La scurit du poste de travail informatique

Spcificits de la communication lectronique

Proprits Intitul long Formation concerne Matire Notions Prsentation Description

Prvention et comportement adopter face aux dangers informatiques lis la communication entre des ordinateurs. Classes de premire Sciences et technologies de la gestion (STG) Information et communication 3.3.2. Spcificits de la communication lectronique Protection contre les virus et les actes de malveillance. Ce document recense les risques les plus courants : virus, spam, canulars. Ils donne des exemples dactes de malveillance et fournit des dfinitions prcises. Des solutions sont systmatiquement prsentes et des conseils sont donns pour adopter un comportement rduisant les risques. Lutilisation courante dun poste de travail informatique. Scurit, actes de malveillance, virus, spam, canulars, cheval de troie, antivirus, parefeu Christian Draux 1.0 14 Janvier 2005

Pr-requis Mots-cls Auteur(es) Version Date de publication

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 1/13

Scurit du poste de travail

Une rcente tude du fournisseur daccs AOL rvle que prs des trois quarts des internautes franais ont dj t infects par un virus informatique. Une autre tude du CLUSIF (Club de la scurit des systmes dinformation) de juin 2004 montre que 40 % des causes de panne informatique sont dues des virus. Il importe donc de pouvoir identifier les diffrents parasites informatiques, de les prvenir et dadopter un comportement qui garantisse la prennit des donnes dont chacun est responsable.

I - Les dangers potentiels

A Les virus Une partie du travail que vous devez raliser est stock sur une clef USB appartenant Situation 1 un autre utilisateur, vous connectez la clef sur votre poste et au moment douvrir le document, le message suivant saffiche sur votre cran :

1. Quel est le type de programme qui vient de dclencher louverture de cette bote de dialogue ? 2. De quel danger prvient le message ? 3. Quelle est la raction la plus approprie : si lon souhaite conserver le fichier ; si lon a un doute ; si ce fichier vous est totalement inconnu. 1. Dfinition Un virus est un programme informatique, situ dans le corps d'un autre programme qui modifie le fonctionnement de lordinateur linsu de lutilisateur. Il se propage par duplication. Pour cela, il va infecter dautres programmes d'ordinateur en les modifiant de faon ce qu'ils puissent leur tour se dupliquer. Il agit lorsquil est charg en mmoire au moment de lexcution du logiciel infest. La plupart des virus visent dclencher une action. Certaines actions sont sans danger : affichage dun message, excution dune musique, dessin dune spirale sur lcran, etc. Dautres ont une action beaucoup plus nuisible. 2. Formes On distingue les formes suivantes prises par les virus : Le virus programme (ou virus dapplication) infecte les programmes excutables. Il se glisse dans une partie du code et sera excut en mme temps que lapplication. Il en profitera pour se reproduire, contaminer dautres excutables et dclencher laction prdtermine par son auteur. Exemple : Chernobyl (1998). http://www.reseaucerta.org CERTA - janvier 2005 v1.0 Page 2/13

Le virus de script infecte les pages HTML charges par un internaute. Une page HTML est compose de balises interprtes par le navigateur. Il est possible dajouter dans une page HTML des programmes crits dans un autre langage pour enrichir les pages et les rendre dynamiques. Les plus utiliss sont VB-Script et JavaScript. VB-Script est lorigine de nombreux virus. Exemple : I love you (mai 2000) . Le virus macro est un virus qui infecte des documents (courrier, tableau, etc...). Il est possible dinsrer dans un document des actions programmes pour automatiser certaines tches : cration de formulaires, mises en forme automatises, etc.. Ces tches sont ralises laide dun langage de programmation (Visual Basic pour Application pour les applications de la suite Office de Microsoft). Le virus se sert de ce langage pour se reproduire et dclencher une action destructrice. Exemple : Concept (1995) Le virus systme (ou virus de secteur d'amorce) infecte les zones systmes des disques durs ou des disquettes. Ces virus remplacent le secteur d'amorce du disque infect par une copie de leurs codes. Exemple : Stoned (1988) , Form (1991) , AnticMos (1994) Enfin, le virus de ml, galement appels ver. Ce virus se sert des programmes de messagerie (notamment Microsoft Outlook et Outlook Express) pour se rpandre grande vitesse, en s'envoyant automatiquement tout ou partie des personnes prsentes dans le carnet d'adresses. Le ver est une variante de virus qui a la particularit de ne pas avoir besoin de support pour se reproduire, il se suffit lui-mme. Exemple : KakWorm (1999) , Melissa (1999) Happy99 (1999). 3. Signature Lorsquun virus cherche infecter un nouveau fichier, il commence par vrifier que le virus nest pas dj prsent dans le fichier, une nouvelle infection pourrait compromettre son efficacit. Il ralise ce contrle par la recherche dune squence de code appele signature. 4. Techniques de dissimulation Les virus utilisent diffrentes techniques pour tre plus difficiles dtecter par les antivirus : furtifs : ils interceptent les demandes du systme d'exploitation et prsentent les informations telles qu'elles taient avant l'infection, lobjectif est de ne pas tre dcel. polymorphes : ils changent leurs signatures chaque nouvelle infection de fichier ; rtrovirus : ils attaquent les antivirus en bloquant leur excution et leur redmarrage ; hybrides : ils combinent les caractristiques de plusieurs familles.

