Virus informatiques

Franois Lemieux Sbastien Lemieux Patrick Gendron

Le 24 mars 2007

Vos questions
Pourrait-on comparer l'investissement d'un logiciel de prvention (et ses mises jours) payant et ceux gratuits ? Je veux tlcharger de la musique quels points je cours un risque ? Est-ce pire sur des sites gratuits ? J'utilise des jeux pour jeunes enfants sur internet (Booha et Koala, Dora ), je dois tre branch pour y jouer, est-ce que a tlcharge quelque chose sur mon ordi ? Je tlcharge des pdf - est-ce vrai qu'il n'y a pas de risque ce niveau ? Si je fais que naviguer et que je ne tlcharge rien, est-ce vraiment sans risque ? La gestion du risque idal, est-ce de ne pas aller sur internet, avoir deux ordinateurs ou deux comptes, un pour l'internet et lautre pour le travail? Comment dtecter un virus, et l'liminer.

Vos questions
La prvention sur le mac versus sur le pc. Quelle est la di!rence entre un rewall (parefeu) et un virus ? Est-ce qu'un anti-virus fait le mme travail qu'un rewall (ou l'inverse) ? Comment viter davoir un virus? Sinon, peu-on sen protger et/ou s'en dbarrasser? Avant, avec les disquettes, on pouvait vrier la prsence dun virus." Maintenant avec les cls USB, a ne se fait plus." Y'a t-il une raison ?" Est-ce que c'est notre vigilance (ou juste la mienne) qui a diminue ? Et en plus, il y a toutes les lgendes urbaines qui viennent fausser les ides des gens. Comment savoir? Comment faire pour savoir si l'anti-virus install est vraiment fonctionnel ?

Vos questions
Qu'est-ce que le hameonnage (phishing) et comment se protger? Est-ce que les cookies traceurs envoys par certains sites reprsentent des risques pour mon PC ? Faut-il les supprimer ? J'utilise mon Mac avec un compte administrateur. Y a-t-il des risques ? Y-a-t-il autant de risque sur un PC ? Mon ordinateur a t rcemment contamin par un virus. Je l'ai dsinfect, mais il a toujours des problmes de fonctionnement. Comment est-ce possible ?

Limites
Je ne suis pas un expert Vous ne sortirez pas d'ici avec l'tiquette de hacker Di#cults de trier les informations Niveaux de preuves $0 $1 $2 $3 Lgendes urbaines (dsinformation) Les opinions d'experts Les analyses comparatives Les maisons spcialises (Gardner, CERT, etc)

Sources dinformation
En nir avec les virus, J-P Lovinfoss, OEM yrolles 2004, 246p Tout sur la scurit informatique. J-F Pillou, Comment a marche.Net - Dunod 2005, 202p Hacking Interdit. A. Gomez-Urbina, Micro Application, 2006 816p Wikipdia - Encyclopdie open source Google - Outils de recherche.

Objectifs
1- Les virus et les vers
Les virus informatiques, pourquoi cette calamit? Pourquoi sy intresse-t-on? Lhistoire des virus informatiques Cest quoi un virus? Cest quoi un ver? Les maliciels (malware)

Objectifs
2- Un hacker
Qui sont les hackers, au juste? Les virus informatiques, comment a marche? Comment fabrique-t-on un virus informatique? Quelle di!rence entre une faille et un virus? Les systmes sont-ils tous gaux?

Objectifs
3- Comment y palier?
Les types de protection La dcontamination Les tapes de la protection Les anti-virus?

Objectifs
4- Les cas
Le virus WMF Le cas Desjardins Le cas MSSS Le cas du MacOS X

Les v i r u s i n f or mat i q u es
Pourquoi des virus?
Initialement outil de dtection et de destruction de logiciels pirats. Majorit: exploits d'tudiants en informatiques en qute de gloire. Ils cherchent l'encombrement, le ralentissement des systmes. Rarement exploits de dsillusionns. Ils utilisent de clonages de virus dangereux. Aspect scientifique, pour observer son comportement et sa propagation. Le terrorisme: La peur engendre permet aux gestionnaires d'affirmer leur pouvoir. Arsenal cultiv en prvision d'une guerre arme ou conomique. Pour vrifier: faiblesse de la signature, niveau de corruption, volume et vitesse de propagation, raction des anti-virus, etc.

Quel est lintrt

On en entend parler de plus en plus, Mine la qualit de vie des usagers, la transmission des connaissances. Cot astronomique de la rparation et de la prvention. MacOS X nest pas labris!
Video: Breaking into a MacBook (page Web)

Lorigine des virus informatiques

Dans les annes 1960, trois informaticiens de la socit Bell aux Etats Unis, s'inspirent du jeu Darwin et crent pour samuser Core War, un petit jeu ludique qui modiera nos comportements vis--vis des ordinateurs pour toujours et entranera un colossal business sur les virus et anti-virus. Ce jeu tait tout simplement un programme qui consistait dtruire les programmes de ladversaire, tout en sassurant sa propre prolifration et la partie se terminait lorsque tous les programmes adverses taient dtruits ou tait vainqueur celui qui possdait le plus de programmes actifs appel maintenant virus . Le virus informatique tait n ! Cest en 1983 que le terme virus informatique est dni o#ciellement pour la premire fois par Leonard Adleman, chercheur en informatique thorique et sa dnition est : un virus informatique est un programme informatique qui peut infecter d'autres programmes en les modiant de manire y inclure une copie de lui-mme (ventuellement volue)".

Le virus a 20 ans... Cest en 1986 que l'Arpanet, lanctre de lInternet fut infect cause de Brain, un
virus qui renommait toutes les disquettes de dmarrage de systme en (C)Brain. Les crateurs de ce virus y donnaient leur nom, adresse et numro de tlphone car c'tait une publicit pour eux, il tait ino!ensif.

Depuis les virus informatique frappent tous les systmes dexploitations, avec lapparition de nouveaux moyens de connexion ces dernires annes, tels que la messagerie lectronique, les tlchargements, et la technologie Bluetooth, les tlphones mobiles sont devenus de plus en plus vulnrables. Et personne, mme protg par des anti-virus jour, nest labri ! http://www.sheo.com/web_20/2006/12/origine_du_viru.html

Cest quoi un virus ?

Une suite de commandes en code machine, qui se propage dans le corps dune application ou un document, qui ouvert ou lanc se chargera en RAM pour se multiplier dans dautre corps, puis excutera sa raison dtre.

Cest quoi un virus ?

Le programme indispensable est le programme de reproduction. Une partie reproduction qui permet d'accrocher le virus au chier slectionn. Il contient une partie pour la recherche qui lui permet de localiser de nouveaux chiers ou de nouvelles zones d'action sur le disque. Il s'assure qu'il n'a pas dj infect le chier choisi. Excute sa suite de commandes Le camouage permet au virus dtre non

dtectable, par nettoyage des traces.

Les fichiers susceptibles ?

386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM, CAB, CLA, CLASS, CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL, DOC, DOT DRV, DVB, DWG, EML, EXE, FON, GMS, GVB, HLP, HTA, HTM, HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT, MHTM, MHTML, MPD, MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT, OV?, PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML, SHW, SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX, VOM, VS?, VWP, VXE, VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH, WSC, XML, XLS, XLT, ZIP
Tous, sauf Mac Win Mac + Win

Les fichiers susceptibles ?

Les chiers comportant les extensions suivantes ne sont pas interprts par le systme et possdent donc un risque d'infection minime":

txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm
Javas GIF image decoder Les Contrles ActiveX : Ces contrles ne sont pas toujours nocifs, mais il faut toutefois bien y prendre garde. Ils sont uniquement utiliss par le navigateur Internet Explorer. Ce dernier tant trs troitement imbriqu dans le systme d'exploitation, on comprend mieux pourquoi il est primordial de ne pas installer ces contrles l'aveuglette.

