Anti Failles de Securité

Comment lutter et se défendre contre les failles de sécurité

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Failles de sécurité

Encyclopédie
abc de la sécurité

Contre-mesure
Les 3 contre-mesures de base sont :
  1. Un antivirus
    Les antivirus
    Les antivirus en ligne

  2. Un anti-spywares (anti-trojans)
    Les anti-trojans
    Les anti-trojans en ligne

  3. Un pare-feu (firewall)
    Les pare-feux

Veuillez installer un kit complet
Les kits de sécurité

Safe Attitude
Safe-Computer EXploitation (Safe-CEX)

Au delà de la décontamination,
veuillez rechercher :

Mots clés :
failles de sécurité
 
 
En 2 mots
Appliquez tous les correctifs connus aux failles de sécurité avec Microsoft MBSA (ou Microsoft HFNetChk Pro pour l'entreprise)
Mettez à jour tous les logiciels installés (pas de manière automatique mais en vous informant environ 1 fois par mois).
Désactivez WSH avec NoScript
Désactivez ActiveX (même si vous n'utilisez pas Internet Explorer et OutLook)
Utilisez FireFox à la place d'Internet Explorer (qui est un générateur de failles à flux continu)
Utilisez Thunderbird à la place de OutLook ou OutLook Express (qui s'appuient sur Internet Explorer et ses failles)

Pour aller plus loin
Utilisez un système pro-actif contre les failles non encore corrigées : Qwick-Fix

Pour comprendre
Que sont les "failles de sécurité" ?


Vous avez le choix entre :
  1. Appliquer les correctifs de tous les logiciels que vous utilisez. Pas forcément avoir les toutes dernières versions de ces logiciels (il est préférable d'utiliser des logiciels ayant 6 mois à un an d'existence au minimum et laisser très courtoisement le voisin essuyer les plâtres) mais avoir des versions sur lesquelles ont été appliqués tous les correctifs offerts par les développeurs.

  2. Utiliser des alternatives. Changer de logiciels pour en utiliser des moins connus, moins "usines à gaz" et de préférence en "open source". Ils sont moins attaqués et contiennent moins d'erreurs. Certains open source sont gratuits. Open source : logiciels dont les codes sources sont publics(*) et sur lesquels travaillent d'importantes communautés de bénévoles passionnés - ce type de logiciels est souvent très "pointu" sans être les usines à gaz commerciales dont on n'utilise que 2 ou 3% de ce qu'il y a dedans et, les sources étant publics, on est assuré de leur innocuité (il n'y a pas de code malicieux genre spywares, traceurs, guid etc. ... - ce qui n'exclut pas qu'il y ait des failles de sécurité - mais en beaucoup moins grand nombre et avec une très grande réactivité de la communauté des développeurs - et, en sus, actuellement, ces failles n'intéressent pas les pirates car trop peu de monde utilise ces logiciels moins connus).

    (*) nota pour les non informaticiens qui ont la gentillesse de me relire en détail et prennent le temps de corriger et me signaler mes fautes d'orthographes - ici, il n'y en a pas - "publics" est bien au masculin pluriel : ce sont LES "codes source" - un terme barbare et masculin de notre jargon, qui sont "publics" et non pas LES sources (d'inspiration ?) qui seraient "publiques".

  3. Tester la pénétrabilité de votre système.

  4. Tester l'étanchéité de votre système.

  5. Tester les vulnérabilités de votre système.

  6. Installer une détection d'intrusion - IDS

  7. Installer un piège à pirate - HoneyPot

Utilisez ce lien pour pointer ici depuis un forum ou un autre site1/ Appliquer les correctifs
Il y a 3 méthodes. Utiliser, éditeur par éditeur, les correctifs en ligne ou utiliser un outil multi-éditeurs ou chercher les correctifs hors ligne.

Règle de prudence : soyez grand seigneur et laissez votre voisin passer le premier (passer les patchs, s'entend). Qui a oublié les patchs qui créaient plus de problèmes qu'ils n'en corrigeaient et qui nécessitaient un patch du patch puis un patch du patch du patch. Pour mémoire, par exemple, le SR-1 d'Office 97 ne permettait plus, en toute simplicité, d'enregistrer ses modifications sur un document ! Alors est sorti le SR-2 qui corrigeait le correctif et... qui plantait la machine de temps en temps ! Il aura fallu encore 1 mois à Microsoft pour sortir le correctif du correctif du correctif ! Et le patch de 28 mars 2002 sur Win 2000 et Win XP ! Et le 811493 de Microsoft encore...

