Comment les logiciels malveillants infectent les PC

 Il est bien connu que par rapport aux autres appareils informatiques, les PC sont les plus attaqués. En effet, les PC, et les PC Windows en particulier, sont généralement des systèmes ouverts qui présentent de nombreuses vulnérabilités. Il existe plusieurs raisons pour lesquelles les PC Windows sont devenus attrayants pour les virus, notamment:

• Maintien de la rétrocompatibilité logicielle

• Utilisateurs à domicile avec privilèges administratifs

• Pile réseau ouverte

• Volume de la base d'utilisateurs

Outre l'effet positif suite à l'introduction du contrôle de compte d'utilisateur (UAC), mentionné dans l'article 3, il est peu probable que les taux d'infection par les logiciels malveillants diminuent pour les PC Windows à l'avenir. Les symptômes résultant d'une infection virale peuvent inclure l'un ou l'autre des éléments suivants:

• L'ordinateur exécute les tâches très lentement

•Activité inexpliquée du disque et du réseau

• Les fichiers ne s'ouvrent pas avec l'application par défaut

• Des messages contextuels personnalisés ou des images d'arrière-plan apparaissent

• Une fenêtre d'invite de commande inattendue s'ouvre puis se ferme

• Le PC plante ou se bloque ou ne démarre pas

• Comportement étrange de l'ordinateur

• Trop de fenêtres pop-up

• L'accès à Internet est très lent par rapport à la normale

Virus de type infectieux

Certains utilisateurs peuvent avoir rencontré des virus de type infecteur de fichiers, soit directement par une attaque, soit en suivant une formation en sécurité informatique. Ce type d'attaque est le plus courant et existe depuis de nombreuses années. Étant donné que les virus de type infectieux s'attachent à un autre fichier ou s'y enfouissent, ils sont souvent détectés par un analyseur antivirus de routine, qui peut localiser le virus grâce à sa signature de virus connue. Une signature de virus est un schéma caractéristique connu qu'un antivirus détecte lorsqu'un virus a été caché dans un fichier programme. Bien que de nouveaux virus soient régulièrement créés, les logiciels antivirus savent quoi rechercher et doivent être mis à jour régulièrement pour se tenir au courant des signatures de virus les plus récentes. Si un virus n'est pas détecté, il peut infecter la mémoire système et les fichiers exécutables et résider sur l'appareil pendant des mois voire des années. Un virus classique (et particulièrement méchant) d'il y a quelques années a infecté les systèmes et s'est comporté comme un programme de sécurité malveillant qui tente d'effrayer, de menacer, de cajoler, de harceler, de haranguer, de harceler, d'aggraver, d'intimider, de harceler, et généralement de harceler l'utilisateur à payer le pirate informatique pour nettoyer son système en utilisant le faux logiciel de sécurité. Le virus, appelé "Win32/FakeScanti", a présenté à l'utilisateur divers avertissements et un outil de sécurité crédible nommé Windows Antivirus Pro. Le virus tentait de convaincre les utilisateurs que leurs systèmes n'étaient pas fiables et infectés, en redémarrant périodiquement le système et en empêchant d'autres exécutables de s'exécuter, en associant l'extension .exe à desot.exe, l'un des fichiers installés par Win32/FakeScanti. Chaque fois que l'utilisateur tentait d'exécuter une application, telle qu'un outil antivirus ou même Microsoft Paint, le nom du fichier était transmis à desot.exe, qui décidait alors d'exécuter l'application ou d'afficher une boîte de message avec un avertissement de virus. Heureusement, l'outil de suppression de logiciels malveillants (MSRT), dont je parlerai dans mon prochain article

, supprime avec succès le virus Win32/FakeScanti et ses variantes.

