Malware (20), les programmes malicieux revêtent plusieurs formes : Trojan, Keylogger, Sniffer, Ransonware

1- Trojan :

Les Trojan ou chevaux de Troie (21) sont des programmes qui permettent au pirate au récupérer des données ou d’accéder à la machine sur lequel réside ce programme, en exploitant un canal de discussion dissimulé (22) Ces différentes actions du pirates s’effectuent, évidemment, à l’insu du propriétaire de la machine sur lequel réside le programme. Le trojan fonctionne de la manière suivante : le programme serveur est installé sur la machine cible ; le pirate utilise le programme client, qui va lui permettre de se connecter au serveur.

Le programme serveur doit être installé sur la machine cible pour pouvoir fonctionner. Là encore, cette installation s’effectue discrètement (de manière invisible). Son exécution reste également invisible (dans les tâches en cours, notamment).

Si votre machine est totalement bloquée et ceci dès son démarrage, et, que, pour la débloquer, une société située à l’étranger et/ou un individu vous réclame de l’argent, votre machine étant, dans ce cas, victime d’un ransomware, ne cédez surtout pas au chantage et adressez vous à des spécialistes en informatique sur le territoire national : il en existe plusieurs et nul ne doute qu’ils pourront vous aider.

Pour s’en protéger, comme les trojan utilisent des ports de communication (23), il reste fortement conseillé d’utiliser un pare-feu (24) et également de fermer tous les ports que vous n’utilisez pas sur votre machine.

La diffusion du programme serveur s’effectue souvent via des courriels avec pièce jointe, via un liens pointant sur le programme, dissimulé dans les pages web visitées…etc. Les facteurs de risque restent très nombreux.

2- Keylogger :

Les keylogger ou enregistreur de frappe (25) sont des programmes chargés de récupérer tout ce qui est frappé au clavier par l’utilisateur de la machine site sur laquelle réside ce programme et transmettre ces information au pirate. Ce programme reste très utile pour le pirate car il va lui permettre de récupérer des mots de passe, des codes de cartes bleues, des codes d’accès à des établissements bancaires…etc

La CNIL dénonce même certaines sociétés qui surveilleraient leurs propres salariés grâce à des keylogger dans une article du 20-03-13 (26)

Là encore, et comme pour les trojan, la solution de protection sera également l’usage d’une pare-feu.

Concernant ces 2 types de programmes, voici quelques conseils qui pourront vous aidez, si, malgré tout, vous persistez à vouloir utiliser un système d’exploitation privateur :

  • disposez d’un système d’exploitation avec les dernières mises à jour
  • disposez d’un pack de sécurité suffisant pour faire face à toute situation : un pare-feu, un anti-virus, un anti-malware/spyware, un anti-spam
  • n’ouvrez que des courriels dont vous connaissez l’origine ou ne surfez que sur des sites dont vous êtes sûrs
  • fermez les ports de communications que vous n’utilisez pas.

3- Autres programmes (sniffer, scanner…etc) :

Par contre, un programme sniffer ou reniffleur réseau (27) reste indétectable car il ne réside pas sur la machine cible. Il est installé sur la machine du hacker ou du pirate. Ce programme sert à écouter tout le traffic réseau que peut émettre et recevoir votre machine. Un hacker se servira d’un sniffer afin de détecter des failles de sécurité réseau, un pirate s’en servira, là encore, pour récupérer tout ce qui est frappé au clavier, ceci sans se faire détecter. Les sniffer réseau sont en usage libre à partir du moment où vous ne scanner que votre propre machine ou celle d’une personne consentante. En voici quelques-uns : wireshark (28), IP Sniffer (29), EtherDetect (30)

Dans le même genre de programme, il y a les scanner de ports (31). Ces programmes, tout comme les sniffer, restent indétectables car ils ne résident pas sur la machine cible. Un scanner est installé sur la machine du hacker ou du pirate, qui va l’utiliser selon ses propres objectifs. Ces programmes permettent de vérifier, sur une machine, quels sont les ports de communication ouverts. Un hacker va se servir du scanner de ports afin de vérifier si une machine cible ne dispose pas de ports anormalement ouverts, indiquant alors une faille de sécurité potentielle, d’agissement de programmes inconnus (troyan, keylogger…etc) ; ceci afin de pallier à ce soucis. Un pirate, par contre, va se servir d’un scanner de port afin de détecter les failles de sécurité sur une machine et s’en servir afin d’en prendre le contrôle. Les scanner de ports sont en usage libre à partir du moment où vous ne scanner que votre propre machine ou celle d’une personne consentante. En voici quelques-uns : nmap (32), autoscan network (33) Et pour avoir la liste des ports ouverts sur votre machine, vous pouvez utiliser le programme CurrPorts (34)