Lorsqu'il y a tout de même urgence, dans les grands réseaux, on prendra la précaution d'installer les patchs sur une machine dédiée à cela (ou un mini réseau dédié) et on testera en conditions similaires aux conditions d'exploitations habituelles avant de déployer les correctifs. Ce qui signifie aussi que les outils de détection de failles et de recherches de correctifs (point 2 ci-dessous) ne doivent pas être autoriser à déployer automatiquement les patchs dès qu'ils les trouvent.
  1. Utilisez ce lien pour pointer ici depuis un forum ou un autre siteCorrectifs en ligne, éditeur par éditeur
    Allez régulièrement sur les sites des éditeurs de vos logiciels et appliquer toutes les mises à jour disponibles avec les moyens proposés par chaque éditeur. Bien sûr il faut avoir des licences légales des logiciels. Tout ceci s'appelle Patchs, Service Packs (SP1, SP2...), Service Releases (SR1, SR2...), Cumulative Patch, Update Rollup etc. ... L'éditeur doit installer une tâche balayant vos disques durs à la recherche de ses produits, langue, version etc. ... La technique actuelle consiste à installer un contrôle ActiveX.

    Pour Microsoft, utilisez :
    Microsoft HotFix
    Microsoft MBSA
    Microsoft Service Packs

    N'installez pas ou ne réinstallez pas certains dispositifs que Microsoft va vous proposer et que vous avez déjà éradiqués si vous avez suivi tous les conseils de ce site (comme la désactivation de UPnP et des "Notification de mises à jour critique" etc. ... qui sont d'énormes failles de sécurité, des spywares, des backdoors etc. ...).

    D'autre part, en allant sur le site de Windows Update, les mises à jour sont directement installées et les procédures de mises à jour ne sont pas conservées sur votre disque dur - elles sont effacées aussitôt : s'il faut recommencer plus tard, il faudra à nouveau se connecter et laisser Microsoft balayer encore nos disques durs puis re-télécharger les mises à jour (1 heure 1/2 avec un modem pour installer IE par exemple !). Donc le coup du cd-rom chez le marchand de journaux (voir ci-après) est un très bon plan.

    Nota :
    Si vous arrivez à préciser, lors de la connexion avec un site de mise à jour, que vous souhaitez des mises à jour pour plusieurs ordinateurs, vous recevez parfois une version complète utilisable hors ligne (connexion coupée). Ces mises à jour, dites "de réseau" ou "déployables" sont téléchargées et restent sur votre disque dur - à charge pour vous de les installer une ou plusieurs fois - mais cette possibilité ne saute pas aux yeux sur les pages de Microsoft.


  2. Correctifs en lignes avec un utilitaire multi-éditeurs :
    Ces outils sont appelés "Automated Vulnerability Remediation tools" ou "Patch management tools". Certains se souviennent du site du CNET et de son service CNet CatchUp. Ce service totalement gratuit devait mobiliser plusieurs personnes à temps plein. Il n'existe plus. Il agissait de la même manière que Windows Update de Microsoft, pour les produits Microsoft mais aussi pour tous les autres produits de quasiment tous les éditeurs de logiciels, y compris pour les versions de démonstration, les drivers, les utilitaires gratuits, les jeux etc. ... D'un emploi très simple, ce site était devenu un must depuis des années. C'était le pivot planétaire des mises à jour (et de bien d'autres choses). Bien sûr, son comportement était suspect d'espionnage comme Windows Update (une petite tâche de 211 KO s'installait sur le disque système, balayait tous les supports et remontait la liste des moindres logiciels installés avec leurs numéros de version, langue etc. ...) mais Dieu que c'était pratique (j'avoue que j'y allais).

    De quoi disposons nous aujourd'hui ? Il y a plusieurs solutions disponibles mais toutes très professionnelles et très onéreuses, à commencer par le grand frère de Microsoft MBSA, le service HFNetChk Pro. Ces solutions ne concernent donc que les grands comptes.
  3. Correctifs hors ligne
    Est-ce que quelqu'un pense, sérieusement, qu'en allant sur les sites de Microsoft "Windows Update", "Office Update" et autres du même genre, aucune information n'est envoyée ?

    Regardez la presse informatique.

Utilisez ce lien pour pointer ici depuis un forum ou un autre site2/ Utiliser des alternatives
Il existe des alternatives propres (open source) à quasiment tout et, souvent, de meilleur qualité et gratuit. Tout en conservant Windows pour ceux qui hésitent encore à franchir le pas vers Linux, il est possible d'utiliser un autre navigateur, un autre traitement de texte, un autre tableur, un autre logiciel de retouche d'image, un autre agenda, un autre lecteur multimédia, un autre client de messagerie, un autre etc. ...
  1. Changer de navigateur
    Alternatives navigateurs

  2. Autres alternatives
    Autres alternatives
Utilisez ce lien pour pointer ici depuis un forum ou un autre site3/ Tests de pénétration
Voir tous les tests de pénétration on-line (scans de ports) et le test UPnP. Si ces tests sont "gentillets" (sauf Security Space qui est un service Web profesionnel ouvert gratuitement aux particuliers) pour le particulier (et servent, accessoirement, à vendre du pare-feu (firewall)), ils sont totalement insignifiants pour le service informatique d'une entreprise. Les grandes structures se pencheront sur des outils professionnels comme Core Impact ou embaucheront du monde (d'anciens super hackers par exemple).


