En 2 mots
Appliquez tous les correctifs connus aux failles de sécurité avec
Appliquez les mises à jour de tous les logiciels installés (
Installez et exécutez
Installez et exécutez
Installez et exécutez
Fermez les ports critiques et désactivez les services critiques avec
Changez tous vos mots de passe
Pour aller plus loin
En plus de ce qui précède, naviguez avec
Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez et exécutez
Installez et exécutez
Installez et exécutez
Installez une liste noire de blocage avec
Désactivez WSH « Windows Scripting Host » avec
Désactiver complètement
Utilisez un système pro-actif contre les failles non encore corrigées :
Pour comprendre
Ce type d'attaques est maintenant bien connu et devraient rester, désormais, sans conséquence. Les responsables sécurité des grands serveurs savent comment les éviter : les pare-feu (firewall) professionnels filtrent les requêtes entrantes et ne permettent plus de répondre à ce genre de requêtes.
Les machines "client", votre PC individuel à la maison, ne sont, en principe, pas la cible de ce type d'attaques mais peuvent en être, involontairement, le bras armé. La découverte d'un outil servant à lancer des
Agir dans 3 directions différentes simultanémentLa présence, sur une machine, de parasites ou d'outils apparemment anodins, mais inattendus, ne doit pas être prise à la légère (y compris la présence de simples documents - pas des programmes - tels des textes de cours de crack ou de hack ou de ******* (
Face à cette présence, nous devons engager des actions dans 3 directions différentes simultanément sinon nous risquons le
L'administrateur réseau ou l'ingénieur en charge de la sécurité devra :
Appliquez tous les correctifs connus aux failles de sécurité avec
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
(ou
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
pour l'entreprise)Appliquez les mises à jour de tous les logiciels installés (
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
- en vous tenant informé 1 fois par mois).Installez et exécutez
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Installez et exécutez
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Installez et exécutez
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Fermez les ports critiques et désactivez les services critiques avec
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
.Changez tous vos mots de passe
Pour aller plus loin
En plus de ce qui précède, naviguez avec
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
en remplacement de l'infâme
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
(le générateur de failles en flux continu par qui tout le mal (ou presque), sur l'Internet, arrive).Interdisez à Internet Explorer et à l'Explorateur de Windows tout accès à l'Internet (règle dans votre pare-feu (firewall)
Installez et exécutez
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Installez et exécutez
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Installez et exécutez
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Installez une liste noire de blocage avec
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Désactivez WSH « Windows Scripting Host » avec
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Désactiver complètement
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Utilisez un système pro-actif contre les failles non encore corrigées :
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Pour comprendre
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Ce type d'attaques est maintenant bien connu et devraient rester, désormais, sans conséquence. Les responsables sécurité des grands serveurs savent comment les éviter : les pare-feu (firewall) professionnels filtrent les requêtes entrantes et ne permettent plus de répondre à ce genre de requêtes.
Les machines "client", votre PC individuel à la maison, ne sont, en principe, pas la cible de ce type d'attaques mais peuvent en être, involontairement, le bras armé. La découverte d'un outil servant à lancer des
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
sur votre machine doit vous interpeler et vous faire réagir. Ce parasite n'est pas venu tout seul ! Non seulement votre machine est faillible mais, en sus, elle est
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
et vous pourriez être recherché pénalement à cause de votre laxisme qui a permi de lancer une attaque depuis votre machine contre un serveur.Agir dans 3 directions différentes simultanémentLa présence, sur une machine, de parasites ou d'outils apparemment anodins, mais inattendus, ne doit pas être prise à la légère (y compris la présence de simples documents - pas des programmes - tels des textes de cours de crack ou de hack ou de ******* (
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
,
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
,
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
, etc. ...)). La réaction ne doit pas se limiter au simple effacement.Face à cette présence, nous devons engager des actions dans 3 directions différentes simultanément sinon nous risquons le
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
. Il faut :- Corriger les effets
La première chose à faire est, bien entendu, de corriger immédiatement les effets de la contamination et supprimant la contamination elle-même mais cela ne suffit pas. Il faut encore : - Rechercher les causes en amont
Chercher, en amont, les causes de sa présence - Prévoir les conséquences en aval
Chercher, en aval, les conséquences éventuelles de son action à l'encontre de notre machine, nos données, notre réseau, notre entreprise et nous même
L'administrateur réseau ou l'ingénieur en charge de la sécurité devra :
- Eradiquer le parasite :
Bien entendu, il convient d'éliminer le parasite.
Il y a deux possibilités :
- Télécharger, installer et exécuter un antivirus puis un anti-spywares (anti-trojans) localement (sur la machine). Il en est des gratuits pour commencer. Par exemple (sans faire de polémique sur "celui-ci est meilleur que celui-là" etc. ...) on utilisera :
- Antivirus
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
ou
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
etc. ... Pour plus de choix, voir leVous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
- Anti-spywares (anti-trojans)
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Etc. ... Pour plus de choix, voir leVous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
- Antivirus
- Exécuter des analyses en ligne de la machine avec deux ou trois outils bien solides.
- Pour la meilleure détection (mais sans correction), utiliser
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
- Pour une détection avec éradication :
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
ou
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
ou
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.
Nota : la première proposition (Trend Housecall) exploiteVous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.et n'est donc pas dépendante de la technologieVous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.sousVous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.- elle peut être utilisée sousVous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.etc. ...
