HijackThis : Analyse des lignes O15 - Zone de confiance d'IE

HijackThis : Analyse des lignes O15 - Zone de confiance d'Internet Explorer

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows
 
 
Les lignes O15
Les lignes O15 d'une analyse HijackThis font ressortir des usurpations potentielles dans la "zone de confiance" d'Internet Explorer
  • inscription en zone de confiance de domaines (sites)
  • inscription en zone de confiance d'adresses IPs ou d'intervalles d'adresses IPs de machines (IPs range))
  • inscription en zone de confiance de protocoles de communication normalement assignés à des zones plus surveillées et durcies

Zone de confiance d'Internet Explorer
La navigation, avec Internet Explorer, est divisée en profils de sécurité appelés "zones" sur lesquelles vous pouvez naviguer et, pour chacune d'elles, le niveau de sécurité est ajusté grâce à un certain nombre de restrictions et d'autorisations (paramètres par défaut modifiables par l'utilisateur ou par un usurpateur). La sécurisation de la navigation porte sur diverses choses mais, essentiellement, sur l'autorisation donnée ou non à Internet Explorer d'exécuter automatiquement, sans interrompre l'utilisateur ni l'avertir, les scripts embarqués dans les pages Web visitées. Ces scripts sont dans diverses technologies (VBScripts, ActiveX, JavaScripts, Java Applets etc. ...). Ces scripts peuvent être légitimes ou hostiles : voir pages ActiveX et Anti-ActiveX, Java et Anti-Java, JavaScript et Anti-Javascript, Script et Anti-Script, par exemple, pour en savoir plus et voir comment les contrôler.

Ces profils (zones) sont au nombre de 5 :
Numéro de la zone Nom de la zone
0 Poste de travail
1 Intranet
2 Sites de confiance
3 Internet
4 Sites sensibles

L'un des profils de sécurité d'Internet Explorer est dit "Sites de confiance". Ce profil est laxiste car on ne peut naviguer avec ce profil que sur un domaine (un site) inscrit dans une liste de domaines dits "de confiance", liste que vous avez établie vous-même (votre banque, les sites du gouvernement, le site de votre fournisseur d'antivirus, assiste.com etc. ... Il n'y a pas de liste par défaut). Généralement, le paramétrage de ce profil de sécurité autorise tout.

Pour accéder à votre "Zone de confiance" et à la liste des sites insrits dans cette zone faire :

Internet Explorer > Outils > Options Internet > Onglet "Sécurité" > Sites de confiance
Nota : Par défaut, le Poste de travail n'apparaît pas dans la sélection de zone sous l'onglet Sécurité. Pour le faire apparaître, modifier la valeur de "Flag" de la zone 0 dans la clé
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
La passer de 21 à 43 (en héxadécimal)



En cliquant sur "Personnaliser le niveau" vous pouvez voir quels sont les réglages de sécurité particulièrement laxistes de ce profil (de cette zone).



En cliquant sur "Sites..." vous pouvez voir quels sont les domaines "de confiance" qui "bénéficient" de ce profil de sécurité laxiste.



On comprend que les crapules du Net aient envie d'inscrire leurs sites dans cette liste afin de pouvoir exécuter leurs scripts hostiles à votre insu.


Pour produire son analyse, HijackThis lit les clés suivantes de la base de registre :

Clés :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges


Les lignes O15 d'un rapport HijackThis ressemblent à ceci :
Exemples de lignes O15 :
O15 - Trusted Zone: http://assiste.com
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O15 - Trusted Zone: http://free.aol.com
O15 - Trusted Zone: *.coolwebsearch.com
O15 - Trusted Zone: *.msn.com


Internet Explorer 4.0, 5.0, 6.0 et versions ultérieures

Les paramètres des zones de sécurité de Microsoft Internet Explorer sont stockés sous les clés de Registre suivantes :
Clés :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
Par défaut, les paramètres de zone de sécurité sont stockés dans la clé de Registre HKEY_CURRENT_USER. Cette clé est chargée dynamiquement, pour chaque utilisateur, donc les paramètres d'un utilisateur n'affectent pas ceux d'un autre.