Les virus par email se dguisent en fichier texte, image, son, vido ... Un double clic, ou l'ouverture automatique de ces fichiers multimdia, active le virus.

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 3/13

B Les chevaux de Troie Situation 2

louverture de votre logiciel de messagerie vous dcouvrez le message suivant : Le message est le suivant : Client de Microsoft Voici la dernire version de mise jour de scurit Correctif cumulatif, septembre 2003 , mise jour qui limine toutes les vulnrabilits qui affectent MS Internet Explorer, MS Outlook et MS Outlook Express ainsi que trois nouvelles vulnrabilits rcentes. Installez cette mise jour immdiatement pour prserver la scurit de

votre ordinateur face aux vulnrabilits, la plus importante dentre elles peut permettre un pirate dexcuter des programmes sur votre ordinateur. Cette mise jour se cumule avec les prcdents correctifs. Remarque : un correctif est un programme qui corrige des dysfonctionnements, bogue ou faille de scurit, dcouverts dans un logiciel. 1. Quel est lauteur apparent de ce message ? Vous navez jamais envoy de ml cet diteur de logiciels. 2. Comment se fait-il quil vous envoie un courrier lectronique ? Ce message est accompagn dune pice jointe. La suite du message prcise quil suffit dexcuter la pice jointe et de cliquer sur oui lorsquune bote de dialogue souvrira pour vous proposer dexcuter le programme en pice jointe. Pris dun doute vous vous rendez sur un site spcialis dans la scurit informatique, le site : http://www.hoaxbuster.com, et vous entrez les premiers mots du message : this is the latest version of security update, the "September 2003, Cumulative Patch" sur le moteur de recherche du site. La premire rponse fournie par le site est la suivante :
MISE EN GARDE

- Correctif Microsoft ou simple ver ?

Si vous avez reu un e-mail "aux couleurs" de Microsoft vous proposant d'installer un soi-disant correctif dtruisez le au plus vite. Sachez que Microsoft ne distribue jamais de logiciels en pice(s) jointe(s) par courrier lectronique. Il s'agit en ralit d'un nouveau ver qui une fois install excutera des actions dangereuses pour l'ordinateur.

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 4/13

Vous vous rendez sur le site de lditeur de logiciels Microsoft et vous dcouvrez la page suivante : http://www.microsoft.com/france/securite/gpublic/protect/politique_emails.aspx

Politique Microsoft de diffusion des mises jour des logiciels

Pour une informatique sre et fiable, il est important de ne jamais utiliser de logiciels provenant de sources inconnues. Comme indiqu dans un avis du CERT, des utilisateurs malveillants emploient souvent des "chevaux de Troie" pour introduire des logiciels pernicieux dans les ordinateurs d'utilisateurs imprudents. Cheval de Troie Un cheval de Troie est un logiciel qui, sous l'apparence d'un logiciel utile, ralise en fait de faon cache des actions dangereuses pour l'ordinateur infect. Par exemple, un pirate peut dvelopper un programme de jeu qui efface dlibrment des fichiers sur l'ordinateur qui l'hberge, puis il se propagera via la messagerie de l'utilisateur. Un autre mcanisme, frquemment utilis et qui s'apparente au cheval de Troie, consiste envoyer par courrier lectronique un programme malveillant, en annonant qu'il s'agit d'une mise jour d'un logiciel et en se faisant passer pour l'diteur de ce logiciel. Rcemment, de nombreux courriers de ce type sont apparus sur Internet, annonant des mises jour de logiciels Microsoft ou d'autres diteurs. Il ne s'agit que de logiciels dangereux destins endommager les fichiers des utilisateurs qui les auraient excuts.