Proprits des virus

Analogie avec les virus biologiques
Virus informatique
est un programme contenant son sous-programme de reproduction

Virus biologique
est un micro-organisme contenant son propre patrimoine gntique (brin d'ADN ou d'ARN suivant le type de virus). est spcique une famille de cellules (ex: le virus HIV s'attaque aux cellules du systme immunitaire, les lymphocytes).

ne s'attaque qu' certains programmes

ne peut se reproduire duplication du code viral

que

par

Le virus biologique se reproduit galement par rplication de son code gntique dans d'autres modie le code hrditaire de la cellule contamine

modie un programme en lui faisant excuter d'autres tches

Proprits des virus

Analogie avec les virus biologiques
Virus informatique
peut se dclencher immdiatement ou aprs un temps de latence. nergie sous forme d'lectrons peut se transformer, devenant ainsi di#cile dtecter et peut disparatre du programme hte aprs s'tre multipli. Les programmes infects gnrent de nouveaux programmes

Virus biologique
peut se dclencher immdiatement ou aprs un temps de latence. nergie vitale puise au sein de la cellule contamine peut se transformer an de ne pas tre dtect par les dfenses immunitaires de l'organisme infect et il peut aussi disparatre de la cellule hte aprs s'tre multipli. une cellule contamine produit des virions, progniture du virus initial. Dans ce cas de rplication, les virus peuvent produire des dgts irrparables, programme inutilisable et cellule hte phagocyte.

Proprits des virus

Analogie avec les virus biologiques
Virus informatique
un programme qui aura dj t en contact avec un virus bien prcis ne pourra pas tre contamin une seconde fois le mode de protection virale est sous forme d'un anti-virus contre les attaques ventuelles d'un virus informatique

Virus biologique
Il en sera de mme pour le virus biologique, puisque son contact avec un organisme dclenche une raction de sropositivit. le mode de protection est sous forme d'un vaccin qui dclenche par son injection une raction d'immunodcience, ainsi l'organisme se trouve en contact avec le virus l'tat inactiv, d'o raction immunitaire immdiate. Capable d'voluer

le virus informatique n'est pas rellement capable d'volution. Mais il est vrai, que nous pourrions dvelopper dans un virus informatique, un sous-programme d'apprentissage (par exemple, noter les anti-virus qu'il repre).

Proprits des virus

Analogie avec les virus biologiques
Virus informatique
Pas d'mergence, action toujours prvisible.

Virus biologique
C'est l'mergence, c'est dire qu'une vie organique aura une raction que nous ne sommes pas capables de prvoir 100%, mme pour des tres unicellulaires

La propagation et les dgts occasionns par les deux types de virus sont similaires. De plus, on note une ressemblance dans leur mode d'action. De mme les mthodes de prvention, dtection, vaccination et destruction des deux types de virus sont souvent comparables.

Types de virus
Virus classiques (Virus de chier) Ajoute son code celui de chiers excutables ou non. S'installe en RAM pour interfrer dans le fonctionnement de la machine. Virus rsident (TSR Virus, Terminate and stay resident) se chargent dans la mmoire vive de l'ordinateur ds son activation jusqu l'extinction du poste. Ils infectent tous les chiers excutables lancs par l'utilisateur. Les virus non rsidants infectent les programmes prsents sur le disque dur ds leur excution. Virus compagnon Se dissimule sous le nom d'un excutable lgitime prsent sur le poste. Au lancement de cet excutable par l'utilisateur, c'est le virus qui est lanc en premier. Cette catgorie inclut les virus qui renomment le fichier hte, enregistre le
nouveau nom en tant que future rfrence et ensuite crase le fichier original. Par exemple, un virus peut transformer notepad.exe en notepad.exd et crire son propre code sur le fichier comportant le nom d'origine. Chaque fois que l'utilisateur de la machine victime lance notepad.exe, le virus sera xcut avec le fichier Notepad original, notepad.exd tant excut par la suite.

Virus systme Se gre!e au systme de l'ordinateur.

Types de virus
Virus furtif Se dissimule en contrant les analyses des anti-virus. Virus qui changent leurs proprits, se cachent, se dissimulent pour passer inaperus au dtecteurs de virus. Un virus semi-furtif est un virus furtif qui ne russi pas se dissimuler en toute circonstances. . Virus crypt Encrypte son propre code pour le rendre plus di#cile dtecter par les anti-virus. Virus polymorphe ou camlon Multiple les formes de son propre code an de tromper les anti-virus. Ce virus se crypte et se dcrypte loisir de faon passer inaperu. Peuvent tre des virus d'amorage ou d'excutables Virus-macro Se loge dans les macro-commandes de certains logiciels.

Types de virus
Virus mutant Variante d'un virus dj existant. Virus dont les scripts ont t retravaills dans le but de modier leurs empreintes originales. Ils ne sont pas reconnus car leurs empreintes ne gure pas dans la base de donnes des anti-virus. Ver de messagerie Utilise les messages lectroniques pour se propager. Ver pige Nouveau virus associ un virus connu. L'alerte anti-virale traite le deuxime qui est reconnu, l'radique, et laisse passer le nouveau. Trojan, troyen, ou cheval de Troie Programme capable d'exploiter un poste l'insu de son utilisateur lgitime. Ne se reproduit pas, et est compos de deux parties : client - serveur. Il est utilis par les pirates pour prendre le contrle d'une machine en crant une faille dans un systme. Le Cheval de Troie permet l'ouverture d'un port internet libre. Sapparente au maliciel Backdoor

Types de virus
Rtrovirus Virus qui attaque l'antivirus. Ces virus changent la signature des antivirus dans le but de les rendre inutiles. Virus de secteurs d'amorage ou le Master Boot Record (MBR). Ces virus attaque la zone d'amorage d'un disque

Virus trans-applicatifs (Macros; Scripts: VBScript ; AppleScript) Se retrouvent abondamment dans les documents Microsoft O#ce (Words, Excel, Access, Outlook, et PowerPoint) via les VBScript et les Macros. Virus rseau (suites de commandes machines) qui se dplace et se reproduit dans un rseau (pas de support physique ni logiques pour se propager et se reproduire) laide des outils systme dun client. Ils modient leur processus de lancement pour s'excuter en premier ( la manire dun virus compagnon).

Types de virus
Virus multimodes Virus qui a!ectent plusieurs cibles en mme temps (zone d'amorage, chiers, etc) Programmes farceurs Programme qui fait croire qu'un virus est en train de dtruire le systme, alors qu'en ralit il n'en est rien. Ils annoncent un dbut du formatage du disque dur, la vidange du BIOS, etc. ou envoie un message comme: Votre logiciel est illgal, et nous sommes en train d'envoyer vos coordonnes Interpol. Les bombes logiques sont des virus capables de se dclencher suite un vnement particulier (date systme, activation distante, appel au systme...) Ce type de virus est capable de s'activer un moment prcis sur un grand nombre de machines (on parle alors de bombe retardement ou de bombe temporelle), par exemple le jour de la Saint-Valentin, ou la date anniversaire d'un vnement majeur. Les bombes logiques sont gnralement utilises dans le but de crer un dni de service en saturant les connexions rseau d'un site, d'un service en ligne ou d'une entreprise.

Cest quoi un vers ?

Les vers informatiques sont des virus qui sont capables de se propager (Code AutoPropageable) travers un rseau, en utilisant les outils dun serveur (% client), qui se "reproduisent" linni de manire autonome, contrairement un virus, qui, pour fonctionner, besoin d'un programme hte. qui, en exploitant les mcanismes rseaux du serveur, excutent leur raison dtre.

Cest quoi un vers ?

Les pices jointes des mails sont souvent leur mode de di!usion prfr. Une fois lancs, ils se dupliquent et s'envoient d'eux-mmes vers les di!rents contacts lists dans votre carnet d'adresse. Ils apparaissent sous des noms de chiers ayant les extensions *.PIF, *.EXE, *.BAT, *.SCR ou *.COM.

Les maliciels
Malware
$ Virus informatiques $ Vers informatiques $ Chevaux de Troie $ Bombes logiques

Le ver de Morris (1988)

La plus clbre anecdote propos des vers date de 1988. Un tudiant (Robert T. Morris, de Cornell University) avait fabriqu un programme capable de se propager sur un rseau, il le lana et, 8 heures aprs l'avoir lch, celui-ci avait dj infect plusieurs milliers d'ordinateurs. C'est ainsi que de nombreux ordinateurs sont tombs en pannes en quelques heures, car le !ver! (car c'est bien d'un ver dont il s'agissait) se reproduisait trop vite pour qu'il puisse tre effac sur le rseau. De plus, tous ces vers ont cr une saturation au niveau de la bande passante, ce qui a oblig la NSA (National Security Agency) arrter les connexions pendant toute une journe.
http://www.commentcamarche.net/virus/worms.php3

Le ver de Morris (1988)

Voici la manire dont le ver de Morris se propageait sur le rseau":

& & & & & & &

Le ver s'introduisait sur une machine de type UNIX; il dressait une liste des machines connectes celle-ci; il forait les mots de passe partir d'une liste de mots il se faisait passer pour un utilisateur auprs des autres machines; il crait un petit programme sur la machine pour pouvoir se reproduire il se dissimulait sur la machine infecte et ainsi de suite

Le ver de Morris (1988)

Voici la manire dont le ver de Morris se propageait sur le rseau":

& & & & & & &

Le ver s'introduisait sur une machine de type UNIX; il dressait une liste des machines connectes celle-ci; il forait les mots de passe partir d'une liste de mots il se faisait passer pour un utilisateur auprs des autres machines; il crait un petit programme sur la machine pour pouvoir se reproduire il se dissimulait sur la machine infecte et ainsi de suite

Lobsolence dun virus

Du fait de sa possible persistance sur quantit de support, un virus ne peut jamais tre considr comme radiqu. Un virus lch dans la nature peut donc svir mme de nombreuses annes aprs son apparition, ceci expliquant pourquoi les antivirus conservent les empreintes des virus trs anciens. Il est vident qu'un virus destin oprer sur un type de chiers particulier, par exemple sur les chiers l'extension .tgg, perdra toute sa possibilit d'action si ce type de chier vient disparatre. De mme, un virus prvu pour tel OS prira avec la disparition de son hte dsign.

