Quizz Sécu 5

[ipl_001]

 

Quizz Sécu # 5

 

***

 

Bonjour à tous,

 

Nous vous proposons à travers ce Quizz en trois questions un exercice qui se veut ludique et instructif. Cette cinquième saison d'une longue série nous l'espérons, est ouvert à tous les membres inscrits (les invités ne peuvent pas poster). Vous ne pourrez y répondre qu'une seule fois, puis seulement consulter les suggestions de réponses des autres membres. Voici comment les choses vont se passer :

• Ce Quizz sera ouvert aux suggestions de réponse pendant une semaine. Nous ne souhaitons pas qu'il y ait de commentaires de postés d'ici là, de sorte de ne pas influencer les réponses. Ainsi, tout post dans cette période sera masqué ou supprimé.
   
   
  
• A la fin de cette semaine ouverte, nous vous indiquerons alors les bonnes réponses aux questions, en commentant les tendances de celles des membres. Là tous les commentaires et interrogations seront les bienvenus bien évidemment.
  

 

A l'issue de cette correction, dimanche ou lundi prochain, un Quizz de trois questions vous sera à nouveau proposé. En espérant que cet exercice vous sera à la fois plaisant et instructif.

 

Vous pouvez consulter les anciens Quizz si vous le souhaitez :

 

• Quizz Sécu n°1
  
• Quizz Sécu n°2
  
• Quizz Sécu n°3
  
• Quizz Sécu n°4
  

 

Bon Quizz Sécu n°5

[ipl_001]

Plus que quelques heures avant fermeture.

 

 

 

~~~~

 

 

 

Fermeture du Quizz à 17 votants.

 

Cela signifie que le Quizz reste ouvert pour ceux qui n'ont pas voté, mais qu'il ne sera pas pris en compte dans l'interprétation des réponses.

 

Nous allons vous proposer la solution/les explications sur de cette série ; tous vos commentaires, remarques et suggestions seront alors les bienvenus

[Falkra]

 

***

 

 

 

Q13 - Les infections sous MAC (possibles, pas possibles, etc.)

 

En effet, et vous avez été largement les plus nombreux à voter pour la bonne réponse, les infections Mac sont en effet possibles. On dit souvent qu'un ordinateur Mac ne peut pas être infecté, parfois, par simplification, sans vouloir prétendre Mac OS invulnérable. En réalité, ce parc informatique peut être infecté, autant que d'autres, à condition que les créateurs de programmes nuisibles s'y intéressent. Symantec a même identifié fin avril de cette année un réseau d'ordinateurs zombies (botnet) composé exclusivement d'ordinateurs Apple. Communiquant entre eux, les ordinateurs de ces réseaux sont utilisés pour mener à bien des attaques contre des serveurs, envoyer du spam, etc...

Voir la page de Symantec.

 

Surnommé iBotnet, ce réseau serait composé de quelques milliers de machines, ce qui est peu pour des réseaux de ce type, qui se comptent en millions sous Windows. L'infection provient d'une version piratée de la suite bureautique iWork09, distribuée illégalement sur les réseaux p2p (peer-to-peer). Pensant installer un logiciel, les utilisateurs infectent leur Mac, il s'agissait d'un cheval de troie, baptisé OSX.Trojan.iServices (deux versions circulent déjà), qui installe les connexions nécessaires. Il se place dans /System/Library/StartupItems/iWorkServices et se connecte à un serveur web pour activer le réseau. Une attaque de type déni de service distribué (DDOS) a déjà été menée par une armée d'ordinateurs Mac OS X.

 

L'infection est discrète et peu perceptible pour l'utilisateur, qui la plupart du temps, n'installe pas de solutions de sécurité.

 

D'autres virus ont été mis en évidence, voici quelques fiches Sophos récentes :

OSX/Tored-Fam

OSX/Jahlav-C

 

 

 

***

[ipl_001]

Ce message a été rédigé par Falkra - il est publié ici sous mon pseudo pour des raisons techniques.

 