- Pour la meilleure détection (mais sans correction), utiliser
- Télécharger, installer et exécuter un antivirus puis un anti-spywares (anti-trojans) localement (sur la machine). Il en est des gratuits pour commencer. Par exemple (sans faire de polémique sur "celui-ci est meilleur que celui-là" etc. ...) on utilisera :
- Rechercher, en amont, la faille ayant permis l'introduction de ce parasite :
La présence de ce parasite signifie qu'une faille de sécurité a permis son introduction.- Ce peut être une introduction à distance grâce à l'exploitation d'une faille corrigible par application de patchs disponibles chez les éditeurs de tous les logiciels installés sur la machine. La mesure de base étant d'être à jour, quotidiennement, de tous les correctifs de sécurité, on commencera par regarder à
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.,Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.etVous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.. On en fera de même pour les autres éditeurs utilisés.
- Ce peut surtout être une introduction locale du parasite car la faille est, dans la majorité des cas, beaucoup plus proche qu'on ne le pense : on aura donc également un oeil suspicieux sur toutes les personnes pouvant accéder physiquement à cette machine (employé, ami, service technique interne, maintenance technique externe, personnel d'entretien, etc. ...).
- La mise en place d'un
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.peut être envisagée pour dépister l'attaquant et peut être recherchée comme cause de l'attaque, ces outils ayant 2 usages diamétralement opposés. On regardera également si laVous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.n'est pas trop laxiste.
- Ce peut être une introduction à distance grâce à l'exploitation d'une faille corrigible par application de patchs disponibles chez les éditeurs de tous les logiciels installés sur la machine. La mesure de base étant d'être à jour, quotidiennement, de tous les correctifs de sécurité, on commencera par regarder à
- Rechercher, en aval, les conséquences possibles et prendre les mesures nécessaires :
En fonction de la nature du parasite (de sa classe), nous prendrons les mesures nécessaires. Par exemple, si le parasite vise les mots de passe, il faut immédiatement imaginer qu'ils sont tous compromis. Nous sommes donc en présence d'une nouvelle faille de sécurité, conséquence de la mise en oeuvre probable du parasite contre la machine infectée et le réseau auquel elle appartient. Il convient donc de tous les changer.
- Essayer de remonter à la source : en vertu du vieil adage policier "chercher à qui le crime profite", chercher en remontant dans les logs, une identification éventuelle de l'utilisateur (poste de travail, login, adresse IP etc. ...) et les données qui ont pu être révélées. Se prémunir juridiquement en portant plainte immédiatement.
- Rechercher la présence d'autres parasites.
- Si le parasite concerne le crack de licences internes de logiciels, on pourra, éventuellement, se prémunir juridiquement, en prévenant les éditeurs et, d'autre part,
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici., à titre conservatoire.
- Si le parasite concerne le crack (password cracking) ou le vol (password stealing) de mots de passe ou autres données cryptées on recherchera aussi la possibilité de fuite de la clé de cryptage elle-même, depuis le mot de passe écrit sur un post-it collé sur l'écran jusqu'au personnel licencié assouvissant une vengeance... (dans ce dernier cas, les mots de passe auraient dû être changés dès l'envoi de la convocation à l'entretien préalable au licenciement puis changés à nouveau dans la minute qui suit l'entretien préalable et une nouvelle fois au moment du dernier départ physique de la personne licenciée, à l'issue du préavis. Entre-temps, tous ses accès auraient dû être supprimés ou extrêmement restreints).
- En entreprise, on retirera tous les outils matériels susceptibles de permettre une copie. Ils seront disposés en service d'accès contrôlé, sur des machines disposées dans une pièce distincte accessible sur justification et autorisation. Tous les périphériques amovibles sont concernés, y compris les disques durs montés en tiroirs, lecteurs de disquettes, de bandes, graveurs et même les memory sticks (ports usb...), clés usb etc. ... On sera particulièrement méfiant à l'égard des dispositifs USB conformes U3 (dont les
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.).
- Le mot de passe du BIOS sera extrêmement durci sur une carte-mère rendue inaccessible par l'usage de boîtiers verrouillés et disposants d'un contact d'ouverture déclenchant une alerte réseau grâce à une petite tâche active en permanence (la machine ne devant jamais être éteinte). Les accès aux disquettes et aux lecteurs de CD-ROM, DVD etc. ... seront inhibés au niveau du BIOS si les périphériques ne sont pas ôtés physiquement de la machine.
- En entreprise, on retirera ou restreindra tous les outils logiciels susceptibles de permettre une copie dont le protocole FTP et les clients et serveurs P2P, les accès aux machines et répertoires du réseau...
- L'introduction du parasite sur la machine infectée ayant pu se faire à distance cela peut signifier, selon la nature du parasite, qu'un individu l'y a introduit non pas pour l'exploiter mais pour la cacher. C'est une mesure de sécurité élémentaire chez ceux qui manipulent des documents ou utilitaires très critiquables : ils ne les planquent pas chez eux mais chez les autres. Donc, pour revenir les chercher ou les utiliser, l'individu a probablement ménagé une porte : on recherchera du côté des
Vous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.et desVous devez être inscrit pour voir les liens ! Inscrivez-vous ou connectez-vous ici.r.
Yep