Chacune de ces clés contient les clés suivantes :
Clés :
TemplatePolicies
ZoneMap
Zones




  • TemplatePolicies
    La clé TemplatePolicies contient les valeurs par défaut des 4 profils de sécurité (Bas (Low), Moyennement bas (MedLow), Moyen (Medium) et Élevé (High)) applicables aux 5 zones de sécurité (Poste de travail, Intranet, Sites de confiance, Internet, Sites sensibles). Vous pouvez établir ou rétablir un profil de sécurité pour une zone, à partir des paramètres par défaut stockés dans TemplatePolicies (en cliquant sur le bouton "Niveau par défaut") :










    Vous ne pouvez pas créer des profils par défaut supplémentaires.

    La clé TemplatePolicies contient 4 clés, High, Low, Medium, MedLow qui contiennent les valeurs déterminant les profils de sécurité. Les noms des paramètres sont les mêmes dans chacune de ces 4 clés, seules les valeurs changent.

    Les noms sont :
    Nom (identificateur) de la valeur Signification du paramètre
    1001 Télécharger les contrôles ActiveX signés
    1001 Télécharger les contrôles ActiveX non signés
    1200 Exécuter les contrôles ActiveX et les plugins
    1201 Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés
    1206 Autoriser les scripts de contrôle du navigateur Internet Explorer
    1400 Active scripting
    1402 Script des applets Java
    1405 Contrôles ActiveX reconnus sûrs pour l'écriture de scripts
    1406 Accès aux sources de données sur plusieurs domaines
    1407 Permettre les opérations de collage par le biais de script
    1601 Soumettre les données de formulaire non codées
    1604 Téléchargement de polices
    1605 Exécution de Java
    1606 Permanence des données utilisateur
    1607 Navigation de sous-cadres sur différents domaines
    1608 Autoriser l'actualisation des métafichiers *
    1609 Afficher un contenu mixte *
    1800 Installation des éléments du Bureau
    1802 Glisser-déplacer ou copier-coller des fichiers
    1803 Téléchargement de fichier
    1804 Lancement des programmes et des fichiers dans un IFRAME
    1805 Lancement des programmes et des fichiers en mode d'affichage Web
    1806 Lancement des applications et des fichiers non sécurisés
    1807 Réservé **
    1808 Réservé **
    1809 Bloqueur de fenêtres publicitaires intempestives **
    1A00 Connexion
    1A02 Autoriser les cookies persistants stockés sur votre ordinateur
    1A03 Autoriser les cookies par session (non stockés)
    1A04 Ne pas demander la sélection d'un certificat client lorsqu'il n'existe aucun ou un seul certificat *
    1A05 Autoriser les cookies persistants tierce partie *
    1A05 Autoriser les cookies tierce partie par session *
    1A10 Paramètres de confidentialité *
    1C00 Autorisations Java
    1E05 Autorisations pour les chaînes de logiciel
    1F00 Réservé * *
    2000 Comportements de fichiers binaires et des scripts
    2001 Exécuter les composants .NET signés avec Authenticode
    2004 Exécuter les composants .NET non signés avec Authenticode
    2100 Ouvrir les fichiers en fonction du contenu, pas de l'extension de fichier **
    2101 Les sites Web dans des zones de contenu de moindre privilège peuvent naviguer dans cette zone **
    2102 Autoriser les fenêtres initiées par des scripts sans contrainte de taille ou de position **
    2200 Demander confirmation pour les téléchargements de fichiers **
    2201 Demander confirmation pour les contrôles ActiveX **
    2300 Autoriser les pages Web à utiliser les protocoles restreints pour le contenu actif **
    {AEBA21FA-782A-4A90-978D-B72164C80120} Cookies internes *
    {A8A88C49-5EB2-4990-A1A2-0876022C854F} Cookies tierce partie *

    * paramètre Internet Explorer 6 ou versions ultérieures
    ** indique un paramètre Microsoft Windows XP avec le Service Pack 2 ou version ultérieure


    Ce qui donne, par exemple pour le profil Elevé (High) :
    Note : Sauf cas particulier, chaque valeur DWORD est égale à zéro, un ou trois. En général, une valeur égale à zéro autorise une action spécifique, une valeur égale à un provoque l'affichage d'un message et une valeur égale à trois interdit l'action spécifique.