Sachez que Microsoft ne distribue jamais de logiciels en pice(s) jointe(s) par courrier lectronique
Nous distribuons des logiciels sur des supports physiques comme des CD-ROM et des disquettes. Nous distribuons les mises jour sur Internet exclusivement via nos sites Web amricain et franais, ou via le centre de tlchargement. Nous envoyons parfois des courriers lectroniques nos clients pour leur signaler la parution d'une mise niveau. Toutefois, ces courriers contiennent uniquement des liens vers nos sites de tlchargement ; nous ne mettons jamais en pice jointe de logiciels nos messages. Les liens mnent toujours vers notre site Web ou notre site FTP. Nous utilisons toujours Authenticode pour signer numriquement nos produits, ce qui permet aux utilisateurs de vrifier qu'ils ont reu la bonne version. Si vous recevez un courrier lectronique se faisant passer pour Microsoft et contenant un logiciel joint, n'excutez pas ce logiciel. Supprimez compltement ce message avec sa pice jointe. Si vous souhaitez aller plus loin, signalez ce message au fournisseur d'accs Internet (FAI) dont dpend l'expditeur. De nombreux FAI offrent la possibilit de signaler de tels abus.

3. Quel comportement adopter vis--vis du message reu dans votre bote aux lettres ? Dfinition Un cheval de Troie est un programme qui se prsente sous une forme anodine (ml, bandeau publicitaire, jeu en tlchargement) mais qui contient en ralit des instructions caches, dans le but de pntrer par effraction dans des fichiers pour les consulter, les transfrer, les modifier ou les dtruire . Il permet un pirate de s'introduire dans une machine sans le consentement de lutilisateur. Dans ce cas, il insre un logiciel "serveur" qui offrira au pirate toutes les informations dont il a besoin. Le pirate pourra prendre le contrle distance de lordinateur infect. la diffrence dun virus, il ne cherche pas se reproduire. Lobjectif est de rcuprer des informations confidentielles : codes de carte bancaire, identifiant et mots de passe, documents personnels. Le cheval de Troie est avant tout un moyen de transport dun parasite plus ou moins dangereux. Il utilise souvent une faille de scurit pour sintroduire dans un ordinateur.

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 5/13

C Les espiogiciels (spyware) Dfinition Logiciel introduit dans un ordinateur sans lautorisation explicite de son utilisateur pour collecter des informations et les transmettre un tiers. Lobjectif des espiogiciels nest pas de dtruire mais denvoyer des informations une socit ou une pirate sans se faire remarquer. Ces logiciels sont parfois prsents par des socits commerciales comme des outils de suivi des habitudes dun utilisateur dans le but damliorer les produits de la socit, mais cette collecte effectue sans le consentement de lutilisateur est une intrusion dans la vie prive. On les trouve notamment dans les bandeaux publicitaires de page HTML, dans les logiciels de tlchargement et dchange de morceaux de musique. Certains sont installs par des chevaux de Troie et peuvent collecter des informations prives comme lidentit, le carnet dadresses, les mots de passe ou les codes de carte bancaire. D Le spam louverture de votre logiciel de messagerie vous dcouvrez le message suivant : Situation 3 From: "bc1234" < bc1234@fai.com> To: clambey@fai.fr, ckel@fai.fr, christiane.deschambr@fai.fr, christine.dufond@fai.fr, clambey@fai.fr, ckel@fai.fr Subject: !cid_yiprtvmv_iwpjxbnd_jwzaesmk Date: Tue, 26 Oct 2004 13:24:00 -0300

En observant les diffrents lments qui composent len-tte de ce message (expditeur, destinataire, sujet), prcisez quels sont les lments qui vous permettent de penser que ce message est suspect ? 1. Dfinition Le spam (ou pourriel) est un courrier lectronique abusif et indsirable. Le spam se rfre aux courriers lectroniques publicitaires envoys en masse des milliers d'internautes qui nont pas donn leur accord pour les recevoir. On surnomme les metteurs de ces messages spammeurs . 2. Intrt de cette pratique pour les expditeurs Il sagit dun procd trs peu coteux pour expdier des offres commerciales des millions dadresses. Des logiciels spcialiss appels robots parcourent le Web pour y rcuprer les adresses. Lenvoi des courriels est quasiment gratuit. Le taux de retour est extrmement faible mais suffisant.

