Catégories
Prestations Audits Formations

Mise à jour automatique des logiciels

La mise à jour automatique des logiciels permet de lutter contre les attaques. En effet, la réduction des risques contre les vulnérabilités nécessitent que les versions vulnérables des programmes soient enlevées de votre ordinateur.

Mise à jour automatique des logiciels
(image: Bartek Ambrozik)

Windows Update pour débuter

Avec Windows Update, Microsoft proposait la mise à jour automatique de leur système d’exploitation Windows. Ensuite, Microsoft a élargi son offre de mise à jour automatique aux autres produits avec Microsoft Update pour les particuliers et Windows Server Update Services (WSUS) pour les entreprises. Ces mises à jour automatisées visent principalement à améliorer la sécurité.

Toutefois, les attaques se concentrent de plus en plus sur les logiciels périphériques comme eux d’Adobe ou d’autres éditeurs dont les produits sont répandus, victimes de leurs succès.

Ces éditeurs proposent des mises à jour régulières de leurs produits mais comment s’assurer que c’est fait correctement pour toutes les applications tierces ?

La mise à jour automatique des logiciels

Afin d’améliorer sa protection il existe des logiciels qui permettent de vérifier, en une fois, que les applications tierces sont bien mises à jour vers les toutes dernières versions sécurisées.

Aussi, pour identifier les installations vulnérables, j’ai testé plusieurs logiciels gratuits comme CNET TechTracker de CBS Interactive, Software Updates Monitor (SUMO) de KC Software et Personal Software Inspector (PSI) de Secunia.

Ces logiciels commencent par faire une analyse (“scan”) des logiciels installés puis ensuite ils communiquent à leur serveur Web le résultat de l’analyse. Le serveur Web dispose d’un référentiel des dernières versions de logiciels. Il compare les versions installées sur votre ordinateur puis il renvoie l’information sur votre ordinateur qui affiche le résultat.

La mise à jour automatique des logiciels avec CNET TechTracker

Malgré plusieurs tentatives, CNET TechTracker a refusé de se connecter à leur serveur Web.

Devant les problèmes rencontrés avec CNET TechTracker, j’ai renoncé à l’évaluer.

La mise à jour automatique des logiciels avec SUMO

Passons au logiciel SUMO. Ce logiciel demande avec beaucoup d’insistance d’installer différents logiciels présentés comme leurs sponsors.

Malgré toutes mes dénégations attentives, il a installé un des logiciels en question. Du coup, j’ai arrêté l’évaluation.

La mise à jour automatique des logiciels avec PSI

Bien que le logiciel PSI propose aussi l’installation d’un logiciel sponsorisé, il n’a pas insisté devant mon refus. Il a réussi à communiquer avec son serveur Web après redémarrage.

Si PSI n’arrive pas à procéder à la mise à jour automatique (“Auto Updating”), il propose un lien direct vers la dernière version de chaque logiciel installé sur votre ordinateur.

Grâce à PSI, j’ai découvert que les versions installées d’Adobe Shockwave Player, VMware Player et PHP n’étaient pas à jour. Pour PHP, je pensais même l’avoir désinstallé. C’était bien le cas mais le logiciel phpDesigner procède à une installation silencieuse de PHP.

Autre avantage de PSI. En effet, il détecte tout seul l’installation, ou la désinstallation d’un logiciel.

Un test concluant en faveur de PSI.

Catégories
Prestations Audits Formations

Renforcer ma sécurité informatique

En matière de sécurité, la France se dote de plus en plus de moyens pertinents pour renforcer ma sécurité informatique. En particulier, les sites gouvernementaux se révèlent de précieux alliés pour lutter contre la cybercriminalité organisée. Ils aident aussi à lutter ou la divulgation non autorisée d’informations confidentielles.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) s’adresse au grand public mais aussi aux entreprises.

Renforcer ma sécurité informatique
Renforcer ma sécurité informatique

Renforcer ma sécurité informatique avec le site de l’ANSSI

Ce site riche propose des auto-formations. Les formations portent sur l’administration électronique, l’authentification, les certificats électroniques, etc.

Il propose aussi des fiches de vulgarisation sur de nombreuses questions liées à la sécurité. Il s’agit souvent de bonnes pratiques avec des informations parfois très précises.

Les sujets sont l’achat d’un nom de domaine, les antivirus, comment bien utiliser sa carte bancaire, le Bluetooth, etc.

Guides de configuration

En complément à ces bonnes pratiques, vous trouverez quelques guides de configuration de firewall, d’Ubuntu, Windows, du Wi-Fi.

Enfin, si vous partez en mission à l’étranger, vous trouverez des conseils pertinents et précieux sur les précautions à prendre.

Notamment, la réglementation de certains pays permet aux autorités de contrôler tous vos documents.

Le site de l’agence ANSSI se révèle aussi précieux :  “L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information”.

Il s’agit donc de se défendre et non d’attaquer.

Bonnes pratiques pour renforcer ma sécurité informatique

Dans la partie Bonnes pratiques, les thèmes abordés couvrent de nombreux aspects de la sécurité: comprendre et anticiper les attaques ddos, sécuriser l’administration des systèmes d’information, recommandations de sécurité concernant l’analyse des flux https, poste de travail, messagerie, médias amovibles, liaisons sans fil, copieurs ou imprimantes multifonctions, réseaux, applications WEB, etc.

Les Logiciels préconisés par l’ANSSI concernent: l’administration de la sécurité, le chiffrement IP, les infrastructures de Gestion de Clés (IGC), les Pare-feu, la protection du poste de travail, les ressources cryptographiques, les signatures électroniques et la gestion de la preuve, les titres d’identité électroniques, etc.

Enfin, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend aussi de l’ANSSI, alerte sur les vulnérabilités des systèmes d’information.

Compte tenu de la richesse des informations recueillies par le CERTA et l’ANSSI, le mieux est de s’abonner à leurs flux RSS.

Catégories
Prestations Audits Formations

Protéger mes informations personnelles

Certains sites web me demandent un mot de passe pour protéger mes informations personnelles. Il s’agit de sites financiers ou marchands, comptes emails, etc. Ce mot de passe est associé à un compte ou à une adresse email.

Le mot de passe est la clef de voûte de votre sécurité. C’est lui qui permet de protéger mes informations personnelles.

Si vous voulez augmenter la sécurité de vos mots de passe, vous trouverez ci-dessous les conseils sur ce qu’il ne faut pas faire et ce qu’il est préférable de faire.

Ce qu’il ne faut pas faire pour protéger mes informations personnelles

  • Connaître ses mots de passe ou choisir des mots de passe faciles à se rappeler,
  • Choisir le même mot de passe pour tous les sites,
  • Utiliser une série de mots de passe identiques,
  • Utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques,
  • Stocker ses mots de passe dans une feuille Excel protégée elle-même par un mot de passe.

Ce qu’il faut faire pour protéger mes informations personnelles

  • Ne pas connaître ses mots de passe : oui. Vous avez bien lu (cf. plus bas),
  • Avoir un mot de passe généré aléatoirement,
  • Générer aléatoirement un mot de passe à partir d’une combinaison de lettres MAJUSCULES, minuscules, de chiffres et de symboles (par exemple: % $ ! etc.),
  • Les caractères spéciaux doivent se trouver aussi au milieu du mot de passe et pas seulement au début ou à la fin du mot de passe,
  • Quand c’est possible, avoir un mot de passe d’au moins 28 caractères,
  • Avoir un mot de passe différent par site web,
  • Stocker tous ces mots de passe dans un gestionnaire de mots de passe. Le gestionnaire de mots de passe est une sorte de coffre-fort logiciel.

Outils gratuits pour protéger mes informations personnelles

Plus un mot de passe est long et plus il est difficile de s’en souvenir avec exactitude. Pourtant un mot de passe long est aussi plus difficile à percer. D’où son intérêt pour protéger mes informations personnelles.

Dans la pratique, les sites web acceptent rarement d’aussi long mots de passe. Notamment, ils limitent souvent à 20 caractères et parfois moins, la longueur des mots de passe.

Toutefois, vous avez tout intérêt à utiliser des mots de passe de 28 caractères minimum quand c’est possible. Attention de ne pas prendre trop à la lettre le fait d’avoir un mot de passe de 28 caractères. Une longueur de 27, 30, 31 ou 43 fait aussi l’affaire.

Enfin, les outils présentés ci-dessous vont vous permettre de mettre en application le principe d’avoir des mots de passe longs, complexes et aléatoires. Ils vous permettent même d’utiliser vos mots de passe sans jamais les connaître !

Gestionnaire de mots de passe

Un gestionnaire de mots de passe est un utilitaire de base de données de mots de passe. Les utilisateurs peuvent conserver leurs mots de passe cryptés sur leurs ordinateurs. Une seule combinaison du coffre les déverrouille tous.

Dans la vraie vie, il n’est pas possible de se rappeler tous les mots de passe: connexion au réseau Windows, comptes e-mail, etc.

En outre, vous devez utiliser un mot de passe différent pour chaque compte. Si vous utilisez un seul mot de passe sur tous les sites, ou sur une certaine catégorie de sites, il suffit qu’un cybercriminel vole le mot de passe sur un site peu protégé pour se connecter sur d’autres sites comme celui que vous utilisez pour gérer vos emails ou votre compte bancaire.

Stocker ses mots de passe dans un document Excel, ou Word, protégé lui-même n’est pas suffisant non plus pour protéger mes informations personnelles.

Bien que Microsoft ait largement renforcé la sécurité des documents dans les nouvelles versions (Office 2007 et surtout Office 2010 / 2014), ce n’est pas le cas des versions anciennes (2003 et avant) qui restent facilement “crackables”.

Les gestionnaires de mot de passe vous aident à gérer vos mots de passe de manière sécurisée et donc à protéger mes informations personnelles. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé maître et / ou un fichier clé et / ou votre compte Windows. Il suffit donc de se rappeler un mot de passe principal et / ou de sélectionner le fichier clé pour déverrouiller la base de données avec les mots de passe cryptés.

Quels sont les meilleurs outils ?

Ce classement est provisoire. Toutefois, selon nous, il s’agit des meilleurs outils pour protéger mes informations personnelles grâce à leur gestion des mots de passe.

KeePass Password Safe

Password Safe

L’avantage d’un gestionnaire de mot de passe est de pouvoir les générer automatiquement. Il est aussi possible de copier-coller le mot de passe, ainsi que l’identifiant du compte, l’URL et d’autres informations. De cette manière, vous n’êtes pas obligé de connaître votre mot de passe.

Démonstration avec KeePass

Protéger mes informations personnelles
Création du compte dans KeePass

Une entrée est créée dans Keepass pour stocker le mot de passe du compte email. Un mot de passe est généré automatiquement.

Génération automatique du mot de passe dans KeePass
Génération automatique du mot de passe dans KeePass

Un nouveau mot de passe peut être généré. Dans Keepass, la complexité est exprimée en bits. Plus le nombre de bits est grand, plus la complexité est importante. Par défaut, le mot de passe n’apparaît jamais.

Génération automatique du nouveau mot de passe
Génération automatique du nouveau mot de passe

Un nouveau mot de passe a été généré. Par défaut, il n’apparaît pas en clair. Pour connaître sa valeur il faut cliquer sur les 3 points en face de Password.

Copie du mot de passe sans le connaître
Copie du mot de passe sans le connaître

Grâce à un copier-coller, il est possible de copier le mot de passe sans le connaître.

Il est important de ne pas connaître le mot de passe, car il n’est pas rare d’entendre un utilisateur le dire, au moins partiellement, pendant qu’il le tape.

Il n’est pas toujours possible de coller un mot de passe. Certains site, comme par exemple PayPal à la création d’un compte, n’autorise pas la copie dans la zone de mot de passe. D’autres sites génèrent un clavier numérique aléatoire, comme par exemple le site de la Caisse d’épargne ou celui de Boursorama lors de l’accès à son compte.

Certains sites interdisent aussi l’utilisation de caractères spéciaux et même parfois des lettres accentuées (!). Toutefois, grâce aux paramètres et aux options des gestionnaires de mot de passe, il est possible de s’adapter à chaque exigence particulière des sites web.

Démonstration avec Password Safe

Password safe
Password safe

Une nouvelle entrée pour stocker un compte et son mot de passe a été créée dans Password Safe.

Modification de la stratégie de mot de passe dans Password Safe
Modification de la stratégie de mot de passe dans Password Safe

Il est possible de s’adapter à une stratégie de mot de passe propre à un site en jouant sur ces critères.

Vérification de la complexité des mots de passe

Les études qui portent sur l’analyse des mots de passe utilisés par les internautes révèlent l’utilisation intensive de mots du dictionnaire.

Ce qui est une erreur car les cybercriminels vont pouvoir faire des attaques sur les mots de passe en utilisant des dictionnaires gigantesques.

Outre les mots des dictionnaires usuels, ces dictionnaires contiennent aussi des noms propres, des noms figurés, des prénoms, des personnages de dessins animés, des jurons, etc.

Cela est vrai aussi pour les altérations de mots du dictionnaire:

  • mots au pluriel,
  • lettres inversées (totalement ou en partie),
  • rajout d’un ou plusieurs chiffres ou caractères spéciaux ($ % ! …) en début ou en fin de mot de passe,
  • abréviations habituelles (Sté pour Société, h pour heure, …),
  • conversions connues (€ pour e, @ pour a, 2 pour de, …).