Contrôle de compte d'utilisateur

 Le contrôle de compte d'utilisateur (UAC) est l'une des principales fonctionnalités de sécurité de Windows depuis son introduction dans Windows Vista. Malgré de nombreux mythes urbains, vous ne devriez pas désactiver l'UAC, car il fait un excellent travail pour protéger l'ensemble de Windows. Malgré l'angoisse initiale des utilisateurs lors de son introduction, la fonctionnalité UAC a été améliorée et progressivement affinée pour être plus utilisable et moins intrusive dans chaque version de Windows depuis Vista. Windows 10 renforce davantage la sécurité en affichant l'image d'arrière-plan de l'ordinateur en tant que bureau sécurisé chaque fois que l'invite UAC est requise, Les versions précédentes de Windows gèleraient l'arrière-plan, ce qui incitait l'UAC, qui pouvait alors donner au pirate la possibilité de détourner. Une autre fonctionnalité utile de l'UAC dans Windows 10 est que l'invite UAC se fermera automatiquement si aucun mot de passe n'est entré dans la boîte de dialogue dans les 30 secondes. Avant l'UAC, la plupart des failles de sécurité étaient causées par l'utilisateur involontairement installation de logiciels malveillants, de virus et de logiciels non sécurisés avec des privilèges d'administrateur. Pour l'utilisateur à domicile, c'est toujours le cas, car les utilisateurs à domicile se voient généralement accorder les privilèges de compte d'administrateur qui sont attribués au premier compte d'utilisateur après la configuration. Le problème avec le compte d'administrateur local est que l'utilisateur peut apporter des modifications à l'échelle du système et est autorisé à lancer des outils et des utilitaires système qui peuvent apporter des modifications irréversibles à Windows. Dans Windows 10, l'UAC a adopté un nouvel ensemble de messages contextuels plus colorés, ce qui tente de rendre la messagerie plus claire pour l'utilisateur. Dans les versions précédentes de Windows, l'UAC est largement ignoré par l'utilisateur à domicile, ce qui est principalement dû à un manque de connaissance de ce que fait réellement l'UAC. L'UAC est un composant de sécurité clé contre la menace constante et en constante évolution de malware et contribue à la stratégie de défense en profondeur de Windows. Au sein d'une entreprise, l'UAC est généralement strictement appliquée et n'apparaîtra que lorsqu'un utilisateur (ou un logiciel malveillant) tente de configurer, d'installer un logiciel ou de modifier son système d'une manière qui n'est pas autorisée. Heureusement, sur le lieu de travail, les utilisateurs essaient rarement de modifier leurs systèmes, et lorsqu'ils doivent installer de nouveaux logiciels, cela est demandé via le service d'assistance. Un administrateur peut modifier les paramètres UAC, en saisissant UAC dans la zone Rechercher dans Windows et en appuyant sur Entrée ou en sélectionnant Modifier les paramètres de contrôle de compte d'utilisateur. Souvent, les utilisateurs se plaignent de voir trop souvent l'UAC, et sur un nouveau PC, cela peut être le cas, mais une fois les applications et les paramètres initiaux configurés, il devrait y avoir un minimum d'invites à l'avenir. Un utilisateur avec un compte utilisateur standard peut effectuer les tâches suivantes:

•Graver des supports CD/DVD

• Modifier l'arrière-plan du bureau

• Modifier le fuseau horaire

• Changer son propre mot de passe de compte d'utilisateur

•Configurer les options d'accessibilité

•Configurer les options d'alimentation

• Connectez-vous à une connexion Wi-Fi ou LAN

• Installez les pilotes, soit à partir de Windows Update, soit ceux fournis avec Windows

• Installer les mises à jour à partir de Windows Update

• Modifier ses paramètres d'affichage

• Associez et configurez un appareil Bluetooth avec le PC

• Effectuer d'autres dépannages et diagnostics et réparations du réseau Tâches

•Lire des supports CD/DVD

• Restaurer ses propres fichiers à partir de l'historique des fichiers

• Utilisez Remote Desktop pour vous connecter à un autre PC

• Afficher la plupart des paramètres, même s'ils nécessitent des niveaux élevés autorisations lors de la tentative de modification des paramètres Windows.

Vous devez faire attention à qui a des comptes administratifs, car ces utilisateurs ont un grand quantité d'énergie - ils peuvent lire, écrire, exécuter et modifier toutes les ressources et les autorisations Windows sur un PC. Même en tant qu'administrateur, Windows utilisera toujours l'invite UAC pour vous faire savoir que votre action prévue effectuera une tâche qui aura un impact sur l'ensemble du système. Bien qu'en tant qu'administrateur, vous n'ayez pas à fournir vos informations d'identification, vous devez donner votre consentement. C'est ce qu'on appelle le mode d'approbation administrateur. Il existe deux types d'invites d'élévation dans Windows:

Consentement: affiché uniquement pour les administrateurs dans l'approbation de l'administrateur Mode lorsqu'ils essaient d'effectuer une tâche administrative .