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 6/13

3. Les inconvnients Le spam prsente deux inconvnients majeurs. Il parasite Internet, en monopolisant plus de 50 % du trafic du courrier lectronique, et dvalorise les dmarches commerciales responsables sur Internet. Les acteurs de lInternet sefforcent donc de limiter le phnomne par des moyens techniques, et les tats tentent dy mettre fin par des dispositions lgislatives. Mais laspect international du phnomne et linventivit des spammeurs rendent lradication du flau trs difficile. E les canulars Situation 4 Parmi les messages reus, vous dcouvrez celui-ci expdi par un(e) ami(e). Sujet: Vol de voiture On n'est jamais trop prudent. SOYEZ ATTENTIFS TOUT LE MONDE ! Soyez aviss qu'une nouvelle faon de voler une voiture est en opration. (Ceci peut aussi tre employ comme complot pour ravir quelqu'un) Imaginez: Vous marchez dans le stationnement, dverrouillez votre auto et montez. Vous verrouillez toutes les portes, dmarrez et embrayez pour reculer et soudain, vous regardez dans votre miroir pour reculer de votre espace de stationnement et vous remarquez un morceau de papier coll dans votre vitre arrire. Vous remettez la transmission PARK, dverrouillez les portes et sortez de l'auto pour retirer ce morceau de papier (ou ce que c'est) qui obstrue votre vue. Lorsque vous tes derrire l'auto c'est l qu'apparaissent les voleurs d'on ne sait o, qui sautent dans votre auto et partent !!! Votre moteur tournait (les dames auraient leur sac main dans l'auto) et en plus ils vous passent presque sur le corps lorsqu'ils partent en vitesse avec votre auto. SOYEZ AVISS DE CE "NOUVEAU" STRATAGME QUI EST MAINTENANT UTILIS. Faites seulement partir et enlevez ce damn papier coll votre vitre plus tard et soyez fiers d'avoir lu ce courriel. J'espre que vous le ferez parvenir tous vos amis et votre famille SPCIALEMENT AUX FEMMES ! Un sac main contient toutes vos identifications et vous ne voulez certainement pas que ces gens aient votre adresse la maison. ILS ONT DJ VOS CLEFS !!!

1. la lecture du contenu du message, peut-on deviner dans quelle langue initiale a t crit ce message ? 2. Quel est lobjectif poursuivi par son initiateur ? 1. Dfinition Un canular (en anglais hoax) est une annonce reue par ml qui incite transfrer ce message tous les contacts contenus dans le carnet dadresses. Ce procd a pour but l'engorgement des rseaux ainsi que la dsinformation. 2. Varit des canulars Arrive dun danger : le message prvient dun danger, larrive dun nouveau virus (faux virus), il se sert de la caution de socits renommes pour appuyer ces affirmations. Les chanes de solidarit : il encourage sauver une ou plusieurs personnes atteintes dune maladie rare, il fait appel la gnrosit des internautes. Un gain potentiel : le message promet de gagner beaucoup d'argent en trs peu de temps. Le message est parfois tay d'un exemple extravagant (gagner plusieurs milliers de dollars). Bonne ou Mauvaise fortune : Le message vous prvient de la bonne fortune ou du malheur le plus terrible si vous ne le faites pas suivre. On cite l'exemple dune personne qui n'a pas renvoy le message et qui a eu tous les malheurs du monde jusqu' ce quelle se dcide, ses problmes se sont alors tous immdiatement rsolus.

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 7/13

Dsinformation Le message "prvient" dun fait gnralement scandaleux et vise faire ragir le destinataire et rclame la diffusion la plus large possible.