  • ZoneMap
    La clé ZoneMap contient les clés suivantes : Ces 3 clés sont analysées par HijackThis
    Clés de la clé ZoneMap
    Domains
    ProtocolDefaults
    Ranges

    • Domains
      La clé Domains contient la liste des domaines qui ont été ajoutés pour générer un comportement sécuritaire d'Internet Explorer différent du comportement par défaut. Par exemple, sur la zone Internet, le réglage de sécurité utilisé est celui de la zone Internet mais si le domaine (le site) que vous cherchez à atteindre se trouve listé dans la clé "Domains", c'est le profil de sécurité particulier noté pour ce domaine qui sera appliqué. À chaque ajout d'un domaine, une clé est ajoutée à la clé Domains. Les sous-domaines apparaissent sous forme de clés sous le domaine auquel ils appartiennent. Chaque clé répertoriant un domaine contient une valeur DWORD avec un nom de valeur du protocole concerné. La valeur DWORD est identique à la valeur numérique de la zone de sécurité à laquelle le domaine est ajouté.

      Si HijackThis liste des domaines en O15 dans son journal, vous devriez normalement les supprimer sauf s'il s'agit d'URLs connues de vous. La ligne que vous verrez le plus fréquemment est free.aol.com que vous pouvez corriger si vous le désirez.

      Exemples :


      Bien qu'en navigation Internet, avec le profil de sécurité de la zone Internet, l'accès au site http://assiste.com se fera sous le profil de sécurité "Sites de confiance" - la valeur reg-dword est à 2 (Sites de confiance)



      Bien qu'en navigation Internet, avec le profil de sécurité de la zone Internet, l'accès au site http://sisite.rassi se fera sous le profil de sécurité "Sites sensibles" - la valeur reg-dword est à 4 (Sites sensibles)



    • ProtocolDefaults
      La clé ProtocolDefaults spécifie la zone de sécurité par défaut utilisée pour un protocole particulier (ftp, http, https). Pour modifier le paramètre par défaut, vous pouvez soit ajouter un protocole à une zone de sécurité en cliquant sur Ajouter des sites sous l'onglet Sécurité, soit ajouter une valeur DWORD sous la clé Domains. Le nom de la valeur DWORD doit correspondre au nom du protocole et ne doit pas contenir de deux-points (:) ni de barres obliques (/).

      La clé ProtocolDefaults contient également des valeurs DWORD qui spécifient les zones de sécurité par défaut dans lesquelles un protocole est utilisé. Vous ne pouvez pas utiliser les contrôles sous l'onglet Sécurité pour modifier ces valeurs. Ce paramètre est utilisé lorsqu'un site Web particulier n'appartient pas à une zone de sécurité.

      Les valeurs par défaut sont :

      Protocole Zone
      HTTP
      3
      HTTPS
      3
      FTP
      3
      @ivt
      1
      shell
      0

      Si vous vous connectez à un site en mode http (en utilisant le protocole http://), la connexion se fera, par défaut, sous le profil de sécurité de la zone Internet car c'est la zone par défaut pour le protocole http. Si une crapule du Net arrive à usurper ce paramétrage et modifie la zone par défaut pour un protocole donné, ceci peut abaisser le niveau sécuritaire d'une zone. Une crapule peut passer le protocole HTTP du profil 3 (Internet) au profil 2 (Sites de confiance). N'importe quel domaine visité sera alors considéré "de confiance" ! Jusqu'à présent, on ne connaît pas de crapule ayant fait cela, mais cela pourrait changer.

      Si les paramètres par défaut ont été modifiés, vous verrez dans HijackThis une ligne semblable à celle ci-dessous:
      Exemple O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone (HKLM)

      Pour corriger ces paramètres et remettre les valeurs par défaut, corrigez simplement la ligne via HijackThis.



