Accueil Forum Tutoriaux Contactez nous
Forum informatique
Aidoforum.com  •  RSS  •  Chat  •  Annuaire  •  Demander de l'aide  •  Tutoriaux  •  Rechercher   •  S'inscrire  •  Profil  •  Non identifié  •  Connexion

Soutenez Aidoforum

Inscrivez vous pour découvrir les nombreux avantages des membres ! La publicité disparaîtra, et l'inscription est gratuite !
 

[Infos sécurité] * Table des matières * [Infos sécurité]

    ( Recommander ce sujet )
Créer un nouveau fil de discussion dans la même catégorie
Ce sujet est verrouillé, vous ne pouvez pas éditer les messages ou faire de réponses. Forum informatique » Aide Virus, Spywares et autres logiciels malveillants
Auteur Message

synthexe

Geek
Geek

AidoAntivirus
AidoAntivirus


Messages: 2280
Tutoriaux : 0
MessagePosté le: Mer 29 Aoû 2007 12:53    Sujet : [Infos sécurité] * Table des matières * [Infos sécurité] Répondre en citantRevenir en haut Alerter les modérateurs
Bonjour à tous Hello !

Ce topic a pour but de rassembler certaines infos de sécurité.
Chque info aura une discussion associée, pour ne pas polluer ce topic.
Voila une petite table des matières pour synthétiser le contenu de ce topic :


Bonne lecture à tous, n'hésitez pas à participer aux discussions associées.

Bonne journée.

_________________
Anti-Malware Powa


Dernière édition par synthexe le Lun 07 Avr 2008 18:51; édité 22 fois
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur

synthexe

Geek
Geek

AidoAntivirus
AidoAntivirus


Messages: 2280
Tutoriaux : 0
MessagePosté le: Mer 29 Aoû 2007 12:55    Sujet : [Infos sécurité] * Table des matières * [Infos sécurité] Répondre en citantRevenir en haut Alerter les modérateurs
Posté par Kheops

Salut à tous ...

Toujours aussi sensible aux problèmes de sécurité informatique, je me permets ici de faire un petit récapitulatif commenté de ce qu'on appelle les malwares, au sens large ...

Ce topic n'est pas exhaustif mais il est destiné à vous permettre d'y voir un peu plus clair dans cet imbroglio de termes, parfois utilisés à tort, et éventuellement, de vous donner quelques recommandations de base pour réduire le risque d'infection ...

A - Les malwares, qu'est-ce que c'est ?

Le terme anglais "malware" (contraction de "malicious software" ou "logiciel malveillant" en français) regroupe toutes sortes de logiciels destinés à nuire à un système informatique. C'est donc un terme très vaste, d'où le but de ce topic ...

Parce que les virus ont été historiquement les premiers à apparaître, le terme "virus" est souvent employé abusivement, pour désigner beaucoup de logiciels malveillants. Les antivirus modernes renforcent cette dénomination abusive puisque que leur focus n'a jamais été limité aux virus.

On peut cependant classer les malwares selon plusieurs critères. Cette classification n'est pas parfaite, la différence entre les classes n'étant pas toujours évidente. Cependant, c'est aujourd'hui la classification standard la plus couramment adoptée ...

a. le mécanisme de propagation
b. le mécanisme de déclenchement
c. la charge utile (le code destiné à nuire, proprement dit)

B - Types

1- Virus

Un virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme Internet, mais aussi les disquettes, les CD-DVD, les clefs USB, etc ...

Sa grande caractéristique est qu'il est prévu pour se reproduire de lui-même en fonction des autres hôtes du réseau (dont il a besoin contrairement aux vers, nous le verrons plus loin) ...

1-1 Types de virus

- Le virus classique est un morceau de programme qui s'intègre dans un programme normal (ou dans le Master Boot Record dans le cas d'un virus de boot).

Chaque fois que l'utilisateur exécute ce programme "infecté", il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables.

De plus, lorsqu'il contient une charge virale, il peut, après un certain temps (qui peut être très long) ou un évènement particulier, exécuter une action prédéterminée. Cette action peut aller d'un simple message anodin à la corruption de certaines fonctions du système d'exploitation, la corruption de certains fichiers ou même la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique et de charge utile.

- Les macro-virus s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc ...) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle "normal.dot" de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme. Word étant le programme le plus utilisé au monde, imaginez la suite ...

- Les virus de boot sont, historiquement les premiers virus. Ils fonctionnent selon un schéma simpliste : ils utilisent les zones d'exécution automatiques des disque durs et disquettes (secteur de démarrage ou MBR) pour se propager. Ils se copient eux-mêmes sur le secteur de boot ou sur la table de partition, et déplacent ailleurs le secteur original sur le disque ou sur la disquette.

Ces virus infectent votre disque dur lorsque vous redémarrez l'ordinateur sur une disquette qui comporte un secteur de boot infecté. Par la suite, et pour assurer sa diffusion, toutes les disquettes qui seront introduites dans le système infecté verront leur secteur de boot remplacé par celui du virus.

- Les virus-vers, apparus aux environs de l'année 2003 et ayant connu un développement fulgurant dans les années qui suivirent, sont des virus classiques car ils ont un programme hôte. Mais s'apparentent aux vers (en anglais "worm") car leur mode de propagation est lié au réseau, en général via l'exploitation de failles de sécurité, leur action se veut discrète, et non-destructrice pour les utilisateurs de la machine infectée et, comme les vers, ils poursuivent des buts à visée large, tels que l'attaque par saturation d'un serveur web par des milliers de machines infectées se connectant simultanément.

Le facteur le plus important de la multiplication des virus sous Microsoft Windows est sa grande popularité, ce qui en fait une cible de choix pour les créateurs de virus. De plus, l'ouverture par défaut de ports réseau, non indispensables au fonctionnement standard, mais réclamés par le système de mise à jour automatique et d'autres fonctionnalités très peu documentées et parfois obsolètes, la possibilité d'exécuter automatiquement des scripts dans les courriels sans contrôle sont autant de sources d'infection.

La démocratisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions).

De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles.

2- Spywares

On appelle spyware (logiciel espion en français) tout code introduit sur un dispositif pour y collecter des informations à l'insu ou sans la permission explicite et éclairée de l'utilisateur et qui emploie tous les moyens pour délivrer ces informations.
Même préalablement informé d'un éventuel tracking, l'utilisateur n'en reste pas moins soumis à une surveillance dont la nature peut s'avérer illégale du point de vue de la législation de son pays.

Une autre définition du spyware pourrait être un logiciel commercial (c'est-à-dire légalement disponible dans le commerce, payant ou gratuit) dont le mode de financement ou de fonctionnement amène à recueillir puis transmettre à un tiers des données personnelles concernant ses utilisateurs, sans avoir obtenu au préalable une autorisation explicite et éclairée de ces derniers.

Les spywares sont donc différents des chevaux de Troie et autres enregistreurs de frappes au clavier (keyloggers), contrairement à une déformation récente de leur définition, même si ces derniers peuvent également être utilisés pour collecter et envoyer des données sensibles, dans un but cette fois clairement malveillant.

Les spywares sont aussi souvent confondus avec les adwares (advertising supported software ou pubgiciels en français), ces logiciels dont l'auteur se rémunère par l'affichage de bannières publicitaires, sans pour autant recueillir ni transmettre de données personnelles et donc sans forcément porter atteinte à la vie privée de leurs utilisateurs. Ils sont également confondus à tort avec les cookies et les web-bugs, qui ne sont pas des programmes espions mais plutôt des procédés techniques dont la mise en oeuvre peut être détournée pour porter atteinte à la vie privée.

2-1 Types de spywares

Une première classification des spywares peut être établie en tenant compte de leur fonction, à savoir le commerce ou le renseignement :

- les spywares commerciaux collectent des données sur leurs utilisateurs et interagissent de manière visible avec eux, en gérant l'affichage de bannières publicitaires ciblées, en déclenchant l'apparition de fenêtres pop-up, voire en modifiant le contenu des sites web visités afin, par exemple, d'y ajouter des liens commerciaux. Ce sont les spywares les plus courants. Leur existence est généralement mentionnée dans la licence d'utilisation du logiciel concerné, mais souvent dans des termes ambigus et/ou dans une langue étrangère, ce qui fait que l'utilisateur n'est pas correctement informé. Ils se présentent généralement sous la forme de logiciels gratuits, pour les éditeurs desquels ils constituent une source de revenu.

- les mouchards collectent également des données sur leurs utilisateurs mais le font dans la plus totale discrétion. La surveillance et la réutilisation éventuelle des données collectées se font à l'insu des utilisateurs, généralement dans un but statistique ou marketing, de débogage ou de maintenance
technique, voire de cybersurveillance. L'existence de ces mouchards est délibérément cachée aux utilisateurs. Ils peuvent concerner n'importe quel logiciel, qu'il soit gratuit ou payant, mais de par leur nature ils sont peu fréquents, le risque en terme d'image en cas de découverte et médiatisation de l'existence du mouchard par un utilisateur étant à lui seul dissuasif pour la plupart des éditeurs.