Idem pour l’utilisation de mots d’une langue étrangère à la vôtre: les cybercriminels sont très ouverts au monde…

La complexité d’un mot de passe dépend de l’usage ou pas de mots du dictionnaire, mais aussi d’autres critères. Par exemple, l’utilisation des lettres adjacentes du clavier est connue aussi. Tout comme la répétition (aaaaaaa) ou la séquence (abcd, 1234, …).

Le mot de passe ne doit surtout pas utiliser des informations personnelles ou de vos proches ou même de vos animaux domestiques:

    • Prénom, surnom, …
    • Date de naissance, d’anniversaire, …
    • Numéro de sécurité sociale, de passeport, de permis, …
    • etc.

Cependant, tous les sites n’offrent pas la possibilité de vérifier la complexité des mots de passe. Les outils de vérification qui existent permettent d’étalonner la complexité mais ils ne garantissent pas la sécurité absolue.

Password Checker

L’outil Password Checker de Microsoft permet de tester la complexité d’un mot de passe en tenant compte de plusieurs critères: longueur globale du mot de passe, mélange de caractères aléatoires, existence du mot dans un dictionnaire, etc.

Si vous ne connaissez pas la réputation de l’éditeur du site web, soyez prudent aussi vis à vis des outils de vérification de mots de passe.

En effet, il serait facile pour des cybercriminels de se faire passer pour une honnête organisation en vous proposant de vérifier la solidité de votre mot de passe.

Notamment, une fois que vous aurez trouvé un mot de passe fort, il pourrait vous proposer un cadeau en échange d’un email et (pourquoi pas !) du nom de votre site web préféré. Restez attentif !

Algorithme de création de mots de passe

Pour les raisons qui viennent d’être évoquées, il ne faut pas utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques s’il faut protéger mes informations personnelles.

Notamment, le seul mot de passe à connaître par cœur est celui qui donne accès au gestionnaire de mots de passe.

Par ailleurs, les logiciels de chiffrement de données ou les gestionnaires de mots de passe vous offrent parfois la possibilité de chiffrer avec une photo. Vous n’avez donc pas besoin d’un mot de passe.

Cependant, il est préférable d’avoir un mot de passe en plus du fichier. Ce mot de passe doit avoir les caractéristiques suivantes:

  • Vous êtes le seul à le connaître,
  • Vous devez vous en rappeler ou le retrouver aisément,
  • Il doit être très difficile de le découvrir,
  • Il doit être très difficile de le déduire même en vous connaissant bien.

Pour vous aider, vous pouvez utiliser la technique décrite ci-dessous.

Si vous faites preuve de la prudence la plus élémentaire

Sélectionnez une phrase tirée d’un texte que vous connaissez par cœur: chanson, poésie, proverbe, autre. Par ailleurs, la phrase doit faire au moins une trentaine de caractères, espaces compris. De plus, ne prenez pas une phrase que vous répétez ou chantez souvent !

Par exemple: Pour le meilleur et pour le pire !

Si vous êtes conscient des dangers potentiels d’internet

Supprimez les espaces entre les mots :

Pourlemeilleuretpourlepire!

Si vous savez qu’il existe des cyber-criminels

Insérer après le second ou le troisième mot, un ou plusieurs chiffres.

Par exemple, ce chiffre peut représenter le nombre de mots que vous avez “sautés” ou le nombre de lettres précédentes :

Pourlemeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés

Les spécialistes du crackage du mot de passe savent que les utilisateurs les plus avertis ont l’habitude de mettre une majuscule en début d’un mot de passe et le caractère spécial ou le chiffre à la fin. Aussi, ne laissez pas la majuscule en début du mot de passe.

Notamment, déplacez la majuscule sur un des mots :

pourleMeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés et dotés de moyens importants

Ne laissez pas le caractère spécial en fin de mot de passe.

Notamment, déplacez le ailleurs :

pourleMeilleur3etpourle!pire

Enfin, quand vous aurez terminé, n’oubliez pas de vérifier la complexité de votre mot de passe ainsi créé avec Password Checker !

Un dernier conseil important. Surtout, n’utilisez surtout pas les mots de passe de cette page !

Catégories
Prestations Audits Formations

Sécurité informatique : Comprendre

Lorsqu’on évoque la sécurité informatique, la question “Qu’est-ce que la sécurité informatique ?” est régulièrement posée. Avant d’aller lire la définition sur Wikipedia, il peut être utile d’identifier les métiers ou activités que recouvrent ces termes.

Pour des définitions plus institutionnelles, vous pouvez vous reporter aux normes concernées (ISO 2700X, RGS, PCI-DSS, ISO 22301), ou les méthodes EBIOS, MEHARI ou le contenu des certifications (CISSP, ISO 2700X, CISA, CISM, GCIA, GSE, GREM, GXPN, etc.).

Sécurité informatique
(image : Flavio Takemoto)

5 Grandes familles aux frontières entremêlées

  • Tests d’intrusion / Audits de sécurité
  • Sécurité Systèmes et Réseaux
  • Sécurité Applicative / Lutte anti-malwares / Kernel
  • Gouvernance SSI / CERT
  • Analyses forensics

Afin de fixer les esprits, je donne des exemples de compétences demandées et parfois des outils. Il est évident que chaque mission est différente et que les compétences ou les outils dépendent du mandat qui est confié.

De manière générale, ces métiers réclament au minimum la connaissance des aspects théoriques de la sécurité informatique: architecture, protocoles, cryptographie, authentification, vulnérabilités.

Les familles ne sont pas complètes car il existe des ramifications spécialisées. Par exemple, tout le domaine de la cryptanalyse nécessite des compétences très poussées en mathématiques. Finalement, l’informatique n’est qu’un support de l’activité liée à la sécurité informatique.

Tests d’intrusion & Audits de sécurité informatique

La grande famille des tests d’intrusion consiste à chercher la vulnérabilité d’un système d’information du point de vue d’un attaquant qui voudrait s’infiltrer.

C’est un peu la base de la sécurité informatique.

Les cibles sont : les applications web (injections SQL, XSS/CSRF), les systèmes informatiques classiques (Linux, Aix, Windows), les nomades (Android, iOS, Windows Phone), les systèmes industriels et embarqués, le système d’information en général. Ils sont pratiqués par des accès internes et externes.

Les audits de configurations du système d’information nécessitent le même savoir-faire que des tests d’intrusion. Il s’agit d’audits techniques avec la réalisation de bilans de la sécurité informatique.

Les audits de code peuvent participer à une mission de tests intrusifs ou d’audits techniques. De même, il peut être nécessaire de développer du code spécifique pour démontrer la présence de vulnérabilités ou pour créer un script nécessaire à un audit. Les audits de code sont détaillés dans le paragraphe Sécurité Applicative.

Les compétences demandées sont la connaissance des techniques de tests d’intrusion comme OWASP ou OSSTMM, ainsi que celle des méthodologies d’audit.

Les compétences techniques sont Linux ou Linux embarqué, AIX, Microsoft Windows ou Microsoft Windows embarqué, les systèmes d’exploitation mobiles comme Android, iOS ou Microsoft Windows Phone, les systèmes d’exploitation temps réels, les protocoles réseau classiques (TCP/IP, routage, IPSec, VPN, HTTP, SMTP, LDAP, SSH, etc.), les protocoles IP spécifiques comme ModBus over Ethernet ou non IP comme les Bus CAN. Des connaissances supplémentaires peuvent être requises en électronique, etc.

Les outils les plus fréquents dans les systèmes informatiques classiques sont Wireshark, Nmap, Nexpose, BURP, Metasploit, Nessus et OpenVAS.

Un conseil: Suivez les DEF CON. Si vous n’êtes pas à l’aise avec l’anglais oral, activez les automatic captions de Youtube sur chaque vidéo.

Sécurité Informatique des Systèmes et Réseaux

Il s’agit de la surveillance du réseau et les connexions VPN, l’administration des firewalls, la mise à jour des règles de sécurité, la mise à jour des systèmes et des logiciels avec l’application des patchs de sécurité, la gestion pro-active des annuaires d’utilisateurs, la gestion des accès authentifiés et des droits associés.

L’administrateur assure aussi les sauvegardes et le contrôle des restaurations, le maintien en condition opérationnelle et les plans de continuité d’activité. Un travail permanent de rédaction des mises à jour des procédures d’urgence et de restauration est aussi attendu dans ce métier, ainsi qu’un rôle de support auprès des correspondants informatiques.

Les compétences requises dépendent de l’environnement. Il s’agit souvent de compétence en administration Linux, Microsoft Windows, VMWare, Microsoft Exchange, Microsoft SQL Server, Oracle et réseau.

L’administrateur assure la surveillance proactive des fichiers journaux des équipements de sécurité, des systèmes et des réseaux.

Cette activité d’analyste sécurité SOC nécessite des connaissances sur les réseaux (TCP/IP) ainsi que les activités réseaux liées aux attaques (scans, MITM, sniffing, DDoS) et les outils (Wireshark, Nmap), les systèmes IDS (Snort, Suricata), les techniques Security information and event management (SIEM).

Ce spécialiste doit développer ses propres outils à l’aide de scripts écrits en Python, Perl, PowerShell ou Ruby. Dans ce cas, la pratique des expressions régulières est indispensable.

Sécurité Applicative, Lutte anti-malwares, Kernel

C’est une très grande famille. C’est aussi l’activité la plus importante, dans tous les sens du terme.

Au départ, il s’agit de contrôler le niveau de sécurité des applications par des revues de code ou des audits de code. Les revues de code peuvent cibler des applications web, mobiles (Android, iOS, Windows Phone) ou classiques sur PC et Serveurs. Les tests d’intrusion peuvent aussi s’appuyer sur des vulnérabilités de code.

Ensuite, il est possible de se spécialiser dans l’analyse de code. Le rôle de l’analyste de code est d’analyser et traiter les nouveaux malwares, de créer des signatures et des algorithmes pour détecter puis nettoyer les codes malveillants.

Les connaissances sont relatives au reverse engineering: désassemblage et décompilation des programmes informatiques.

Les langages de programmation à connaître sont les langages d’assemblage (x86, ARM, POWERPC), le C / C++, Python, Perl, Ruby, Java. Selon sa spécialité, il peut aussi être nécessaire de connaître aussi les programmes sémantiques, la programmation fonctionnelle (OCaml) et l’analyse statique.

Une autre spécialité concerne l’analyse des dumps et des crashes avec des outils de debugging comme WinDBG, IDA ou SoftIce.

Il est aussi possible de se focaliser sur un seul système d’exploitation comme Windows par exemple. Les connaissances attendues concernent le fonctionnement du noyau Windows: ntoskrnl.exe, hal.dll, gestion des pilotes, des processus, des threads, de la mémoire, des LPC, des I/O, du cache, de l’ordonnancement sont une bonne base. De même que les connaissances des mécanismes d’interception (callbacks, hooks…), de boot (MBR) et de signatures numériques.

Les profils qui identifient les vulnérabilités 0-Days ont ce type de compétences très pointues.

Gouvernance SSI & CERT

La gouvernance de la sécurité informatique concerne essentiellement le conseil en sécurité des SI. Il s’agit d’un rôle d’analyse de risques et de définition de la politique de sécurité informatique.

Le rôle peut être parfois similaire à celui d’un CERT avec des objectifs de centralisation des demandes d’assistance. Ils réalisent le suivi d’exploitation et de gestion des incidents sur les actions du traitement.

Analyses forensics

L’objectif d’une analyse forensic, ou investigation numérique, est d’apporter une preuve numérique. C’est une activité qui est souvent reliée au monde judiciaire mais pas seulement. Les experts judiciaires en informatique procèdent à des analyses à “froid” ou à “chaud” d’ordinateurs et de smartphones.

Dans le cas d’un ordinateur, l’analyse à froid consiste à faire une copie parfaitement exacte des disques durs. Puis de travailler sur la copie afin de rechercher les informations demandées par votre mandataire.

Une analyse à chaud intervient alors que l’ordinateur est toujours actif.

Outils : Forensics Windows, Forensics IPads IPhones, Forensics Android.

Catégories
Prestations Audits Formations

Autorisations Project Server

Les autorisations Project Server est un sujet complexe. car il existe deux types d’autorisations qui se superposent. Dans Project Server, une autorisation est la possibilité d’effectuer une action spécifique au sein de Project Server.

Le calcul des autorisations est instantané. Il n’est pas nécessaire de fermer la session. Il suffit de rafraîchir la page de l’utilisateur pour qu’il voit l’application des nouvelles autorisations.

Types d’autorisations Project Server

Il existe 2 types d’autorisations dans Project Server.

  • Les autorisations globales
  • Les autorisations par catégorie
Autorisations Project Server
Gérer les groupes Project Server

Autorisations Project Server globales

Les autorisations Project Server globales accordent ou refusent aux utilisateurs et aux groupes la possibilité d’effectuer des actions sur tous les objets de Project Web Access (PWA).

Par ailleurs, il s’agit d’autorisations indépendantes des projets ou des ressources.

De plus, toutes les autorisations globales peuvent être attribuées aux utilisateurs ou à des groupes d’utilisateurs. Il est plus facile de les gérer lorsqu’elles sont attribuées à des groupes plutôt qu’à des utilisateurs individuels.

Notamment, dans le menu Project Web Access Permissions vous avez la liste des autorisations globales autorisées pour tout Project Server. Si vous décochez une autorisation de la colonne Enable (Permettre), vous refusez cette autorisation à tous les utilisateurs de la ferme Project Server, y compris l’administrateur Project Server.

Groupes

Les autorisations Project Server peuvent être accordées à un utilisateur ou à un groupe auquel appartient l’utilisateur. Un utilisateur peut appartenir à plusieurs groupes.

