Menaces sur les utilisateurs à domicile (Home Users)
Date : 11 Juillet 2005
Cette année, un nombre croissant de systèmes personnels ont été compromis. Dans la plupart des cas, ces systèmes sont utilisés par des pirates pour lancer des attaques vers d’autres organisations. Les utilisateurs privés sont en principe les moins bien préparés pour se défendre contre ce type d’attaque. Ils ne maintiennent pas souvent à jour leur machine avec les derniers correctifs de sécurité, ne mettent pas à jour leur anti-virus, et ne font pas attention en ouvrant les pièces jointes qu’ils reçoivent par mail. Les pirates sachant cela, prennent pour cible les utilisateurs possédant des connexions permanentes (connexions par le câble ou ADSL).
Le CERT-CC a émis un avis dont nous nous sommes inspirés pour écrire cet article, dans lequel les dernières menaces à la mode sont recensées et les moyens de protection présentés. Vous pouvez trouver l'avis du CERT-Cc à l’adresse suivante : http://www.cert.org/advisories/CA-2001-20.html.
1ère Partie : Vers et outils de dénis de service :
Parmi les plus grandes menaces qui pèsent sur les utilisateurs personnels, se trouvent les vers et les outils de déni de service. Un ver est un programme destiné à causer des dégâts en s’étendant de système à système, sans intervention extérieure. Un outil de déni de service quant à lui cherchera à paralyser un système (ou un site) en le rendant inopérant.
Certains vers et outils de dénis de service distribués (DdoS) contiennent un outil de commande et de contrôle qui permet à un pirate de modifier dynamiquement le comportement du ver après qu’il ait infecté la machine de la victime. Dans certains cas, un attaquant peut lancer une simple commande sur toutes les machines infectées, sans connaître réellement quelles machines ont été infectées. Cette capacité à changer le comportement d’un ver rend le développement d’une solution de protection universelle plus difficile. Les utilisateurs à domicile sont très souvent la cible de ces vers. Il faut donc prendre les précautions nécessaires, corriger les dernières vulnérabilités et restaurer les machines compromises.
Les vers et outils de déni de service les plus rencontrés dernièrement sont décrits ci-après :
- Ver W32/Leaves :
Le ver W32/Leaves affecte les systèmes qui ont été compromis par le cheval de Troie SubSeven. Des rapports du CERT/CC mentionnent 23 000 machines infectées par ce ver. Il permet également à un intrus de prendre contrôle à distance du réseau des machines compromises
- Ver Code Red :
Le ver Code Red exploite une vulnérabilité du service d’indexation de Microsoft IIS. Les rapports de la vague d'infection du mois de juillet indiquaient déjà que près de 300 000 hôtes avaient déjà été affectés par ce ver.
- Ver Power :
Un ver, connu sous le nom de Power, compromet les machines sensibles à la vulnérabilité Unicode d’IIS. Il utilise les IRC (Internet Relay Chat) afin de coordonner les machines compromises pour lancer des attaques de dénis de service. Les rapports récents mentionnent plus de 10 000 machines touchées par ce ver.
· Outil d’attaque distribuée Knight :
Un outil d’attaque distribuée a été recensé sur environ 1 500 machines. Cet outil est un outil de déni de service et utilise également les canaux IRC. Il apparaît qu’il affecte essentiellement les machines compromises par le cheval de Troie BackOrifice. Jusqu’à présent, rien ne semble indiquer que cet outil soit un ver : il ne semble pas se propager de manière automatique.
2ème Partie : Mesures de prévention :
Il est possible de définir de manière synthétique les principes généraux de la sécurité, les technologies associées, les risques associés à l’utilisation de moyens informatiques personnels et les méthodes pour se protéger contre ces risques.
Pour se protéger contre les différentes attaques citées en première partie, des mesures simples de protection peuvent être efficaces :
1. Si vous travaillez depuis votre domicile, consultez votre entreprise pour obtenir la politique de sécurité.
- Utilisez et maintenez à jour votre système anti-virus :
Il est fortement recommandé d’utiliser un logiciel anti-virus. La plupart des produits anti-virus sont capables de détecter et donc d’avertir un utilisateur qu’un pirate tente d’installer un cheval de Troie ou qu’un cheval de Troie est déjà présent sur un système, et permettent également de se prémunir contre les virus / vers. Pour assurer l’efficacité dans le temps d’un anti-virus, il est primordial de le maintenir à jour avec les signatures des dernières attaques et virus connus, fournies par l’éditeur. De nombreux anti-virus permettent des mises à jour automatiques, qu’il est fortement recommandé d’utiliser.