    • Ranges
      La clé Ranges contient des adresses IPs ou des intervalles (plages) d'adresses IPs. Le nom de la clé n'a pas d'importance - il est généré automatiquement (Range1, Range2, Range3, Range4 etc. ...) à chaque ajout, dans "Sites...", d'une adresse IP ou d'un intervalle d'adresses IPs. Cette clé contient une valeur de chaîne (:Range) qui contient l'adrese IP ou l'intervalle spécifié. Une valeur DWORD générique (nom "*") indique le profil de sécurité à utiliser pour tous les protocoles.

      Si HijackThis liste des adresses de machines ou des intervalles de machines en O15 dans son journal, vous devriez normalement les supprimer sauf s'il s'agit d'IPs connues de vous.


      Bien qu'en navigation Internet, avec le profil de sécurité de la zone Internet, l'accès aux domaines se trouvant hébergés sur l'une quelconque des 256 machines dans l'intervalle 63.20.240.0 à 63.20.240.255 se fera sous le profil de sécurité "Sites sensibles" - la valeur reg-dword est à 4 (Sites sensibles)



      Bien qu'en navigation Internet, avec le profil de sécurité de la zone Internet, l'accès aux domaines se trouvant hébergés sur la machine 217.70.178.17 se fera sous le profil de sécurité "Sites de confiance" - la valeur reg-dword est à 2 (Sites de confiance)


      Il est possible de préciser, pour une adresse IP ou un intervale d'adresses IP (un IP range), des valeurs DWORD spécifiques par protocole (par exemple 2 en FTP et 4 en HTTP...).



      Nota:
      Lorsque le fichier Urlmon.dll utilise la fonction publique MapUrlToZone pour convertir une URL particulière en une zone de sécurité, il applique l'une des méthodes suivantes :

      Si l'URL contient un nom de domaine complet, la clé Domains est prise en compte.

      Avec cette méthode, une correspondance de site exacte est prioritaire par rapport à une correspondance aléatoire.
      Si l'URL contient une adresse IP, la clé Ranges est prise en compte. L'adresse IP de l'URL est comparée à la valeur :Range contenue dans chacune des clés nommées arbitrairement sous la clé Ranges.

      Remarque Les clés nommées arbitrairement étant traitées dans l'ordre dans lequel elles ont été ajoutées au Registre, cette méthode peut trouver une correspondance aléatoire avant une correspondance exacte. Dans ce cas, l'URL peut être exécutée dans une zone de sécurité différente de celle à laquelle elle est normalement affectée. Ce comportement est voulu par la conception même du produit.


  • Zones
    La clé Zones contient les clés représentant, finalement, le profil de sécurité à appliquer pour chacune des 5 zones de navigation, profils pouvant être modifiés (personnalisés - bouton "Personnaliser le niveau") par l'utilisateur (ou un usurpateur). La présentation du contenu de ces clés est identique à celle des TemplatePolicies.


    Remarques relatives à 1200, 1803, 1A00, 1A10, 1E05 et 1C00

    • 1200
      Exécuter les contrôles ActiveX et les plugins (1200) possède un paramètre supplémentaire nommé "Approuvé par l'administrateur". Lorsqu'il est activé, la valeur DWORD est 00010000. La clé de Registre suivante est vérifiée afin d'obtenir une liste de contrôles approuvés :
      HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\AllowedControls

    • 1803
      Il n'existe pas de paramètre d'invite pour le téléchargement de fichier (1803) car ce dernier est soit autorisé, soit interdit.