PWA propose des groupes par défaut. Toutefois, vous pouvez modifier les autorisations des groupes par défaut en fonction de vos besoins. Vous pouvez aussi créer autant de groupes que nécessaire.

La population d’un groupe Project Server peut se faire en sélectionnant les utilisateurs ou en synchronisant les membres du groupe à un groupe de l’annuaire Active Directory. La mise à jour du groupe Active Directory sera appliquée automatiquement au groupe correspondant dans Project Server.

Autorisations Project Server par catégorie

Les autorisations Project Server par catégorie accordent ou refusent aux utilisateurs et aux groupes la possibilité d’effectuer des actions sur des projets, des ressources et des affichages spécifiques.

Une catégorie est un ensemble de projets, ressources et affichages.

Ce type d’autorisation introduit une gestion dynamique des autorisations, car l’autorisation accordée ou refusée s’appliquera à l’utilisateur en fonction de son rôle à l’intérieur du projet.

Vous pouvez assigner des autorisations Project Server différentes à des utilisateurs différentes, sur n’importe quel projet, grâce aux catégories.

PWA propose des catégories par défaut. Toutefois, vous pouvez créer autant de catégories que nécessaire.

Vous pouvez sélectionner les catégories qui seront accessibles à vos utilisateurs.

Il est préférable de faire l’association avec des groupes d’utilisateurs plutôt que des individus pour pouvoir les gérer plus facilement. L’association par défaut entre groupes et catégories est présentée dans le tableau de la page Default categories in Project Server.

A l’intérieur d’une même catégorie, deux groupes peuvent avoir des autorisations différentes.

Les autorisations Project Server accordées à un groupe, à l’intérieur d’une catégorie, peuvent se manipuler à partir de la catégorie ou à partir du groupe. Toutefois, il est plus pratique de manipuler les autorisations par catégorie à partir de la page catégorie.

Projets concernés

Vous avez deux possibilités pour définir sur quels projets les autorisations par catégorie s’appliquent:

  • soit tous les projets
  • soit des projets précis

Les autorisations Project Server par catégorie ne s’appliquent au projet que s’il répond à des critères supplémentaires.

Par exemple, si vous êtes membre d’un projet, vous aurez les droits en question. En revanche, si vous n’êtes pas membre du projet, vous n’aurez aucun droit sur le projet, même si l’autorisation de la catégorie vous donne des droits.

Ressources concernées

C’est à peu près identique aux projets. Vous avez deux possibilités pour définir sur quelles ressources les autorisations par catégorie s’appliquent:

  • soit toutes les ressources
  • soit des personnes précises

Les autorisations Project Server par catégorie ne s’appliquent à la ressource que si elle répond à des critères supplémentaires: Est-ce que la ressource est membre d’un projet de l’utilisateur ? Est-ce que la ressource est un descendant de l’utilisateur via Resource Breakdown Structure (RBS) ? etc.

Par ailleurs, le RBS est une structure de sécurité hiérarchique qui est généralement basée sur la structure de l’organisation. Vous devez utiliser le RBS pour attribuer dynamiquement des autorisations.

Modèles de sécurité des autorisations Project Server

Les modèles de sécurité des autorisations Project Server définissent les autorisations par défaut.

Notamment, il existe un modèle de sécurité pour chaque groupe de sécurité par défaut de Project Server.

Par ailleurs, vous pouvez utiliser un modèle de sécurité pour appliquer les droits correspondants à un groupe que vous avez créé.

Vous pouvez créer autant de nouveaux modèles de sécurité que vous en avez besoin. En revanche, vous ne devez pas modifier les modèles de sécurité par défaut. Vous pourrez ainsi retrouver les paramètres de ces modèles.

Règles de fonctionnement des autorisations

Si vous désactivez une autorisation Project Server au niveau de PWA, aucun utilisateur ne pourra bénéficier de l’autorisation.

De plus, les autorisations sont cumulatives. Project Server calcule les autorisations d’un utilisateur en cumulant les autorisations accordées dans tous les groupes et catégories auxquels appartient l’utilisateur.

Enfin, un droit refusé “l’emporte” toujours sur des droits accordés.

Catégories
Prestations Audits Formations

Identité Numérique : Comprendre

Dans cet article, vous allez découvrir le rôle et l’intérêt de ce qu’on appelle Identité Numérique. Vous verrez aussi comment les sites web collectent de nombreuses informations sur vous sans que vous le sachiez toujours.

Par exemple, au rythme où va le web, il sera bientôt possible de connaître sur vous :

  • nom complet
  • adresse et numéro de téléphone
  • âge
  • parents
  • voisins
  • revenus moyens
  • valeur moyenne de votre maison

Il ne s’agit pas de science-fiction. C’est déjà la réalité aux Etats-Unis.

Identité Numérique
(image: Michal Zacharzewski, SXC)

Identité Numérique et Intelius.com

Outre les informations ci-dessus, le site américain intelius.com donne aussi des informations sur les condamnations, les poursuites judiciaires, le mariage ou le divorce d’une personne contre 50 $.

Toutes ces informations permettent d’avoir une meilleure vision de votre Identité Numérique.

Bien sûr, la réglementation des Etats-Unis est différente de celle de la France ou de l’Europe. C’est justement pour cette raison qu’il sera difficile d’interdire à un site web implanté à l’étranger de chercher à collecter des informations sur des ressortissants Européens même si la RGPD cherche à le faire.

Les informations accessibles sur votre identité numérique deviennent de plus en plus nombreuses.

L’identité numérique comprend toutes les informations que vous laissez dans votre profil lors d’une inscription sur un site web, de vos contributions sur les forums ou les blogs et de vos traces lors de visites de sites web.

Vos informations du domaine public alimentent aussi l’identité numérique.

Outils de recherche

A titre d’exemples, il existe actuellement des moteurs de recherches dédiés à la recherche de personnes et donc à l’identité numérique, dont :

  • jeterecherche.com
  • pagesjaunes.fr
  • search.yahoo.com

Des moteurs spécialisés peuvent compléter l’information sur une personne morale ou un site web :

  • annuaire.com
  • societe.com

Les informations des sites de réseaux sociaux ou des sites de partage de photos peuvent être partagées avec la famille et les amis. Toutefois des données vous concernant peuvent être fournies à votre insu. Ces sites des réseaux sociaux permettent aussi de compléter l’information qui est détenue sur vous :

  • Facebook
  • Twitter
  • Linkedin

A partir d’un numéro de téléphone fixe, il est maintenant possible de connaître votre localisation géographique (géolocalisation), même si l’abonné est sur liste rouge. Selon les cas, vous pouvez obtenir la ville ou le quartier d’habitation de cette personne grâce à son numéro de téléphone fixe :

  • infobel.com
  • recherche-inverse.com
  • annuaire-inverse-france.com
  • pagesjaunes.fr/annuaireinverse

Même si cela n’a pas de rapport direct, notez aussi qu’il est possible de laisser directement un message sur le répondeur d’un téléphone portable :

  • repondeurdirect.com

Comment effacer ses données personnelles sur le web ?

En premier lieu, vous devez effacer les données qui viennent alimenter ces sites. Autrement dit, vous devez effacer les informations qui se trouvent à la source. La procédure est décrite en détail dans l’article Comment Effacer ses Informations Personnelles sur le Web.

En France, il existe aussi la possibilité de s’adresse à la CNIL.

En particulier, si vous avez demandé sans succès la suppression de vos données d’un site internet, ou à ne plus recevoir de publicités, ou encore à accéder ou faire rectifier des informations vous concernant.Dans ce cas, vous pouvez déposer une plainte auprès d’eux. La CNIL interviendra auprès du responsable du site que vous lui avez désigné. Si nécessaire, elle pourra faire usage de ses pouvoirs de contrôle et de sanction pour faire respecter vos droits.

J’ai déposé plainte auprès de la CNIL à deux reprises, en suivant scrupuleusement leur procédure. Je n’ai eu aucun retour de leur part. Il a donc fallu procéder comme expliqué dans l’article Comment Effacer ses Informations Personnelles sur le Web. Cette dernière procédure s’est révélée plus efficace.

Catégories
Prestations Audits Formations

Retrouver mon mot de passe Access

Dans cet article, vous allez découvrir comment vous pouvez retrouver le mot de passe Access. En effet, vous pouvez protéger une base de données Access grâce à un mot de passe.

Pour comprendre la situation, il faut remonter 10 ans plus tôt. A cette époque, j’avais développé un petit exécutable qui se connectait à une base de données Microsoft® Access 2000 pour afficher son contenu.

Aujourd’hui, je souhaite récupérer la structure de ma base et son contenu. Le code source de l’exécutable est introuvable: il ne reste plus que la base (BASE.MDB) ainsi qu’un autre fichier (COMPTES.MDW). Lorsque je tente de lire BASE.MDB avec Access, celui-ci me demande un mot de passe Access que j’ai oublié depuis belle lurette.

mot de passe Access
(image : Sufi Nawaz)

Sécurité Access à partir d’Access 95

Du coup, je n’ai plus accès à mon propre travail. En effet, à partir d’Access 95, Microsoft a implémenté une protection facultative des bases de données par mot de passe. Access 2.0 ne dispose pas de ce mécanisme de sûreté.

Si vous avez activé le mot de passe Access de la base de données, une boîte de dialogue apparaît à chaque fois que vous ouvrez la base de données. Le mot de passe Access de base de données est le même pour tous les utilisateurs. Il n’est donc pas lié à un utilisateur ou à un compte. Pour cette raison, certains l’appellent parfois “le mot de passe partagé”.

Comme le mot de passe Access de base de données est stocké dans la base de données, il est arrivé qu’en cas de corruption de la base, Access considère qu’elle est protégée par un mot de passe. Dans ce cas, il est parfois possible de récupérer une base de données Access corrompu.

Récupérer le mot de passe Access de la base de données

Le logiciel Access Password Pro, qui récupère les mots de passe perdus pour les bases de données Microsoft Access ainsi que les mots de passe des utilisateurs, me révèle instantanément le mot de passe Access d’accès à la base de données (“Aa123456“).

Maintenant que j’ai le mot de passe Access d’accès à la base de données, il reste le plus dur. En effet, il existe un mécanisme supplémentaire de protection des données dans Microsoft Access: les mots de passe utilisateurs. Cette protection est aussi facultative.

Sécurité Access jusqu’à Access 2003

Toutes les versions d’Access, jusqu’à la version Access 2003 incluse, prennent en charge les mots de passe utilisateurs. Si vous avez activé ce système de sécurité, les utilisateurs doivent s’authentifier par un compte et un mot de passe Access lors de la connexion à Microsoft Access.

Sur un même objet (une table, etc.), deux utilisateurs distincts peuvent avoir des permissions différentes. Les autorisations peuvent être accordées soit à des utilisateurs, soit à des groupes internes d’Access.

Toutes ces informations de sécurité sont stockées dans une base de données système spécial. Celle-ci peut être partagée entre les différentes bases de données et des applications. En principe, cette base de données système est dans un fichier avec une extension .mda dans Access 2.0 et. mdw pour les autres versions. Toutefois, l’extension .mda est ambiguë car elle correspond aussi à des Add-ins d’Access, qui sont écrits en Microsoft® Visual Basic® for Applications (VBA).

Access 2000

Dans le cas d’Access 2000, cette base de données système à une extension .mdw.

Cette base contient toutes les informations liées au contexte de sécurité:

  • les noms des groupes avec leur mot de passe Access,
  • les noms des comptes utilisateurs avec leur mot de passe Access,
  • les appartenances des utilisateurs aux groupes,
  • les SID (identifiant unique) des groupes,
  • les SID (identifiant unique) des utilisateurs.

Puisqu’elle contient les informations nécessaires pour récupérer le contexte de sécurité des utilisateurs et des groupes, elle est cruciale pour accéder aux données. Si elle est perdue ou corrompue, vous serez incapable de modifier ou d’afficher vos données, même si vous avez le mot de passe Access d’accès à la base de données.

En effet, si vous avez le mot de passe Access d’accès à la base de données, mais que vous n’avez plus le fichier .mdw, vous obtiendrez des messages d’erreurs lorsque vous essayerez d’ouvrir une table: “Impossible de lire les définitions. Aucune autorisation de lecture des définitions pour la table ou la requête”, ou quand vous voudrez exporter les données: “Vous n’avez pas l’autorisation de copier. Pour copier cet objet, vous devez avoir l’autorisation d’accès Lire la structure. Si l’objet est une table, vous devez aussi avoir l’autorisation Lire les données”.

Dans Fichier > Utilisateurs et autorisations > Autorisations d’accès, vous serez avec l’utilisateur en cours: Administrateur (par exemple). En cliquant sur l’onglet Changer le propriétaire, tous les objets auront comme propriétaire actuel: <Inconnu>. C’est normal. Et bien évidemment, quand vous essayerez de changer de propriétaire, vous obtiendrez le message d’erreur: “Vous n’avez pas l’autorisation de changer le propriétaire. Pour changer le propriétaire d’un objet de base de données, vous devez avoir l’autorisation d’administrer celui-ci.”. C’est agaçant, hein ?

Sécurité Access à partir d’Access 2007

Access 2007, 2010 et 2013 ne disposent plus du mot de passe par utilisateurs. Malgré cette absence, la récupération des mots de passe d’Access 2007 est une opération beaucoup plus difficile que dans les versions antérieures. Elle nécessite souvent l’utilisation d’attaques par dictionnaire ou par force brute. Avec Access 2013, c’est pire encore car la protection de mot de passe Access a été encore plus renforcée, comme dans toute la suite Office 2013. Le mot de passe Access est très difficile à briser et la récupération de mot de passe Access 2013 est une tâche coûteuse.