Lobsolence dun virus

Du fait de sa possible persistance sur quantit de support, un virus ne peut jamais tre considr comme radiqu. Un virus lch dans la nature peut donc svir mme de nombreuses annes aprs son apparition, ceci expliquant pourquoi les antivirus conservent les empreintes des virus trs anciens. Il est vident qu'un virus destin oprer sur un type de chiers particulier, par exemple sur les chiers l'extension .tgg, perdra toute sa possibilit d'action si ce type de chier vient disparatre. De mme, un virus prvu pour tel OS prira avec la disparition de son hte dsign.

La rtro-ingnirie
Est une technique logicielle popularise pour le cracking permettant le dtournement des protections anti-copies des jeux vido. Prend plusieurs formes avec les attaques cryptanalytiques pour extraire les informations de depuis la bote noire (procdure de chiffrement) Les langages de programmation semi-compil ( JavaScript, ASP.NET ) rendent la rtro-ingnirie plus aise. Le JavaScript peut tre facilement dcompil avec ArgoUML et lASP.NET avec ILDASM de Microsoft. Le langage assembleur ou langage d'assemblage (ASM) est le langage de programmation lisible pour un humain le plus proche du langage machine utilis par le microprocesseur de la machine. Le langage machine est une combinaison de bits, il est rendu lisible en remplaant les valeurs brutes par des symboles appels mnmoniques simples et plus faciles retenir. La rtro-ingnirie utilisera un dsassembleur

La rtro-ingnirie
Est une technique logicielle popularise pour le cracking permettant le dtournement des protections anti-copies des jeux vido. Prend plusieurs formes avec les attaques cryptanalytiques pour extraire les informations de depuis la bote noire (procdure de chiffrement) Les langages de programmation semi-compil ( JavaScript, ASP.NET ) rendent la rtro-ingnirie plus aise. Le JavaScript peut tre facilement dcompil avec ArgoUML et lASP.NET avec ILDASM de Microsoft. Le langage assembleur ou langage d'assemblage (ASM) est le langage de programmation lisible pour un humain le plus proche du langage machine utilis par le microprocesseur de la machine. Le langage machine est une combinaison de bits, il est rendu lisible en remplaant les valeurs brutes par des symboles appels mnmoniques simples et plus faciles retenir. La rtro-ingnirie utilisera un dsassembleur

Les maliciels
Malware
$ Virus informatiques $ Vers informatiques $ Chevaux de Troie $ Bombes logiques Les maliciels d'ingnierie sociale

Les maliciels dingnirie sociale

Les canulars (hoax) Les viroax, lgendes urbaines et autres dsinformations. Un canular est une mystication perptre dans l'intention de tromper ou de faire ragir celui qui en est la cible. Sa forme peut tre une fausse nouvelle, une farce, une blague (souvent de mauvais got). Sa caractristique premire doit tre humoristique. Il doit faire rire aux dpens de ceux qui l'ont cru. Parade: HoaxBuster - Premiere ressource francophone sur les hoax Les espiogiciels (spywares) (Les mouchards) Un espiogiciel est un programme charg de recueillir des informations sur l'utilisateur de l'ordinateur sur lequel il est install (on l'appelle donc parfois mouchard) an de les envoyer, par internet, la socit qui le di!use pour lui permettre de dresser le prol des internautes (on parle de prolage). Il est introduit l'insu d'un utilisateur sur son ordinateur, souvent par l'entremise de programmes gratuits. Ces informations seront utilises pour envoyer du spam et autres cyber-publicits abusives. Parade: Anti-spywares

Les maliciels dingnirie sociale

Les espiogiciels les plus insidieux
Les rapports derreur de Windows XP Parade: Activer Disable Error reports ET O#ce XP: ' Don't send error report dans XP-AntiSpy ICQ Logiciel de Chat Microsoft Messenger Service Windows Media Player Connexion Internet avec un anonymat ( Camouage par Proxy ) @ Steganos [www.steganos.com] ; Stealth_Anonymizer_27 (Win) D'abord crer un serveur Proxy sur sa machine, puis congurer Stealth_Anonymizer Tout un d les cyberdtectives Connexion distance @ Protocole VPN permet d'obtenir le mot de passe et le nom d'utilisateur (ingnierie sociale) en se faisant passer pour l'administrateur du rseau

Les maliciels dingnirie sociale

Les Keyloggers : Nom anglo-saxon donn aux enregistreurs de frappes. Ces programmes, trs furtifs, sont l'a!t de ce que vous tapez sur votre clavier, notamment des identiants et des mots de passe. Le keylogger se connecte ensuite au Net et envoie les informations ainsi collectes au pirate, qui peut ainsi s'introduire dans votre systme sans e!ort. Les Chevaux de Troie comprennent souvent un keylogger. Parade: Anti-keylogger Les pollupostages (Spam) Les Pop-Ups Bloccage de fentres surgissantes; Stopzilla (Win) Qui sont les spammeurs? Ce sont des entreprises qui achtent des listes d'adresse scannes. Parade: Anti-spam (ex Spamassassin ).

Les maliciels dingnirie sociale

L'hameonnage (Phishing) Technique utilise par des fraudeurs pour obtenir des renseignements personnels dans le but de perptrer une usurpation d'identit. La technique consiste faire croire la victime qu'elle s'adresse un tiers de conance banque, administration, etc. an de lui soutirer des renseignements personnels": mot de passe, numro de carte de crdit, date de naissance, etc. L'hameonnage peut se faire par courrier lectronique, par des sites Web falsis ou autres moyens lectroniques. Une approche souvent utilise est d'indiquer la victime que son compte a t dsactiv cause d'un problme et que la ractivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble s'y mprendre au vrai site de la socit digne de conance. Arriv sur cette page trompeuse, l'utilisateur est invit saisir des informations condentielles qui sont alors enregistres par le criminel. Lance-hameonnage (Spear Phishing) Fausse page Web qui sinstalle dans la page d'accueil du fureteur par virus Trojan. Parade: Ds quon ralise la supercherie (par payload): taper manuellemet lURL.

Les maliciels dingnirie sociale

L'hameonnage de DNS (pharming) est une technique de piratage informatique exploitant des Vulnrabilits DNS pour rcuprer les donnes d'une victime. Ce type d'hameonnage (phishing) permet de voler des informations aprs avoir attir la victime sur un site web maquill mme si le nom de domaine est correctemment saisi. Les pirates auront pralablement modi la correspondance entre le nom de domaine vers l'adresse IP. Ainsi, par exemple www.mabanque.ca ne pointera plus vers l'adresse IP du serveur de ma banque mais vers un autre serveur frauduleux. Parade Il est trs di!cile dtecter. Le seul moyen d'tre sr "100"% d'identier le "pharming" est de vrier le certicat dudit site Web. Pour ce faire, dans de nombreux navigateurs Web, cliquez sur "Fichier" dans le menu principal et slectionnez "Proprits" ou faites un clic droit avec votre souris n'importe o dans l'cran du navigateur. Dans le menu qui s'a#che, cliquez sur "Proprits". Lorsque la bote de dialogue "Proprits" s'ouvre, cliquez sur "Certicats" et vriez que le nom du certicat correspond bien au nom du site.