    • 1A00
      Le paramètre Connexion (1A00) possède l'une des valeurs (hexadécimales) suivantes :
      Valeur Paramètre
      0x00000000 Connexion automatique avec le nom d'utilisateur et le mot de passe actuels
      0x00010000 Demander le nom d'utilisateur et le mot de passe
      0x00020000 Connexion automatique uniquement dans la zone intranet
      0x00030000 Ouverture de session anonyme

    • 1A10
      Les paramètres de confidentialité (1A10) sont utilisés par le curseur de l'onglet Confidentialité. Les valeurs DWORD sont les suivantes :
      Bloquer tous les cookies : 00000003
      Haute : 00000001
      Moyennement haute : 00000001
      Moyenne : 00000001
      Basse : 00000001
      Accepter tous les cookies : 00000000

      En fonction des paramètres du curseur, les valeurs de {A8A88C49-5EB2-4990-A1A2-0876022C854F} et/ou {AEBA21Fa-782A-4A90-978D-B72164C80120} seront modifiées en conséquence.

    • 1E05
      Autorisations pour les chaînes du logiciel (1E05) a 3 valeurs différentes (sécurité haute, basse et moyenne). Les valeurs correspondantes sont les suivantes :
      haute : 00010000
      moyenne : 00020000
      basse : 00030000

    • 1C00
      Le paramètre Autorisations Java (1C00) peut prendre les cinq valeurs (binaires) suivantes :
      Valeur Paramètre
      00 00 00 00 Désactiver Java
      00 00 01 00 Haute sécurité
      00 00 02 00 Sécurité moyenne
      00 00 03 00 Basse sécurité
      00 00 80 00 Personnalisée
      Si la valeur Personnalisée est sélectionnée, le paramètre utilise {7839DA25-F5FE-11D0-883B-0080C726DCBB} (situé au même emplacement dans le Registre) pour stocker les informations personnalisées dans un blob binaire.

    À l'exception de la zone Poste de travail, chaque zone contient une valeur DWORD CurrentLevel, MinLevel et RecommendedLevel. La valeur MinLevel définit le paramètre minimum qui peut être utilisé avant la réception d'un message d'avertissement, CurrentLevel correspond au paramètre actuel de la zone et RecomendedLevel désigne le niveau recommandé pour la zone.

    Signification des valeurs pour Minlevel, RecommendedLevel et CurrentLevel :
    Valeur (hexadécimale) Paramètre
    0x00010000 Basse sécurité
    0x00010500 Sécurité moyennement basse
    0x00011000 Sécurité moyenne
    0x00012000 Haute sécurité

    La valeur DWORD Flags détermine si l'utilisateur est autorisé à modifier les propriétés de la zone de sécurité. Pour déterminer la valeur Flags, additionnez les numéros des paramètres appropriés. Les valeurs Flags (décimales) disponibles sont les suivantes :
    Valeur Paramètre
    1 Autoriser la modification des paramètres personnalisés
    2 Autoriser les utilisateurs à ajouter des sites Web à cette zone
    4 Exiger un serveur sécurisé (https:) pour tous les sites Web
    8 Inclure tous les sites qui n'utilisent pas de serveur proxy
    16 Inclure les sites Web non répertoriés dans d'autres zones
    32 Ne pas afficher la zone de sécurité dans les propriétés Internet (paramètre par défaut du Poste de travail)
    64 Afficher la nécessité d'une vérification du serveur
    128 Traiter les conventions d'affectation de noms (UNC) en tant que connexions intranet


    Si vous ajoutez des paramètres aux clés HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER, ces paramètres sont cumulatifs. Si vous ajoutez des sites Web aux deux clés, seuls les sites Web répertoriés dans HKEY_CURRENT_USER sont visibles. Les sites Web répertoriés dans la clé HKEY_LOCAL_MACHINE sont toujours pris en compte en fonction de leurs paramètres, mais ils ne sont pas disponibles et ne peuvent pas être modifiés. Cette situation peut être source de confusion car un site Web ne peut être répertorié que dans une seule zone de sécurité par protocole.


Que faire ?
La plupart du temps, seuls AOL et CoolWebSearch ajoutent silencieusement des sites à la zone de confiance d'Internet Explorer. Si vous n'avez pas ajouté le domaine spécifié à la liste des sites de confiance, corrigez avec HijackThis.






Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

10.03.2005 Révision
28.03.2005 Révision
26.05.2006 Révision

 
   
Rédigé en écoutant :
Music