En l’absence du fichier .mdw, vous pouvez chercher à recréer une nouvelle base de données système .mdw. Pour cela, il existe un utilitaire (WRKGADM.EXE) qui permet de le faire. Sinon, il faut passer par le menu d’Access 2000 ou 2003: Outils > Sécurité > Commande de menu de groupe de travail d’administrateur pour créer la nouvelle base de données système. Mais, pour être efficace, ce procédé suppose que vous connaissiez le nom des comptes réellement utilisés, ainsi que leur mot de passe Access.

Bien évidemment, j’avais enlevé tous les droits au compte Administrateur dans ma base Access, car ce compte étant archi-connu, il est attaquable. En 2000, j’avais créé des nouveaux comptes (“Venus”, “Pluton”, etc.) et j’avais attribué des droits aux différentes planètes sur mes tables Access (“Venus” était administrateur de la base). Mais aujourd’hui, impossible de me rappeler leurs noms et leur mot de passe Access.

Récupérer le mot de passe Access de l’utilisateur

Heureusement, l’autre fichier encore présent est le fameux .mdw. Il s’intitule COMPTES.MDW. Il a fallu utiliser une autre option d’Access Password Pro pour récupérer quasi-instantanément toutes les informations du contexte de sécurité (les noms des comptes, des groupes, les mots de passe, etc.) contenues dans le fichier COMPTES.MDW. Le mot de passe Access du compte Venus était “Zz999999” (enfin presque…).

C’est presque terminé. Maintenant, il faut fournir toutes ces informations à Access pour qu’il ouvre le fichier BASE.MDB avec le bon fichier .mdw (COMPTES.MDW). L’ouverture de la base s’est faite avec la commande:

“C:\Program Files (x86)\Microsoft Office\Office14\MSACCESS.EXE” BASE.MDB /Wrkgrp COMPTES.MDW /user Venus /pwd Zz999999 puis la saisie du mot de passe Access de la base de données (“Aa123456”) dans la pop-up qui est apparu.

Avec ces informations, Microsoft® Access 2000 m’a laissé à nouveau administrer pleinement la base.

Ultime conseil lié à la sécurité: convertissez vos bases de données Access en Microsoft Access 2013, c’est encore mieux.

Catégories
Prestations Audits Formations

Se protéger des ransomwares

Le chantage au cryptage de disque dur revient en force ces derniers jours avec TeslaCrypt et CryptoLocker, qui appartiennent à la famille des ransomwares. Aussi, cet article explique comment se protéger des ransomwares et comment s’en débarrasser.

Ce n’est pas nouveau mais ça fait toujours autant mal.

Se protéger des ransomwares
(image: Bartek Ambrozik)

Principe des ransomwares

Avant de voir comment se protéger des ransomwares, il est essentiel de comprendre son fonctionnement.

Un ransomware, ou rançongiciel en français, est un malware qui chiffre certains de vos fichiers en utilisant des clefs secrètes. Le chiffrement signifie évidemment que le contenu des fichiers n’est plus compréhensible.

De plus, le chiffrement concerne certains fichiers du disque dur (documents word, excel, images, etc.), ainsi que ceux des partages réseaux.

Le ransomware s’installe généralement grâce à une pièce jointe infectée d’un message électronique. Il suffit qu’un seul de vos utilisateurs clique sur la pièce jointe pour que le ransomware se déclenche et infecte votre réseau.

Demande de rançon

Lorsque le ransomware a fini de chiffrer vos fichiers, il affiche un écran qui vous invite à payer une rançon entre 100 $ et 1000 $ (voire plus) afin de déchiffrer les fichiers.

L’écran affiche aussi une minuterie indiquant que vous avez 2 ou 3 jours pour payer la rançon. Si vous ne payez pas avant ce délai, soit votre clé de déchiffrement sera supprimée et vous n’aurez plus aucun moyen pour déchiffrer vos fichiers, soit le montant de la rançon augmente.

Généralement, vous devrez payer la rançon à l’aide de bitcoins ou dans une autre crypto-monnaie. Cette méthode de paiement ne permet pas de retrouver facilement l’identité de l’encaisseur du paiement.

Une fois que vous avez envoyé le paiement, le programme doit déchiffrer les fichiers qu’il a chiffrés.

Cependant attention ! Vous n’avez aucune certitude de recevoir la clé de déchiffrement. C’est la raison pour laquelle, vous ne devriez jamais payer.

Par ailleurs, à ce jour, compte-tenu du chiffrage fort et de l’implémentation, il n’existe pas de solutions efficaces pour déchiffrer les fichiers chiffrés à l’aide d’un logiciel du commerce sans la clé de déchiffrement.

Enfin, les ransonwares s’attaquent à toutes les entreprises, de toutes tailles et de toutes natures, ainsi qu’aux particuliers. Personne n’est à l’abri.

Se protéger des ransomwares

La première démarche à faire pour se protéger des ransomwares est de disposer d’un antivirus à jour.  Il existe des antivirus gratuits et des antivirus payants.

Un antivirus payant coûte souvent moins de 60 € / an et par utilisateur. Il peut même coûter beaucoup moins cher.

Si vous avez un antivirus, vous réduisez fortement les risques d’avoir un ransomware sur votre réseau. Toutefois, vous ne pouvez pas garantir que vous n’en aurez jamais.

Une autre mesure à prendre pour se protéger des ransomwares est de rappeler à vos utilisateurs de ne jamais ouvrir une pièce jointe qui provient d’un expéditeur inconnu. Il faut même leur apprendre à se méfier des pièces jointes inhabituelles mises par un expéditeur connu.

Enfin, si vous voulez vous protéger des ransomwares, pensez aussi à faire des sauvegardes régulières. L’absence de sauvegardes nuit gravement à la santé de votre système d’informations.

Pour se débarrasser du ransomware

Afin de revenir à une situation saine, vous devez suivre la procédure suivante :

  1. Supprimer le malware
  2. Repartir d’une sauvegarde
  3. Utiliser un point de restauration

Bien évidemment, vous pouvez être dans une situation plus complexe que celle qui est décrite ici. Dans ce cas, vous pouvez faire appel à nos services pour vous aider.

Notez que vous pouvez récupérer vos données d’une sauvegarde manuelle, ou d’un cliché instantané si la restauration du système est active. La restauration à partir d’un cliché instantané est simplifiée grâce à des outils gratuits comme ShadowExplorer.

Pour connaître la liste des fichiers chiffrés par le malware, vous pouvez utiliser http://download.bleepingcomputer.com/grinler/ListCrilock.exe. Pour en savoir plus, consultez l’article CryptoLocker Ransomware Information Guide and FAQ.

Lorsque vous faites des sauvegardes, pensez à les échelonner. En effet, vous devez faire des sauvegardes quotidiennes, hebdomadaires, mensuels (fin de mois), annuels (fin d’année).

Idéalement, triplez-les : les disques durs externes sont de moins en moins chers.

Comment se prémunir d’un ransomware comme CryptoLocker

CryptoLocker est un programme qui est apparu en septembre.

Ce malware se propage sous forme d’une pièce jointe au format Zip attaché à un email. Le fichier Zip contient un exécutable avec l’icône PDF pour faire croire à un fichier Acrobat PDF.

Si vous avez le moindre doute avec une pièce jointe, passez-la au crible de VirusTotal. Même si vous ne pouvez pas compter sur les seuls résultats de VirusTotal, cela permet d’avoir un filtre supplémentaire.

L’outil, gratuit pour les particuliers, CryptoPrevent vous aidera à éviter de vous faire contaminer.

En effet, cet outil interdit l’exécution de CryptoLocker à partir de ses emplacements préférés. Son éditeur Foolish IT propose aussi un service payant facultatif de mise à jour automatique de CryptoPrevent.

Les entreprises peuvent s’appuyer aussi sur Cryptolocker Prevention Kit pour protéger leurs domaines.

Liens utiles pour lutter contre les ransomwares

https://www.avast.com/fr-fr/c-ransomware

https://fr.malwarebytes.com/ransomware/

https://fr.norton.com/internetsecurity-malware-ransomware-5-dos-and-donts.html

https://www.kaspersky.fr/resource-center/threats/ransomware-threats-an-in-depth-guide

https://www.bitdefender.fr/tech-assist/self-help/removing-police-themed-ransomware-malware.html

https://www.cnetfrance.fr/produits/guide-protection-fichiers-ransomware-39836850.htm

https://www.ssi.gouv.fr/actualite/alerte-campagne-de-rancongiciel/

https://www.ssi.gouv.fr/actualite/ne-soyez-plus-otage-des-rancongiciels/

Catégories
Prestations Audits Formations

Qu’est-ce que Microsoft Attack Surface Analyzer ?

L’outil gratuit Attack Surface Analyzer de Microsoft vise à identifier les éventuelles failles de sécurité introduites par l’installation d’une nouvelle application sur un ordinateur Windows.

Les équipes internes de Microsoft utilisent Attack Surface Analyzer pour identifier les modifications faites à Windows lors de l’installation de nouveaux logiciels.

Il prend cliché de l’état du système Windows avant et après l’installation des produits. Ensuite, il affiche les modifications qui ont été faites sur Windows.

Vous pouvez le télécharger.

Attack Surface Analyzer
Attack Surface Analyzer

Attack Surface Analyzer procède à une analyse avant installation

Une fois installée, Microsoft Attack Surface Analyzer vous demande de procéder à une première analyse de votre PC avant l’installation de la nouvelle application, afin de capturer votre configuration actuelle.

L’analyse est faite par défaut avec l’option Run new scan.

Elle permet notamment de servir de base de référence pour la suite. Elle produit un fichier Baseline Cab qui contient des fichiers XML.

Ces fichiers XML énumèrent:

    • les assemblies du GAC,
    • les fichiers du PC,
    • les clefs de registre,
    • la configuration du parefeu Windows,
    • les partages réseaux,
    • les sessions d’ouverture,
    • les ports réseaux,
    • les canaux nommés (“named pipes”),
    • les tâches en auto-exécution (“autorun”),
    • les terminaisons RPC (“endpoints”),
    • les services,
    • les processus en cours d’exécution,
    • les threads,
    • les handles,
    • la configuration de IIS.

Les fichiers XML récupèrent aussi:

    • les SID des services,
    • les journaux d’événements de sécurité,
    • les pages mémoires exécutables,
    • le vidage du démarrage système.

Installation de la nouvelle application

Lorsque l’analyse initiale est terminée, vous installez votre nouvelle application. Par ailleurs, si l’installation de la nouvelle application nécessite un redémarrage, vous devrez redémarrer avant de lancer la nouvelle analyse.

Aussi, une fois la nouvelle application installée et, éventuellement le PC redémarré, une nouvelle analyse doit être lancée avec l’option Run new scan.

Elle produit un fichier Product Cab qui contient aussi les fichiers XML.

Génération du rapport de Attack Surface Analyzer

Lorsque les deux analyses précédentes sont terminées, le rapport doit être généré grâce à l’option Generate standard attack surface report.

Enfin, Microsoft Attack Surface Analyzer compare la Baseline Cab avec le Product Cab et il génère un rapport sous forme d’un fichier au format HTML.

Ce rapport est en 3 parties:

    • Résumé du rapport,
    • Problèmes de sécurité,
    • Surface d’attaque.

Résumé du rapport

Le résumé du rapport présente le détail des fichiers manipulés, ainsi que des informations générales sur l’ordinateur analysé.

Problèmes de sécurité

Jusqu’à maintenant, j’ai rencontré essentiellement des problèmes de sécurité liés aux ACL, ou à la désactivation du paramétrage NX (lire aussi nx-support-requirement-guide-windows-8), mais il existe bien sûr d’autres cas liés à l’architecture: Services, COM, DCOM, etc.

Par ailleurs, le bouton Explain renvoie vers l’aide qui est explicite.

Bien que ce produit s’adresse à des informaticiens, Microsoft a fait un excellent travail pédagogique en explicitant les notions rencontrées.

Notamment, pour ceux qui en veulent “plus”, l’aide contient de nombreux liens vers des ressources complémentaires.

Surface d’attaques

Dans la pratique, cette partie est un peu plus “touchy”.

En situation réelle, elle nécessite un travail personnel d’investigation non négligeable car il faut vérifier des dizaines, voire des centaines de lignes.

Certaines vérifications sont rapides (paramètres Internet Explorer, par exemple), d’autres nécessitent des vérifications approfondies (Kernel, processes, ACL, etc.).

Catégories
Prestations Audits Formations

Lutter contre les spams

Il serait émis 200 milliard de spams chaque jour, soit 95% du volume d’emails échangé quotidiennement. Il est donc impératif de lutter contre les spams, ces courriels indésirables.

Le spam ou pourriel en français n’est pas seulement une nuisance. Un spam peut être parfois une menace potentielle : arnaque, fausse loterie, renvoie vers un site piégé pour une tentative de phishing (hameçonnage) ou de propagation de virus.

Dans cet article, les méthodes conventionnelles de lutte contre les courriers électroniques indésirables sont détaillées. En effet, l’objectif est de ne plus recevoir de mail indésirable. Vous verrez donc comment ne plus recevoir de mail indésirable.

Imaginez que vous recevez des emails non sollicités (spam) du site web www.monbosite.com, ou bien vous souhaitez simplement mettre fin à votre relation avec eux.

Passons en revue les différentes possibilités que vous avez à votre disposition pour réagir.