Les maliciels dingnirie sociale

Les Rootkits Voie de prdilection des hackers Le Rootkit est un code malicieux trs complexe qui se gre"e dans le noyau mme du systme d'exploitation. Il est capable de prendre le contrle d'un PC de manire totalement transparente. Sa dtection est di#cile voire impossible. Connus depuis longtemps sous Linux (de par la conception ouverte et modulaire de ce dernier), les Rootkits font parler d'eux sous Windows. Les logiciels conus pour les contrer sont encore rares. Le Backdoor ou "porte drobe", en franais, est une fonctionnalit qui donne un accs secret un logiciel. quivalent dun virus trojan. Un backdoor peut tre l'oeuvre du dveloppeur du logiciel, ou d'un pirate informatique. Ce backdoor sera utilis l'insu de l'utilisateur, pour contrler ou espionner les activits du logiciel, et, par extension, dans certains cas, de la machine complte.

Quest-ce que peut faire un virus ou un maliciel?

Tout ordinateur connect un rseau informatique est potentiellement vulnrable une attaque.

Une " a t t a q u e " est l'exploitation d'une faille d'un systme informatique (systme d'exploitation, logiciel ou bien mme de l'utilisateur) des ns non connues par l'exploitant du systme et gnralement prjudiciables avec ou sans laide de virus informatiques.
Sur internet des attaques (exploit) ont lieu en permanence, raison de plusieurs attaques par minute sur chaque machine connecte. Ces attaques sont pour la plupart lances automatiquement partir de machines infectes (par des virus, chevaux de Troie, vers, etc.), l'insu de leur propritaire. Plus rarement il s'agit de l'action de pirates informatiques.

Les attaques

Je cherche les failles !

Quest-ce que peut faire un virus ou un maliciel?

Types dattaques
1- Attaques de login & mots de passe PAR force brute, PAR dictionnaire, PAR keyloggers, PAR ingnirie sociale, PAR espionnage 2- Mystication (usurpation d'adresse IP) 3- Attaque par deni de service 4- Attaque de l'intercepteur 5- Attaque par dbordement de tampon

Attaques de Login & MdP

Ces logins et MdP sont en gnral toujours encrypts. Habituellement, il y a 3 essais puis bloccage. Un exploit de login & MdP commencera par dsactiver le bloccage.

1. 2. 3.

par force brute: en testant tous les mots possibles, avec outils servant vrier la solidit des mots. par base de donnes (dictionnaire) de mots connus, ou les deux, avec outils d'ingnirie sociale ( keylogger, et despiogiciels).

Parade: Bien choisir ses mots de passe

Un bon mot-de-passe
1- Plus de 4 caractres, comprenant Maj. & min., chi"res, et caractres spciaux. Ex. Fac&+Lme -> 328 = 1 099 511 627 776 2- viter de rpter le login 3- viter votre nom, prnom, ou celui dun proche 4- viter un mot du dictionnaire 5- viter mots lenvers 6- viter un mot suivi dune anne 7- Le modier priodiquement

Usurpation dadresse IP
( Spoofing IP )
Remplacer l'adresse de l'expditeur par une adresse accepte par le router. l'acceptation des paquets, le pirate obtient l'adresse du receveur. Il sagit dune dviation des paquets $ Plusieurs tapes existent pour ce faire: $ $ a- Modication de l'entte TCP $ $ b- Lien dapprobation des paquets TCP validit de la synchronisation $ $ c- Exclusion de la machine spoofe $ $ d- l'aide d'outil de sni#ng, lire la trame de retour (source routing), lecture de l'entte IP, envoie du numro de squence valide pour assurer la conance. * TCP (Transmission Control Protocol) * IP (Internet Protocol)

Parade : un pare-feu

Usurpation dadresse IP
( Spoofing IP )

Usurpation dadresse IP
( Blind Attack )

Exclusion de la machine spoofe laveugle. l'acceptation des paquets, le pirate nobtient plus l'adresse du receveur, celle-tant dirige vers une autre machine. Mmes tapes que mthode prcdente, mais ajout dune invalidation de la machine spoofe, toujours avec l'aide d'outil de sni#ng, lire la trame de retour, lecture de l'entte IP, envoie du numro de squence valide pour assurer la conance. * TCP (Transmission Control Protocol) * IP (Internet Protocol)

Parade: Un pare-feu externe

Prdiction # squence

Attaque par deni de service

DoS (Denial of Service)
Attaque destine aux serveurs, le rendant indisponible l'usager.
N'est pas destin aux donnes, MAIS diminue la conance des usagers. Pas compliqu, et trs e#cace. Attaque toutes machines Windows, Linux et Unix (HP-UX, AIX, IRIX, Solaris) $ Deux types: $ 1- DoS par saturation: submerger la machines de requtes interminablement. $ 2- DoS par exploitation des failles du systme: envoi de paquets de taille et confection inhabituelle. Si plusieurs machines sont impliques, ce sera un Dos distribu (DDoS: Distributed Denial of Service).

Attaque par deni de service

DoS (Denial of Service)

Il en existe 5 variantes.
1- Attaque par rexion (smurf) 2- Attaque du ping de la mort (ping of death) 3- Attaque par fragmentation (fragment attack; overlapping) 4- Attaque LAND 5- Attaque SYN

Attaque par deni de service

DoS (Denial of Service) Attaque par rexion (smurf)
Attaque les serveurs de di!usion (duplication des messages)
1- Envoi dune requte ping avec une adresse IP source fausse + adresse IP cible normale 2- Requte rpercute sur lensemble du rseau 3- Rponse de TOUTES les machines au serveur de di!usion 4- Redirection des rponses vers la machine cible

Deni de service

Attaque par deni de service

DoS (Denial of Service) Attaque du ping de la mort
( ping of death )

La plus ancienne des attaques DoS Scnario:

Envoi dune requte ping avec datagramme IP de taille > 65 Ko Le systme vulnrable plante

Nexiste plus sur les systmes rcents.

Attaque par deni de service

DoS (Denial of Service)
( Fragment attack )

Attaque par fragmentation

Attaques DoS par saturation... ...par fragmentation du protocole IP Scnario:
1- Le protocole est prvu pour fragmenter un document en paquets en attribuant un numro de squence des paquet et un numro didentication du document. Puis reconstitution (o!set) 2- Envoie de paquets avec information de numros de squence errons.

Nexiste plus sur les systmes rcents.

Attaque par deni de service

DoS (Denial of Service) Attaque LAND
( Land.c 1997 )

Scnario:
Envoie un paquet possdant la mme adresse IP, et le mme # de port dans les champs source et destination et un numro didentication du document. Puis reconstitution (o!set) Sur systmes vulnrables: instabilit, plantage

Nexiste plus sur les systmes rcents.

Attaque par deni de service

DoS (Denial of Service) Attaque SYN
( TCP/SYN Flooding )

Attaques DoS par saturation... ...exploitant la poigne de main 3 temps du protocole TCP Le protocole 3 temps: rend toute connexion able
1- Le client envoie dune requte SYN au serveur. 2- Le serveur rpond par lenvoie dun paquet SYN/ACK 3- Le client valide par un paquet ACK (acknowledgement - accord/merci)

Scnario:
1- Le client envoie un trs grand nombre de requte SYN au serveur avec IP source invalide. => Pas de paquet SYN/ACK 2- Le serveur vulnrable devient inoprant.

Nexiste plus sur les systmes rcents.

Attaque SYN

Attaque par deni de service

DoS (Denial of Service)

Parade: Serveur rcent

Attaque man in the middle

Un pirate coute une communication, falcie les changes an de se faire passer pour lun ou lautre des interlocuteurs. Exige outil dcoute de rseau

1. 2. 3. 4.

Attaques par rejeux. Interception des paquets, et rejoue sans chi!rement. Un client transmet son login et son MdP. Le pirate rejoue le paquet et obtient mme droits que client. Peut mme changer son MdP Attaques par dtournement de session TCP avec loption Source Routing. Un client e!ectue une ouverture de session. Interception, et utilisation du Source Routing du protocole IP de lhte. Redirection des paquets vers un routeur sous contrle du pirate. Attaques par dtournement de session TCP Blind attack. Attaques par dtournement de session TCP et plantage du client

Attaque man in the middle

5.

Attaques du protocole ARP Une des attaques man in the middle les plus clbres consiste exploiter une faiblesse du protocole ARP (Address Resolution Protocol) dont l'objectif est de permettre de retrouver l'adresse IP d'une machine connaissant l'adresse physique (adresse MAC) de sa carte rseau. Le pirate sapproprie ladresse MAC de la carte rseau et retrouve ladresse IP dune machine du rseau attaqu. Les tables ARP sont alors changes, et lattaquant se fait passer pour une machine lgitime du rseau.