Une seconde classification peut être opérée en fonction de la nature des spywares, à savoir leur constitution logicielle :

- le spyware intégré (ou interne) est une simple routine incluse dans le code d'un programme ayant une fonction propre pour lui donner en plus la possibilité de collecter et de transmettre via internet des informations sur ses utilisateurs. Les logiciels concernés sont par exemple Gator, New.net, SaveNow, TopText, Alexa ou Webhancer ainsi que la totalité des mouchards. Le spyware et le programme associé ne font qu'un et s'installent donc simultanément sur l'ordinateur de l'utilisateur.

- le spyware externalisé est une application autonome dialoguant avec le logiciel qui lui est associé, et pour le compte duquel elle se charge de collecter et de transmettre les informations sur ses utilisateurs. Ces spywares sont conçus par des régies publicitaires ou des sociétés spécialisées comme Radiate, Cydoor, Conducent, Onflow ... avec lesquelles les éditeurs de logiciels passent des accords. Le spyware de Cydoor est par exemple associé au logiciel P2P KaZaA, et s'installe séparément mais en même temps que lui.

2-2 Fonctionnement d'un spyware

Dans le cas des spywares commerciaux, avant de pouvoir procéder à l'installation du logiciel gratuit convoité l'utilisateur est généralement invité à fournir certaines informations personnelles voire nominatives (email, nom, âge, sexe, pays, profession, etc.). Un identifiant unique est alors attribué à l'ordinateur de l'internaute, qui permettra de relier les données collectées et centralisées dans une gigantesque base de données aux informations personnelles fournies par l'utilisateur, voire éventuellement à d'autres informations recueillies sans préavis (configuration, logiciels installés, etc.).

L'analyse de ces données permet de déterminer les habitudes d'utilisation, les centres d'intérêts voire les comportements d'achat de l'utilisateur et de lui proposer ainsi des bannières publicitaires, des courriers électroniques promotionnels ou des informations commerciales contextuelles toujours plus ciblés, en rémunérant au passage les éditeurs de logiciels partenaires. Dans le cas du spyware commercial Cydoor, l'installation du programme copie sur le disque les fichiers nécessaires au fonctionnement de l'application (cd_load.exe, cd_clint.dll et cd_htm.dll), crée un répertoire pour stocker les bannières qui seront affichées à l'utilisateur même lorsqu'il sera hors ligne (Windows/System/AdCache/), puis modifie la base de registre.

La plupart des spywares fonctionnent avec une extrême discrétion : ils agissent en tâche de fond, apparaissent rarement dans le Menu Démarrer de Windows et même dans le cas des spywares externalisés sont le plus souvent absents de la liste des programmes installés figurant dans le Panneau de configuration.

Dans le cas des spywares commerciaux, il est normalement fait état de leur existence dans la licence du logiciel mais ça n'est pas toujours le cas et c'est souvent en des termes trompeurs, décrivant rarement le détail des informations collectées et l'utilisation qui en sera faite. Quel que soit le type de spywares, les données collectées et transmises sont définies dans le code source du spyware, et le cryptage des transmissions fait qu'il est difficile de s'assurer de leur nature exacte.

Le spyware s'exécute souvent automatiquement au démarrage de Windows et mobilise donc en permanence une partie des ressources du système. Pour collecter certaines données, les spywares peuvent également être amenés à modifier des fichiers vitaux gérant par exemple les accès à internet, ce qui peut conduire à des dysfonctionnements importants en cas d'échec de l'installation ou de la désinstallation du spyware. Certaines fonctionnalités annexes comme la mise à jour automatique peuvent aussi représenter un danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou d'un autre spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.

Lors de l'installation d'un logiciel, il faut :

- se déconnecter du web
- détailler les fenêtres successives avant de cliquer sur "suivant"
- refuser les annexes
- refuser l'ouverture directe en fin d'installation
- refuser le démarrage automatique avec Windows
- refuser les mises à jour immédiates
- faire attention aux cases déjà cochées

2-3 Que faire ?

S'il ne peut y avoir aucune hésitation à condamner les mouchards et plus globalement le principe visant à espionner les utilisateurs à leur insu, contrairement à la publicité en ligne telle que pratiquée par la régie DoubleClick, le tracking opéré par les spywares commerciaux a le mérite de ne concerner que les utilisateurs qui décident d'installer un de ces logiciels, laissant donc la liberté aux autres internautes de ne pas en installer ou d'opter pour une version payante dépourvue de spyware.

Malheureusement, au lieu d'opter pour la transparence et d'en expliquer clairement les enjeux, beaucoup d'éditeurs de logiciels ont été tentés de profiter de la discrétion des spywares pour en dissimuler l'existence ou pour les laisser implantés même après la désinstallation du logiciel associé. Les spywares commerciaux sont ainsi devenus aux freewares et aux sharewares ce que le spam est à l'e-mail. Ils ont d'ailleurs également créé un marché spécifique, puisqu'aux spywares qui exploitent la confiance ou l'ignorance des internautes viennent désormais s'ajouter un nombre croissant d'utilitaires antispywares payants ou gratuits (dont beaucoup sont faux) qui exploitent les peurs et parfois l'ignorance de ces mêmes internautes.

Sauf à renoncer à installer de nouveaux programmes sur son ordinateur, il faut chercher à s'informer et surtout faire preuve d'un minimum de vigilance si l'on souhaite que sa vie reste privée sur internet.

3- Les vers

Les virus de type "worm" (vers) sont des virus (des programmes) n'ayant généralement pas besoin d'un véhicule (un hôte, un vecteur) pour se dupliquer. Ils se propagent d'une manière rampante en utilisant les systèmes de transport tels les messageries, les messageries instantanées, les canaux IRC, les réseaux (locaux ou Internet) et le P2P. En ce sens, ce ne sont qu'une forme particulière de virus liée à leur mode de déplacement d'une machine à une autre.

Les virus infestent un véhicule et c'est la réplication du véhicule qui réplique le virus. Le virus est passif en terme de propagation (par contre il est souvent très actif en terme d'infestation d'une machine une fois celle-ci pénétrée). Si l'utilisateur ne duplique pas des disquettes ou des CD-Rom infestés ou s'il ne met pas des fichiers infestés en partage sur des réseaux P2P, le virus ne se propage pas.

Les vers ne se différencient des virus que par leur mode de propagation. Leur dispositif de réplication vise tous les systèmes de transports connus afin de se propager de leur propre initiative par cette voie au lieu de viser les objets exécutables et d'attendre que ceux-ci soient répliqués par la volonté de l'utilisateur. Pour le reste, il s'agit de virus "normaux". Les vers sont donc leur propre véhicule et sont essentiellement constitués de deux programmes : l'un est un réplicateur actif et l'autre est la charge active (le virus en lui-même). Le réplicateur va diffuser la paire réplicateur + charge active, via le système de transport.

Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.

3-1 Remarque importante

Ceci m'amène à parler des doubles extensions ... Hein ? C'est quoi ça ?

Je ne vous apprends pas que les noms de fichiers sont constitués de 2 parties séparées par un point : un nom et un suffixe (une extension du nom). Cette extension permet de savoir quelle est la nature du fichier.

Où est le problème ? Et bien, par défaut, Windows ne les affiche pas, pour des raisons que j'ignore. Et donc, de temps en temps, on voit apparaître un fichier bidule.txt et on n'y prête pas attention. On a le reflexe de penser que c'est un fichier texte et on double clique dessus pour voir ce qu'il y a dedans. Et là c'est le drame ... c'était un fichier bidule.txt.exe en réalité, donc un programme exécutable qui, manque de bol, implante un virus. Trop tard...

Il faut IMPERATIVEMENT afficher les extensions de fichiers.

Pour ce faire : dans l'explorateur Windows > Outils > Options des dossiers > Affichage > Décocher la case "Masquer les extensions des fichiers dont le type est connu" ...

4- Trojans

Un trojan, ou cheval de Troie, est un programme utilisé comme véhicule pour introduire dans un dispositif un ou plusieurs autres programmes, généralement des parasites, cachés à l'intérieur du premier.

Cette séparation entre le support et l'infection caractérise les chevaux de Troie.

Un troisième laron est utilisé pour lier le véhicule et sa charge utile en un tout installable et monofichier : un binder. Le binder permet de lier les deux premiers et permet également de les délier (de lâcher la charge utile) lors de l'installation du véhicule.

4-1 Description

C'est un programme ayant deux caractéristiques :

- Un comportement apparent utile (mais souvent futile, comme les économiseurs d'écrans, qui sont presque tous des trojans) à l'utilisateur de l'ordinateur (c'est le véhicule, la méthode d'infestation, la partie visible du trojan).

- Un comportement caché, malveillant, dû à l'implant véhiculé à l'intérieur du trojan (charge utile), conduisant à la destruction ou la divulgation des données, à l'ouverture d'une porte dans le système de communication, à l'espionnage, à la publicité, etc ...

4-2 types de trojans

On peut en distinguer trois :

- les trojans conservant leur charge utile sur eux, en plus de leur activité apparente. Le nom de "trojan" est attribué, par abus de langage, à l'ensemble des deux ce qui conduit à une grande confusion. Ce type de cheval de Troie ne devrait être classifié qu'à la classe de malveillances qu'il embarque, par exemple à Keylogger ou à Backdoors...