Etape 1 : Répondre à un email non sollicité

Pour arrêter de recevoir des emails indésirables d’un site web, vous pouvez être tenté de répondre en demandant d’être désabonné.

S’il s’agit réellement d’un spam, c’est une très mauvaise idée : ne répondez pas ! Car en faisant ainsi vous confirmez explicitement la validité de votre adresse email. Le spammeur en sera ravi.

Ce n’est pas une méthode efficace pour lutter contre les spams.

Il est préférable d’aller directement à l’étape 4, voire à l’étape 5.

S’il s’agit simplement de mettre fin à l’envoi d’un email d’une liste de diffusion à laquelle vous vous étiez abonné et si l’expéditeur est sérieux et honnête, il doit y avoir un lien de désabonnement dans l’email. Si c’est le cas, allez à l’étape 2.

En l’absence de lien de désabonnement, formulez votre requête en étant court, anonyme et poli.

  • Une simple phrase comme Prière de me désinscrire de votre liste d’abonné. Merci suffit,
  • N’indiquez pas votre nom, ni vos coordonnées : peu importe que le site possède ou non ces informations,
  • Dans le cas où vous possédez plusieurs adresses emails, répondez avec la bonne adresse email.

Etape 2 : Utiliser le lien de désabonnement pour lutter contre les spams

C’est une méthode qui est généralement efficace pour lutter contre les spams, si vous connaissez déjà l’émetteur du courriel.

Ce lien se trouve souvent tout en bas, ou parfois en haut de l’email. Dans tous les cas, c’est écrit en tout petit caractères:

Lutter contre les spams
Lien de désabonnement dans un email

Le lien de désabonnement n’est à utiliser que s’il s’agit d’emails venant de sites que vous connaissez et fréquentez: ne cliquez jamais sur un lien qui se trouve dans un spam.

De manière générale, abstenez-vous de cliquer sur un lien d’un email, si vous avez le moindre doute.

Si vous cliquez sur le lien de désabonnement d’un email dans lequel vous avez confiance, prenez soin de bien lire le message qui s’affiche, car certains messages de désinscription sont tendancieux !

Dans tous les cas, vous ne devez pas donner plus que votre adresse email: pas de nom, ni de coordonnées, ni rien d’autres.

Les liens de désabonnements les mieux conçus ne demandent rien. Un code, contenu dans le lien, identifie automatiquement votre adresse email.

Confirmation de la désinscription d'une liste d'abonnés.
Confirmation de la désinscription d’une liste d’abonnés

Toutefois, certains liens de désabonnement ne fonctionnent pas. Dans ce cas, vous avez intérêt à utiliser l’email abuse@domaine qui est expliqué dans l’étape 3.

Etape 3 : Ecrire à l’adresse email abuse@domaine

Si le lien de désabonnement n’existe pas, ou semble ne pas fonctionner, ou si vous ne voulez pas l’utiliser, il vous reste encore la possibilité d’écrire à l’adresse email abuse@domaine, où “domaine” est le vrai nom de domaine du site qui émet l’email.

Cette adresse email particulière vous permet de signaler au propriétaire du site concerné que vous êtes victime d’un acte abusif ou malveillant de la part de son site web. Vous n’êtes même pas obligé de connaître une autre adresse email pour entrer en contact avec le site en question.

Si, par exemple, vous recevez un email abusif du site www.monbosite.com; vous pouvez leur envoyer un email à l’adresse abuse@monbosite.com pour le leur signaler.

Bien évident, ce n’est pas si simple car le propriétaire peut n’avoir pas mis en œuvre une adresse abuse@monbosite.com pour son domaine, ou il peut être négligent et ne pas traiter de manière régulière les messages reçus à l’adresse abuse@monbosite.com.

Pour ces raisons, il faut aussi envoyer un double de son email à l’hébergeur de www.monbosite.com.

Cette méthode n’est pas donc forcément la plus efficace pour lutter contre les spams.

Etape 4 : Ecrire à l’adresse email abuse@domaine de l’hébergeur du site abusif

Le principe est le même que celui décrit dans l’étape 3. La seule différence c’est que vous écrivez à l’hébergeur pour lui signaler les abus d’un site qu’il héberge.

L’hébergeur a les moyens d’agir sur le propriétaire du site pour que cesse les envois abusifs d’emails, s’ils sont avérés. L’hébergeur peut notamment “couper” le site web.

Le risque juridique de résilier l’hébergement est important pour l’hébergeur. Aussi, il y a de fortes chances que celui-ci instruise votre demande avec sérieux. Si votre demande est isolée, elle a peu de chances d’aboutir. En revanche, si votre demande vient s’ajouter à de nombreuses autres plaintes contre le propriétaire, celui-ci devra prendre les mesures pour que cesse les envois abusifs.

Le cas le moins favorable est la situation où l’hébergeur et le propriétaire du site sont une seule et unique personne, ou bien ils appartiennent tous les deux à la même organisation motivée par des objectifs crapuleux, politiques ou religieux.

Pour trouver l’hébergeur d’un site web, vous pouvez utiliser les outils suivants.

http://www.whoishostingthis.com (site WhoIsHostingThis, très simple)

https://uptime.netcraft.com/ (site Netcraft, riche en informations)

Une fois que vous aurez trouvé l’hébergeur, vous pouvez le contacter à son adresse email abuse@domaine.

En cas d’échec, il est possible de s’adresser à des organismes officiels de lutte contre le spam, qui peuvent prendre le relais de vos demandes.

Etape 5 : Organismes de lutte contre les spams

A titre d’exemples, vous trouverez des réalisations faites en matière de lutte anti-spam, dans quelques pays francophones.

Les sites officiels de lutte contre les spams offrent la possibilité de dénoncer plus ou moins rapidement un abus.

Signal Spam est association, soutenue par les pouvoirs publiques français, pour lutter contre les spams.

https://www.signal-spam.fr

S’équiper d’un logiciel anti-spam ?

Lorsqu’un email vous parvient, il a généralement subi plusieurs contrôles pour vérifier que ce n’est pas un spam. Le logiciel qui vous permet de lire vos emails comme Outlook dispose aussi d’une protection contre les spams.

Ces filtres sont de plus en plus efficaces, en particulier dans les dernières versions. C’est donc une méthode efficace pour Lutter contre les spams.

A ce propos: plutôt que de supprimer directement un spam, utilisez la fonction intégrée de votre logiciel antispam pour indiquer que ce message est un spam. Les filtres fonctionneront encore mieux.

Par ailleurs, vous pouvez installer un logiciel antispam connu et réputé. Il en existe beaucoup sur le marché.

Antispam basé sur un système de validation

C’est un système où l’expéditeur d’un email doit prouver qu’il n’est pas un spammer.

Généralement, l’expéditeur reçoit la première fois un message lui demandant de cliquer sur un lien de contrôle ou de saisir un code Captcha.

Si l’opération se déroule correctement, l’antispam considère l’adresse email de l’expéditeur comme fiable. Les fois suivantes, il pourra envoyer directement un email au destinataire. L’antispam ne l’interrogera plus.

Bien que ce système soit efficace pour stopper les spams, il présente des inconvénients. Par exemple, l’expéditeur doit être attentif. Notamment, il va recevoir un email qui lui demande une action.

Par ailleurs, certains systèmes ne valident l’adresse d’un expéditeur que pour un destinataire donné. Dans le cas d’une organisation, cela suppose que l’antispam renouvelle l’identification pour chaque nouveau destinataire. Ce qui peut être source d’erreurs.

Catégories
Prestations Audits Formations

Supprimer en profondeur les virus

Dans cet article, vous découvrirez comment supprimer en profondeur les virus et malwares. Si vous voulez plus d’explications, consultez l’article Comment désinfecter un pc windows des virus et des malwares: procédure simple.

Comment supprimer en profondeur les virus et malwares
(image: Bartek Ambrozik)

Pour supprimer en profondeur les virus d’un ordinateur

Tout d’abord, débranchez l’ordinateur infecté du réseau, wifi, etc.

Ensuite, téléchargez les logiciels mentionnés ci-dessous sur une clef USB.

Puis, téléchargez la dernière version des logiciels gratuits RKill, TDSSKiller, et téléchargez la dernière version gratuite de CCleaner et Malwarebytes et Microsoft Safety Scanner.

Ensuite, téléchargez la dernière version gratuite de AVAST ou AVG ou Ad-Aware de Lavasoft ou Glary Utilities, et téléchargez la dernière version gratuite de Vipre Rescue et Spybot – Search & Destroy (dans la liste des miroirs, choisissez un des miroirs: Ad-free download at Safer-Networking Ltd) et SUPERAntiSpyware.

Éventuellement, téléchargez DriveImage XML (pour la copie de fichiers).

Démarrer en mode sans échec (safe boot)

L’une des meilleures façons de supprimer en profondeur les virus et malwares est de démarrer votre ordinateur en mode sans échec (ou safe boot en anglais). Dans ce mode, votre ordinateur ne démarrera qu’avec un minimum de programme, ce qui limite le nombre de logiciels malveillants actifs.

Malgré tout, certains malwares savent fonctionner en mode sans échec comme CryptoLocker.

Pour démarrer en mode sans échec, éteignez votre ordinateur puis appuyez sur F8 lorsque l’ordinateur commence à démarrer. Lorsque l’écran de démarrage apparaît, utilisez la flèche vers le bas pour sélectionner le mode sans échec.

Pour Windows 7, vous pouvez aussi utiliser cette technique qui est plus simple d’usage et qui revient au même. Elle fonctionne sur tous les PC.

Lorsque vous reviendrez en mode normal, il faudra à nouveau lancer msconfig, comme indiqué, et décocher l’option précédemment cochée.

Pour passer en mode sans échec sur Windows 10, suivez cette procédure qui est simple et efficace : Démarrer votre ordinateur en mode sans échec dans Windows 10.

A partir de maintenant, vous travaillez en mode sans échec.

Sauvegarder vos fichiers

Avant de supprimer en profondeur les virus et malwares, sauvegardez vos fichiers de données (documents, photos, vidéos, etc.) sur un disque neuf.

Un disque SSD va vous coûter assez cher et la taille sera limitée.

Achetez de préférence un disque dur de grande capacité, comme par exemple un disque dur externe d’1 To.

Ensuite, pour la copie, vous pouvez utiliser par exemple Robocopy qui est fournit avec Windows.

Le logiciel DriveImage XML Backup Software fait aussi très bien l’affaire, mais il nécessite un téléchargement supplémentaire. Il permet d’obtenir des images d’un disque ou d’une partition et il existe en version “live”. Il est gratuit pour une utilisation privée.

Recopiez aussi le contenu de votre clef USB qui contient les anti-virus sur par exemple C:\AV.

Exécuter les programmes en mode sans échec

Maintenant, exécutez RKill en mode sans échec. RKill est un programme de BleepingComputer.com qui tente de mettre fin aux processus malveillants connus afin que les logiciels de sécurité s’exécutent et nettoient votre ordinateur des infections.

Lorsque RKill a terminé de nettoyer l’ordinateur, il affiche un fichier journal qui montre les processus qui ont été supprimés durant son exécution.

Ensuite, exécutez CCleaner en mode sans échec

Cochez toutes les cases, sauf Nettoyer l’espace libre de l’onglet Windows, pour nettoyer tous les fichiers non-indispensables; cela vous fera gagner un temps précieux lors des analyses suivantes.

Nettoyez aussi la base de registre en prenant les précautions suivantes. Avant de modifier la base de registre faites une sauvegarde de la base de registre avec le programme regedit.exe. De plus, quand l’outil CCleaner vous le demande enregistrez impérativement les modifications comme cela est proposé.

C’est à refaire jusqu’à ce qu’il ne trouve plus rien.

Attention : le nettoyage de la base de registre est une opération très sensible car cela touche des données vitales de Windows. Si cette opération est mal contrôlée, vous risquez d’être obligé de réinstaller Windows et vos programmes.

Puis exécutez TDSSKiller en mode sans échec. TDSSKiller supprime les rootkits qu’il trouve. Un rootkit intercepte les API Windows pour cacher sa présence. Il peut aussi cacher la présence de processus, dossiers, fichiers et clés de registre.

Exécuter les antivirus en mode sans échec

Maintenant, exécutez Malwarebytes en mode sans échec. Lors de l’installation, désactivez la case à cocher ‘Activer l’essai gratuit de Malwarebytes Anti-Malware PRO’ (sur le bouton Terminer).

Demandez de faire un examen complet.

A la fin du scan, après suppression des virus éventuels, vous devez quitter le mode sans échec pour redémarrer en mode normal.

Pour démarrer en mode normal, éteignez votre ordinateur puis appuyez sur F8 lorsque l’ordinateur commence à démarrer. Lorsque l’écran de démarrage apparaît, utilisez la flèche vers le bas pour sélectionner le mode normal.

Exécuter les antivirus en mode normal

A partir de maintenant, vous travaillez en mode normal.

Donc, exécutez Microsoft Safety Scanner en mode Normal.

Les virus ne se laissent pas attraper par un seul anti-virus, il est donc impératif d’en exécuter plusieurs. C’est le prix à payer pour supprimer en profondeur les virus.

Puis, exécutez la dernière version gratuite d’un autre antivirus (au choix). Lors de l’exécution de l’anti-virus de votre choix, demandez de faire un examen complet. Il faut parfois chercher dans les options.

En cas de virus / malwares, privilégiez l’option de mise en quarantaine (ou la correction automatique lorsqu’elle est proposée).

Je ne vous conseille pas la suppression. En effet, dans certains cas cela peut conduire au blocage (freeze) du système d’exploitation. Pour s’en sortir, il faut souvent rebasculer en mode sans échec.