- Mettez en place un garde-barrière :
Il est également recommandé d’utiliser un produit de type garde-barrière, comme un outil de filtrage réseau ou un logiciel personnel de type firewall, permettant de filtrer le trafic indésirable. Dans certains cas, ces outils permettent d’avertir un utilisateur que sa machine a été compromise. Ils permettent également d’empêcher des pirates d’accéder à des portes dérobées (backdoors) depuis Internet. On peut trouver des "garde-barrières personnels" sur le site suivant : http://www.zonealarm.com/ .
- N’ouvrez pas des attachements mail dont vous ne connaissez pas la provenance.
- N’exécutez pas de programmes dont vous ne connaissez pas l’origine.
- Désactivez le masquage des extensions de noms de fichiers (option activée par défaut sous Windows).
- Conservez système d’exploitation et applications à jour des derniers correctifs de sécurité.
- Eteignez votre ordinateur ou déconnectez-le du réseau lorsque vous ne l’utilisez pas.
- Désactivez (si possible) Java, Javascript et ActiveX.
- Désactivez les fonctionnalités de script de votre messagerie.
- Sauvegardez régulièrement vos données sensibles.
- Faites une disquette boot au cas où votre machine serait endommagée ou détruite.
3ème Partie : Comment faire face à une compromission :
Si ces mesures de prévention révèlent qu’une machine a déjà été compromise, des étapes plus strictes doivent être suivies pour la restaurer. Lorsqu’une machine est atteinte, tous les logiciels ont potentiellement pu être infectés, ce qui inclut le système d’exploitation, les applications, les données et la mémoire. De manière générale, la seule façon de s’assurer qu’un système qui a été compromis ne contient plus de backdoors est de réinstaller le système d’exploitation, à partir de sa version d'origine ou d'une copie de sauvegarde saine et d’appliquer tous les correctifs de sécurité du fournisseur avant de reconnecter la machine sur le réseau. Simplement identifier et résoudre la vulnérabilité qui a été utilisée pour compromettre la machine n’est pas suffisant.
Références :
- Très souvent, les vers comme ceux mentionnés dans cet article, reposent sur des chevaux de Troie (SubSeven, Netbus, Back Orifice, …) pour compromettre initialement la machine. Pour plus d’informations sur ces chevaux de Troie :
Cheval de Troie destiné aux utilisateurs d’AOL : https://wws.cert-ist.com/fast-cgi/Bulletin?Param=28&Profil=0&Langue=0 - TAG_IF_28_6
Chevaux de Troie dans un agent mail : https://wws.cert-ist.com/fast-cgi/Bulletin?Param=18&Profil=0&Langue=0#TAG_IF_18_5
Chevaux de Troie dans les utilitaires UNIX : https://wws.cert-ist.com/fast-cgi/Bulletin?Param=16&Profil=0&Langue=0#TAG_IF_16_3
Référence CERT/CC : http://www.cert.org/advisories/CA-1999-02.html
- Ces vers se répandent souvent en exploitant des vulnérabilités connues des systèmes. Pour plus d’informations :
Vers sous UNIX : https://wws.cert-ist.com/fast-cgi/Bulletin?Param=43&Profil=0&Langue=0#TAG_IF_43_2
Les vers VBS et les apprentis sorciers : https://wws.cert-ist.com/fast-cgi/Bulletin?Param=42&Profil=0&Langue=0#TAG_IF_42_3
Les vers attaquent : https://wws.cert-ist.com/fast-cgi/Bulletin?Param=32&Profil=0&Langue=0#TAG_IF_32_2
Travaux réalisés par le CERT/CC : http://www.cert.org/advisories/CA-2001-20.html
- Pour de plus amples informations sur la manière de protéger un système personnel : http://www.cert.org/tech_tips/home_networks.html