- les trojans lâchant leur charge utile. Les deux poursuivent leurs activités séparément. Si le trojan est désinstallé, la charge utile (le parasite) poursuit son travail. Ce type de trojans est à juste titre classé à "trojan" et la charge utile lâchée est classée au nom de sa classe de parasites.

- les trojans qui n'ont pas d'autre activité (pas d'activité apparente) que de lâcher et installer un parasite. Ce type de trojans est classé à "dropper" et la charge utile lâchée est classée au nom de sa classe d'implants malveillants, généralement des virus.

5- ActiveX

ActiveX est une technologie propriétaire à Microsoft servant à introduire de l'intelligence dans Internet, à la manière de Java de Sun et, plus généralement, à empaqueter du code exécutable et à le distribuer (dont sur et par le Net). De tels programmes sont appelés "Contrôles ActiveX" et peuvent tout faire sur un ordinateur dès qu'ils sont autorisés à s'exécuter, sans aucune restriction.

Cette technologie pose deux problèmes :

- elle est complètement hors des standards du Net (c'est une technologie propriétaire).

- elle est complètement hors de contrôle et permet à n'importe qui de piéger des pages Web pour faire absolument n'importe quoi sur un PC. Cette technologie sert, notamment, à conduire des adwares, des spywares, des BHOs, des pop-ups, des mises à jour automatiques, des RATs, des scanners, des hijackers, des dialers etc. ... C'est la plaie universelle ...

Il est recommandé de ne jamais accepter d'exécution de contrôles ActiveX ce qui est très simple : utilisez le meilleur navigateur qui soit, le plus rapide, le plus riche et le plus convivial : Firefox M. Green !

Si vous êtes obligés d'utiliser Internet Explorer, interdire l'exécution des contrôles ActiveX ou ne permettre leur exécution qu'avec extrême prudence et sous votre contrôle en obligeant (paramétrant) Internet Explorer à vous demander l'autorisation d'installer quelque contrôle ActiveX que ce soit.

Réglages ActiveX dans Internet Explorer

Sauf cas très particuliers de sites qui s'arqueboutent sur ActiveX (comme Microsoft avec son site "Windows Update"), il est parfaitement loisible de naviguer normalement sans ActiveX du tout. Le navigateur Firefox, le plus respectueux des recommandations du W3C et qui remplace petit à petit Internet Explorer chez les internautes, ignore complètement cette technologie inutile et dangereuse. Si vous souhaitez, lors d'une exception, utiliser Internet Explorer pour visiter un site utilisant, malgré tout, ActiveX et vous obligeant à l'accepter, réglez Internet Explorer comme suit :

Internet Explorer > Outils > Options Internet > Onglet "Sécurité" > Zone "Internet" > Personnaliser le niveau > Réglez la gestion des Contrôles ActiveX comme sur l'image > Ok > Oui > Appliquer > Ok



6- Backdoor

Outil de pirate créant une faille de sécurité en maintenant ouvert un port de communication.

Un backdoor (porte dérobée) est une petite tâche chargée de maintenir un port ouvert afin de permettre, dans un second temps, quelquefois plusieurs mois plus tard (ou jamais), d'attaquer une machine. Le backdoor est diffusé par les mêmes voies que les virus afin d'infester un maximum de machines. Il va ensuite s'arranger pour être lancé automatiquement à chaque démarrage de la machine infestée puis va maintenir un port ouvert dès qu'il y a connexion. Certains s'attaquent à des canaux de communications particuliers comme IRC... Il va en rester là car son action se limite à cela. Il a préparé une attaque future.

L'attaque, elle, se fera en 2 temps : l'attaquant utilisera d'abord un scanner d'adresses IP et de ports pour chercher, sur Internet, une machine (une adresse IP parmi un intervalle d'adresses IP) dont un port est maintenu ouvert par son backdoor, puis il effectuera une tentative d'exploit (exploitation d'une faille de sécurité) ou autre forme d'attaque préparée par le backdoor.

Le backdoor n'est donc pas réellement une malveillance. Il la précède.

Il se pose donc 2 problèmes, tous les deux de nature "faille de sécurité" :

- le maintien ouvert d'un port qui est, en lui-même, une faille de sécurité.
- la faille de sécurité préalable qui à permis l'implantation de ce backdoor.

On peut voir ici toute l'importance de maintenir son système à jour !

L'usage du cheval de Troie pour installer un backdoor est la méthode la plus répandue et c'est vous-même qui allez chercher le vecteur (probablement un programme "gratuit" ou "freeware" ou "shareware") de l'infection et procédez à son rapatriement (téléchargé ou copié depuis un CD-ROM etc. ...) et à son installation.

Il est utile aussi de se munir d'un pare-feu pour surveiller et fermer les ports critiques de sa machine ...

7- Cookies

Les cookies sont de petits fichiers, sur votre disque dur, qu'un site manipule grâce à votre navigateur. Plusieurs de ces cookies servent aux spywares. Les cookies ne sont pas et ne peuvent pas être, directement, des spywares, mais ils contiennent des informations qui sont relevées par les spywares - on parle de "cookies à spywares".

Un cookie est un "post-it" pour le serveur d'un site visité, déposé chez le client (vous, dans votre ordinateur) et destiné à rendre la navigation plus confortable et plus rapide. C'était sa finalité lors de son invention par la société Netscape et c'est son usage quotidien dans beaucoup de cas. Il y a des centaines de millions de sites et des centaines de millions de Cookies tout à fait légitimes.

Par contre, il y a un usage déviant dans la cadre d'outils d'espionnage ou de marketing et d'établissement du profil (profiling) de la cible : vous. Si l'on fait un décompte des « Cookies à spywares » recensés par PestPatrol ou SpywareBlaster, ce ne sont que quelques centaines de cas. Mais c'est à cause d'eux que nous sommes obligés d'en parler et de traiter le problème car ces petits fichiers sont massivement utilisés dans la gestion des publicités durant notre navigation et dans les logiciels espions (les spywares).

Le cookie est-il ou peut-il être une malveillance active ?

Les cookies ne peuvent pas être des malveillances actives (virus etc. ...) car ils ne peuvent être exécutés. Ils sont purement passifs. Toutefois rien n'empêche d'imaginer qu'un site piégé utilise une vingtaine de cookies, soit une possibilité de 4.096 * 20 = 81.920 caractères pour introduire une malveillance quelconque. C'est largement suffisant. Les "gros" virus pèsent, par exemple, environ 50.000 caractères. La malveillance est alors découpée en tronçons stockés dans les instructions de création de cookies d'une page Web piégée. Un contrôle ActiveX agissant en Binder est aussi introduit avec la page Web. Au chargement de la page, le Binder ré-assemble et installe la malveillance qui agira selon ses caractéristiques (à une date ultérieure de préférence de manière à donner le temps au site piégé d'infester un grand nombre de machines).Seul le contrôle ActiveX pourrait être vu si les réglages du navigateur ne sont pas trop laxistes et, peut-être, l'installation de la consigne de lancement automatique de la malveillance si un utilitaire de surveillance de la liste de démarrage est mise en place.

8- Downloader

Normalement, c'est un utilitaire dont le travail consiste à télécharger et, éventuellement, installer et enregistrer dans la base de registre, quelque chose.

Implanté à votre insu, c'est un parasite qui va télécharger et installer d'autres parasites sur votre ordinateur, dans un système pyramidal.

En tant que parasite et comme son nom l'indique, ce n'est pas un trojan mais une classe de parasites. Comme il s'agit de programmes à part entière, ils peuvent avoir, simultanément, d'autres activités affichées et apparentes ou masquées et inconnues.

Il existe plusieurs sortes de downloader. Contrairement aux trojans, au lieu d'embarquer la charge active avec eux, ils n'embarquent que les liens, généralement cryptés, stockés dans leur corps, des charges actives qu'ils ont le devoir de télécharger (downloader) et installer.

- ceci leur permet d'être plus petits et donc de "passer" plus facilement.
- ceci permet aussi de les modifier très facilement, tant au niveau des liens embarqués qu'au niveau de leurs propres signatures ce qui les rend plus furtifs.
- ceci permet enfin un mise à niveau aisée des parasites qu'ils ont la charges d'installer - ils peuvent, par exemple, être programmés pour aller régulièrement, à intervalles, chercher s'il existe une mise à jour du ou des parasites dont il a la charge.

Certains téléchargements, en apparences légitimes, se font par l'usage d'un downloader. Typiquement, une demande de téléchargement de KaZaA commence par le téléchargement d'un petit downloader qui prend en charge le téléchargement en lui-même.

Il n'y a aucune raison valable à une telle pratique si ce n'est :

- espionner le contenu de nos ordinateurs et le matériel installé
- installer d'autres choses en plus du produit convoité
- inhiber, durant le téléchargement et l'installation, nos outils de surveillance
- assurer une installation "profonde" et / ou furtive que les installeurs classiques ne peuvent accomplir
- installer un programme capable d'aller sur le Net pour télécharger du code inconnu sans nous en informer, sans que nous puissions nous y opposer et sans en connaître l'activité.

