Safe attitude - Causes et conséquences d'une contamination

Réactions à avoir face à la découverte d'un parasite

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Vous avez découvert quelque chose d'anormal sur votre machine grâce à un utilitaire de sécurité ou par tout autre moyen. Comment agir et réagir ?

Agir dans 3 directions différentes simultanément
La présence, sur une machine, de parasites ou d'outils apparemment anodins, mais inattendus, ne doit pas être prise à la légère (y compris la présence de simples documents - pas des programmes - tels des textes de cours de crack ou de hack ou de carding (anarchie, carding, cracking, etc. ...)). La réaction ne doit pas se limiter au simple effacement.

Face à cette présence, nous devons engager des actions dans 3 directions différentes simultanément sinon nous risquons le virus PEBCAK. Il faut :
  1. Corriger les effets
    La première chose à faire est, bien entendu, de corriger immédiatement les effets de la contamination et supprimant la contamination elle-même mais cela ne suffit pas. Il faut encore :
  2. Rechercher les causes en amont
    Chercher, en amont, les causes de sa présence
  3. Prévoir les conséquences en aval
    Chercher, en aval, les conséquences éventuelles de son action à l'encontre de notre machine, nos données, notre réseau, notre entreprise et nous même

Opérations à engager :
L'administrateur réseau ou l'ingénieur en charge de la sécurité devra :
  1. Eradiquer le parasite :
    Bien entendu, il convient d'éliminer le parasite.
    Il y a deux possibilités :

    1. Télécharger, installer et exécuter un antivirus puis un anti-spywares (anti-trojans) localement (sur la machine). Il en est des gratuits pour commencer. Par exemple (sans faire de polémique sur "celui-ci est meilleur que celui-là" etc. ...) on utilisera :
    2. Exécuter des analyses en ligne de la machine avec deux ou trois outils bien solides.
  2. Rechercher, en amont, la faille ayant permis l'introduction de ce parasite :
    La présence de ce parasite signifie qu'une faille de sécurité a permis son introduction.
    • Ce peut être une introduction à distance grâce à l'exploitation d'une faille corrigible par application de patchs disponibles chez les éditeurs de tous les logiciels installés sur la machine. La mesure de base étant d'être à jour, quotidiennement, de tous les correctifs de sécurité, on commencera par regarder à Microsoft HotFix, Microsoft MBSA et Microsoft Service Packs. On en fera de même pour les autres éditeurs utilisés.
    • Ce peut surtout être une introduction locale du parasite car la faille est, dans la majorité des cas, beaucoup plus proche qu'on ne le pense : on aura donc également un oeil suspicieux sur toutes les personnes pouvant accéder physiquement à cette machine (employé, ami, service technique interne, maintenance technique externe, personnel d'entretien, etc. ...).
    • La mise en place d'un keylogger peut être envisagée pour dépister l'attaquant et peut être recherchée comme cause de l'attaque, ces outils ayant 2 usages diamétralement opposés. On regardera également si la surveillance des contrôles ActiveX n'est pas trop laxiste.

  3. Rechercher, en aval, les conséquences possibles et prendre les mesures nécessaires :
    En fonction de la nature du parasite (de sa classe), nous prendrons les mesures nécessaires. Par exemple, si le parasite vise les mots de passe, il faut immédiatement imaginer qu'ils sont tous compromis. Nous sommes donc en présence d'une nouvelle faille de sécurité, conséquence de la mise en oeuvre probable du parasite contre la machine infectée et le réseau auquel elle appartient. Il convient donc de tous les changer.

Opérations connexes :
  1. Essayer de remonter à la source : en vertu du vieil adage policier "chercher à qui le crime profite", chercher en remontant dans les logs, une identification éventuelle de l'utilisateur (poste de travail, login, adresse IP etc. ...) et les données qui ont pu être révélées. Se prémunir juridiquement en portant plainte immédiatement.

  2. Rechercher la présence d'autres parasites.

  3. Si le parasite concerne le crack de licences internes de logiciels, on pourra, éventuellement, se prémunir juridiquement, en prévenant les éditeurs et, d'autre part, porter plainte, à titre conservatoire.

  4. Si le parasite concerne le crack (password cracking) ou le vol (password stealing) de mots de passe ou autres données cryptées on recherchera aussi la possibilité de fuite de la clé de cryptage elle-même, depuis le mot de passe écrit sur un post-it collé sur l'écran jusqu'au personnel licencié assouvissant une vengeance... (dans ce dernier cas, les mots de passe auraient dû être changés dès l'envoi de la convocation à l'entretien préalable au licenciement puis changés à nouveau dans la minute qui suit l'entretien préalable et une nouvelle fois au moment du dernier départ physique de la personne licenciée, à l'issue du préavis. Entre-temps, tous ses accès auraient dû être supprimés ou extrêmement restreints).

  5. En entreprise, on retirera tous les outils matériels susceptibles de permettre une copie. Ils seront disposés en service d'accès contrôlé, sur des machines disposées dans une pièce distincte accessible sur justification et autorisation. Tous les périphériques amovibles sont concernés, y compris les disques durs montés en tiroirs, lecteurs de disquettes, de bandes, graveurs et même les memory sticks (ports usb...), clés usb etc. ... On sera particulièrement méfiant à l'égard des dispositifs USB conformes U3 (dont les menaces de type PodSlurping).

  6. Le mot de passe du BIOS sera extrêmement durci sur une carte-mère rendue inaccessible par l'usage de boîtiers verrouillés et disposants d'un contact d'ouverture déclenchant une alerte réseau grâce à une petite tâche active en permanence (la machine ne devant jamais être éteinte). Les accès aux disquettes et aux lecteurs de CD-ROM, DVD etc. ... seront inhibés au niveau du BIOS si les périphériques ne sont pas ôtés physiquement de la machine.

  7. En entreprise, on retirera ou restreindra tous les outils logiciels susceptibles de permettre une copie dont le protocole FTP et les clients et serveurs P2P, les accès aux machines et répertoires du réseau...

  8. L'introduction du parasite sur la machine infectée ayant pu se faire à distance cela peut signifier, selon la nature du parasite, qu'un individu l'y a introduit non pas pour l'exploiter mais pour la cacher. C'est une mesure de sécurité élémentaire chez ceux qui manipulent des documents ou utilitaires très critiquables : ils ne les planquent pas chez eux mais chez les autres. Donc, pour revenir les chercher ou les utiliser, l'individu a probablement ménagé une porte : on recherchera du côté des RATs et des backdoor.


Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

18.05.2006 Révision
09.01.2008 Révision
 
   
Rédigé en écoutant :
Music