II Les modes de contamination

Pour pouvoir se propager, les parasites informatiques ont besoin dutiliser des supports physiques. A - Les supports amovibles Tout support qui a besoin dtre connect ou introduit dans un ordinateur est un danger potentiel. La disquette : support le plus ancien, la disquette permet de sauvegarder les fichiers dun ordinateur puis de les restaurer sur un second. Si les fichiers de la premire machine sont infects par un virus, la copie sur la disquette copiera le virus qui se retrouvera ensuite sur le second poste. Les disquettes de forte capacit (Zip) sont aussi susceptibles de transmettre des virus. Le CD-ROM : support de plus grande capacit, on y trouvait au dbut des programmes vendus par les diteurs de logiciels ou insrs gratuitement dans une revue informatique. Certains programmes comportaient des virus. Aujourdhui les CD-ROM et DVD-ROM sont devenus inscriptibles ou rinscriptibles et deviennent un facteur de propagation identique aux disquettes. La clef USB. Il sagit dune mmoire rinscriptible de capacit plus leve Elle remplace la disquette et peut aussi contaminer un ordinateur.

B - Le rseau informatique La plus grande partie des infections est ralise aujourdhui par les rseaux. Rseau interne : une seule machine infecte transmet par le rseau le parasite lensemble des ordinateurs. Rseau Internet : la messagerie lectronique, que ce soit par un message au format HTML ou une pice jointe va permettre de diffuser le parasite en utilisant des adresses de destinataires contenues dans le carnet dadresses de lordinateur. La contamination sera dautant plus rapide que les utilisateurs utiliseront leur messagerie et rpondront des sollicitations dangereuses. Certains parasites nont pas besoin de la messagerie, ils se transmettent laide des messages dinformation que se transmettent les ordinateurs pour communiquer.

III Les dommages

Si certains parasites sont inoffensifs, dautres ont un comportement beaucoup plus nuisible et prjudiciable pour les donnes et parfois pour la machine elle-mme. Destruction de fichiers : elle peut tre partielle en sattaquant un type de fichiers (programme, document, image, son) ou totale lors dun formatage du support. Corruption de fichiers : lobjectif est de modifier la structure du fichier pour le rendre inutilisable :caractres parasites dans un document, son inaudible, images dgrades, programme inutilisable. Lorsquil sagit de donnes de gestion, le cot pour une organisation peut tre trs lev. Destruction matrielle : certains virus vont excuter des instructions rptition pour provoquer un chauffement qui dtruira un composant ou bien dtruire le programme qui gre les entres-sorties dinformation (BIOS) de la carte mre dun ordinateur. Lappareil est dtruit sans savoir sil sagit dune panne matrielle ou dun acte volontaire de destruction. Instabilit du systme : dautres virus rendent le systme instable par un blocage alatoire qui oblige redmarrer lordinateur. Dgradation des ressources du systme : le virus utilise les ressources de lordinateur (mmoire, disque dur) pour se rpliquer, il ralentit le systme jusquau blocage complet par saturation des disques ou de la mmoire. CERTA - janvier 2005 v1.0 Page 8/13

http://www.reseaucerta.org

Compromission des paramtres de scurit : il sagit dune action courante des chevaux de Troie qui installe des modules pour intercepter les frappes au clavier (KeyLogger) notamment les mots de passe et les envoyer vers une machine lextrieur du rseau. Blocage de la scurit : le virus sattaque aux programmes anti-virus ou pare-feu en les dsactivant pour les empcher de fonctionner.

IV - La prvention
La prvention passe par une protection du poste de travail. Elle forme un tout. Sil manque un lment, cest la scurit complte de lordinateur qui peut tre compromise. Lorsquun poste de travail appartient un rseau important cest le rle de ladministrateur rseau de garantir la scurit des machines et des donnes. Sur de petits rseaux (cas des PME ou des petites structures) ou sur un poste isol cest lutilisateur de prendre en charge cette protection. A La mise jour des programmes Comment connatre la version de son systme dexploitation ou dun logiciel ? La plupart des logiciels disposent sur la premire ligne de leur menu dun ? qui permet daccder laide. La dernire ligne de ce menu propose une rubrique propos , il suffit de cliquer sur cette ligne pour voir apparatre une bote de dialogue qui fournit des informations sur le logiciel utilis. Il sagit ici dun navigateur Internet Firefox dans sa version 1.0. Lors de la recherche dune mise jour sur Internet, on choisira dventuelles mises jour pour ce produit. Pour connatre la version du systme dexploitation, il faut ouvrir lexplorateur et cliquer sur ?