Informations d'identification: présentées aux utilisateurs standard lorsqu'ils tentent d'effectuer une tâche administrative.

Certains des scénarios typiques dans lesquels un utilisateur standard serait invité par UAC pour l'élévation aux privilèges administratifs incluent ce qui suit:

• Ajouter ou supprimer un compte utilisateur

• Accédez au répertoire d'un autre utilisateur

• Modifier les types de compte utilisateur

• Modifier les paramètres du pare-feu Windows

•Configurer les mises à jour automatiques

•Configurer les contrôles parentaux

•Installer un pilote pour un périphérique

•Installer les contrôles ActiveX

•Installer et désinstaller des applications

•Modifier les paramètres UAC

•Déplacer ou copier des fichiers dans les répertoires Program Files ou Windows

•Restauration des fichiers de sauvegarde du système

•Planifier des tâches automatisées

Il n'est pas possible de désactiver complètement l'UAC, mais il est possible de désactiver les notifications en déplaçant le curseur  tout en bas (Ne jamais notifier). Pour les administrateurs qui souhaitent configurer l'UAC à l'aide de la stratégie de groupe, dix paramètres de stratégie de groupe sont disponibles dans Windows 10. Ces paramètres de stratégie se trouvent dans le nœud Options de sécurité sous Paramètres de sécurité ÿ Stratégies locales ÿ Options de sécurité. La stratégie peut être définie au niveau de l'utilisateur local, à l'aide du composant logiciel enfichable Stratégie de sécurité locale, ou pour plusieurs utilisateurs dans un environnement de domaine, à l'aide de la console de gestion des

stratégies de groupe.

Zone démilitarisée des réseaux du système windows

 La zone démilitarisée (DMZ) est un terme souvent utilisé dans les discussions sur les réseaux, mais il peut être assez compliqué de le définir de manière concise. DMZ fait référence à une zone réseau que vous contrôlez et qui est utilisée pour séparer l'Internet non approuvé de votre réseau interne (approuvé). Si vous considérez votre réseau comme un cercle de confiance interne, la DMZ est un anneau externe et, enfin, Internet est l'anneau le plus externe autour de celui-ci, Les anneaux de défense s'apparentent au concept de défense en profondeur évoqué au début de ce article. Le cercle intérieur est protégé par le système d'exploitation, puis le pare-feu, puis enfin la DMZ. Pour chaque anneau, il existe une interface réseau interne et externe. Dans un environnement à volume élevé, des périphériques physiques distincts sont utilisés pour séparer les différents types de trafic et la direction du flux. En règle générale, une entreprise utilise des dispositifs de pare-feu matériels pour la DMZ, car ceux-ci ont tendance à être plus résistants aux attaques. De plus, étant construits sur un sous-système Linux, ils sont souvent plus robustes et renforcés, en raison de leur faible encombrement. Pour durcir le périmètre et sécuriser la sécurité de la DMZ, chaque pare-feu L'Appliance peut être restreinte pour n'autoriser que des protocoles spécifiques, selon les besoins de l'organisation. Ceux-ci pourraient inclure:

• Protocole de transfert de fichiers (FTP): ports TCP 20, 21

•DNS:port:TCP 53, port:UDP 53

• Protocole SMTP (Simple Mail Transport Protocol): port TCP 25

• Protocole de transfert hypertexte (HTTP)ÿ: port TCP 80

•HTTPS: portÿTCP443

• La gestion du système utilise souvent SSH: port TCP 22

Il est recommandé que les protocoles inutiles ou d'utilisateur final, tels que NETBIOS, qui pourrait être utilisé pour naviguer avec la DMZ et localiser les vulnérabilités à l'intérieur de la DMZ, être désactivé.