Le même type de scanner existe pour les réseaux wifi (35). La simple différence, c’est que les scanner wifi vont rechercher les points d’accès afin d’en établir une liste, ainsi que celle des machines qui y sont connectées. Un hacker va scanner un réseau wifi afin d’en détecter ses failles et les signaler à son propriétaire. Un pirate va scanner un réseau wifi pour s’y connecter par diverses techniques (36) et y accomplir ses forfaits.  Là, évidemment, ce n’est pas le système d’exploitation qui va détecter l’intrusion mais le routeur/box (par des voyants qui s’allument anormalement, par exemple) Pour s’en protéger (ou rendre les intrusions plus difficiles), le propriétaire de la borne wifi devra la protéger via des procédés de cryptage plus efficaces (par exemple, en choisissant un protocole WPA plutôt que WEP, ou un protocole WPA RADIUS plutôt qu’un protocole WPA, faut-il, encore que son routeur/box le lui permette) : consultez, à ce propos, le site de Wireless Defence (37). Voici quelques programmes de scanner wifi : kismet (38), arcrack-ng (39) et backtrack 3 (40)


PROGRAMMES ESPIONS :

Souvent appelés Spyware, les programmes espions (41) ne recherchent qu’une seule chose : soutirer des informations à un utilisateur afin de s’en servir contre lui
Dans tous les cas, ces informations ne sont jamais anodines.

Parmi ce type de programmes, on retrouve aussi des adware ou publiciels (42). Ce sont des programmes qui envoient des publicités ciblées vers les machines qui les contiennent.

Pour lutter contre ce type de programmes, il existe plusieurs programmes permettant l’élimination des spyware et des adware. Cependant, j’attire votre attention sur le fait que certains sites vous font la promo de certains programmes, mais après analyse, il s’avère que contiennent toutes sortes de joyeusetés telles que trojan, keylogger, adware, spyware…etc A éviter donc au plus haut point et se méfier de toutes adresse web non fiable ou non connue.

Voici ces programmes, eux de véritables outils (et non des leurres), qui ont fait leurs preuves depuis plusieurs années : Ad-aware (43), spybot search and destroy (44), malwarebytes (45)


PROGRAMMES D’ATTAQUE :

Un programme d’attaque est une véritable arme électronique, qui va cibler une machine en particulier ; notamment, dans le but de la désactiver. Vous pourrez avoir des info sur les différentes attaques en consultant l’article wiki (46)

Comme une seule machine ne suffit pas pour attaquer la cible, il faut que ce programme d’attaque contrôle plusieurs centaines, voir même milliers de machine, afin de leur ordonner cet ordre d’attaque. On appelle ces machine des zombies (47) Vous pouvez consulter, à ce propos, un article très intéressant et détaillé écrit par Kasperski (48)

Toutes les machines zombies vont servir, grâce au programme d’attaque (et au pirate qui le contrôle), à effectuer des attaques de masse pour :

  • envoyer un grand nombre de courriels publicitaires (spam ou pourriels (49)) ;
  • envoyer un grand nombre de courriels de sécurité (phishing ou hameçonnage (50)) ;
  • désactiver un serveur web (Denial of Service ou déni de service (51)) ;

1- Attaques Denial of Service (DoS) :
Dans les attaques DoS, on distingue plusieurs type :

  • Ping of Death (ou PoD) ou Ping de la Mort (52) : Attaque envoyant un paquet IP dont la taille est beaucoup trop importante pour être acceptée par la machine cible
  • Syn Flooding ou connexion semi-ouverte (53) : Attaque envoyant un paquet IP dont le destinataire est inconnu par la machine cible, le destinataire ayant préalablement été spoofé
  • Smurf ou attaque par rebonds (54) : Attaque envoyant des paquet IP via le protocole ICMP par broadcasting

2- Autres formes d’attaques :
Il existe aussi 2 autres formes d’attaque, toujours dans le but de désactiver une machine. Le pirate, selon son objectif, va, soit désactiver une machine sur le réseau (spoofing) ; soit la rendre inopérationnelle (buffer over flow).

  • attaque par spoofing ou usurpation d’adresse IP (55) : c’est une des technique les plus utilisée par les hacker ou les pirates : prendre l’adresse ip d’une autre machine que la sienne afin de dissimuler ses actions.
  • attaque par buffer over flow ou débordement de tampon (56) : c’est une attaque qui rend une machine totalement inopérationnelle et qui est également très utilisée

 


ATTAQUES PAR COURRIELS :

Ces attaques prennent différentes formes :

  • le spam ou pourriels – Le but de ces courriels est de vous faire généralement acheter quelque chose (des contrefaçon dans les cas les plus graves)
  • le phishing ou hameçonnage – Le but de ces courriels est de vous soutirer certaines informations essentielles (codes bancaires dans les cas les plus graves)
  • l’arnaque africaine – Le but de ces courriels consiste a vous soutirer de l’argent en jouant sur vos sentiments
  • le hoax ou rumeurs – Le but de ces courriels est purement et simplement de faire courir de fausses rumeurs