Parade: Serveur rcent avec router intelligent

Attaque par dbordement de tampon

( Buffer overflow )
Excution dun code arbitraire par un programme en lui envoyant plus de donnes quil nest cens en recevoir. Exige du pirate une ne connaissance des programmes et des processeurs. Les donnes A sont stockes dans une mmoire tampon Pile (stack) Les donnes aprs le tampons contiennent une adresse B pour permettre au programme de continuer son excution. Si la taille des donnes A dpasse celle du tampon, ladresse B est crase. En y insrant un code de la Shell (shellcode) ou un virus, ce dernier sera excut. Erreur de programmation de lditeur.

Parade: Demander au programmeur de refaire ses devoirs,

et faire les MJ rgulirement.

Attaque par dbordement de tampon

( Buffer overflow )

Dmonstration

Un hacker

Quest-ce quun hacker ? Quels sont les outils du hacker ? Comment fabrique-t-on une attaque ?

Un hacker
Quelquun qui utilise le bricolage cratif visant amliorer le fonctionnement d'un systme
Cest un fouineur ( La Dlgation gnrale la langue franaise et aux langues de France ) Cest un bidouilleur ( Le grand dictionnaire terminologique de la langue franaise )

En qubcois: un patenteux!

Un hacker

Michel Lauzire la Place des Arts - Le retour du patenteux de l'inutile

Le Devoir, le mercredi 24 janvier 2007

Un hacker
White Hat Hackers, sintressent lapprentissage, loptimisation par
lpreuve;

Black Hat Hackers, pirates informatiques, sintresse laction nuisible et la

destruction par attrait de linterdit, lintrt nancier ou politique, dsir de renomme ou de vengeance; trouvs sur Internet

Script kiddies (gamin du script), jeunes utilisateurs utilisant des programmes Phreaker, pirates du rseau tlphonique commut pour laccs illgal. Carders, pirates de cartes puces Crackers, crateurs doutils pour casser la protection contre la copie; utilisation
de la rtro-ingnirie

Hacktivistes, cybermilitants ou cyberrsistants de communauts parallles

Un hacker

La pomme croque psychdlique, logo d'Apple en hommage Alan Turing, est l'emblme de l'esprit frondeur et crateur des hackers, dont le dynamisme et le style de travail, l'origine d'innovations pionnires, a peu peu imbib la culture d'entreprise des majors informatiques, pour s'imposer dans les annes 1990. Wikipedia

Un hacker
Sa mthode

Collecte dinformations
Adressage IP, Noms de domaine, Protocoles de rseau, Services activs, Architecture des serveurs, Consultation de bases publique

Consultation de moteurs recherche etc.

www.iana.net; www.ripe.net; www.arin.net; www.UWhois.com; www.samspade.org;

Un hacker
Sa mthode

Balayage du rseau
Scanner de rseau, ( N-Stealth; Nmap ) Lecture du chier journal ( Log ) Ingnirie sociale
actifs ou passif Sur Mac: Virex en ligne de commandes

Collecte dinformations

Un hacker
Sa mthode

Reprage des failles

Scanner de failles ( Messus; SAINT; N-Stealth ) Sites web spcialises ( SecurityFocus; Insecure.org; CERT ) (FrSIRT) Les Proof-of-Concept (PoC) coute du rseau ou analyseur de trames ou Sni!er
Winpcap; Windump; TCPDump; SSLDump; NeoTrace-Ettercap; Netstat; et nombreux snifers sans ls

Balayage du rseau Collecte dinformations

Un hacker
Sa mthode

Exploit ( exploitation dune faille)

par virus ou vers, souvent compil sur la machine cible, pour extension de privilges, erreur systme, etc

Intrusion avec un compte valide Reprage des failles Balayage du rseau Collecte dinformations

Un hacker
Sa mthode

Compromission
pour extension supplmentaire de privilges ROOT, par spoong (usurpation didentit)

Exploit ( exploitation dune faille) Intrusion avec un compte valide Reprage des failles Balayage du rseau Collecte dinformations

Un hacker
Sa mthode
Installation dune porte drobe (backdoor) pour pouvoir revenir Installation dun rootkits pour tromper ladministrateur lgitime Compromission Exploit ( exploitation dune faille) Intrusion avec un compte valide Reprage des failles Balayage du rseau Collecte dinformations

Un hacker
Sa mthode
Nettoyage
E!ace toute trace de son passage en supprimant tous les chiers crs, et corriger les Logs

Installation dune porte drobe et dun rootkits Compromission Exploit ( exploitation dune faille) Intrusion avec un compte valide Reprage des failles Balayage du rseau Collecte dinformations

Gnrateurs de virus et vers

Gnrateurs de virus et vers

Gnrateurs de virus et vers

Collecte dinformation et balayage de rseaux

Le gestionnaire de mise jour de N-Stalker assure la MJ des dernires vulnrabilits et technologies disponibles pour le module de balayage.

Collecte dinformation et balayage de rseaux

Easy-to-use Scan Wizard permet un lancement rapide de session de conguration et de balayage.

Collecte dinformation et balayage de rseaux

Les contrles peuvent tre congurs manuellement de faon dtaille, assurant la possibilit d'excuter des sessions de balayage prcis.

Collecte dinformation et balayage de rseaux

L'diteur de signature permet de crer vos propres signatures, avec un puissant langage de script facile utiliser.

Collecte dinformation et balayage de rseaux

N-Stalker vous permet d'obtenir l'information dtaille sur chaque ressource Web, avec recherche de texte, navigateur et lecteur hexadcimal.

Collecte dinformation et balayage de rseaux

Comme unique fonctionnalit, N-Stalker permet de dbogger les transactions HTTP et de modier les requtes avant l'envoi au serveur.

Collecte dinformation et balayage de rseaux

Obtenez les dtails prcis sur vos vulnrabilits, vos objets et composants de Web qui a!ectent votre application Web.

Collecte dinformation et balayage de rseaux

N-Stalker permet de sauvegarder la session entire de balayage pour consultation future ou pour gnrer des rapports.

Collecte dinformation et balayage de rseaux

N-Stalker permet de produire des rapports techniques et des tats de comparaison en formats multiples (HTML, rtf, pdf).

un patenteux informatique

Un hacker

La scurit
La prvention La dcontamination Les tapes de la protection

La scurit
La prvention

La prvention
La cryptographie La signature lectronique Les certicats Les protocoles scuriss (SSL,SSH, S-HTTP, SET, S/MIME Les systmes pare-feu

Cryptographie
La cryptographie est une des disciplines de la cryptologie s'attachant protger des messages (assurant condentialit et/ou authenticit) en s'aidant souvent de secrets ou cls. Elle est utilise depuis l'Antiquit, mais certaines de ses mthodes les plus importantes, comme la cryptographie asymtrique, n'ont que quelques dizaines d'annes d'existence.
La machine de Lorenz utilise par les Allemands durant la Seconde Guerre mondiale pour chiffrer les communications militaires de haut niveau.

Cryptographie
Chi"rement Vigenre
Bas sur le chi!rement de Csar cryptosystme symtrique, ce qui signie qu'il utilise la mme cl pour le chi!rement et le dchi!rement, avec encodage pralable bas sur lASCII.

Cryptographie
Enigma (1923)
Le systme tait muni de 3 ou 4 rotors. Les deuxime et troisime rotors avanaient d'un cran quand le prcdent faisait un tour complet. Il y avait aussi un tableau de connexion qui mlangeait les lettres de l'alphabet et un recteur qui faisait repasser le courant dans les rotors avant l'a#chage. Le dcodage tait assur avec une grille.

Cryptographie
DES (IBM 1973)
Data Encryption Standard. Systme de chi!rement symtrique par blocs de 64 bits, dont 8 bits (un octet) servent de test de parit (pour vrier l'intgrit de la cl). Assure des

combinaisons, des substitutions et des permutations entre le texte chi!rer et la cl. Triple DES, avec trois chi!rement.