Beaucoup de programmes comportent des bogues ou des failles de scurit dont se servent les parasites pour se propager et infecter les ordinateurs. Les mises jour concernent aussi bien le systme dexploitation que les programmes applicatifs. 1. Le systme dexploitation On trouve sur les postes de travail 3 grandes familles de systme dexploitation. Deux systmes propritaires OS-Mac de la socit Apple, Windows de la socit Microsoft et une famille de systmes bass sur Linux. La course des produits toujours plus performants conduit les diteurs mettre sur le march de nouveaux systmes dexploitation ou de nouvelles versions insuffisamment tests. Trs rapidement des failles de scurit sont dcouvertes qui entranent la publication de correctifs. Lorsquune machine nest pas jour de ces correctifs elle devient une cible potentielle pour tout type dattaque. Il est donc impratif de mettre jour le systme dexploitation. Cette mise jour peut tre manuelle ou automatise (cf : ct labo protger son poste de travail). 2. Les logiciels applicatifs Les navigateurs Internet, les clients de messagerie et les logiciels mtiers comportent eux aussi des failles de scurit. Leur correction obit aux mmes principes que le systme dexploitation. http://www.reseaucerta.org CERTA - janvier 2005 v1.0 Page 9/13

B Les logiciels de protection Pour protger son poste, il importe de disposer de logiciels qui vont empcher toute action nuisible et ventuellement neutraliser un programme dangereux. Les principaux logiciels utiliss sont : 1. Lanti-virus a. Dfinition Programme qui empche les virus de contaminer un ordinateur. Il peut parfois, pas toujours, neutraliser un virus dj prsent. Le rle essentiel dun anti-virus est dinterdire larrive dun virus dans la machine. Si le virus a russi pntrer lintrieur du systme, laction de lanti-virus sera beaucoup moins efficace. Il faudra alors recourir un antidote que lon tlcharge sur le site dun diteur danti-virus ou sur des sites spcialiss dans la scurit. b. Efficacit Pour tre efficace un anti-virus doit tre prsent sur la machine avant toute source de contamination ; tre jour : base anti-virale et moteur de dtection ;

tre actif en permanence. c. Fonctionnement Ds quun virus tente de pntrer dans lordinateur, lanti-virus va, en fonction du type de danger : supprimer (nettoyer) la partie du code correspondant au virus dans le fichier infect, le fichier pourra alors tre normalement utilis. supprimer le fichier infect si celui-ci ne peut pas tre nettoy ou si lintgralit du code est nfaste;

mettre en quarantaine le fichier infect, cest--dire dplacer le fichier dans un emplacement contrl par lanti-virus pour lempcher de se dclencher. Ces actions peuvent tre automatises en fonction des rglages du logiciel. Il est donc prfrable de vrifier ds linstallation les paramtres par dfaut et dadapter les actions du logiciel en fonction de la politique de scurit que lon souhaite implanter sur lordinateur. Les logiciels sont trs souvent prudents dans leurs actions d. Technologie Les anti-virus utilisent diffrentes technologies pour rechercher les virus : La recherche de signatures. Le logiciel analyse les fichiers pour dtecter la prsence dun virus. Pour que cette mthode soit efficace il faut que la base des signatures soit rgulirement mise jour. Cette mthode ne permet pas de dtecter les virus qui utilisent une nouvelle signature, mais la rapidit (quelques heures) de raction entre la dcouverte dun nouveau virus et la mise jour de la base permet darrter la plupart des virus. La mthode heuristique : elle consiste chercher des instructions suspectes l'intrieur des fichiers en se basant sur des rgles gnrales de reconnaissance des virus. Cela permet de dtecter aussi bien des virus connus qu'inconnus, sans effectuer de frquentes mises jour. Toutefois, cette mthode gnre parfois de fausses alertes. L'utilisateur doit tre capable de faire la diffrence entre les vraies et les fausses alertes. Le contrle d'intgrit : lors de son installation, l'antivirus cre une base de donnes de tous les fichiers prsents sur la machine base sur la longueur des fichiers et dautres paramtres. Toute modification d'un fichier fera l'objet d'une alerte.

Les logiciels antivirus combinent ces mthodes pour proposer les produits aussi performants que possible.