Le problème est quadruple :

- le fait que le downloader soit présent sur une machine signifie qu'elle a été pénétrée. Il y a donc une faille de sécurité à chercher.
- le downloader en lui-même qui est un parasite à éradiquer
- le ou les parasites qu'il a pu télécharger et installer. Il convient de scanner intégralement la machine ou le réseau.
- il faudra s'assurer que les données ne sont pas compromises et changer tous les mots de passe.

9- Hijack - Hijacker - Hijacking

Modification non sollicitée du comportement et/ou des réglages du navigateur de l'internaute.

Une tentation forte des webmasters (et, surtout, des e-commerçants gangsters) est de modifier les réglages de votre navigateur à votre insu. Ceci se fait par l'intermédiaire de fonctionnalités standards mises à disposition des webmasters, tels que les contrôles ActiveX ou les JavaScript et autres langages de script. Ces modifications peuvent êtres anodines (mais agaçantes) comme, par exemple :

- afficher un site en plein écran en masquant la quasi totalité des barres de boutons etc.
- modifier votre sélection de page de démarrage.
- modifier votre page de recherche.
- ajouter de nouvelles entrées dans votre liste de favoris, entrées que vous n'avez jamais, vous mêmes, introduites.
- ...

L'un des buts recherchés est de vous obliger à passer par leur site et gonfler ainsi les statistiques de visites de leur site ce qui n'est pas un simple problème d'ego mais une ambition cachée de valoriser le site dans le but de le revendre ou de mieux négocier les ventes d'espaces publicitaires.

L'autre but recherché est de vous diriger vers des sites choisis qui sont généralement des sites bourrés de publicités sur lesquelles le moindre clic ou le moindre achat en ligne va rapporter de l'argent au webmaster.

Fonctionnalités standards ou pas, les sites qui pratiquent cela sont des sites piégés, inamicaux et il convient de les introduire immédiatement dans la liste hosts.

Ce genre de pratiques est réversible, généralement en allant dans les options de votre navigateur pour restaurer vos propres réglages et en supprimant les entrées non sollicitées dans les favoris.

Ces modifications peuvent être plus agressives, telles que modifier la base de registre de Windows. Il faut alors éditer la base de registre et là, même un informaticien chevronné y va avec des pincettes.Restaurer la base de registre n'est pas toujours suffisant car des tâches fantômes peuvent ré-implanter les modifications que vous avez éradiquées, chaque fois que vous redémarrez votre ordinateur. Il faut alors regarder du côté de la liste de démarrage.

Dans certains cas, les accès aux outils d'IE pour restaurer vos valeurs sont retirés (autre hijack d'IE masquant des boutons, des commandes dans les menus...) pour vous empêcher de revenir à vos propres réglages !. Les commandes sont alors "grisés" (inaccessibles). Ceci se fait le plus souvent avec des contrôles ActiveX qui s'installent en tant que BHO's et deviennent ainsi part d'IE et sont lancés et exécutés à chaque lancement d'IE.

Une autre méthode utilisée par certains sites consiste à introduire le nom de leur site dans la zone Options Internet > Sécurité > Sites de confiance d'Internet Explorer. Ceci donne à ces sites le contournement de la quasi-totalité des contrôles de sécurité que vous tentez d'exercer.

C'est ici qu'intervient le magnifique Hijackthis, dont les logs inondent les forums d'entraide ...

Mais, et c'est là une astuce, cette zone peut aussi, bien employée, nous permettre de les bloquer. En effet, il existe le pendant restrictif des "sites de confiance" qui est la zone "sites sensibles". Il suffit d'entrer des noms de sites dans cette zone et ils ne pourront plus s'auto afficher dans la zone "sites de confiance". On trouve ici une liste de sites à ajouter automatiquement à la zone "sites sensibles" de Internet Explorer (IE-Spyad)et qui permet de bloquer certains comportement de hijacking. Cette liste est basée sur une liste hosts. Notons que IE-Spyad ne fonctionne qu'avec Internet Explorer, tandis que la liste hosts fonctionne avec tous les navigateurs et tous les systèmes d'exploitation ...

10- Keyloggers

Les Keyloggers sont des programmes d'espionnage, commerciaux ou non. Ils peuvent être installés silencieusement et être actifs de manière totalement furtive sur votre poste de travail. Ils effectuent une surveillance invisible et totale, en arrière-plan, en notant dans des fichiers cachés et compressés le moindre détail de votre activité sur un ordinateur dont toutes les touches frappées au clavier, d'où leur nom de "key-logger". Ils sont aussi capables de faire un film de tout ce qui se passe à l'écran, en continu ou par capture d'écran à intervalles réguliers... Ils notent quels programmes sont utilisés et pendant combien de temps, les URL visitées, les e-mails lus ou envoyés, les conversations de toutes natures... dès la mise sous tension de la machine. Ils permettent, par la même occasion, de lire les champs habituellement cachés comme les mots de passe, les codes secrets etc. ... Enfin ils rendent compte, en temps réel ou en temps différé, sur place ou à distance.

Il s'agit donc d'une agression particulièrement grave qui pose plusieurs problèmes :

- la faille de sécurité qui à permis à quelqu'un de faire pénétrer cette malveillance.
- le keylogger en lui-même qu'il convient d'éradiquer.
- les mots de passe probablement révélés et autres données.
- à qui profite le crime ?

11- RATs - Remote Administration Tools

Un RAT est un programme permettant la prise de contrôle totale, à distance, d'un ordinateur depuis un autre ordinateur.

11-1 Description

Une personne distante se retrouve dans une situation totalement identique à ce qu'elle serait si elle était devant la machine contrôlée. Son clavier devient le clavier de la machine distante, son écran devient l'écran de la machine distante, sa souris devient la souris de la machine distante etc. ... sans aucune limitation ni contrainte, même si elle est à des centaines ou des milliers de kilomètres de la machine contrôlée. On conçoit donc que les RAT puissent constituer des agressions de la plus extrême gravité.

Un RAT est constitué de 2 parties, un "client" et un "serveur". Le client est installé sur la machine de celui qui prend le contrôle, le serveur sur la machine contrôlée.

Un RAT peut être :

légitime lorsqu'une personne ou une société a donné son accord à une autre personne ou une autre société pour prendre le contrôle à distance de son ordinateur. Le cas le plus habituel est celui de la télémaintenance et du télé diagnostique qu'une entreprise délègue à son fournisseur de produits et services informatiques. Ce dernier peut intervenir bien plus rapidement et efficacement en prenant le contrôle de l'ordinateur de son client sans quitter ses bureaux et sans perdre de temps en déplacement, surtout si le client est à plusieurs centaines ou milliers de kilomètres de là. Le serveur doit être lancé au dernier moment, lorsque le fournisseur et prêt à prendre le contrôle. Le serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être activable que sur présentation d'un solide mot de passe renouvelé après chaque intervention.

illégitime lorsqu'il a été implanté à l'insu de l'utilisateur. C'est un Trojan qui a probablement servi à l'implanter ou une personne qui a accès physiquement à l'ordinateur. Dans les 2 cas il y a, outre la malveillance introduite, une faille de sécurité quelque part qui a permis son installation.

un produit commercial, comme le célèbre PC-AnyWhere

un produit de pirates. Certains sont excellents et sont d'ailleurs devenus des produits commerciaux.

Comme souvent, l'usage du trojan pour implanter le parasite est le plus répandu ...

12- Rootkits

11-1 Définition

Les auteurs de virus ont toujours fait face à un sempiternel problème : comment conserver la présence des codes malicieux le plus longtemps possible à l'insu des utilisateurs et des solutions antivirus? Cette question est d'autant plus actuelle que ces derniers temps, l'écriture de programmes malfaisants n'est plus tellement une affaire de développement personnel mais de business. Effacer ces traces est donc le thème en vogue pour les pirates hommes d'affaires. Par quels moyens peut-on cacher un programme voleur de données bancaires ou encore un serveur proxy illégal destiné à la diffusion de spams depuis l'ordinateur d'une victime?

Les cyber escrocs d'aujourd'hui règlent ce problème de la même façon que les réglaient les cyber hooligans il y a 10-15 ans. Un des premiers virus connus pour PC, Virus.Boot.Brain.a (un virus du secteur de boot qui s'octroyait les fonctions d'accès au disque et lors de la lecture du secteur de démarrage, par exemple du programme antivirus), substituait les données originales par des données infectées. Avec le temps, ces mêmes mécanismes furtifs (l'interception des fonctions système et substitution des données) ont continué d'être utilisés dans les virus Windows.

Ces derniers temps, l'utilisation des technologies de rootkit pour masquer la présence de logiciels malfaisants est de plus en plus populaire. Cette croissance est, entre autres, favorisée par le fait que la majorité des utilisateurs de système d'exploitation Windows travaille avec les droits Administrateur, ce qui facilite grandement l'installation de rootkits dans ces ordinateurs.