~~~~

 

 

***

 

 

 

 

Q14 - Un secret que j'ai lu de la plume des meilleurs : ne pas naviguer en administrateur pour être paré !

 

Les réponses sont divisées :

Vrai [ 8 ] [50.00%]

Faux [ 7 ] [43.75%]

 

On peut jouer sur la sémantique, "être paré", qu'est-ce au juste ? Généralement, cela veut dire que l'on peut faire face à des menaces, et que le conseil est bien placé dans la hiérarchie des recommandations.

Bien. Ne pas naviguer en administrateur, pourquoi ?

Un malware peut infecter une machine de diverses manières, mais pour s'installer et faire son nid dans votre machine, il a besoin d'être exécuté, ce qui déclenchera la phase d'infection en elle-même : le programme envahit le système, se paramètre pour démarrer avec l'OS, et revenir, il installe ses fichiers, etc.

Pour faire son nid, et mener à bien ces opérations, il a besoin des droits administrateur, pour modifier les clés de la base de registre qui lui sont utiles, pour créer des fichiers dans certains dossiers de Windows, etc... avec des droits limités, il ne peut pas faire toutes les opérations dont il a besoin, et c'est assez pour empêcher la pahse d'infection, la plupart du temps.

 

Le navigateur, quand à lui constitue une des jonctions entre votre OS et Internet, il les met en communication, il rappatrie des fichiers, vous demande de lancer/exécuter des contenus, etc. il est logique que bien des malwares entrent par là, sous forme de fichiers à télécharger, plugins piégés, scripts malicieux, etc.

La plupart de ces contenus ont besoin de droits admin pour s'exécuter. Un navigateur en droits limités ne laissera pas s'installer ceci ou cela, et bloquera aussi bien la bestiole que fiston qui essaie de changer les paramètres pour assouplir les restrictions en place. Bon, pour fiston, ça dépend d'autres paramètres.

 

Bref, ne pas naviguer en mode administrateur ferme la porte à beaucoup d'installations de malwares, ou d'infections. Cela ne protègera pas l'OS de l'utilisateur lui-même, et des fichiers qu'il va télécharger, puis exécuter (sans doute en administrateur), mais cela évite beaucoup de choses.

Je pense donc qu'on peut "être paré".

 

Bien entendu, il s'agit d'une mesure parmi d'autres ; commme vous le savez, il n'y a jamais une manip miracle, et sécuriser une machine n'est pas la recherche de solutions, mais une affaire d'amélioration des conditions de sécurité.

 

Si vous voulez en savoir plus :

Un Tuto stripMyRights (outils qui retire les droits admins aux programmes de votre choix), par Ogu, sur Zeb.

 

 

 

***

[ipl_001]

 

***

 

 

 

Q15 - Mon PC est visiblement infecté, j'ai trouvé sur Zebulon un sujet sur lequel le problème semble identique au mien

 

 

Je peux suivre la même procédure, les mêmes symptômes indiquent que c'est la même infection [ 1 - 5.9 %]

 

Certes, les symptômes sont une indication demandée et prise en compte mais ils sont rarement caractéristiques d'un type d'infection et encore moins des outils à employer et de la procédure à suivre.

Les posts de prise en charge des infections comportent souvent un message indiquant que la procédure a été mise au point en réponse à un sujet bien précis et qu'il ne faut en aucun cas la reproduire pour un autre cas.

En effet, chaque système est unique et chaque infection est unique.

L'intervention d'un membre de l'Equipe Sécurité s'appuie sur de nombreux examens de ce que comporte le système et le nettoyage de l'infection comprend l'élimination de fichiers trouvés effectivement sur le disque et d'éléments présents dans la base de registre, sans parler de fichiers avec des noms aléatoires.

En aucun cas, la procédure ne doit être réemployée sur un autre ordinateur.

 

 

Je peux suivre la procédure, au pire ça ne fonctionnera pas, les logiciels utilisés sont sans risque [ 0 - 0 %]

 

En aucun cas, il ne faut reproduire la procédure sur un autre ordinateur.