Choix d’antivirus gratuits

AVAST: http://www.avast.com/index

Sur l’écran d’installation, décochez Yes, install the free Google Toolbar along with avast! et choisissez Custom installation.

Choisissez Scan puis Scan minutieux et cliquez sur Démarrer.

AVG: http://free.avg.com/fr-fr/homepage

Sur l’écran d’installation, choisissez Installation personnalisée (avancé) et décochez toutes les cases en-dessous.

Décochez aussi les add-ons (Free Smileys, etc.).

Lorsque la question sera posée, choisissez Anti-virus Free (et non Internet Security Version d’évaluation).

Choisissez l’installation personnalisée: décochez Utiliser AVG Nation toolbar.

Ad-Aware de Lavasoft: http://www.fr.lavasoft.com/products/ad_aware.php.

Glary Utilities: http://www.glarysoft.com/.

Autres antivirus gratuits à exécuter

Maintenant, exécutez Vipre Rescue.

Ensuite, exécutez Spybot – Search & Destroy.

Puis exécutez SUPERAntiSpyware.

Enfin,  faites un scan en ligne avec ESET Online Scanner : http://www.eset.com/us/online-scanner

Si tu vous avez un doute sur un fichier, contrôlez-le avec VirusTotal : https://www.virustotal.com/

En particulier, les pièces jointes des emails. Même si vous ne pouvez pas compter sur les seuls résultats de VirusTotal, cela permet d’avoir un filtre supplémentaire.

Mise à jour de Windows

Pour supprimer en profondeur les virus, il reste à disposer d’un système Windows mis à jour.

Aussi, activez Windows Update et lancez toutes les mises à jour rapides ou de sécurité.

Il faut recommencer tant qu’il n’y a plus de mises à jour rapides ou de sécurité à faire.

Ensuite, désinstallez tous les antivirus sauf celui de votre choix.

L’exécution simultanée de plusieurs antivirus dégrade les performances de votre ordinateur. Les antivirus s’analysent mutuellement et cette activité ralentit l’ordinateur.

Il suffit de garder un des antivirus gratuit et de désinstaller tous les autres.

Pour la suite

Pour résoudre des cas précis, allez sur le site http://www.bleepingcomputer.com/virus-removal/, qui contient d’autres méthodes utiles dans des cas particuliers.

Catégories
Prestations Audits Formations

Désinfecter un ordinateur des virus

Dans cet article, vous allez voir des manipulations pratiques pour désinfecter un ordinateur des virus et des malwares. Vous trouverez aussi les liens pour télécharger les antivirus et antimalwares.

désinfecter un ordinateur des virus et des malwares
(image: Bartek Ambrozik)

Aujourd’hui les virus ou les malwares sont silencieux et discrets. Leurs objectifs est de rester le plus longtemps possible sur votre PC afin d’exploiter vos informations. Le but des virus / malwares est de tirer profit de tout: comptes bancaires, comptes de jeu, numéro de cartes bancaires, informations personnelles (nom, date de naissance, adresse, etc.) et vol d’identité.

L’objectif des virus et malwares

Tout ça se vend et rapporte de l’argent. Vous trouverez ci-dessous une procédure simplifiée pour désinfecter votre pc ou pour vous assurer de l’absence de malwares. Malgré la présence d’un antivirus à jour, un logiciel malveillant peut s’installer sur votre ordinateur.

Tout d’abord, prévoyez une bonne connexion à internet et du temps. Les opérations sont séquentielles et elles sont longues. Ne faites pas l’économie d’une étape, d’autant que cette procédure est déjà raccourcie. La procédure complète comprend d’autres étapes, un peu plus complexe techniquement. Elle est utilisée en cas d’infections avérées, graves ou lourdes.

Je vous conseille de faire d’abord tous les téléchargements avant de commencer. L’idéal est de les faire sur une clef USB mais ce n’est pas indispensable pour cette procédure.

Ultime précision: Même si c’est hautement souhaitable, vous n’êtes pas obligé de tout faire. Plus vous avancerez dans les étapes, plus vous réduirez les risques.

Procédure pour désinfecter un ordinateur des virus et des malwares

Débranchez l’ordinateur infecté du réseau, wifi, etc.

Téléchargez, installez et exécutez la dernière version gratuite de CCleaner: http://www.piriform.com/ccleaner/download/standard

Cochez toutes les cases, sauf Nettoyer l’espace libre de l’onglet Windows, pour nettoyer tous les fichiers non-indispensables; cela vous fera gagner un temps précieux lors des analyses suivantes.

Téléchargez, installez et exécutez la dernière version gratuite de Malwarebytes : http://fr.malwarebytes.org/mwb-download

Lors de l’installation, désactivez la case à cocher ‘Activer l’essai gratuit de Malwarebytes Anti-Malware PRO’ (sur le bouton Terminer).

Téléchargez, installez et exécutez la dernière version de Microsoft Safety Scanner: http://www.microsoft.com/security/scanner/fr-fr/default.aspx

Il est impératif de solliciter plusieurs antivirus

Pour désinfecter un ordinateur des virus et des malwares, il faut exécuter plusieurs antivirus car aucun n’est parfait.

Aussi, téléchargez, installez et exécutez la dernière version gratuite d’un autre antivirus (au choix).

Lors de l’exécution de l’anti-virus de votre choix, demandez à faire un examen complet. Il faut parfois chercher dans les options.

En cas de virus / malwares, privilégiez l’option de mise en quarantaine (ou la correction automatique lorsqu’elle est proposée).

Je ne vous conseille pas la suppression. En effet, dans certains cas cela peut conduire au blocage (freeze) du système d’exploitation.

Mode sans échec

Parfois pour désinfecter un ordinateur des virus et des malwares, vous devez basculer en mode sans échec.

Le basculement en mode sans échec (safe boot) est expliqué dans la procédure complète pour supprimer les virus / malwares.

Autres antivirus à appliquer

L’objectif est d’être réellement efficace pour désinfecter un ordinateur des virus et des malwares. Aussi, vous devez installer des antivirus supplémentaires jusqu’à l’éradication complète du virus ou du malware.

AVAST: http://www.avast.com/index

Sur l’écran d’installation, décochez Yes, install the free Google Toolbar along with avast! et choisissez Custom installation.

Choisissez aussi Scan puis Scan minutieux et cliquez sur Démarrer.

AVG: http://free.avg.com/fr-fr/homepage

Sur l’écran d’installation, choisissez Installation personnalisée (avancé) et décochez toutes les cases en-dessous.

Décochez aussi les add-ons (Free Smileys, etc.).

Lorsque la question sera posée, choisissez Anti-virus Free (et non Internet Security Version d’évaluation).

Choisissez l’installation personnalisée: décochez Utiliser AVG Nation toolbar.

Ad-Aware de Lavasoft: http://www.fr.lavasoft.com/products/ad_aware.php.

Glary Utilities: http://www.glarysoft.com/.

Encore un petit effort

En effet, certains antivirus sont efficaces sur certaines souches de virus, tandis que d’autres sont efficaces sur d’autres souches. Aussi, pour désinfecter un ordinateur des virus et des malwares, efficacement il faut poursuivre en variant les outils.

Aussi, téléchargez, installez et exécutez la dernière version gratuite de Vipre Rescue: http://www.vipreantivirus.com/live/

Puis, téléchargez, installez et exécutez la dernière version gratuite de Spybot – Search & Destroy: http://www.safer-networking.org/dl/

Dans la liste des miroirs, choisissez un des miroirs: Ad-free download at Safer-Networking Ltd

Ensuite, téléchargez, installez et exécutez la dernière version gratuite de SUPERAntiSpyware: http://superantispyware.com/

Puis, faites un scan en ligne avec ESET Online Scanner: http://www.eset.com/us/online-scanner

Enfin, si vous avez un doute sur un fichier, contrôlez-le avec VirusTotal: https://www.virustotal.com/

En particulier, les pièces jointes des emails. Même si vous ne pouvez pas compter sur les seuls résultats de VirusTotal, cela permet d’avoir un filtre supplémentaire.

Par ailleurs, activez Windows Update et lancez toutes les mises à jour rapides ou de sécurité.

Ensuite, vous devez recommencer tant qu’il n’y a plus de mises à jour rapides ou de sécurité à faire.

Nettoyage

Ensuite, désinstallez tous les antivirus sauf celui de votre choix

En effet, l’exécution simultanée de plusieurs anti-virus dégrade les performances de votre ordinateur. Les anti-virus s’analysent mutuellement et cette activité ralentit l’ordinateur.

Il suffit de garder un des antivirus gratuit et de désinstaller tous les autres.

Après avoir désinfecter un ordinateur des virus et des malwares

Pour résoudre des cas précis, allez sur le site http://www.bleepingcomputer.com/virus-removal/ qui regorge d’autres conseils précis.

En l’absence de problèmes particuliers, cette procédure peut être exécutée entièrement sur une base régulière: 1 fois / an au moins.

Si vous pensez que votre PC est infecté, appliquez la procédure complète décrite dans l’article Comment désinfecter un pc windows des virus et des malwares : procédure complète.

Catégories
Prestations Audits Formations

Donner des autorisations dans SharePoint

Les autorisations SharePoint sont un sujet vaste, où il est aisé de s’y perdre. En plus des aspects sécuritaires, l’enjeu de la sécurité des accès dans SharePoint est son administrabilité à long terme.

En effet, mettre en place des droits et des permissions dans SharePoint est simple et même rapide. Notamment, la difficulté vient avec le temps : évolution des sites (contenu, structure), mutation du personnel, changement de fonctions, etc.

Cette difficulté s’accroît aussi avec, globalement, la taille de l’entreprise et le nombre de documents à gérer, la dispersion géographique du personnel, le nombre d’utilisateurs, les fonctionnalités activées et l’usage.

Autorisations SharePoint
Héritage des autorisations SharePoint rompu

Il n’est pas rare qu’un audit de sécurité révèle des brèches importantes. Celles-ci sont souvent dues à une méconnaissance du fonctionnement des mécanismes de sécurité dans SharePoint et notamment du fonctionnement des autorisations SharePoint.

Administrateurs de la ferme

Lors de l’installation, SharePoint Server crée au niveau de l’administration centrale le groupe SharePoint Administrateurs de la batterie (“Farm Administrators”).

Ce groupe a un contrôle total sur les serveurs de la ferme. Il sert à l’administration technique de SharePoint : Gérer les serveurs, Gérer les services, Gérer les fonctionnalités des batteries de serveurs, Gérer les applications Web, Créer des collections de sites, Gérer les applications de service, Gérer les bases de données de contenu, Sauvegarder / restaurer, Analyser le fonctionnement, etc.

Par défaut, les membres de ce groupe n’ont pas accès aux collections de sites. Autrement dit, un administrateur de la ferme peut créer une collection de sites mais il ne peut pas la gérer, à moins qu’il se soit désigné comme administrateur de la collection de sites.

Microsoft a donc bien distingué l’administration technique de l’administration fonctionnelle.

Impacts sur l’administrateur de la collection de sites

Même si l’administrateur de la ferme n’est pas administrateur de la collection de sites, il peut décider des niveaux d’autorisations administrables par l’administrateur de la collection de sites. En particulier, l’administrateur de la ferme peut restreindre la liste des autorisations SharePoint de l’application web qui porte les collections de sites.

Ainsi, seuls un nombre restreint d’autorisations seront accordés aux utilisateurs des collections de site de l’application web. Comme ces restrictions s’appliquent aussi aux administrateurs de la collection de sites, il est plus efficace que le compte d’administration de la ferme soit différent du compte d’administration de la collection de site.

Par exemple, l’administrateur de la ferme peut désactiver l’autorisation de supprimer des éléments. Dans ce cas, l’administrateur de la collection de sites et les utilisateurs ne pourront plus supprimer un élément d’une liste ou d’une bibliothèque. En revanche, ils pourront toujours à ajouter ou modifier les éléments sous réserve de disposer des droits ad’hoc.

En fonction de la zone de provenance d’un utilisateur (“intranet”, “internet”, etc.), l’administrateur de la ferme peut lui attribuer des autorisations différentes grâce à une stratégie de sécurité sur l’application web. La stratégie de sécurité concerne les demandes effectuées à travers la zone spécifiée.

Par exemple, si Alice se connecte en interne (zone “par défaut”), elle dispose d’un accès de collaborateur. Par contre, si elle se connecte via Internet, elle ne dispose plus que d’un accès en lecture seule.

Les permissions issues d’une stratégie de sécurité l’emportent toujours sur les autres autorisations SharePoint.

Administrateurs de la collection de sites

Lors de la création d’une collection de site, l’administrateur de la ferme doit obligatoirement désigner au moins un administrateur de la collection.

Bien qu’au moment de créer une collection de sites, l’interface de l’Administration centrale de SharePoint ne propose la saisie que de deux administrateurs de la collection (“principal”, “secondaire”), il sera possible par la suite d’en rajouter d’autres.

De plus, il n’existe pas de différences entre un administrateur Principal et Secondaire. Il s’agit d’une simple aide pédagogique.

L’administrateur d’une collection de sites dispose du contrôle total sur tous les sites web de la collection de sites. L’inverse n’est pas vrai, si vous disposez du contrôle total “uniquement”, cela ne fait pas de vous un administrateur de la collection de sites.