Cryptographie
RSA (1978)
Un algorithme de chi!rement cls prive et publique (chi!rement asymtrique) Rivest, Shamir, et Adelman (d'o son nom RSA)

Cryptographie
PGP 1991 (Pretty Good Privacy)
Interdit par FBI en 1993. cryptographie hybride, Le PGP est un systme de une combinaison des utilisant

fonctionnalits de la cryptographie cl publique et de la cryptographie symtrique, message. impossible cryptanalyser. avec compression pralable du Il est trs rapide et sr ce qui le rend quasiment

Chiffrement cl secrte symtrique

Cl prive

Chiffrement cls secrtes asymtrique

Cl prive et publique

Cl de session: Chiffrement cls secrtes asymtrique pour une session

La signature lectronique
La signature lectronique (appel aussi signature numrique) est un procd usage unique permettant de garantir l'authenticit de l'expditeur (fonction d'authentication) et de vrier l'intgrit du message reu (inaltrable). La signature lectronique assure galement une fonction de non-rpudiation, c'est--dire qu'elle permet d'assurer que l'expditeur a bien envoy le message (autrement dit elle empche l'expditeur de nier avoir expdi le message). Fonction de hachage: sorte de check sum pour assurer lintgrit.

La signature lectronique

En expdiant un message accompagn de son hach, il est possible de garantir l'intgrit d'un message, c'est--dire que le destinataire peut vrier que le message n'a pas t altr (intentionnellement ou de manire fortuite) durant la communication. Lors de la rception du message, il su#t au destinataire de calculer le hach du message reu et de le comparer avec le hach accompagnant le document. Si le message (ou le hach) a t falsi durant la communication, les deux empreintes ne correspondront pas.

La signature lectronique
Pour garantir l'authentication du message, il su#t l'expditeur de chi!rer (on dit gnralement signer) le condens l'aide de sa cl prive (le hach sign est appel sceau) et d'envoyer le sceau au destinataire. A rception du message, il su#t au destinataire de dchi!rer le sceau avec la cl publique de l'expditeur, puis de comparer le hach obtenu avec la fonction de hachage au hach reu en pice jointe. Ce mcanisme de cration de sceau est appel scellement.

Les certificats
Un certicat permet d'associer une cl publique une entit (une personne, une machine, ...) an d'en assurer la validit. Le certicat est en quelque sorte la carte d'identit de la cl publique, dlivr par un organisme appel autorit de certication (souvent note CA pour Certication Authority). L'autorit de certication est charge de dlivrer les certicats, de leur assigner une date de validit (quivalent la date limite de premption des produits alimentaires), ainsi que de rvoquer ventuellement des certicats avant cette date en cas de compromission de la cl (ou du propritaire).

La version de X.509 laquelle le certicat correspond"; Le numro de srie du certicat"; L'algorithme de chi!rement utilis pour signer le certicat"; Le nom (DN, pour Distinguished Name) de l'autorit de certication mettrice"; La date de dbut de validit du certicat"; La date de n de validit du certicat"; L'objet de l'utilisation de la cl publique"; La cl publique du propritaire du certicat"; La signature de l'metteur du certicat (thumbprint).

Les certificats
Lorsqu'un utilisateur dsire communiquer avec une autre personne, il lui suffit de se procurer le certificat du destinataire . Ce certificat contient le nom du destinataire, ainsi que sa cl publique et est sign par l'autorit de certification. Il est donc possible de vrifier la validit du message en appliquant d'une part la fonction de hachage aux informations contenues dans le certificat, en dchiffrant d'autre part la signature de l'autorit de certification avec la cl publique de cette dernire et en comparant ces deux rsultats.

Les protocoles scuriss

SSL SSH S-HTTP SET S/MIME

Les protocoles scuriss

Le SSL
SSL (Secure Sockets Layers, que l'on pourrait traduire par couche de sockets ou transport scurise) est un procd de scurisation des transactions e!ectues via Internet. Il repose sur un procd de cryptographie par clef publique

1. 2. 3. 4.

Le client s'authentie et envoie galement la liste des cryptosystmes qu'il supporte. Le marchand renvoie un certicat au client, contenant la cl publique du serveur, signe par une autorit de certication (CA), et le nom dun cryptosystme de la plus grande taille ( 64 bits - 128 bits) Le client vrie la validit du certicat et cre une cl secrte et chi!re cette cl l'aide de la cl publique du serveur, puis lui envoie le rsultat (la cl de session). Le marchand est en mesure de dchi!rer la cl de session avec sa cl prive. Ainsi, les deux entits sont en possession d'une cl commune dont ils sont seuls connaisseurs. Le reste des transactions peut se faire l'aide de cl de session, garantissant l'intgrit et la condentialit des donnes changes.

SSL 3.0 vise authentier le serveur vis--vis du client et ventuellement le client vis--vis du serveur.

Les protocoles scuriss

Le SSH
Le protocole SSH (Secure Shell) rpond cette problmatique en permettant des utilisateurs (ou bien des services TCP/IP) d'accder une machine travers une communication chi!re (appele tunnel). $ $ Les donnes circulant entre le client et le serveur sont chi!res, ce qui garantit leur condentialit (personne d'autre que le serveur ou le client ne peut lire les informations transitant sur le rseau). Il n'est donc pas possible d'couter le rseau l'aide d'un analyseur de trames. $ $ Le client et le serveur s'authentient mutuellement an d'assurer que les deux machines qui communiquent sont bien celles que chacune des parties croit tre. Il n'est donc plus possible pour un pirate d'usurper l'identit du client ou du serveur (spoong). L'tablissement d'une connexion SSH se fait en deux tapes": $ $ Dans un premier temps le serveur et le client s'identient mutuellement an de mettre en place un canal scuris (couche de transport scurise). $ $ Dans un second temps le client s'authentie auprs du serveur pour obtenir une session.

Les protocoles scuriss

Le S-HTTP
S-HTTP (Secure HTTP) est un procd de scurisation des transactions HTTP reposant sur une amlioration du protocole HTTP mise au point en 1994 par l'EIT (Enterprise Integration Technologies). Il permet de fournir une scurisation en cryptant les messages an de garantir aux clients la condentialit de leur numro de carte bancaire ou de tout autre information personnelle. Contrairement SSL qui travaille au niveau de la couche de transport, S-HTTP procure une scurit base sur des messages au-dessus du protocole HTTP, en marquant individuellement les documents HTML l'aide de certicats. Alors que SSL est indpendant de l'application utilise et chi!re l'intgralit de la communication, S-HTTP est trs fortement li au protocole HTTP et chi!re individuellement chaque message.

Les protocoles scuriss

Le SET
SET (Secure Electronic Transaction) est un protocole de scurisation des transactions lectroniques mis au point par Visa et MasterCard, et s'appuyant sur le standard SSL. SET est bas sur l'utilisation d'une signature lectronique au niveau de l'acheteur et une transaction mettant en jeu non seulement l'acheteur et le vendeur, mais aussi leurs banques respectives. Fonctionnement de SET Lors d'une transaction scurise avec SET, les donnes sont envoyes par le client au serveur du vendeur, mais ce dernier ne rcupre que la commande. En e!et, le numro de carte bleue est envoye directement la banque du commerant, qui va tre en mesure de lire les coordonnes bancaires de l'acheteur, et donc de contacter sa banque an de les vrier en temps rel.

Les protocoles scuriss

Le S/MIME
S/MIME (Secure MIME, soit Secure Multipurpose Mail Extension) est un procd de scurisation des changes par courrier lectronique permettant de garantir la condentialit et la non-rpudiation des messages lectroniques. Le standard S/MIME repose sur le principe de chi"rement cl publique. S/MIME permet ainsi de chi!rer le contenu des messages et sa signature, mais ne chi!re pas la communication. Les di!rentes parties d'un message lectronique, codes selon le standard MIME, sont chacunes chi!res l'aide d'une cl de session. Dans chaque en-tte de partie est insre la cl de session, chi!re l'aide de la cl publique du destinataire. Seul le destinataire peut ainsi ouvrir le corps du message, l'aide de sa cl prive, ce qui assure la condentialit et l'intgrit du message reu.

Coupe-barrire, garde-barrire, Firewall

Un pare-feu est un lment du rseau informatique, logiciel et/ou matriel, qui a pour fonction de faire respecter la politique de scurit du rseau, celle-ci dnissant quels sont les types de communication autoriss ou interdits. Un rewall est un logiciel contrlant les changes entre un rseau (local ou Internet) et votre ordinateur. Le pare-feu examine les donnes entrantes et les donnes sortantes de l'ordinateur.
Le pare-feu protge votre ordinateur en gardant les "portes d'accs" appeles les ports empchant dautres ordinateursdinterroger le vtre pour voir si votre ordinateur "rpond" Le contrle des donnes sortantes ne peut s'e!ectuer automatiquement : c'est l'utilisateur par le programme utilis de demander au rewall de fermer ou d'ouvrir les portes d'accs.