Un rootkit (mot emprunté au monde Unix/Linux) est un parasite permettant de s'octroyer des droits "Root", c'est-à-dire les niveaux de droits les plus élevés de l'administrateur d'une machine pour en prendre le contrôle tout en restant furtif.

Sous Windows, la violation du système est beaucoup plus aisée que sous Linux et un rootkit (au sens originel du mot) n'est pas nécessaire pour en prendre le contrôle, d'autant que la très grande majorité des utilisateurs Windows, malgré les avertissements des sites de sécurité, travaille encore et toujours directement en mode administrateur.

Les rootkits visant Windows ont donc évolué pour devenir une sorte de boîte à outils, permettant aux pirates d'implanter des parasites (qui vont leur faciliter la prise de contrôle et la zombification de l'ordinateur infecté) et surtout, de les rendre totalement invisibles grâce à des hookers.

Les rootkits nécessitent une très haute technicité en informatique et ne sont donc à la portée que d'utilisateurs extrêmement avancés. Hormis dans les laboratoires, de tels techniciens ne se retrouvent que dans les mafias. Les mafias russes sont de grands utilisateurs de rootkits.

La force des rootkits, hormis leur furtivité, est que, si le ou les parasites implantés par eux sont détectés et éradiqués, le rootkit lui-même ne l'est pas ! Il va permettre de compromettre à nouveau la machine, encore et encore.

11-2 Qu'est-ce qu'un hooker ?

Il s'agit d'un élément de la boîte à outils que constitue le rootkit actuel et qui permet d'intercepter, de bloquer, voire de modifier au passage, une instruction ou un morceau de code.

Un parasite peut donc s'autoprotéger en bloquant une demande d'éradication (antivirus, gestionnaire de tâches, ...), en modifiant la réponse à cette demande pour faire croire qu'elle a abouti, en arrêtant le processus qui a fait cette demande, en se rendant invisible, ...

11-3 Qu'est-ce qu'un ordinateur zombie ?

C'est un ordinateur connecté à Internet, compromis par un pirate l'ayant infecté, et qui accomplit des tâches malveillantes à l'insu de son propriétaire.

Est-il besoin de préciser que la quasi totalité des PC zombies tournent sous Windows ? Des groupes crapuleux se sont même spécialisés dans la zombification de PC et leur mise en réseau (Botnets) qu'ils louent ainsi à d'autres gangsters.

Certains estime que 30% des PC dans le monde seraient sous contrôle mafieux ! De même, 30% à 50% du spam mondial utiliserait ces réseaux zombifiés pour se diffuser !

Effrayant !

11-4 Fonctionnement

Le fonctionnement d'un rootkit est un peu complexe pour l'utilisateur débutant, mais, pour être complet, je me dois de le détailler ici.

Windows travaille selon deux modes : le mode utilisateur (User mode) et le mode noyau (Kernel mode). La plupart des applications travaillent en mode utilisateur : Word, gestionnaire des tâches, Outlook ...

Le mode noyau est réservé pour les accès aux périphériques, à la mémoire RAM et, d'une manière générale, au matériel. Une autre partie du noyau est destinée à répondre aux appels des différents programmes du mode utilisateur.

Windows propose un éventail de fonction permettant aux applications de fonctionner. Cet éventail est nommé API.

Un programme en mode utilisateur qui souhaite ouvrir un fichier va utiliser une fonction (API) nommée OpenFile(). Cette fontion fera appel à la fonction plus primitive NtOpenFile() contenue dans ntdll.dll qui elle-même fera appel à une fonction en mode noyau nommée ZwOpenFile() qui sera exécuté par ntoskrnl.exe.

Il existe différents types de rootkits qui vont agir en mode utilisateur au niveau de NtOpenFile() et d'autres en mode kernel au niveau de ZwOpenFile(). Ces rootkits peuvent être persistants en s'installant définitivement sur le système ou simplement résidents, ce qui complique leur détection.

Techniquement, ils placent des crochets d'interceptions (hooks), soit sur les fonctions de ntdll.dll grâce à une dll, soit sur les fonctions du noyau, grâce à un driver, en modifiant une table en mémoire nommée SSDT (System Service Descriptor Table). Cette table contient les emplacements mémoires des fonctions du noyau Windows.

Ces techniques permettent de rediriger les adresses des fonctions vers l'espace mémoire des rootkits afin de modifier la réponse qui sera renvoyé au programme appellant.

Un rootkit est donc généralement composé :

- d'un driver : xxx.sys (Kernel mode)
- d'une .dll : xxx.dll (User mode)
- d'un programme : xxx.exe
- d'un fichier de configuration : xxx.ini


Il est également possible, pour certains rootkits, de réaliser un détournement des fonctions du noyau sans modifier cette fameuse SSDT. Ainsi aucune anomalie n'est visible dans cette table. Cette méthode consiste à modifier directement la fonction en mémoire en y ajoutant quelques segments de codes pour réaliser une redirection. On pourrait résumer cette manipulation par de l'injection de code en mémoire centrale.

L'article complet dont je me suis inspiré pour introduire ce sujet, et qui donne quelques exemples en images, est disponible ici.


11-5 Comment les détecter ?


Quelques solutions existent et font leurs preuves.

Des outils comme Seem ou Gmer permettent de contrôler la validité de la SSDT (System Service Descriptor Table), d'afficher les processus cachés ou encore de lister les fichiers cachés. En théorie le composant qui doit pointer dans la SSDT se nomme ntoskrnl.exe.

Donc si d'autres programmes ou drivers gèrent cette fonction, cela peut indiquer un détournement hostile. Il faut cependant noter que certains programmes modifient cette SSDT afin de fonctionner correctement. Les anti-virus, certains pare-feu ainsi que d'autres programmes comme DeamonTools, agissent de la sorte.

Il faut donc faire la différence entre les drivers fournis par des logiciels sains et les drivers issus de rootkits. Une simple recherche par le nom du driver sur Google donne souvent des pistes de recherche en cas de doute.
Comment se protéger ?

Il n'existe pas de solution miracle. Néanmoins l'utilisation conjointe d'un antivirus et d'un pare-feu reste fortement conseillée.

Malgré tous les types de protection possibles, il existe des rootkits qui patchent la SSDT, neutralisant ainsi le bon fonctionnement des logiciels de protection pour s'installer en toute impunité.

Dans tous les cas, l'installation d'un rootkit fait suite à une action humaine. Que ce soit l'exécution d'une pièce jointe, d'un email ou une réponse affirmative à l'exécution d'un script d'une page internet, une simple action anodine peut engendrer de gros dégâts.

Leur installation peut également se réaliser grâce à une faille de sécurité, il est donc indispensable que le système soit à jour.

Il existe aussi des logiciels permettant de contrôler les modifications de la table SSDT, de contrôler l'exécution des programmes, ... Seem et Gmer, déjà cités, mais aussi :

- F-Secure Blacklight
- RkU
- Sophos Anti Rootkit
- Panda Anti-rootkit
- McAfee Avert Labs Rootkit Detective Beta
- Rootkit Revealer


Les rapports générés par ces outils sont à analyser avec prudence car les faux-positifs sont beaucoup plus nombreux qu'avec les scanners antivirus ou antimalwares. Si vous êtes néophyte, demandez l'avis d'une personne qualifiée.

Le cas du rootkit pe386 et sa méthode d'éradication sont discutés ici.


Voilà, c'est enfin terminé, j'éditerai en fonction de vos commentaires (ajout, remarques, news, ...)

Merci de m'avoir lu.

Posté par Kheops
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur

synthexe

Geek
Geek

AidoAntivirus
AidoAntivirus


Messages: 2280
Tutoriaux : 0
MessagePosté le: Mer 29 Aoû 2007 12:57    Sujet : [Infos sécurité] * Table des matières * [Infos sécurité] Répondre en citantRevenir en haut Alerter les modérateurs
Posté par Kevin76

Un PC Infecté peut se révéler être un PC "zombie" en plus des désagréments habituels.

Flèche Qu'est-ce qu'un PC "zombie" ?
Un PC "zombie" est un PC infecté par un virus ou cheval de Troie, qui transforme votre système en une sorte de robot obéissant et malfaisant.
A première vue, rien d'anormal sur le PC. Le virus utilise très peu de ressource système et une faible partie de la bande passante. Il attend sagement les ordres du pirate qui l'a créé.

Flèche Quels sont les méfaits d'un PC "zombie" ?
Un PC "zombie" peut agir de différentes manières pour accomplir ses méfaits.
Premièrement, l'attaquant peut utiliser les PCs "zombies" comme serveurs de mails afin d'envoyer massivement des spams en toute transparence pour l'utilisateur.
Deuxièmement, lorsque le pirate dispose d'assez de PCs "zombies" (réseaux zombie ou bot net), il peut mener des actions redoutable. Le "réseau zombie", une fois constitué, lance des attaques ciblées contre des entreprises ou institutions pour saturer leurs serveurs et les rendre inaccessibles (attaque DDoS)!