Limitations des droits

Dans ce cas, vous ne pourrez pas :

  • modifier les administrateurs de la collection de site,
  • avoir accès aux paramètres de la collection de sites: Paramètres de recherche, Étendues de recherche, Mots clés de recherche, Mots clés FAST Search, Promotion et rétrogradation du site FAST Search, Contexte utilisateur FAST Search, Corbeille, Fonctionnalités de la collection de sites, Hiérarchie des sites, Navigation dans la collection de sites, Paramètres d’audit des collections de sites, Rapports du journal d’audit, Connexion au site portail, Stratégies de collections de sites, Profils de cache de la collection de sites, Cache d’objets de la collection de sites, Cache de sortie de la collection de sites, Publication de type de contenu, Variantes, Étiquettes de variante, Colonnes à traduire, Journaux de variante, Emplacements de navigateur de contenu suggérés, Paramètres de SharePoint Designer, Mise à niveau visuelle, Paramètres de l’aide,
  • avoir accès à certains paramètres de site: Flux de travail, Paramètres d’étendue des liens connexes, Contenu et structure, Journaux Contenu et structure.

L’administrateur de la collection de sites gère aussi les demandes d’accès à la collection de sites.

Autorisations SharePoint

En matière d’autorisations SharePoint, il existe deux notions qu’il ne faut pas confondre:

  • Les autorisations
  • Les niveaux d’autorisations

Une autorisation est la particule la plus élémentaire en matière de droits.

Exemples d’autorisations de site : Gérer les autorisations, Créer des sous-sites, Ajouter et personnaliser des pages, Appliquer des thèmes, Appliquer des feuilles de styles, Gérer les alertes, Utiliser les interfaces WebDav, Etc.

Exemples d’autorisations pour une liste : Gérer les listes, Remplacer l’extraction, Ajouter des éléments, Modifier des éléments, Supprimer des éléments, Afficher des éléments, Approuver des éléments, Ouvrir des éléments, Afficher les versions, Supprimer les versions, Créer des alertes, Etc.

Toutefois, et malgré ce que l’interface graphique présente, vous n’attribuez pas directement les autorisations SharePoint. En effet, dans SharePoint, vous accordez les autorisations à travers les niveaux d’autorisation.

Niveaux d’autorisations

Un niveau d’autorisation est une combinaison d’autorisations SharePoint.

Vous trouverez ci-dessous les niveaux d’autorisation fournis par défaut, avec une illustration de qu’il est possible de faire:

  • Contrôle total : gérer les droits,
  • Conception : modifier les pages,
  • Collaboration : déposer un document dans une bibliothèque,
  • Lecture : lire un document sans pouvoir l’enregistrer dans la bibliothèque d’origine,
  • Vue seule : afficher la liste des documents sans pouvoir les lire.

Dans le détail, un niveau d’autorisation donné correspond à une liste précise d’autorisations accordées. Par exemple, il existe un niveau d’autorisation par défaut intitulé Lecture. Pour une liste, il correspond aux autorisations : afficher les éléments, ouvrir les éléments, afficher les versions, créer des alertes et afficher les pages des applications. Le niveau d’autorisation Vue seule a les mêmes autorisations que Lecture sauf ouvrir les éléments.

Vous pouvez personnaliser les niveaux d’autorisation par défaut. Vous pouvez modifier les autorisations rattachées au niveau ou créer des niveaux supplémentaires.

Bonnes pratiques

En termes de bonnes pratiques, je vous recommande vivement de ne pas modifier les autorisations accordées aux niveaux d’autorisation par défaut. Si besoin est, créez vos propres niveaux d’autorisations. Ce cas de figure se présente dans les organisations importantes.

Un niveau d’autorisation peut être accordé à un compte utilisateur. Ce n’est pas recommandé. Il est préférable de rattacher cet utilisateur à un groupe puis d’accorder un niveau d’autorisation au groupe.

Reconnaissez que vous accordez un droit à une fonction ou un rôle de l’utilisateur dans l’organisation, et non à un utilisateur qui changera de fonction, un jour ou l’autre.

La question qui va surgir concerne l’utilisation de groupes SharePoint ou ceux de l’annuaire, comme Active Directory. Avant de donner des éléments de réponse à cette question épineuse, examinons le fonctionnement des groupes dans SharePoint.

Groupes SharePoint

Une collection de site SharePoint comprend au moins 4 groupes par défaut (entre crochets figure le niveau d’autorisations accordé):

  • Propriétaires [Contrôle total]
  • Membres [Collaboration]
  • Visiteurs [Lecture]
  • Visualiseurs [Vue seule]

Selon les fonctionnalités activées sur votre collection de site, vous pouvez obtenir d’autres groupes: Approbateurs, Concepteurs, etc.

Lorsqu’un nouvel utilisateur est ajouté à un groupe, il hérite automatiquement des autorisations accordées au groupe.

Tous ces groupes se personnalisent. Vous pouvez modifier les niveaux d’autorisation attachés aux groupes par défaut ou créer des groupes supplémentaires.

Les groupes SharePoint ont une particularité un peu perturbante au départ. Lorsque vous créez un groupe, il est disponible pour tous les sites de la collection de sites, quel que soit l’endroit à partir duquel vous le créez. Même si vous créez le groupe dans un site adjacent ou dans une sous-arborescence, il est visible par tous les sites. Même si dans le site où vous créez le groupe, l’héritage est rompu.

Une fois que ce comportement est assimilé, il reste à définir les critères qui président au choix d’un groupe SharePoint ou d’un groupe Active Directory (AD).

Liens entre l’AD et les groupes SharePoint

Souvent les administrateurs de l’AD ne veulent pas que les applications viennent “polluer” l’AD. Autrement dit, ils ne veulent pas créer de groupes spécifiques dans l’AD pour SharePoint.  Dans certaines organisations, la situation est bloquée et les utilisateurs n’ont pas d’autres choix que d’utiliser des groupes SharePoint.

Pourtant la gestion des droits à l’aide de groupes AD présente un intérêt certain et à ma préférence.

Le rôle de l’AD est de définir un référentiel unique et commun des identités de l’entreprise. Hors, l’utilisation des groupes SharePoint entraine une surcharge administrative supplémentaire qui est parfois importante. Notamment, si cette administration est déléguée aux utilisateurs. Dans ce cas, non seulement il n’y a pas d’automatismes, mais les risques liées à la sécurité d’accès sont élevés car il n’y a pas de contrôles à posteriori.

En outre, si vous utilisez des groupes AD, vous pourrez nativement utiliser l’outil de requête de l’AD qui permet de faire des recherches personnalisées avec la norme Lightweight Directory Access Protocol (LDAP). De plus, ces recherches sont facilitées grâce à l’assistant intégré.

Toutes ces raisons militent pour privilégier l’utilisation des groupes de l’AD.

Sécurité des rôles

La sécurité dans SharePoint n’est pas monolithique. Au contraire, vous accordez un droit (un niveau d’autorisations) à un utilisateur (à travers un groupe) sur un objet.

Les objets sécurisables sont:

  • Site,
  • Liste ou bibliothèque,
  • Dossier d’une bibliothèque
  • Elément d’une liste ou document d’une bibliothèque.

Autrement dit, un utilisateur peut avoir des droits différents sur un même site.

Par exemple, Alice peut avoir le droit d’accéder en lecture à un site. Sur le même site, elle pourra accéder en mise à jour sur la bibliothèque ‘Documents partagés’. Notez que c’est possible malgré le fait qu’un droit de mise à jour est “plus important” qu’un droit de lecture.

C’est ce qu’on appelle la sécurité des rôles. SharePoint utilise la sécurité des rôles pour vérifier la permission d’un groupe ou d’un utilisateur par rapport à un objet.

La liste des objets sécurisables est limitée.

En particulier, il n’est pas possible actuellement de donner des droits différents sur une partie d’une page SharePoint, ni même sur un composant de WebPart.

Les audiences seront traitées dans un autre article mais, en aucun cas, ils ne sont un élément pour gérer les droits.

Héritage

Par défaut, un nouveau site dans une collection de site hérite des autorisations du site parent. Un sous-site d’un site hérite donc des droits du site parent.

Les objets héritent aussi par défaut des sécurités de l’objet parent. Par exemple, une liste par rapport à son site.

Tant que l’héritage n’est pas rompu, il maintient un lien dynamique avec les droits du parent direct. Si l’héritage est cassé, les droits du parent sont recopiés sur l’enfant sans lien dynamique. Les droits de l’enfant deviennent alors modifiables.

Cela peut être aussi une source de confusion au début. Si vous n’y prenez pas garde, vous risquez de modifier les droits du parent. En effet, avant de modifier les droits d’un enfant, il faut casser l’héritage. Si vous oubliez de rompre cet héritage, vous modifierez les droits du parent.

La bonne nouvelle c’est qu’un héritage rompu peut être rétabli à chaque instant. Dans ce cas, tous les droits modifiés de l’enfant sont perdus.

Autorisations des listes ou des bibliothèques

Tout comme les droits sur les sites, vous avez la possibilité de restreindre l’accès à des listes ou des bibliothèques.

Pour la gestion des droits d’une liste, affichez les paramètres de celle-ci. Dans les paramètres, cliquez sur « Autorisations pour le composant : liste ».

Pour la gestion des droits d’une bibliothèque, affichez les paramètres de celle-ci. Dans les paramètres, cliquez sur « Autorisations pour le composant : bibliothèque de documents ».

Si vous voulez aller plus loin, dans une bibliothèque ou une liste, vous avez la possibilité de donner des droits différents à des objets qui en font partie. Par exemple, donner des droits à un fichier Word d’une bibliothèque de documents.

Droits sur les documents

Pour donner des autorisations SharePoint sur n’importe quel document, afficher le contenu de la liste ou de la bibliothèque et cliquez sur le menu d’édition du document pour en afficher le menu contextuel.

Bonnes pratiques de sécurité

Dans la pratique, l’expérience m’a montré que la gestion des autorisations SharePoint est structurante sur le design des sites.

Ce qui signifie que vous devez tenir compte du modèle de droits SharePoint pour votre conception: si, par exemple, vous aviez prévu de donner des droits différents au milieu d’une page.

Par ailleurs, en termes de méthode, il n’est évidemment pas possible de donner un algorithme systématique pour réussir la mise en oeuvre de la sécurité des accès dans SharePoint.

D’autant que la sécurité des accès n’est qu’une partie de la sécurité globale :

Enfin, vous trouverez ci-dessous quelques pistes pour mieux gérer les autorisations SharePoint.

Autres bonnes pratiques de sécurité

Pour chaque site: 1) Listez les futurs utilisateurs par fonction dans chaque service ; 2) Distinguez les utilisateurs selon leurs droits : auteurs, lecteurs, autres.

Pour ‘Mon Site’: Utilisez des groupes de sécurité pour gérer les autorisations SharePoint des sites Mon site.

Niveaux d’autorisations: 1) Créez des niveaux supplémentaires afin de tenir compte des dérogations ; 2) Puis, définissez un niveau d’autorisation par combinaison des autorisations.

Ciblage d’audiences: 1) L’audience n’est pas un droit ; 2) Notamment, utilisez les audiences pour masquer un objet (WebPart, etc.).

Utilisateurs: 1) Ne donnez pas des droits à un utilisateur ; 2) Ensuite, donnez un droit à un groupe de l’AD ou à un groupe SharePoint.

Groupes: 1) Créez des groupes pour factoriser les droits ; 2) Puis, assignez un niveau d’autorisation aux groupes ; 3) Ensuite, attachez le groupe SharePoint à un des quatre objets à sécuriser: Site, Liste / Bibliothèque, Dossier, Elément / Document

Pour aller plus loin

Les informations ci-dessous sont issues de la documentation Microsoft.

Autorisations SharePoint des listes ou bibliothèques

  • Gérer les listes permet de créer et supprimer des listes, ajouter des colonnes à une liste ou en supprimer, et ajouter des affichages publics à une liste ou en supprimer.
  • Remplacer l’extraction permet d’ignorer ou d’archiver un document qui est extrait pour un autre utilisateur.
  • Ajouter des éléments des éléments à des listes, et des documents à des bibliothèques de documents.
  • Modifier des éléments dans des listes, des documents dans des bibliothèques de documents, et personnaliser des pages de composants WebPart dans des bibliothèques de documents.
  • Supprimer des éléments d’une liste, et des documents d’une bibliothèque de documents.
  • Afficher les éléments dans des listes et des documents dans des bibliothèques de documents.
  • Approuver des éléments d’une version secondaire d’un élément de liste ou d’un document.
  • Ouvrir les éléments permet d’afficher la source des documents avec des gestionnaires de fichiers côté serveur.
  • Afficher les versions antérieures d’un élément de liste ou d’un document.
  • Supprimer les versions antérieures d’un élément de liste ou d’un document.
  • Créer des alertes.
  • Afficher les pages des applications permet d’afficher les formulaires, les affichages et les pages des applications.