Bien que le rôle principal de la DMZ soit d'empêcher toute nouvelle pénétration de action au sein du réseau interne, vous devez toujours vous assurer que la DMZ elle-même est au plus haut niveau de défense et d'alerte. Si un attaquant peut pénétrer dans la DMZ, il pourrait compromettre d'autres routeurs DMZ et accéder directement aux systèmes internes. Il est courant pour une entreprise de localiser des portails Web, des passerelles et des sites Web extranet dans la DMZ. Si un serveur Web dans la DMZ est compromis, l'attaquant pourrait:

•Supprimer, copier ou modifier des applications Web et des données

• Dégrader les sites Web et les extranets externes de l'entreprise

• Dégrader les sites intranet internes de l'entreprise

• Accéder aux ressources internes, y compris les bases de données, les sauvegardes et le code source

En plus de restreindre les ports et les protocoles autorisés dans la DMZ, le responsable du réseau ou de la sécurité doit s'assurer que la DMZ est sous surveillance continue. En effet, la DMZ est le fossé qui entoure votre château et vous devez vous assurer que rien ne franchit cette frontière. Souvent, le pirate (ou l'expert en pénétration) essaiera de sonder vos systèmes de gestion DMZ plutôt que les principales ressources accessibles sur Internet. Étant donné que ce système n'est utilisé que rarement, envisagez d'exiger un niveau de protection plus élevé, tel que l'activation du chiffrement, de l'authentification et de la journalisation détaillée des transactions, ainsi que la désactivation de tous les accès lorsqu'ils ne sont pas utilisés. Voici quelques bonnes pratiques utiles pouvant être déployées en relation avec la DMZ:

•Utilisez un système de prévention des intrusions (IPS).

•Mettre en place et déployer une politique de sécurité robuste.

•Mettre en place une politique d'audit approfondie.

•Utilisez des signatures pour détecter et bloquer les attaques bien connues.

• Maintenez à jour les signatures anti-malware.

•Soyez vigilant.

•Éteignez l'équipement de maintenance lorsqu'il n'est pas utilisé.

De manière régulière, par exemple tous les six mois, et surtout si votre carrière et votre entreprise reposent sur le maintien d'une DMZ robuste et sécurisée, vous devriez envisager de faire appel aux services d'un expert en pénétration. Dans le cadre d'un ensemble strict de règles et de limites convenues entre vous et la direction, l'expert tentera de pirater votre système de l'extérieur. Les résultats des actions montreront souvent où des améliorations peuvent être apportées, et ils doivent être sauvegardés, car ils pourraient contenir des lacunes dans votre approche actuelle. Vous devez mettre en œuvre

des contre-mesures et supprimer tout ou partie des vulnérabilités mises en évidence, dès que possible.

L'essor de l'Internet des objets

 Nous sommes actuellement à l'aube d'une nouvelle ère informatique : l'essor de l'Internet des objets (IoT). Vous pouvez actuellement acheter des téléviseurs, des réveils, des radios et même des réfrigérateurs connectés à Internet qui peuvent réorganiser automatiquement les courses lorsqu'elles sont faibles.

De nombreux utilisateurs n'iront jamais au-delà des fonctionnalités offertes par le pare-feu Windows, Avec l'IoT, les appareils situés dans votre maison peuvent communiquer directement avec des serveurs sur Internet. Ceci est rendu possible en utilisant votre réseau Wi-Fi domestique, qui crée un pont IPv6 entre l'interface qui dessert l'appareil IoT directement et votre fournisseur de services Internet. De cette façon, par exemple, votre machine à pop-corn connectée à Internet peut être allumée dès que vous quittez le bureau, de sorte que vous avez du pop-corn bien chaud pour le film du soir. Le transfert IP au niveau de l'interface, du port et de l'application permet à votre adresse IP publique unique fournie par votre FAI d'autoriser l'accès à plusieurs appareils derrière votre pare-feu, souvent à votre insu. Vous devez certainement être vigilant et conscient des risques potentiels liés à l'IoT, en particulier car il s'agit d'une technologie émergente pour laquelle des procédures et des précautions de sécurité normalisées n'ont pas encore été formalisées. Considérez les implications qui pourraient survenir si, après avoir installé un nouveau système de caméra de vidéosurveillance de sécurité basé sur l'IdO sur votre réseau domestique ou professionnel, des pirates pouvaient accéder au flux de données?