Pare-feu

Coupe-barrire, garde-barrire, Firewall

Pare-feu sans tats (stateless rewall)
C'est le plus vieux dispositif de ltrage rseau, introduit sur les routeurs. Il regarde chaque paquet indpendamment des autres et le compare une liste de rgles prcongures: ACL, ltres, etc. Une ACL est une liste d'Access Control Entry (ACE) ou entre de contrle d'accs donnant ou supprimant des droits d'accs une personne ou un groupe. C'est un type de pare-feu trs complexe, qui a tendance tomber en dsutude mais restent prsents sur certains routeurs ou systmes d'exploitation.

Pare-feu

"Tout ce qui n'est pas explicitement autoris est interdit".

Coupe-barrire, garde-barrire, Firewall

Pare-feu sans tats (stateless rewall)
C'est le plus vieux dispositif de ltrage rseau, introduit sur les routeurs. Il regarde chaque paquet indpendamment des autres et le compare une liste de rgles prcongures: ACL, ltres, etc. Une ACL est une liste d'Access Control Entry (ACE) ou entre de contrle d'accs donnant ou supprimant des droits d'accs une personne ou un groupe. C'est un type de pare-feu trs complexe, qui a tendance tomber en dsutude mais restent prsents sur certains routeurs ou systmes d'exploitation.

Pare-feu

Pare-feu tats (stateful rewall)

Certains protocoles dits ! tats! comme TCP introduisent une notion de connexion. Les pare-feu tats vrient la conformit des paquets une connexion en cours. C'est dire qu'ils vrient que chaque paquet d'une connexion est bien la suite du prcdent paquet et la rponse un paquet dans l'autre sens. Ex Skype avec UDP.

Pare-feu applicatif
Dernire mouture de pare-feu, ils vrient la complte conformit du paquet un protocole attendu. Par exemple, ce type de pare-feu permet de vrier que seul du HTTP passe par le port TCP 80. Ce traitement est trs gourmand en temps de calcul ds que le dbit devient trs important; il est justi par le fait que de plus en plus de protocoles rseaux utilisent un tunnel TCP pour contourner le ltrage par ports.

Pare-feu identiant
Un pare-feu identiant ralise l"identication des connexions passant travers le ltre IP. L'administrateur peut ainsi dnir les rgles de ltrage par utilisateur et non plus par IP, et suivre l'activit rseau par utilisateur. Plusieurs mthodes diffrentes existent qui reposent sur des associations entre IP et utilisateurs ralises par des moyens varis.

Pare-feu personnel
Les pare-feu personnels, gnralement installs sur une machine de travail, agissent comme un pare-feu tats. Bien souvent, ils vrient aussi quel programme est l'origine des donnes. Le but est de lutter contre les virus informatiques et les logiciels espions.

Coupe-barrire, garde-barrire, Firewall

Les fonctions des rewalls rcents!:
# # # # # # # # # # # # # # # # # # # # # # # # # # # # # Filtrage sur adresses IP/Protocole, Inspection stateful et applicative, Intelligence articifielle pour dtecter le trafic anormal, Filtrage applicatif # HTTP (restriction des URL accessibles), # Courriel (Anti-pourriel) # Logiciel antivirus, anti-logiciel malveillant Translation d'adresses, Tunnels IPsec, PPTP, L2TP, Identification des connexions, Serveurs de protocoles de connexion (telnet, SSH), de protocoles de transfert de fichier (SCP), Clients de protocoles de transfert de fichier (TFTP), Serveur Web pour offrir une interface de configuration agrable, Serveur mandataire ( !proxy! en anglais), Systme de dtection d'intrusion ( !IDS! en anglais) Systme de prvention d'intrusion ( !IPS! en anglais)

Pare-feu

Les ports logiciels

De nombreux programmes TCP/IP peuvent tre excuts simultanment sur Internet et comme chacun deux travaille avec un protocole di"rent, l'ordinateur doit pouvoir distinguer les di!rentes sources de donnes. Ainsi, pour faciliter ce processus, chacune de ces applications se voit attribuer une adresse unique sur la machine, code sur 16 bits: un port. Ce qui implique qu'il existe un maximum de 65 536 ports (216) par ordinateur. L'attribution des ports est faite par le systme d'exploitation, sur demande d'une application. Cette dernire peut demander ce que le systme d'exploitation lui attribue n'importe quel port, condition qu'il ne soit pas dj attribu. L'application peut ensuite l'utiliser comme bon lui semble. L'adresse IP sert donc identier de faon unique un ordinateur sur le rseau tandis que le numro de port indique l'application laquelle les donnes sont destines. La combinaison de ladresse IP + port est alors une adresse unique au monde, elle est appele :socket.

Pare-feu

Liste des ports logiciels

Coupe-barrire, garde-barrire, Firewall

Pare-feu

Des tests comparatifs (en) doivent tre e!ectus rgulirement, car les pare-feux n'ont pas tous les mmes performances et les menaces voluent. Les notes varient de 0/20 pour le "pare-feu" de Windows XPSP2, 17/20 pour les meilleurs.

Shields UP

Symantec Security Check

Externe (matriel) - Interne

Pare-feu

Pare-feu
Firewall interne

Firewall externe
ZyWALL IDP 10
Le systme de dtection et prvention dintrusion est un lment important du concept de scurit globale. Les pare-feu noffrent quun contrle limit sur adresses IP ou ports et, sans IDP additionnel, les routeurs ne sont plus en mesure de repousser les attaques daujourdhui. Cest pourquoi le ZyWALL IDP 10 est en gnral install en combinaison dun pare-feu. Les paquets IP entrants et sortants sont analyss en temps rel sans perte de performance remarquable et lors dune attaque (...)

Pare-feu

La scurit
La dcontamination
1. A faire au pralable :
Fermer toutes les applications ET tuer les tches inutiles ou suspectes avec Gestionnaire de Tches <Ctrl> +<Alt>+<Suppr> Moniteur dactivit (Utilitaires) Vider le cache des fureteurs et supprimer tous les cookies Faire le "mnage" en Mode Sans Echec (PC) Win : Logiciel rsident de WinXP -Controverse Mac : AppleJack - SOS Disque Disk Warrior

3. La suppression des chiers potentiellement dangereux

Win : CCleaner Mac : ? 4. Analyse avec un antispyware Win : AVG Anti-spyware Mac : ?

5. Analyse avec un anti-virus en ligne Win : BitDefender Mac : ?

2. La Restauration Systme

6. Excution dHijackthis
Win : Hyjackyhis Mac : ?

Les tapes de la prvention

1. Des alternatives Internet Explorer et Outlook Express ?
- Le navigateur Firefox : - Le navigateur Opera - Le navigateur IE v7.0 - Le logiciel de messagerie Thunderbird

La scurit

2. Les anti-virus
- Les logiciels commerciaux et gratuits: - Les logiciels en ligne: - Les logiciels libres (Open Source): Pour MacOS X (Mac Fixit) ATTENTION: Virus mutant; Virus furtif; camlon; Rtrovirus. Virus crypt; Virus polymorphe ou

http://forum.aideonline.com/aideonline/AideWindows/Topik-Unik-Combattre-Malwares-sujet-70113-1.htm

Les tapes de la protection

Les anti-virus: Comment a marche?
Un antivirus est un logiciel cens protger un micro-ordinateur contre les programmes nfastes appels virus, vers, macrovirus, etc. Les principaux antivirus du march se fondent sur des chiers de signatures et comparent alors la signature gntique du virus aux codes vrier. Certains programmes appliquent galement la mthode dite heuristique tendant dcouvrir un code malveillant par son comportement. Autre mthode, l'analyse de forme repose sur du ltrage bas entre des rgles regexp ou autres, mises dans un chier junk. Cette dernire mthode peut tre trs e#cace pour les serveurs de courriels supportant les regexp type postx puisqu'elle ne repose pas sur un chier de signatures. Les antivirus peuvent scanner le contenu d'un disque dur, mais galement la mmoire de l'ordinateur. Pour les plus modernes, ils agissent en amont de la machine en scrutant les changes de chiers avec l'extrieur, aussi bien en ux montant que descendant. Ainsi, les courriels sont examins, mais aussi les chiers copis sur ou partir de supports amovibles tels que cdroms, mmoires USB, disquettes, connexions rseau...

La scurit

Environ 300 nouveaux virus font leur apparition chaque mois.