Autorisations SharePoint des sites

  • Gérer les autorisations permet de créer et modifier des niveaux d’autorisation sur le site, et affecter des autorisations à des utilisateurs et à des groupes.
  • Afficher les données Web Analytics permet d’afficher les rapports sur l’utilisation du site.
  • Créer des sous-sites tels que des sites d’équipes, des sites Espace de travail de réunion et Espace de travail de document.
  • Gérer le site Web permet de donner la capacité d’effectuer toutes les tâches d’administration sur un site et de gérer le contenu.
  • Ajouter et personnaliser des pages permet d’ajouter, modifier ou supprimer des pages HTML ou de composants WebPart.
  • Appliquer des thèmes et des bordures à l’ensemble du site.
  • Appliquer des feuilles de style (fichier .CSS) au site.
  • Créer des groupes d’utilisateurs pouvant être utilisés partout dans la collection de sites.
  • Parcourir les répertoires permet d’énumérer les fichiers et les dossiers d’un site Web à l’aide des interfaces SharePoint Designer et Web DAV.
  • Utiliser la création de sites libre-service permet de créer un site à l’aide de la fonctionnalité de création de sites libre-service.
  • Afficher les pages d’un site.
  • Énumérer les autorisations pour un site : liste, dossier, élément.
  • Parcourir les informations utilisateur permet d’afficher les informations sur les utilisateurs du site.
  • Gérer les alertes pour tous les utilisateurs d’un site.
  • Utiliser les interfaces distantes permet d’utiliser l’interface SOAP, Web DAV, SharePoint Designer ou du modèle objet client pour accéder au site.
  • Utiliser les fonctionnalités d’intégration des clients permet de lancer des applications clientes. Sans ce droit, l’utilisateur doit utiliser les documents en local et télécharger ses modifications.
  • Ouvrir autorise les utilisateurs à ouvrir un site, une liste ou un dossier pour accéder aux éléments de ce conteneur.
  • Modifier les informations personnelles de l’utilisateur autorise un utilisateur à modifier ses informations d’utilisateur, notamment ajouter une photo.

Autorisations SharePoint personnelles

  • Gérer les affichages personnels permet de créer, modifier et supprimer des affichages personnels de listes.
  • Ajouter/Supprimer des composants WebPart personnels sur une page de composants WebPart.
  • Mettre à jour des composants WebPart personnels pour qu’ils affichent des informations personnalisées.
Catégories
Prestations Audits Formations

Outils de sécurité Microsoft

Dans cet article vous allez découvrir les outils de sécurité Microsoft indispensables à votre sécurité informatique. Vous disposez probablement de certains d’entre-eux. Pensez aussi à télécharger et installer pour votre version Windows les outils suivants.

Découvrez les outils de sécurité Microsoft
Découvrez les outils de sécurité Microsoft

Les outils de sécurité Microsoft

Bien évidemment, les outils de sécurité Microsoft sont utiles et nécessaires. Toutefois, vous pouvez aussi comprendre le monde de la cybersécurité et des attaques. Pour cela, lisez ou parcourez le rapport Global Security Intelligence Report de Microsoft. Prenez la version anglaise, la version française n’est qu’un résumé.

Office 365 – Advanced Email Threat Protection protège les réseaux des entreprises. En effet, il protège des dizaines de milliers de clients de l’entreprise à travers le monde. Notamment, il aide à empêcher les logiciels malveillants de se propager par courriel.

Découvrez comment vous pouvez bénéficier d’une protection de vos informations avec Microsoft Security.  Une stratégie de cybersécurité complète et évolutive est proposée pour votre entreprise.

Microsoft Safety Scanner est un outil de sécurité gratuit. Il fournit une analyse sur demande et aide à supprimer les logiciels malveillants. il ne remplace pas un antivirus à jour. En effet, il n’offre pas de protection en temps réel. Autrement dit, il ne peut pas empêcher un ordinateur de devenir infecté. Par contre, il peut le désinfecter.

Microsoft Security Essentials est un produit de protection en temps réel gratuit. Cet outil combine un antivirus et un scanner antispyware avec anti-phishing et la protection d’un pare-feu .

Le règlement général de la Protection des données (RGPD) s’applique à partir de début mai 2018. Votre entreprise est-elle prête pour appliquer les mesures nécessaires à la protection des données ?

Outlook.com permet de disposer d’une boîte aux lettres gratuite. Cette boîte aux lettres dispose de fonctionnalités anti-phishing et aniti-spam.

SmartScreen Filter, une fonctionnalité d’Internet Explorer, à partir de la version 8. Elle offre aux utilisateurs une protection contre les sites de phishing et les sites qui hébergent des logiciels malveillants.

Windows Defender dans Windows fournit une analyse en temps réel de Windows. S’il détecte un logiciel malveillant, il cherche à le supprimer.

Un outil qui fonctionne en mode offline

Windows Defender Offline est un outil téléchargeable. Vous pouvez l’utiliser pour créer un CD bootable, un DVD ou un lecteur flash USB bootable. Ensuite, il servira à analyser un ordinateur des menaces de codes malveillants sans que l’ordinateur s’exécute.

Toutefois, il n’offre pas de protection en temps réel car ce n’est pas son rôle. Son but est de désinfecter l’ordinateur.

Suite à parcourir

Pour compléter ce panorama d’outils de sécurité Microsoft, lisez l’article technique sur Microsoft Attack Surface Analyzer.

Enfin, pour assurer une surveillance accrue de l’environnement Microsoft, sachez manipuler les outils de supervision Windows.

Catégories
Prestations Audits Formations

Mots de passe différents

Il est important pour vous de sécuriser votre activité sur Internet en prenant de simples précautions qui sont indispensables. Notamment vous devriez utiliser des mots de passe différents sur les sites web.

Imaginez qu’un site vous propose d’ouvrir un compte chez lui.

Si vous utilisez le même mot de passe sur tous les sites sur lesquels vous vous inscrivez, vous prenez le risque d’avoir vos différents comptes vidés par des personnes malhonnêtes. En effet, il suffit que la protection d’un seul site web soit violée pour connaître votre mot de passe.

Ensuite, il leur suffira d’aller sur les autres sites (hotmail, gmail, sites de banques, etc.) pour tester ce mot de passe avec l’identifiant de votre compte ou votre email.

mots de passe différents
(image : Sufi Nawaz)

Limiter les mots de passe ?

Pourtant, beaucoup de personnes m’expliquent qu’ils n’utilisent qu’un nombre limité de mots de passe auxquels ils affectent un niveau d’importance relative.

C’est insuffisant et totalement illusoire.

Faites un tour sur le blog Microsoft Malware Protection Center – TechNet Blogs pour comprendre la sagacité des gangs qui opèrent pour vous voler vos informations numériques cruciales.

Coffre-fort de mots de passe différents

Êtes-vous d’accord pour penser comme moi que le mot de passe de votre compte bancaire sur Internet est aussi précieux que le contenu de votre compte ?

Si c’est le cas, ce mot de passe doit être gardé dans un coffre-fort de mots de passe.

Ce n’est pas une bonne idée de stocker vos mots de passe différents en clair dans un document protégé par un mot de passe car c’est insuffisant en matière de sécurité.

Pour vous en convaincre, allez jeter un œil sur le site de Last Bit, par exemple.

Il existe des logiciels gratuits et simple d’usage qui permettent de stocker les mots de passe différents de tous vos sites. Ces logiciels s’appellent des gestionnaires de mots de passe.

Notamment, les logiciels Keepass et Password safe.

Ces deux logiciels utilisent des cryptages forts pour sauvegarder vos mots de passe.

De plus, tous les deux proposent de générer les mots de passe puis de les copier par copier-coller. Autrement dit, vous n’avez pas besoin de connaître vos mots de passe.

Comme vous n’avez plus besoin de vous en souvenir, ni même de les connaître, il est facile d’avoir un mot de passe distinct par site web.

Vivre dangereusement

Si, malgré tout, vous voulez générer vous-mêmes vos mots de passe, respectez au moins ces consignes:

  • Pas de mots du dictionnaire
  • Ne pas utilisez comme mots de passe des noms de personnages connus
  • Ne prenez pas le prénom de votre aimé(e), enfants, chiens, chats, etc. comme mot de passe
  • Utilisez un mot de passe différent sur chaque site
  • Créez un mot de passe qui soit une combinaison de MAJUSCULES, minuscules, chiffres et caractères spéciaux (!$£#&)
  • Ne mettez pas les caractères spéciaux au début ou à la fin du mot de passe
  • Sa longueur doit être de 28 caractères minimum (si possible)

Les mots de passes à bannir impérativement

Ces mots de passe sont à bannir car ils ne sont pas des mots de passe.

Notamment, la liste est longue comme un jour sans pain, aussi je ne donne que les plus courants parmi les utilisateurs francophones:

  • 123456
  • 12345678
  • password
  • azerty
  • azerty123
  • 111111
  • etc.
Catégories
Prestations Audits Formations

Microsoft SharePoint Server

Une vulnérabilité a été corrigée dans Microsoft SharePoint Server. Elle permet à un attaquant de provoquer une élévation de privilèges. Il s’agit d’une mise à jour de sécurité de niveau important pour Microsoft SharePoint Server 2013 et Microsoft SharePoint Foundation 2013.

Il s’agit d’une vulnérabilité d’élévation de privilèges. Un développeur malicieux peut développer une application qui exploite cette vulnérabilité.

Notamment, l’application doit utiliser le modèle d’extensibilité de SharePoint pour exécuter du code JavaScript arbitraire avec les droits de l’utilisateur authentifié courant.

Le danger réside dans le fait qu’un attaquant pourrait créer une application spécialement conçue pour exploiter cette vulnérabilité, puis convaincre les utilisateurs de l’installer afin d’exploiter la faille si elle n’est pas corrigée.

Si cet objectif est atteint, l’application peut contourner la gestion des autorisations. Elle pourrait alors exécuter du code arbitraire dans le contexte de sécurité de l’utilisateur connecté.

Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait utiliser une application spécialement conçue pour exécuter du script arbitraire dans le contexte de sécurité de l’utilisateur connecté.

Par exemple, le script pourrait agir sur le site SharePoint affecté avec les mêmes autorisations que l’utilisateur connecté.

Cette vulnérabilité concerne :

  • Microsoft SharePoint Server 2013 avec ou sans SP1
  • SharePoint Foundation 2013 avec ou sans SP1

Le bulletin de sécurité de Microsoft qui donne plus de détail sur cette vulnérabilité importante se trouve dans le Microsoft Security Bulletin MS14-050.

Microsoft SharePoint Server
(image : ShadoRave)

Solution pour Microsoft SharePoint Server

Microsoft recommande de lancer une mise à jour à travers le service Microsoft Update.

Microsoft recommande d’appliquer cette mise à jour dès que possible.

Problèmes éventuels pour Microsoft SharePoint Server

La mise corrige la façon dont SharePoint nettoie les applications.

Il est donc possible que certaines applications qui utilisent des actions personnalisées, peuvent cesser de fonctionner ou ne pas s’installer correctement après l’installation de cette mise à jour.

Par ailleurs, si vous envisagez de supprimer un application, vous devez accéder à l’application. Ensuite, vous devrez exporter les données de l’application avant de la supprimer.

Rappel : une bibliothèque ou une liste est une application au sens de Microsoft SharePoint Server.

Catégories
Prestations Audits Formations

Craquer les mots de passe

Selon un article du Daily Mail Online, les pirates de Ars Technica peuvent craquer les mots de passe de 16 caractères en moins d’une heure, y compris des mots de passe comme “qeadzcwrsfxv1331”.

craquer les mots de passe
(image : Sufi Nawaz)

Les hackers ont publié la façon dont ils ont craqué les mots de passe. La lecture de l’article de Ars Technica révèle que la complexité algorithmique ne suffit pas elle-seule pour déjouer les systèmes de craquages de mots de passe.

Plutôt que d’entrer plusieurs fois les mots de passe sur un site Web, les pirates ont utilisé une liste des mots de passe hachés qu’ils ont réussi à obtenir. Le “hachage” (ou “empreinte” ou “condensat”) consiste à prendre un mot de passe en texte clair et de le transformer en une chaîne unique de chiffres et de lettres.

Craquer les mots de passe

L’avantage du hachage est de ne pas être obligé de stocker le mot de passe en clair. De plus, l’algorithme de hachage produit des valeurs très différentes même pour deux mots de passe très proches.

Par exemple le hachage md5 de soleil est 23206deb7eba65b3fbc80a2ffbc53c28, celui de Soleil est fb33a4baf12afe0a8338d2a91b23b5a9.

Il est très complexe de déduire le mot de passe à partir de la valeur du hachage. Cela signifie qu’à partir de la liste des valeurs de hachages, les mots de passe en texte clair ne peuvent pas être obtenus facilement, bien que ces algorithmes soient connus.

Moins d’1 heure

Toutefois, la démonstration de Ars Technica a mis en évidence que ce n’était pas impossible. En effet, Jeremi Gosney a réussi à craquer les mots de passe en 16 minutes pour 10233 d’entre-eux, soit 62% de la liste.

Pour cela, il a utilisé une méthode d’attaque par force brute. Une attaque par force brute consiste à essayer toutes les combinaisons possibles de caractères.

Il a commencé par chercher tous les mots de passe de un à six caractères. Cela lui a permis de trouver 1316 mots de passe en texte clair en moins de 3 minutes. Ensuite, il a cherché les mots de passe de sept à huit caractères et formés uniquement de lettres minuscules (1618 mots de passe trouvés) puis formés uniquement de lettres majuscules (708 mots de passe trouvés).

Il a aussi utilisé d’énormes listes de mots de passe où le calcul du code de hachage est déjà réalisé.

Ces listes se nomment des tables arc-en-ciel. Il suffit alors de comparer les valeurs de hachage entre la liste volée et les tables arc-en-ciel. Bien sûr cela ne suffit pas toujours. En effet, il faut aussi jouer sur des permutations de caractères, des insertions de caractères spéciaux, etc.

Toutes ces techniques sont classiques et elles sont efficaces. Parce que les mots de passe sont beaucoup trop court.

La complexité aléatoire et, surtout, une longueur élevée restent toujours un sérieux obstacle.

La question est “Pour combien de temps ?”.

Lire aussi (pour développeurs)

Serious Security How to store your users’ passwords safely de Naked Security

Password Storage Cheat Sheet de OWASP