La seule et unique manière et s’en protéger est, d’une part, de ne faire confiance à aucun des courriels que vous recevez à part ceux dont vous êtes certains de l’origine, d’autre part, à utiliser un programme approprié contre ce type de courriel

Voici quelques programmes appropriés : Spam Assassin (57), Spam Bayes (58), Spamihilator (59), K9 (60)


SOURCE

(01) http://www.zdnet.fr/actualites/chiffres-cles-les-systemes-d-exploitation-sur-pc-39790131.htm
(02) https://www.april.org
(03) https://www.april.org/groupes/vente-liée
(04) http://non.aux.racketiciels.info/documentation/revue-presse
(05) https://fr.wikipedia.org/wiki/Bug_(informatique)
(06) https://fr.wikipedia.org/wiki/Hacker_(université)
(07) https://fr.wikipedia.org/wiki/Pirate_(homonymie)#Informatique
(08) https://windowsupdate.microsoft.com/
(09) http://windows.microsoft.com/fr-fr/windows/lifecycle
(10) https://fr.wikipedia.org/wiki/Noyau_Linux
(11) https://fr.wikipedia.org/wiki/Linux_Security_Modules
(12) https://fr.wikipedia.org/wiki/Scanneur_de_vulnérabilité
(13) https://fr.wikipedia.org/wiki/Nessus_(logiciel)
(14) https://fr.wikipedia.org/wiki/OpenVAS
(15) https://fr.wikipedia.org/wiki/Hping
(16) https://fr.wikipedia.org/wiki/Basic_Input_Output_System
(17) https://fr.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface
(18) https://www.sstic.org/media/SSTIC2013/SSTIC-actes/uefi_et_bootkits_pci/SSTIC2013-Article-uefi_et_bootkits_pci-chifflier.pdf
(19) http://www.generation-nt.com/samsung-faille-bug-uefi-ordinateur-portable-brique-actualite-1692822.html
(20) https://fr.wikipedia.org/wiki/Logiciel_malveillant
(21) https://fr.wikipedia.org/wiki/Cheval_de_Troie_(informatique)
(22) https://fr.wikipedia.org/wiki/Canal_caché
(23) https://fr.wikipedia.org/wiki/Port_(logiciel)
(24) https://fr.wikipedia.org/wiki/Pare-feu_(informatique)
(25) https://fr.wikipedia.org/wiki/Enregistreur_de_frappe
(26) http://www.cnil.fr/linstitution/actualite/article/article/keylogger-des-dispositifs-de-cybersurveillance-particulierement-intrusifs/
(27) https://fr.wikipedia.org/wiki/Analyseur_de_paquets
(28) https://fr.wikipedia.org/wiki/Wireshark
(29) http://www.clubic.com/telecharger-fiche58110-ip-sniffer.html
(30) http://www.etherdetect.com/
(31) https://fr.wikipedia.org/wiki/Balayage_de_port
(32) http://nmap.org/
(33) http://autoscan-network.com/
(34) http://www.nirsoft.net/utils/cports.html
(35) https://fr.wikipedia.org/wiki/Réseau_sans_fil
(36) http://www.wakdev.com/wiki/divers/47-crack-piratage-dun-reseau-wifi.html
(37) http://www.wirelessdefence.org
(38) http://www.kismetwireless.net/
(39) http://www.aircrack-ng.org/doku.php
(40) http://www.remote-exploit.org/backtrack_download.html
(41) https://fr.wikipedia.org/wiki/Logiciel_espion
(42) https://fr.wikipedia.org/wiki/Publiciel
(43) http://fr.lavasoft.com/products/ad_aware_free.php
(44) http://www.safer-networking.org/dl/
(45) http://fr.malwarebytes.org/
(46) https://fr.wikipedia.org/wiki/Insécurité_du_système_d’information
(47) https://fr.wikipedia.org/wiki/Machine_zombie
(48) http://www.viruslist.com/fr/downloads/pdf/ynam_botnets_0907_fr.pdf
(49) https://fr.wikipedia.org/wiki/Pourriel
(50) https://fr.wikipedia.org/wiki/Hameçonnage
(51) https://fr.wikipedia.org/wiki/Attaque_par_déni_de_service
(52) https://fr.wikipedia.org/wiki/Ping_de_la_mort
(53) https://fr.wikipedia.org/wiki/SYN_flood
(54) https://fr.wikipedia.org/wiki/Attaque_par_rebond
(55) https://fr.wikipedia.org/wiki/Usurpation_d’adresse_IP
(56) https://fr.wikipedia.org/wiki/Dépassement_de_tampon
(57) https://spamassassin.apache.org/
(58) http://spambayes.sourceforge.net/
(59) http://www.spamihilator.com/en/
(60) http://keir.net/k9.html

Publicités
Cet article a été publié dans Logiciels et systèmes, Systèmes d'Exploitation. Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s