Les tapes de la protection

Les anti-virus: lequel choisir? (les tests)
Aucun est totalement e#cace. 114000 virus... Acheter un logiciel dans le commerce cre un sentiment de scurit. Pourtant, trois diteurs proposent notamment des versions gratuites de leur antivirus, destines uniquement un usage personnel. La gratuit est elle forcment synonyme d'inscurit ? Tentons d'y voir plus clair. Pour la suppression - rparation, di#cile de dpartager les antivirus lors de ce test : les menaces sont toutes radiques mais les logiciels se contentent de supprimer les chiers, la rparation s'tant montre, dans tous les cas, impossible. Notre prfrence va Kaspersky, NOD32 et BitDefender qui o!rent une meilleure vue des chiers dtects et supprims. Virus compagnon : Tous les produits tests ont correctement analys les trois archives. Tous sauf McAfee qui a mystrieusement plant, sans que l'on puisse en connatre la raison. Le problme a t reproduit plusieurs fois. Dtection des vers. Tous les logiciels sont galit sur ces tests, aucun ne semble sou!rir d'une vulnrabilit qui en ferait un danger potentiel.

La scurit

Les tapes de la protection

La scurit

Les tapes de la protection

La scurit

Les tapes de la protection

La scurit

Les tapes de la protection

3. Une liste des programmes les plus utiliss* pour se protger :
SmitFraudFix : anti-dtournement du bureau (Desktop HiJack) pour Win2k et WinXP AVG Anti-Spyware anti-HiJackers, anti- Spywares, anti-Vers, anti-Dialers, antiChevaux de Troie et anti-Keyloggers. Spybot Search & Destroy : anti- Spywares, SpywareBlaster : amliore la fonction Vaccination de Spybot Ad-Aware SE : complment de Spybot Tauscan : dtecter et d'liminer "les Chevaux de Troie Trojan Remover : radiquer les Chevaux de Troie et autres vers ($35.00) CWShredder : traquer le clbre et trs actif spyware CoolWebSearch SpywareGuard : anti-dtournements de pages d'Internet Explorer Microsoft AntiSpyware / Microsoft Defender: anti-Spywares A-Squared Free : protgera des Trojans, Backdoors, Vers, Bots, Dialers, Spywares et Adwares.

La scurit

* La plupart sont gratuits

Les tapes de la protection

3. Une liste des programmes les plus utiliss* pour se protger : (suite)
WinPatrol : anti-spywares, Dtection des changements du Systme de Restauration (Windows Me et XP), Empche le dtournement de pages, Bloque et, le cas chant, protge le chier HOSTS ProcessGuard : protge les processus de Windows d'une attaque par d'autres processus RegProt : surveille les accs la Base de Registre BlackLight : recherche et limine des Rootkits RootkitRevealer : combattre les Rootkits IE Privacy Keeper : nettoyage des chiers temporaires, cookies, et autres chiers systme de votre PC Crap Cleaner (CCleaner) : nettoyage automatique de la Base de Registre et des chiers temporaires SuperCleaner : nettoyage en profondeur de Windows $$$ ATFCleaner : nettoyer le systme de Firefox et d'IE nCleaner : nettoyage de Windows ( systme, plugins, Base de Registre, erreurs Windows )

La scurit

* La plupart sont gratuits

Les tapes de la protection

4. Astuces diverses pour viter dtre r)infect :
1. Les mises jour de Windows
2. Utiliser un Firewall externe: - ZoneAlarm : A noter que Zone Alarm ne peut tre utilis au sein d'un rseau (sur un PC passerelle) - Kerio Personal Firewall : Plus puissant que Zone Alarm, mais plus compliqu

La scurit

3. Bloquer les sites risque :

Windows dispose d'un chier nomm Hosts qui permet de bloquer tout site malveillant.

http://forum.aideonline.com/aideonline/AideWindows/Topik-Unik-Combattre-Malwares-sujet-70113-1.htm

Les tapes de la protection

4. Astuces diverses pour viter dtre r)infect :
4. En bref : $ Nettoyer la Base de Registre, avec RegProt et Optimiser le dmarrage de Windows $ Ne jamais se connecter sur Internet sans avoir au pralable install un parefeu, un antivirus, les derniers correctifs pour le systme et les applications, et tous les anti-, $ Ne jamais ouvrir les mails ni les pices jointes manant d'expditeurs inconnus, $ Eviter les sites pornographiques (les 4/5 des sites XXX sont infects) ainsi que les sites illgaux - underground, $ Toujours vrier que le contenu d'un chier tlcharg est sain, grce un antivirus rsident, $ Scanner son PC rgulirement (2 3 fois par semaine), et en mettant bien ses logiciels jour, $ Se tenir inform de l'actualit informatique, en surfant sur des sites tels qu'AideOnline, bien sr, mais aussi Generation-NT, Clubic, Secuser, Microsoft, et bien d'autres encore...

La scurit

Les cas
Le virus WMF Le cas de Desjardins Le cas du MSSS Le cas de MacOS X

Le virus WMF
2003-01 Achat IBM Thinkpad R32 WinXP 2003-04 Installation de SP2 2003-05 Dsinstallation de SP2 2005-12 La faille du WMF sous Windows ne cesse de faire des victimes 2006-01 Debunking the WMF backdoor 2006-01 Microsoft publie son patch contre la faille WMF 2006-02 Le WMF toujours pas corrig. 2006-03 Limites des anti-virus 2006-06 Bulletin de scurit Microsoft MS06-026 2006-09 Zero-Day Response Team Launches with Emergency IE Patch 2007-02 Infection par Exploit.Win32.WMF-PFV 2007-02 Microsoft tudie de nouveaux rapports faisant tat d'attaques trs limites "zero-day"

Le cas de Desjardins

13 mars 2007

Le cas de Desjardins

14 mars 2007

Le cas de Desjardins
1- Message de Don #1 Some use a Microsoft Internet Explorer BUG that allows scammers to tell the URL line to display 1 adress while actually being somewhere else. 2- Message de Don #2 A new term recently introduced is Spear Phishing 3- Super Bowl stadium site hacked, seeded with exploits 4- Desjardins - Direction Informatique 5- Comment a marche? Les attaques de type Cross-Site Scripting 6- Microsoft .NET Framework contains a cross-site scripting vulnerability

Le cas du MSSS
1-

La sant des TI en prend pour son rhume

2- Le rseau hospitalier canadien attaqu par un virus 3- Le virus Rinbot

Le cas du MacOS X

Le cas du MacOS X
1- Les vulnrabilits et les maliciels 2- Exploit released for Mac OS X aw 3- MacFixit 4- ClamAV pour Macintosh

Vos questions
Pourrait-on comparer l'investissement d'un logiciel de prvention (et ses mises jours) payant et ceux gratuits ? Je veux tlcharger de la musique quels points je cours un risque ? Est-ce pire sur des sites gratuits ? J'utilise des jeux pour jeunes enfants sur internet (Booha et Koala, Dora ), je dois tre branch pour y jouer, est-ce que a tlcharge quelque chose sur mon ordi ? Je tlcharge des pdf - est-ce vrai qu'il n'y a pas de risque ce niveau ? Si je fais que naviguer et que je ne tlcharge rien, est-ce vraiment sans risque ? La gestion du risque idal, est-ce de ne pas aller sur internet, avoir deux ordinateurs ou deux comptes, un pour l'internet et lautre pour le travail? Comment dtecter un virus, et l'liminer.

Vos questions
La prvention sur le mac versus sur le pc. Quelle est la di!rence entre un rewall (parefeu) et un virus ? Est-ce qu'un anti-virus fait le mme travail qu'un rewall (ou l'inverse) ? Comment viter davoir un virus? Sinon, peu-on sen protger et/ou s'en dbarrasser? Avant, avec les disquettes, on pouvait vrier la prsence dun virus." Maintenant avec les cls USB, a ne se fait plus." Y'a t-il une raison ?" Est-ce que c'est notre vigilance (ou juste la mienne) qui a diminue ? Et en plus, il y a toutes les lgendes urbaines qui viennent fausser les ides des gens. Comment savoir? Comment faire pour savoir si l'anti-virus install est vraiment fonctionnel ?

Vos questions
Comment protger un Macintosh? Qu'est-ce que le hameonnage (phishing) et comment se protger? Est-ce que les cookies traceurs envoys par certains sites reprsentent des risques pour mon PC ? Faut-il les supprimer ? J'utilise mon Mac avec un compte administrateur. Y a-t-il des risques ? Y-a-t-il autant de risque sur un PC ? Mon ordinateur a t rcemment contamin par un virus. Je l'ai dsinfect, mais il a toujours des problmes de fonctionnement. Comment est-ce possible ?