[url]http://www.lemonde.fr/web/article/0,1-0@2-3230,36-339358,0.html[/url]
Cet article est je l’admets assez long, mais j’espère qu’il vous sensibilisera sur l’utilisation de votre ordinateur.
*** WARNING *** PAVE SPOTTED ***
Vous en etes RESPONSABLE, surtout s’il est connecté à Internet, il peut être utilisé à des fins malhonnêtes à votre insu. Il est donc important de bien se protéger. Et pour bien se protéger, il faut connaître son ennemi (un virus) et connaître le terrain (son PC)
Avec Internet tout peut aller trés vite, et Microsoft ne fait rien pour rendre la diffusion de virus plus difficile à cause d’Outlook Express. C’est pour ça que quand j’entends quelqu’un qui a choppé “un virus” je rigole doucement. Pourquoi croyez-vous que je n’en ai pas? Car, tout comme pour une voiture ou une maison, des fois il y a des travaux à faire pour pouvoir conduire/vivre en toute sécurité. Certains le font d’eux-même car ils connaissent leur voiture/maison, mais moins leur PC; ERREUR.
- La base.
Il y a plusieurs sources possibles, des choses à faire (ou à ne pas faire) qui augmentent vos chances de subir une attaque.
-
Ne pas avoir les derniers patches pour votre système d’exploitation (ça vaut aussi bien pour Linux que pour Windows). Pour Windows, un petit tour par Windows Update (pas trés rassurant mais passons) remédiera au problème, et pour Linux, ça dépend de votre distribution, apt-get ou emerge, en deux commandes c’est réglé. Lorsqu’une nouvelle faille est trouvée dans un système, il ne faut pas longtemps avant que des hackers l’utilisent à grande échelle (c’est ce qui est arrivé avec Blaster)
-
Télécharger des cracks de programme, keygen, warez sur des sites web : Internet Explorer 6 a encore 12 failles NON REPAREES par Microsoft; et certains mauvais webmasters en profiteront pour installer automatiquement des trucs sur votre PC dont il est difficile de se débarasser. Pour pallier à ça, vous pouvez utiliser un navigateur web équivalent tel que Mozilla. Ce dernier est disponible en français pour ceux qui ont la terrible flemme d’utiliser un logiciel en anglais. Demandez à Stok, il saura de quoi on parle.
-
Recevoir des emails de merde: Il n’y a qu’Outlook (et OE) qui affichent comme ça sans rien demander un mail en HTML. Grâce à Microsoft on bénéficie du bonheur de lire des mails en HTML tout beau avec des images, des textes formatés et tout. Problème, ils ont eu aussi la bonne idée de faire un langage de script pour que le mail puisse lancer des commandes sur vote PC. Génial non? Première chose à faire, ne pas utiliser Outlook Express, mais un programme tel que The Bat! qui remplace Outlook très effacement. Cependant, même sous The Bat, N’OUVREZ PAS DE PIECE JOINTE D’UN EXPEDITEUR QUE VOUS NE CONNAISSEZ PAS! De même, si vous connaissez l’expéditeur mais que le message dans le mail vous semble bizarre n’ouvrez pas! Précaution est mère de sureté.
-
De même, méfiez-vous des pop-up, ces petites fenêtres qui s’ouvrent quand vous allez sur certains sites. Ne soyez pas crédule, ne cliquez pas quand on vous promet de gagner plein de sous ou quand c’est marqué que votre PC est infecté par un virus! Le meilleur moyen de s’en débarasser est d’utiliser encore une fois Mozilla, qui permet de virer les popup des sites.
-
Vous utilisez des réseaux P2P? Ce n’est pas une super idée. On a déjà vu nombre de virus trainer dans les fichiers téléchargés. Je ne les utilise pas donc je ne pourrai pas donner de conseils dessus, donc fiez-vous à votre intelligence et réflechissez avant d’ouvrir, ou de downloader un fichier. Il en va de même pour IRC. Même principe.
-
Cela vaut aussi pendant les LAN. Méfiez-vous de ce que vous tléchrgez/executez.
-
Ne laissez pas la porte de votre PC ouverte en grand avec un signe “Entrez servez-vous et pêtez dans mon frigo si vous voulez” et des p’tites lumières qui clignotent en alternance style las vegas!. Ca veut dire notamment de prendre les précautions suivantes:
- Ne créez pas de partage Windows en accès complet (sauf si vous êtes derrière un routeur, en général le port 139 est bloqué d’office). N’importe qui (et un virus, surtout) peut écrire des fichiers dedans. J’ai déjà vu un virus (Klem je crois) écrire dans les partages en accés complet d’un serv que j’avais crée en stage, donc méfiance!