Le pare-feu avancé de Windows

Windows est livré avec deux interfaces de pare-feu différentesÿ: le pare-feu Windows par défaut et le pare-feu Windows avec sécurité avancée. De nombreux utilisateurs n'iront jamais au-delà des fonctionnalités offertes par le pare-feu Windows. Dans Windows XP, le pare-feu Windows initial a suscité de nombreuses critiques pour ses limites. Le Pare-feu Windows était unidirectionnel et n'arrêtait pas les connexions sortantes vers Internet, et il ne filtrerait pas le trafic IPv6. Si l'utilisateur utilisait un compte administrateur (comme de nombreux utilisateurs le faisaient avec XP), les virus pouvaient facilement désactiver le pare-feu, ce qui affaiblissait davantage la réputation de la protection intégrée. Heureusement, Microsoft a rapidement mis à niveau le pare-feu et activé les mises à jour automatiques et le Centre de sécurité Windows, qui a résolu bon nombre des échecs antérieurs. Pour les utilisateurs disposant de capacités d'administration qui doivent configurer des paramètres avancés, tels que le réglage fin d'une connexion VPN ou la surveillance des journaux de pare-feu, vous devez cliquer sur le lien Paramètres avancés,  ou saisir « wf.msc » dans la commande Exécuter ou Rechercher. La console de gestion du pare-feu Windows avec sécurité avancée a été introduite avec Windows Vista et donne accès à de nombreuses options avancées et permet l'administration à distance.

 Depuis la console, vous pouvez configurer les éléments suivants:

• Règles entrantes: capacité de pare-feu traditionnelle pour empêcher le réseau entrée.

• Règles de trafic sortant: bloque le trafic sortant, par exemple en empêchant les

logiciels malveillants qui tentent de "téléphoner à la maison".

• Règles de sécurité de connexion: utilisées pour configurer un VPN avancé et tunnelisation et définition des paramètres de configuration

• Surveillance: utilisé pour enregistrer le trafic entrant et sortant via le pare-feu.

Le pare-feu Windows avec sécurité avancée permet un grand nombre de filtrages de paquets de bas niveau et d'affinement du trafic réseau, tels que la possibilité de filtrer les adresses IP source et de destination, les plages de ports et les types de données, tels que UDP ou TCP. Pour créer une nouvelle règle entrante, lancez le pare-feu Windows avec sécurité avancée console de gestion et cliquez sur Nouvelle règle dans le volet Action sur le côté droit. Suivez l'assistant Nouvelle règle de trafic entrant pour créer votre règle. Une fois terminée, la nouvelle règle apparaîtra dans la liste des règles de trafic entrant dans le volet central. Si la règle est active, elle sera marquée d'une case à cocher verte dans la colonne Nom, et si elle est désactivée, elle aura une case à cocher grise. Vous pouvez consulter n'importe quelle règle et inspecter les paramètres en cliquant avec le bouton droit sur une règle et en sélectionnant Propriétés. Dans la fenêtre Propriétés, les paramètres de règle sélectionnés sont affichés sous forme d'onglets. Vous pouvez modifier la règle et modifier n'importe lequel des paramètres disponibles Si vous faites défiler les règles entrantes et sortantes, vous verrez qu'il existe de nombreuses règles intégrées à Windows. Les règles de sécurité de connexion vous permettent d'implémenter un trafic très sécurisé entre les terminaux, par exemple entre des ordinateurs distants ou entre des adresses IP spécifiques sur le réseau ou sur Internet. Par exemple, vous pouvez exiger que seul le trafic réseau crypté soit autorisé pour toutes les communications vers un serveur de passerelle de paiement sécurisé sur votre réseau interne. Cela peut être réalisé en créant une règle de sécurité de connexion dans le pare-feu Windows avec sécurité avancée, qui utilise la règle de serveur à serveur et force les connexions à être autorisées uniquement si les connexions utilisent IPsec certificats de sécurité. IPsec est souvent utilisé pour sécuriser le trafic de serveur à serveur dans des environnements hautement sécurisés. Le piratage du flux réseau et le décryptage du contenu des paquets protégés par IPsec ne sont possibles que si les certificats ou les clés pré-partagées (PSK) ont déjà été compromis. Les règles de sécurité de connexion sont souvent utilisées dans les environnements d'entreprise et sont définies par l'administrateur réseau. Vous devez faire attention si vous les configurez pour vous assurer que vous ne vous verrouillez pas par inadvertance hors d'un réseau ou n'empêchez pas les connexions lorsque vous activez une nouvelle règle. Outre les outils de l'interface graphique avec le panneau de configuration, vous pouvez également configurer les paramètres du pare-feu via l'invite de commande, PowerShell et en utilisant la stratégie de groupe. Les paramètres de pare-feu dans la stratégie de groupe peuvent être trouvés avec le nœud suivant : Configuration ordinateur et Paramètres Windows et Paramètres de sécurité et

Pare-feu Windows avec sécurité avancée.