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 10/13

2. Le pare-feu a. Dfinition Un pare-feu (firewall en anglais), est un logiciel permettant de protger un ordinateur des intrusions provenant dun rseau. b. Les attaques externes. Il doit protger aussi bien le poste des attaques provenant dInternet que celles provenant dun rseau interne. c. Les menaces des logiciels internes Le pare-feu doit empcher certains logiciels comme les chevaux de Troie dentrer en contact avec dautres ordinateurs situs dans un rseau local ou sur Internet et de leur fournir des informations prsentes sur lordinateur. Situation 5 On vient dinstaller sur votre poste un pare-feu et au moment de lancer votre logiciel client de messagerie les messages suivant apparaissent :

Le message prcise : Autorisez vous Outlook Express accder Internet ? 1. Que faut il rpondre ? 2. Que faut-il faire pour que la question ne soit pas pose chaque utilisation de ce logiciel ?

Le message prcise : Le pare-feu a bloqu laccs Internet au site www.greyc.unicaen.fr (192.93.101.89) (Port TCP 445) depuis votre ordinateur 1. Sagit-il dune attaque en provenance de lextrieur ou bien dun programme prsent sur le poste qui tente daccder une autre machine situe sur Internet ? 2. Que faut-il faire pour ne plus voir apparatre ce message tout en restant protg ?

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 11/13

IV - Dix mesures pour scuriser son poste de travail

A - Prvenir Il nexiste pas de systme informatique compltement scuris mais quelques mesures simples permettent dloigner le risque de perdre tout ou partie des donnes dont on a la responsabilit. En adoptant un comportement responsable, on vitera deux cueils : le laisser-faire et la paranoa. 1. Sauvegarder ses donnes. Cette premire mesure est une protection contre les parasites et les autres risques : pannes matrielles, vol, malveillance interne, accident, etc Pour tre efficace les sauvegardes doivent remplir plusieurs conditions : tre rgulires, le rythme est fonction de limportance des donnes et de leurs modifications. tre ralises sur un support fiable : bande magntique, disque dur externe, CD non rinscriptible. Les disquettes Zip et clefs USB sont considres plus comme un moyen de transport que comme un outils darchivage. Les CD rinscriptibles offrent moins de fiabilit que les gravures dfinitives. tre stockes dans un endroit diffrent de celui o est situ le poste de travail. 2. Installer et activer un pare-feu. Toute machine connecte au rseau Internet est susceptible de recevoir la visite dun pirate ou dun robot la recherche dune nouvelle victime. Si le systme dexploitation prsent sur la machine dispose dun pare-feu, on vrifiera quil est bien install et actif. Si le pare-feu prsent dorigine nest pas satisfaisant ou bien sil nen existe pas il faudra procder son installation. Il existe des solutions gratuites tlchargeables sur Internet (cf. Webographie), dautres sont intgres dans des solutions compltes de scurisation du poste : antivirus, pare-feu, sauvegardes. 3. Mettre jour son systme dexploitation et ses applications. La plupart des programmes comportent des failles de scurit ou des bogues et les parasites se servent de ces insuffisances pour se propager et dclencher laction pour laquelle ils sont conus. Les diteurs publient rgulirement des mises jour qui viennent corriger ces dfauts. Il est donc important dinstaller ces correctifs. Mise jour du systme dexploitation. Sur les systmes dexploitation rcents, celle-ci doit tre automatise lorsque le systme le permet. Sur les systmes plus anciens, cest lutilisateur de faire la dmarche qui simpose pour mettre jour son systme. Mise jour des logiciels applicatifs. La propagation des parasites seffectue le plus souvent lors de lutilisation du navigateur Internet, du client de messagerie ou de la messagerie instantane. Les mises jour peuvent tre couples avec le systme dexploitation lorsquil sagit du mme diteur ou bien ralises sparment sur le site Internet de lauteur du logiciel. Les logiciels les plus rcents comportent, comme le systme dexploitation, une procdure de mise jour automatise, il faut vrifier que cette possibilit est active. 4. Installer et activer un anti-virus. Aucun systme dexploitation ne comporte pour le moment danti-virus intgr. Plusieurs solutions sont envisageables : installer un anti-virus gratuit, installer une solution complte de protection propose par plusieurs diteurs, utiliser une solution de protection offerte par le fournisseur daccs Internet auquel on est abonn. Quelque soit la solution retenue, une fois le logiciel install, il faudra lancer une recherche anti-virale manuelle, rgler la frquence des recherches anti-virales et les actions entreprendre en cas dinfection. Enfin vrifier la priodicit des mises jour. 5. Installer et activer un anti-espiogiciels. La plupart des logiciels ne disposent pas dune protection contre les espiogiciels. Il est donc ncessaire de sen procurer un et de le paramtrer sur le mme principe que lanti-virus.