- Ne laissez pas votre serveur FTP en anonymous. Limitez l’accès avec des mots de passe et des utilisateurs. Ne mettez jamais lle même mot de passe que le login, ou un mot de passe facilement devinable. Lorsque vous créez un pass pour quelqu’un, générez-le aléatoirement ou bien pensez à quelque chose que seul lui pourrait connaître.
- Le FTP permet de limiter les droits des utilisateurs selon les répertoires ou les fichiers. Ne donnez pas les droits d’écriture lorsque ce n’est pas nécessaire.
- N’utilisez JAMAIS le compte invité d’un Windows 2000/XP. Sauf si vous vous trouvez sur un réseau avec des PC sous Win98/ME, qui eux ne peuvent pas facilement se logger sur des machines sécurisées. Un compte invité, bien que limité, permettra déjà la personne de se logguer, et c’est déjà pas mal. Il faut le désactiver dans la gestion des utilisateurs.
- Chaque Windows possède un compte “Administrateur”. Changez son nom immédiatement. Et mettez-y un pass pas facilement devinable.
- Idem avec votre compte d’utilisateur. Je rappelle que sous Windows, tous les comptes utilisateurs ont des privilèges d’administrateur. Bien sûr physiquement quelqu’un ne peut pas se logger sur votre machine pendant que vous l’utilisez, mais sur le net, c’est tout à fait possible, et qui sait ce qu’ils pourraient faire en ayant contrôle sur la machine.
- Désactivez le Service des Messages dans Windows. C’est pas grand chose mais c’est bien lourd des fois.
- Maintenant, les choses à savoir au niveau du réseau.
Pour accèder à Internet, vous avez plusieurs choix, je vais vous les présenter du moins sécurisé au plus sécurisé avec des exemples.
-
Connexion directe : Vous avez un modem 56k ou vous passez par un modem USB pour vous connecter à l’ADSL. Vous êtes alors directement relié à Internet. Lorsqu’une personne regarde quels ports sont ouverts sur votre machine (un scan), elle voit ceux de votre machine que vous utilisez tous les jours. Il va sans dire qu’il vous faut une protection raprochée dans ce cas.
-
Connexion par NAT : Network Address Translation. Cette méthode est la plus utilisée pour ceux qui bénéficient d’un routeur ou d’une machine faisant office de routeur (un partage de connexion par windows est un routeur logiciel en fait). Là, vous risquez déjà beaucoup moins de choses, étant donné qu’une tentative d’attaque attaquera le routeur et non votre machine. Sur le net, seul le routeur est visible. Vous pouvez établir une connexion avec n’importe quelle machine sur Internet, et celle-ci ne pourra dialoguer avec vous qu’à condition que vous aiyez établi la connexion au préalable. Ceci empêche bien évidemment (ou pose quelques problèmes) lorsque l’on fait un serveur (FTP, Web, jeux) sur sa machine, car les gens à l’extérieur ne pourront pas l’atteindre. SAUF si votre routeur est configuré pour traiter les requêtes dans l’autre sens. Auquel cas il vous faudra renseigner l’adresse IP publique de votre routeur dans la configuration des logiciels afin de les faire fonctionner correctement.
-
Proxy : Un proxy est en fait une machine qui fera transiter les connexions, comme un NAT, mais trés selectif, puisque c’est à vous de configurer les ports à faire passer. Le proxy est hautement sécurisé, mais vous posera des problème dans les applications qui ne savent pas le gérer (toutes les applications de base peuvent le faire ceci dit)
-
NAT avec Firewall : Même principe que le NAT sauf qu’ici vous interdisez / autorisez des ports à passer, et d’autres non. Vous pouvez même dire que vous ne voulez accepter aucune connexion à destination de telle IP, ou pour tel port, ou pour telle application. Le Firewall est très puissant, et sécurise vraiment bien un réseau, mais il faut prendre le temps del e configurer pour les applis dont on se sert, afin qu’elles fonctionnent toute au poil. Notez qu’un firewall sur une connexion directe c’est bien aussi.
Ce qu’il faut savoir c’est que sur le net, il y a des gens qui scannent des rangées d’IP au pif et voient quels ports sont ouverts, et ensuite enquêtent sur la configuration de l’application qui utilise ce port (un serveur web, uns erveur ftp, windows, etc.) afin d’en déduire quelles failles il peut exploiter. Il n’est pas rare de voir plusieurs scans par heure. SURTOUT ne vous amusez pas à chercher un scanneur d’IP et faire de même. Il existe des rangées d’IP interdites détenues par les autoritées (américaines surtout) qui sont en fait des pièges pour dénicher les hackers.
Toutes ces recommendations ne vous protégeront pas à 100%, mais vous aideront à approcher une protection maximale.
Je rajouterai peut-être des choses à ce long post à l’avenir, j’espère qu’il vous sera très utile et que vous aurez appris plein de choses sur votre PC et le réseau grâce à ça.