Flèche Conclusion
Même si cela peut vous paraitre insignifiant, si votre PC est infecté, vous participez activement à la pollution de l'internet ! Il est donc nécessaire d'avoir un système "propre" afin de pouvoir garder notre internet sain.
Lorsque que vous êtes connecté à internet avec une machines infecté, vous vous rendez complice, à votre insu, de la pollution du web ! Donc sécurisez vos PCs !

Pour en savoir plus : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

Posté par Kevin76
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur

synthexe

Geek
Geek

AidoAntivirus
AidoAntivirus


Messages: 2280
Tutoriaux : 0
MessagePosté le: Mer 29 Aoû 2007 12:58    Sujet : [Infos sécurité] * Table des matières * [Infos sécurité] Répondre en citantRevenir en haut Alerter les modérateurs
Posté par kevin76

De faux anty-Spyware, appelé plus communément Rogues, sont présent sur le net.
Ces rogues se manifestent par des pop-ups ou des alertes vous prévenant que plusieurs fichiers sur votre PC sont infectés. Le seul moyen de ce débarrassé de ces fichiers infectés est d'acheter leurs logiciels.

ATTENTION, il ne faut pas se faire piéger ! Ces rogues ne sont là que pour faire de l'argent, les fichiers qu'ils vous indiquent sont soit légitime ou inexistant.

Si vous recevez ce genre d'alerte, vous êtes probablement infectés. Rendez-vous sur le forum Aide Virus, Spywares et autres logiciels malveillants Malware afin de désinfecté votre PC.

Une liste des rogues est disponible sur Spyware Warrior. Reportez vous à cette liste avant d'installer un logiciel Anti-Spyware et méfier vous des sites sur lesquels vous naviguez (pas de sites XXX, crack, warez ...).

Bon surf.

Posté par kevin76

Ajout de la crapthèque d'Assiste.com (très complète) :
http://assiste.com.free.fr/p/craptheque/craptheque.html


Dernière édition par synthexe le Mer 21 Mai 2008 17:57; édité 1 fois
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur

synthexe

Geek
Geek

AidoAntivirus
AidoAntivirus


Messages: 2280
Tutoriaux : 0
MessagePosté le: Mer 29 Aoû 2007 12:59    Sujet : [Infos sécurité] * Table des matières * [Infos sécurité] Répondre en citantRevenir en haut Alerter les modérateurs
Article repris sur Zebulon, rédigé par Gof

Pourquoi ce sujet ?
    Suite à de nombreuses conversations dans mon entourage, à la lecture de divers topics sur le sujet, je voulais refaire un point sur le p2p dans sa globalité, au vu des démonstrations qui ont été faites ici et ailleurs, des désinfections sur les forums de sécurité, et des nouvelles législations (décrets, jurisprudence, etc.).
    Trop de monde ignore encore quels sont les dangers, les risques et les peines encourues à utiliser à des fins légales ou illégales les logiciels de peer-to-peer. Je suis las également d'entendre je risque rien, tout le monde le fait ou encore ben je ne savais pas. Il va m'être difficile d'être exhaustif sur le sujet, tant il aborde de nombreux points et déborde largement sur un phénomène de société dont les enjeux paraissent insondables aujourd'hui.
    Pour rappel : sur Zebulon, vous avez nécessairement, en vous inscrivant, accepté la charte du site et du forum. Que cette charte vous semble légitime ou arbitraire, peu importe, vous l'avez acceptée. Je vous remets le point 6:
      6 - Les messages portant sur des sujets illégaux (cracks, warez, piratages, P2P interdits, ...) seront systématiquement fermés ou supprimés sans préavis. Ne sont tolérées que les discussions sur les seuls problèmes de sécurité engendrés par les logiciels d'échange libre de fichiers (P2P, uploads / downloads massifs, ...).

    Si ce sujet a été autorisé, en apparente contradiction avec la charte, c'est parce qu'il a été soumis au préalable à une prévisualisation des modérateurs et à l'acceptation par l'administrateur de sa publication. Il s'agit ici d'information sur ce sujet plus que polémique.




Qu'est-ce que le peer-to-peer ?
    Je ne vais pas m'étendre sur l'explication technique, de nombreux articles disponibles sur le net y font mention avec beaucoup de pertinence et d'exhausivité. Je me permettrais juste de porter à votre attention ces deux-ci :




Ce procédé est-il légal ?
    Il y a un peu plus d'un an, j'aurais pu écrire ceci :
      Oui. Le système en soi est tout à fait légal. Des distributions Linux ou d'autres projets libres peuvent être distribués de cette manière-là, des démonstrations de jeux, des artises souhaitant acquérir à moindre frais une audience et une notoriété peuvent mettre à libre disposition leurs oeuvres, des webmasters souhaitant économiser leur bande passante peuvent proposer des téléchargements via ce biais, des chercheurs peuvent user de ce procédé pour accéder aux possibilités de calculs des ordinateurs ainsi disponibles, etc. C'est l'usage qui peut en être fait qui est illégal. Il ne faut pas se cacher la vérité, cette propension au téléchargement illégal - car en rapport avec des oeuvres non libres de droits - concerne la majorité des transferts de fichiers. Selon une étude publiée le 8 février 2007 par l'Institut De l'Audiovisuel et des Télécommunications en Europe (IDATE) en liaison avec Médiamétrie/Netratings, les fichiers téléchargés légalement représentent environ 15% en France de l'ensemble des fichiers téléchargés.

    La réponse est ambigüe aujourd'hui suite à l'adoption par l'Assemblée Nationale et le Sénat de la loi n° 2006-961 du 1er août 2006 relative au droit d'auteur et aux droits voisins dans la société de l'information parue au Journal Officiel ; autrement dit ce qu'on appelle communément aujourd'hui la loi DADVSI, décret et décision du Conseil constitutionnel.
    Cette loi a été longuement, et est encore débattue dans tous les milieux. Je ne chercherai pas à débattre ou polémiquer, l'enjeu n'est pas là, concentrons nous sur les faits et les textes tels qu'ils ont été adoptés et votés et tels qu'on peut les interpréter malgré le fait de n'absolument pas être juriste. Ce qui est important aujourd'hui, malgré l'actualité encore présente des débats opposant politiques, professionnels, associations et simples utilisateurs, c'est de savoir si l'on est, lorsque l'on est utilisateur de cette technologie, en cet instant T hors-la-loi ou non. Vous pouvez consulter l'historique de cette loi, les différents points de vue exprimés, les débats relatifs à celle-ci dans l'article synthétique wikipédia.


*******************
    Faisons un petit aparté succinct sur le parcours d'une loi.
      Le vote de la loi en France repose sur le principe de l'accord sur un même texte entre l'Assemblée nationale et le Sénat. Cet accord s'établit par la procédure dite de la navette parlementaire, décrite par l'article 45 de la Constitution : « Tout projet ou proposition de loi est examiné successivement dans les deux assemblées du Parlement en vue de l'adoption d'un texte identique. » Le texte effectue ainsi des « navettes » entre les deux assemblées jusqu'à l'adoption d'un texte identique. Chacun des examens successifs s'appelle une lecture. Le Gouvernement peut demander la réunion d'une commission mixte paritaire, composée de sept sénateurs et sept députés, et chargée de parvenir à une rédaction commune sur les dispositions d'un texte restant en discussion entre l'Assemblée et le Sénat au cours de la navette. (...) Lorsque le texte est définitivement adopté, le président de la République dispose de quinze jours pour promulguer la loi. (...) La promulgation de la loi l'authentifie et lui donne force exécutoire. Elle est ensuite publiée au Journal officiel de la République française, dans l'édition « Lois et décrets ». Wikipédia - processus législatif en France.

    Quel était le but de cet aparté ? Vous rendre compte par vous-même que la loi DADVSI a été promulguée, sans ambigüité, et qu'elle est effective, tout simplement. Que vous soyez d'accord ou non. La difficulté pour tous est de l'assimiler et d'en saisir les grandes lignes, pas facile quand on n'est pas juriste. Moqueur

*******************

    Je me suis donc aidé de diverses lectures, du texte officiel bien entendu, et d'essais de vulgarisation qui foisonnent sur le net. Je porterai à votre attention celui-ci qui me semble d'un grand intérêt : Blog - Journal d'un Avocat - loi DADVSI commentée. La loi évoquant de nombreux points et cas de figure, je ne me cantonnerai qu'à ce qui nous intéresse ici, l'usage des logiciels de peer-to-peer. Cette loi apporte des modifications au code la propriété intellectuelle. Pour plus de lisibilité, c'est directement du code qu'il faut prendre connaissance des dispositions ajoutées par la loi DADVSI.
    Article L336-1 (inséré par Loi nº 2006-961 du 1 août 2006 art. 27 Journal Officiel du 3 août 2006). Lorsqu'un logiciel est principalement utilisé pour la mise à disposition illicite d'oeuvres ou d'objets protégés par un droit de propriété littéraire et artistique, le président du tribunal de grande instance, statuant en référé, peut ordonner sous astreinte toutes mesures nécessaires à la protection de ce droit et conformes à l'état de l'art. Les mesures ainsi ordonnées ne peuvent avoir pour effet de dénaturer les caractéristiques essentielles ou la destination initiale du logiciel. L'article L. 332-4 est applicable aux logiciels mentionnés au présent article.
    Article L335-2-1 (inséré par Loi nº 2006-961 du 1 août 2006 art. 21 Journal Officiel du 3 août 2006). Est puni de trois ans d'emprisonnement et de 300 000 euros d'amende le fait :
      1º D'éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés ;
      2º D'inciter sciemment, y compris à travers une annonce publicitaire, à l'usage d'un logiciel mentionné au 1º. "Dispositions déclarées non conformes à la Constitution par la décision du Conseil constitutionnel nº 2006-540 DC du 27 juillet 2006."