Parmi les programmes dont l'exécution est demandée par un membre de l'Equipe Sécurité, on peut en voir qui n'effectuent que des analyses mais la plupart sont chargés d'éliminer des fichiers et/ou des éléments de la base de registre.

Ces programmes de nettoyage ne sont pas anodins et comportent parfois, ne serait-ce que temporairement, des anomalies que les conseillers sauront prendre en compte et à coup sûr, réparer.

Parmi ces programmes de nettoyage, beaucoup sont développés par des internautes de notre communauté pour une utilisation par des conseillers spécialement formés.

- tout d'abord, les conseillers peuvent entrer en contact avec les développeurs en cas de problème.

- ces programmes ne comportent pas les innombrables lignes de code qui, dans un programme commercial, sont destinées à sécuriser leur utilisation par des internautes débutants... ces programmes sont justement déclarés "à n'utiliser que par des internautes qui en connaissent l'utilisation" pour, justement "faire l'économie" des ces lignes qui ralentissent l'exécution, prennent du temps au codage et permettre ainsi aux développeurs de se concentrer sur la chasse aux infections.

- ces programmes évoluent sans cesse en même temps -moins souvent- que la manière de les utiliser... employer une procédure ancienne peut mener à des dégâts.

- ces programmes sont extrêmement puissants et il est facile de supprimer des fichiers -surtout lorsqu'on ne le veut pas- y compris des fichiers qui, en temps normal, sont protégés par le système d'exploitation.

- on peut observer que certains de ces programmes incluent dans leur procédure l'installation de la console de récupération, ce n'est pas pour rien !!! C'est pour pouvoir remettre le système en fonction lorsqu'il ne redémarre plus !

- beaucoup de ces programmes de nettoyage spécifiques prévoient des possibilités de personnalisation pour y donner le nom exact des éléments à éliminer : laisser ces "scripts" spécifiques pour un système autre n'est vraiment pas indiqué ! N'ajoutons pas des risques supplémentaires à un système déjà fragilisé par une infection !

Non, ce n'est vraiment pas une bonne idée de reproduire une procédure de nettoyage repérée sur un forum !

 

 

Je dois créer mon propre sujet pour qu'un conseiller en sécurité me donne les procédures adaptées à mon cas [ 16 - 94.1 %]

 

Chaque ordinateur est spécifique, chaque infection est spécifique, dépendant de l'historique du système installé.

Les membres de l'Equipe Sécurité ont une manière de procéder bien précise afin d'analyser le problème et trouver la solution en minimisant les risques.

Oui, il convient d'ouvrir un nouveau sujet dédié à votre nouveau cas d'infection.

Cette discussion sera adaptée au cas précis et à lui seul.

 

 

Je peux poster à la suite du sujet que j'ai trouvé, comme l'infection est la même, ça ne pose pas de problèmes [ 1 - 5.9 %]

 

L'infection n'est pas la même.

Poster à la suite, dans un sujet en cours, va perturber le déroulement du problème en cours de traitement et rendre plus difficile les opérations. Le conseiller est concentré sur le premier problème et l'en distraire n'est pas une bonne chose.

Poster à la suite alors que le nettoyage est terminé et le cas résolu, rendra le sujet difficilement lisible à l'avenir.

Une discussion relative à un problème résolu, même si la procédure ne doit pas être reproduite, est utile aux conseillers en sécurité de tous les forums (y compris étrangers) qui vont le retrouver par les moteurs de recherche et s'en inspirer pour des situations précises.

En outre, les développeurs reviennent sur le traitement pour réexaminer le fonctionnement de leur programme.

 

Enfin, vous avez remarqué que le conseiller qui a pris en charge le nettoyage d'une infection ne doit pas être distrait par des interventions autres... il communique néanmoins avec les autres conseillers mais sur un espace différent et, ainsi, le sujet reste précis et clair.

 

 

 

***

[Wullfk]

Bonjour,

 

Ce Quizz là ne m'a pas posé de problème, tout bon . Heureusement, sinon j'étais bon pour me reconvertir en défonceur de porte ouverte

 

Salut