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 12/13

6. Filtrer le spam Les filtres anti-spam servent distinguer parmi les messages reus ceux qui comportent un expditeur connu et ceux qui polluent les botes aux lettres. Ils peuvent tre intgrs dans le client de messagerie (Outlook 2003, Mozilla Thunderbird) ou bien installs en plus du client de messagerie. Ils ncessitent souvent un apprentissage, laborieux au dbut, mais profitable sur le long terme. Toutes ces mesures visent protger le poste informatique des infections externes, mais le comportement de lutilisateur joue un rle non ngligeable pour prvenir les dsagrments lis aux parasites. B - Adopter un comportement sans risque Quelques mesures simples permettent un utilisateur dviter dtre une cible potentielle. 7. Ne pas diffuser inutilement son adresse sur Internet. Lorsquon reoit du spam, cest que ladresse que lon possde circule sur le rseau Internet. Des programmes malveillants parcourent en permanence les pages HTML visibles sur le Web la recherche dadresses de messagerie. Or une adresse peut apparatre sur une page Web diffrentes occasions : la signature dun article, une contribution dans un forum, la saisie dans un formulaire, un annuaire public. Ladresse peut tre vendue par un webmestre indlicat Votre adresse peut figurer dans le carnet dadresse dun correspondant, si celui-ci est infect par un virus ou un espiogiciel. Pour toutes ces raisons, il est prfrable dutiliser un compte de messagerie ddi aux activits exposes et conserver une autre adresse pour les changes professionnels ou personnels. Lorsque ladresse expose recevra trop de messages indsirables, il suffira de la supprimer et den crer une autre. On utilisera des adresses gratuites ou jetables afin de ne pas exposer son propre fournisseur daccs. 8. Ne pas rpondre un expditeur inconnu. Une bonne part des messages non dsirs provient dditeurs de logiciels, de constructeurs informatiques, dorganismes officiels, il sagit en ralit dadresses usurpes dont le vritable expditeur cherche contaminer une machine. Parfois il arrive que lexpditeur soit une personne connue dont ladresse est falsifie, le nom de lexpditeur est connu mais le fournisseur daccs Internet nest pas le bon. Il faut sintresser au contenu du message qui est trs souvent en complet dcalage avec la personne sense avoir expdi le message. Lorsquune pice jointe accompagne le message, il faut sassurer quelle est explicitement dclare dans le message et en rapport avec lactivit de lexpditeur. 9. Ne jamais transfrer un message tout son carnet dadresses Cette pratique encourage par le spam est proscrire absolument. Elle encombre la messagerie, elle divulgue chacun lintgralit de vos correspondants. Il est inutile denvoyer un correspondant amical ou familial, ces adresses professionnelles, le contraire est aussi vrai. Il est possible de transfrer certaines personnes un message reu si ce message prsente un intrt pour elles, mais il est bon de vrifier avant quil ne sagit pas dun canular. Une recherche sur des sites spcialiss comme www.hoaxbuster.com ou www.secuser.com/hoax, peut viter dtre pig et parfois de se rendre ridicule. 10. Rgler soigneusement son client de messagerie. Une matrise srieuse de son logiciel de messagerie permet de canaliser le flot des messages en croissance rgulire. Des rgles anti-spam permettent denvoyer dans un dossier rserv tous les messages filtrs, une observation rgulire de son contenu lve le doute sur certains messages. Lutilisation de rgles de filtrage sur lexpditeur, lobjet, le contenu permet de classer son courrier dans des dossiers prvus lavance, il ne reste plus que quelques messages dans la bote de rception sur lesquels il sera plus facile de prendre une dcision. Certains messages sont crits en HTML, ils sont plus attrayants mais potentiellement plus dangereux, on pourra rgler dans les options la lecture en texte brut afin dviter une contamination par un code malveillant.

http://www.reseaucerta.org

CERTA - janvier 2005 v1.0

Page 13/13