    En plus du code de la propriété intellectuelle, il faut également prendre connaissance de la circulaire du 3 janvier 2007 de présentation et de commentaire des dispositions pénales portant sur la loi n°2006-961 relative au droit d'auteur et les droits voisins dans la société de l'information et d'action publique dans le domaine de la lutte contre les atteintes à la propriété intellectuelle au moyen des nouvelles technologies informatiques. Que dit-elle ?
    L'article 21 de la loi introduit dans le CPI un nouvel article L.335-2-1 (...). Cette disposition résulte d'amendements parlementaires, qui visaient spécifiquement à responsabiliser les éditeurs de logiciels de pair à pair afin que les internautes ne soient pas exclusivement visés par la répression de la contrefaçon (NTDLR : la contrefaçon est un délit.). Ces incriminations sont entrées en vigueur en même temps que la loi, de sorte qu'elles sont immédiatement applicables aux logiciels déjà disponibles qui seraient maintenus à la disposition du public, de même que pour la publicité qui en serait faite, postérieurement au 4 août 2006. (...)
    Il va de soi que l'éditeur ou le distributeur d'un logiciel d'échanges de données ou de fichiers qui n'est pas conçu ou spécialement configuré pour permettre l'échange de fichiers contenant des oeuvres contrefaites ne saurait tomber sous le coup de l'incrimination de l'article L.335-2-1 du CPI. (...)
    A l'inverse, ceux qui éditent ou distribuent des logiciels manifestements destinés à porter atteinte aux droits d'auteur ou droits voisins ou en font la publicité doivent faire l'objet de poursuites déterminées afin de tarir à la source les réseaux d'échanges illégaux. L'initiative des titulaires de droits tendant à lutter contre ces logiciels sera relayée par le ministère public chaque fois que l'infraction paraît caractérisée. (...)
    Enfin, il est utile de rappeler que lorsque qu'un logiciel n'est pas manifestement destiné à la mise à disposition du public non autorisée d'oeuvres ou d'objets protégés, mais est neanmoins "principalement utilisé pour la mise à disposition illicite d'oeuvres ou d'objets protégés (...)", le président du tribunal de grande instance statuant en référé peut ordonner sous astreinte toutes mesures nécessaires à la protection du droit menacé (article L.336-1 nouveau du CPI.).     Ouf, merci pour le pâté.




C'est bien beau tout ça, légal ou pas légal alors le peer-to-peer ?
    Ce qui est clair, c'est que la publicité, la mise à disposition, l'utilisation ou l'aide apportée dans la configuration des logiciels de peer-to-peer pourrait tomber sous le coup de la loi. Si vous êtes utilisateur de peer-to-peer, même à des fins légales, vous êtes potentiellement hors-la-loi, car le logiciel est potentiellement hors-la-loi. Vous aider à configurer vos ports est potentiellement hors-la-loi, parler librement de peer-to-peer sur le forum avec les dérives que cela peut comporter peut induire une publicité elle-même potentiellement hors-la-loi. Je vais trop loin ? Peut-être, mais je n'ai pas les épaules assez larges en terme de portefeuilles et de connaissances juridiques pour ne pas inciter à la plus grande des prudences dans le domaine. Vous non plus ? Je m'en doutais. Très content Certains juristes suggèrent de se fier au bon sens des magistrats et sont optimistes quand à la juste application de la loi, d'autres sont nettement plus pessimistes. Attention terrain glissant ! Etes-vous de taille pour jouer ? Seules les jurisprudences à venir clarifieront le sujet.
    Jusqu'ici nous n'avons abordé que l'utilisation de ces logiciels, sans même évoquer le contenu des téléchargements. Ainsi, lorsque ceux-ci sont illégaux, plus de question à se poser !




Qu'est-ce que je risque à télécharger des films, musiques et autres oeuvres ?
    Encore une fois, jetons un coup d'oeil à la directive qui souhaite distinguer le "download" de l'"upload".
    "Download". Les personnes qui profitent des oeuvres ou objets protégés mis illégalement à leur disposition sur les réseaux d'échange méritent en effet de relever de sanctions pénales. Le téléchargement constitue une reproduction de l'oeuvre au sens de l'article L.122-3 du code de la propriété intellectuelle. A défaut d'être autorisé, il constitue donc une contrefaçon passible des mêmes peines que celles rappelées s'agissant de la mise à disposition du public.
    "Upload". La mise à disposition de fichiers via internet constitue une forme de représentation ou de communication au public (article L.122-5 du CPI). Or, ces actes accomplis par un procédé quelconque sans le consentement de l'auteur sont illicites (article L.122-4 du CPI). L'article L.335-3 du code de propriété intellectuelle est en conséquence applicable (...).
    Retour au CPI. Article L335-3 - (Loi nº 94-361 du 10 mai 1994 art. 8 Journal Officiel du 11 mai 1994) - (Loi nº 98-536 du 1 juillet 1998 art. 4 Journal Officiel du 2 juillet 1998). Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d'une oeuvre de l'esprit en violation des droits de l'auteur, tels qu'ils sont définis et réglementés par la loi. Est également un délit de contrefaçon la violation de l'un des droits de l'auteur d'un logiciel définis à l'article L. 122-6.
    Par la directive, le ministère de la culture a voulu corriger la décision du Conseil constitutionnel déclarant contraire à la constitution l'allègement de la sanction, à savoir la contravention à la place du délit normal de contrefaçon. Le Conseil constitutionnel a ainsi décidé qu'au regard de l'atteinte portée au droit d'auteur ou aux droits voisins, les personnes qui se livrent, à des fins personnelles, à la reproduction non autorisée ou à la communication au public d'objets protégés sont placées dans la même situation qu'elles utilisent un logiciel d'échange de peer to peer ou d'autres services ; ainsi, les particularités du peer-to-peer ne permettent pas de justifier la différence de traitement. En clair, peer-to-peer ou pas, une contrefaçon est une contrefaçon, pas d'amendes forfaitaires ! Les jurisprudences à venir, encore une fois, détermineront quelle orientation sera prise.
    Article L335-4 - (Loi nº 94-102 du 5 février 1994 art. 2 Journal Officiel du 8 février 1994) - (Loi nº 98-536 du 1 juillet 1998 art. 4 Journal Officiel du 2 juillet 1998) - (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) - (Loi nº 2003-517 du 18 juin 2003 art. 1 Journal Officiel du 19 juin 2003 en vigueur le 1er août 2003) - (Loi nº 2004-204 du 9 mars 2004 art. 34 II Journal Officiel du 10 mars 2004). Est punie de trois ans d'emprisonnement et de 300 000 euros d'amende toute fixation, reproduction, communication ou mise à disposition du public, à titre onéreux ou gratuit, ou toute télédiffusion d'une prestation, d'un phonogramme, d'un vidéogramme ou d'un programme, réalisée sans l'autorisation, lorsqu'elle est exigée, de l'artiste-interprète, du producteur de phonogrammes ou de vidéogrammes ou de l'entreprise de communication audiovisuelle.
    Est punie des mêmes peines toute importation ou exportation de phonogrammes ou de vidéogrammes réalisée sans l'autorisation du producteur ou de l'artiste-interprète, lorsqu'elle est exigée.
    Est puni de la peine d'amende prévue au premier alinéa le défaut de versement de la rémunération due à l'auteur, à l'artiste-interprète ou au producteur de phonogrammes ou de vidéogrammes au titre de la copie privée ou de la communication publique ainsi que de la télédiffusion des phonogrammes.
    Est puni de la peine d'amende prévue au premier alinéa le défaut de versement du prélèvement mentionné au troisième alinéa de l'article L. 133-3.
    Lorsque les délits prévus au présent article ont été commis en bande organisée, les peines sont portées à cinq ans d'emprisonnement et à 500 000 euros d'amende.
    Ca a le mérite d'être clair. Encourent les mêmes peines ceux qui diffusent des logiciels manifestement conçus pour du téléchargement illicite et/ou qui en font la promotion. Cf article L.335-2-1 du CPI. Vous ne pourrez plus dire que vous ne saviez pas !