Utilisez ce lien pour pointer ici depuis un forum ou un autre site4/ Tests d'évasions - Leak Test
Voir tous les leak test. Complément aux tests de pénétration, beaucoup plus importants qu'eux car ils mettent en évidence les failles des firewall en utilisant les techniques avancées de contournement des produits de piratage les plus "pointus".


Utilisez ce lien pour pointer ici depuis un forum ou un autre site5/ Tests de vulnérabilité
Concerne les grands comptes et pas le particulier. Il y a plusieurs produits sur le marché, commerciaux et plutôt orientés grands comptes, ainsi que deux outils en open sources.

Utilisez ce lien pour pointer ici depuis un forum ou un autre site6/ Intrusion Detection Systems (IDS)
Concerne les grands comptes et pas le particulier. Deux grands produits commerciaux se partagent, à eux seuls, plus de la moitié du marché et un autre est en open sources. Le prix initial (droit de licence et première mise en oeuvre) se compte en plusieurs dizaines de milliers d'euros. La solution en Open Sources coûtera "seulement" quelques milliers d'euros d'installation et de mise en oeuvre auprès d'un prestataire de service spécialisé. Ces applications utilisent différents outils de surveillance et analyse, tels des sniffers, et des bases de données de règles (rules). Ils comparent leurs analyses aux règles pour tenter d'isoler des anormalités.
  1. Commerciaux
    1. ISS
    2. Cisco
  2. Open source
    1. Snort (et console d'administration Acid ou IDSPM) ainsi que des jeux de règles et signatures sur les sites IDSPM et Securityfocus
    2. Prelude-ids aussi connu sous le nom de Hybrid-ids

  3. Bonnes lectures (merci à Discofreq)


Utilisez ce lien pour pointer ici depuis un forum ou un autre site7/ Pots de miel - HoneyPots et HoneyNet
Concerne les grands comptes et pas le particulier.

Un honeypot (le pot de miel pour attirer les mouches) est une astuce (en est-ce vraiment une ?) qui consiste à exhiber un leurre pas trop voyant (comme laisser, sur un réseau, un point d'entré aboutissant à un cul de sac - mais c'est dangereux - non protégé ou simplement protégé en apparences grossières avec seulement les failles les plus criardes patchées (corrigées par application des correctifs)).

Un honeypot, pour les plus aisés financièrement, consiste à créer de toutes pièces un faux réseau de quelques machines ayant une pseudo activité réelle dans tous les domaines du réseau normal (accès Web, DNS, messagerie SMTP, transferts FTP etc. ...).

Bardé du tous les logs et sniffers possibles, ce pot de miel qui attire les pirates va permettre d'analyser leurs attaques (failles ciblées, méthodes etc. ...) silencieusement, sans alerter le pirate, afin d'améliorer le niveau de protection (tel est pris qui croyait prendre). Les honeypots posent beaucoup de problèmes dont :
  • le pirate qui s'aperçoit que l'on cherche à l'observer et à le diriger vers une impasse risque de chercher à se venger en cherchant le vrai réseau et en lançant une attaque hostile (destructrice) alors qu'il n'est qu'observateur ou voleur habituellement (les "grands" pirates ne détruisent absolument rien sur leur passage)

  • si le pirate ne s'est pas aperçu de la supercherie, il risque de se vanter de son exploit, portant ainsi tort et probablement préjudice à l'entreprise qu'il croit avoir pénétré

  • si l'entreprise maquille l'identité de son faux réseau pour se prémunir du risque précédant, celui-ci n'intéressera pas les "bons" pirates qui ne ciblent que les grands noms et les grandes organisations.

Il y a plusieurs solutions logiciels de type HoneyPot dont :
  • CyberCops Sting
  • Recourse ManTrap (racheté par Symantec, ce qui à fait couler beaucoup d'encre)
  • DTK (une solution en open source)

Les solutions HoneyNet passent par le SI ou, plus généralement, par un prestataire de services extérieur.

Même si une solution "open source" paraît gratuite au départ, sa mise en oeuvre nécessite la mobilisation de plusieurs personnes de haut niveau et des moyens matériels donc, en fin de compte, c'est en dizaines de milliers d'euros qu'il faut compter.

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com


Historique des révisions de ce document :

Proposer une révision, une correction, un complément, faire un feedback
29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music