Et c'est suivi d'effets réellement tout ça ?
    Je vous laisse consulter ce lien regroupant des jurisprudences relatives aux droits d'auteur ! Et j'en profite pour vous rappeler un nouvel évènement en la matière qui a défrayé la chronique il y a peu de temps.
    La dernière démonstration de force de l'éditeur de jeux vidéos Techland via son mandataire, un cabinet d'avocats spécialisés, devrait inciter à une grande réflexion. Sans se prononcer sur la méthode, recevoir une lettre de mise en demeure de paiement pour téléchargement illégal n'est pas des plus joyeux. Et si pas de paiement ? Le courrier reçu indiquera quelles sont les conséquences d'une assignation sur plainte pour contrefaçon.
    Citation:
    Propos liminaire : La semaine dernière, Ratiatum révélait un courrier envoyé à un internaute par un avocat au Barreau de Paris. Très menaçant, le courrier encourage très fortement l'internaute à remplir le formulaire joint et à payer 400 euros (RIB fourni en annexe) pour éviter tout procès.
    -> Scoop : les méthodes de la RIAA déjà exploitées en France ! -> Affaire Techland (Call of Juarez) : la FAQ de Ratiatum [MAJ 4]
    Enfin, la jurisprudence Techland / Fournisseurs d'accès.




Eh ben, est-il possible d'avoir davantage d'ennuis ?
    Oui, ça l'est, nous n'avons pas abordé l'aspect sécuritaire de l'installation de ces logiciels, et de leur usage à des fins illégales. Je ne peux ici que vous renvoyer sur les excellentes démonstrations par l'exemple déja rédigées et publiées.
    Les logiciels de P2P (parfois) mais surtout l'utilisation que l'on en a (majorité des cas) sont les principaux vecteurs d'infection ! Quelques topics pour s'en convaincre :
    Les infections véhiculées par le p2p sont bien réelles. A titre d'exemple, le ver Worm.Win32_Sumom-A est un ver de messagerie instantanée et de réseaux peer-to-peer qui se place notamment dans le dossier incoming afin d'être expédié à un maximum de personnes.




Bof, des infections c'est pas bien grave... "Format c:" et basta !
    Après tout, pourquoi sécuriser son ordinateur ? pourrait-on se demander, pourquoi ne pas le formater ou restaurer de temps en temps, comme ça je l'utilise comme je l'entends ? Je vous invite à consulter ce lien :
    Citation:
    Ne pas sécuriser votre ordinateur, c'est permettre à un inconnu d'en prendre le contrôle total, à votre insu , et d'en faire ce qu'il veut (...) Dans la majorité des cas, les pirates se s'intéressent pas à ce qu'il y a sur votre disque dur. Ce qui les intéressent, c'est votre connexion internet.(...) C'est une réalité: vous êtes légalement responsable de ce qui est fait à travers votre connexion internet.
    Pourquoi sécuriser son ordinateur par Sebsauvage
    Nous n'y sommes pas encore en France, mais la législation avance à petits pas. Regardez en Suisse :
    Citation:
    Tout individu qui n'aurait pas protégé son ordinateur d'un usage illicite par des spammeurs verra son accès Internet coupé par mesure de protection.
    Des peines de prison pour les spammeurs suisses Il ne s'agit là "que" de Spam, imaginez pour l'hébergement d'images pédophiles à votre insu... La cause est entendue !
    Enfin, sachez que propager volontairement une ou des infections est sanctionnable suivant certaines dispositions !
    Article 323-2 - (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) - (Loi nº 2004-575 du 21 juin 2004 art. 45 II Journal Officiel du 22 juin 2004). Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.
    Article 323-3 - (Ordonnance nº 2000-916 du 19 septembre 2000 art. 3 Journal Officiel du 22 septembre 2000 en vigueur le 1er janvier 2002) - (Loi nº 2004-575 du 21 juin 2004 art. 45 III Journal Officiel du 22 juin 2004). Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.


    Pour finir, l'arsenal de sanctions s'étoffe modestement également du côté de vos fournisseurs d'accès internet (FAI) !
    L'AFA, association des fournisseurs d'accès, développe une stratégie afin de responsabiliser l'internaute face aux services qui lui sont offerts. A cette fin, des principes déontologiques ont été définis, fixant les devoirs et les droits des parties en présence : pratiques et usages des membres de l'AFA.
    Pour la simple raison que les FAI ont défini un certain nombre de règles, définies dans leurs CGU (Conditions générales d'utilisation) , et que vous les avez acceptées à la souscription de votre contrat, il se réserve le droit de couper votre connexion en cas de danger supposé ou réel de l'ensemble de son réseau :
    Citation:
    3. Les fournisseurs de messagerie peuvent être amenés à détecter les comportements anormaux (transmission de virus, mail bombing, envoi massif de spam, etc) et dans ce cas peuvent bloquer le(s) compte(s) des utilisateurs dont le poste de connexion a un tel comportement.
    Cette recommandation a pour objet de protéger les utilisateurs, notamment en détectant les "PC zombies", afin de rendre le contrôle de leur machine à des utilisateurs légitimes. La corruption d'un poste de travail met en danger les données, notamment à caractère personnel, présentes sur le disque dur de ce poste de connexion. Elle permet encore de transformer ce poste de travail en espace de stockage de site de phishing ou en serveur émetteur de spam, ces deux situations mettant en danger les informations personnelles des autres utilisateurs du réseau (...) .
    Cf lutte contre le spam
    Payer un abonnement pour une connexion qui n'existe pas, et ce sans recours juridique n'est pas des plus enthousiasmant !
    Là encore, les choses évoluent, bientôt les FAI s'attaqueront au peer-to-peer spécifiquement, comme le laisse entendre ce Rapport d'étude, portant sur les solutions de filtrage des échanges de musique sur internet dans le domaine du peer-to-peer, suite à la signature par l'AFA de la charte pour le développement de l'offre légale de musique en ligne, le respect de la propriété intellectuelle et la lutte contre la piraterie numérique.
    Beaucoup de mouvements en perspective !


Le mot de la fin de l'admin

    Pouzy : Le peer to peer est quelque chose qui est maintenant devenu presque habituel chez la majorité des internautes. Pourtant, cela reste une forme de vol "sans conscience de responsabilité". Ainsi, lorsque vous téléchargez un logiciel, un film ou un morceau, cela revient à vous pointer à la FNAC, prendre un DVD, et en ressortir sans rien payer.
    Vous pensez qu'à la FNAC, ils vous laisseront sortir sans rien dire ? Sur internet non plus. C'est d'ailleurs pour ça que les FAI font de plus en plus attention, et on entend de plus en plus parler d'actions en justice pour des téléchargements frauduleux.
    Dans l'optique de rester au sein de la loi, nous interdissons donc toute discussion concernant le Peer to peer sur Aidoforum, même si ce n'est qu'une aide pour configurer des ports d'Emule. Nous ne pouvons plus "fermer les yeux', en vous demandant de ne pas dévoiler les fichiers que vous téléchargez. C'est maintenant bien connu, Emule n'est plus le meilleur moyen pour partager ses photos avec sa famille, et son utilisation n'est plus un mystère.

    Voilà, vous avez pu prendre conscience de tous les risques liés au P2P par vous même en lisant ce qui précède, donc je pense que vous comprendrez cette décision. Sourire


Posté par Gof
Configuration système deVoir le profil de l'utilisateurEnvoyer un message privéVisiter le site web du posteur

synthexe

Geek
Geek

AidoAntivirus
AidoAntivirus


Messages: 2280
Tutoriaux : 0
MessagePosté le: Mer 29 Aoû 2007 13:14    Sujet : [Infos sécurité] * Table des matières * [Infos sécurité] Répondre en citantRevenir en haut Alerter les modérateurs
Posté par Malekal_morte

Bonjour,

J'effectue des désinfections quotidiennes sur certains forums.. Ceci est le fruit de constations sur le terrain.

Avast! est l'antivirus le plus répandu en France, surement dû au fait qu'il est gratuit et en français.
Dans certains comparatifs (dont je ne partage pas la conclusion), il est considéré comme un bon antivirus. Ceci est très relayé sur le WEB par les néophytes, "prends Avast! c'est le meilleur" / "prends Avast!, je n'ai aucun problème".

S'il y a quelques années, Avast! pouvait offre une protection acceptable, le monde des malwares évolue vite... Il s'avère que sur le terrain, nous constatons de plus en plus qu'Avast! est très loin d'offrir une protection optimale par rapport à d'autres antivirus, voire même ses performances deviennent de plus en plus est discutables.

Pourquoi ? car Avast! semble très lent pour intégrer les nouvelles infections, de ce fait pour deux types d'infections (mais pas qu'elles) plus que répandues maintenant, Avast! s'avère casi inefficace.

Les deux principales infections sont :
- Les infections de type MPack, des milliers de sites WEB hackées contiennent des iframes qui pointent vers des serveurs WEB contenant les exploits & trojan-downloader. Ces infections sont mises à jour très régulièrement (plusieurs fois par semaine) afin d'échapper à la détection des antivirus. Un vecteur de propagation de malwares, plus en plus utilisé : http://www.sophos.fr/pressoffice/news/articles/2007/07/securityrep.html
- Les infections MSN.. je pense que vous avez dû entendre parler de la dernière infection MSN qui fait pas mal de ravagage.
Ces infections ont une propagation très rapides. Pour être protégé, l'internaute doit posséder un antivirus qui intègre très rapidemment les nouvelles infections puisqu'elles très souvent mises à jour.

Il semblerait qu'Avast! mette entre 6 et 15 jours pour intégrer de nouvelles infectio