Safe Hex - Sécurité informatique

Par les participants du groupe alt.comp.virus.
(Ces pages de sécurité sont le résultat d'un effort collectif continu.)

Traductions disponibles: English et Deutsch


Menu principal

Une collection de suggestions pour vous aider à vous défendre contre les virus, les vers, les chevaux de Troie et d'autres programmes malveillants.

1. Installez, utilisez et maintenez à jour un logiciel antivirus
2. Installez les correctifs pour votre système d'exploitation et vos logiciels
3. Considérez l'utilisation de navigateurs et logiciels de messagerie alternatifs
4. Soyez prudent en maniant des messages avec des pièces jointes et en téléchargeant des fichiers
5. Les formats de fichiers
6. Configurez votre système d'exploitation convenablement
7. Préservez votre vie privée
8. Astuces diverses
9. Si toutefois vous attrapez un virus...

1. Installez, utilisez et maintenez à jour un logiciel antivirus
Un logiciel antivirus vous sera très utile pour vous défendre contre les logiciels malveillants - à condition qu'il soit utilisé correctement. Voici quelques recommandations pour profiter au maximum de votre logiciel antivirus:

1. Choisissez un bon logiciel antivirus.
   Une liste de logiciels antivirus et de leurs évaluations est disponible ici. Cette page explique également sur quoi vous concentrer quand vous choisissez une solution antivirus et comment interpréter les résultats de tests. Jetez aussi un oeil à cette page, qui explique pourquoi vous ne devriez pas aveuglement suivre les recommandations de votre magazine préféré: La presse informatique et les tests de logiciels antivirus.
2. Mettez le à jour.
   Un logiciel antivirus ne peut vous protéger que des programmes malveillants qu'il connaît déjà. Etant donné que de nouveaux virus font surface tous les jours, il est très important de mettre le logiciel antivirus à jour régulièrement.
3. Utilisez le!
   Un logiciel antivirus qui traîne sur votre disque dur sans jamais passer à l'action ne sert à rien. Utilisez le pour examiner de nouveaux fichiers que vous venez de télécharger ou pour effectuer des examens de routine de votre ordinateur. Si vos connaissances en informatique sont plutôt modestes, vous profiterez certainement de la présence d'un moniteur qui surveille en permanence votre système. Si, par contre, vous savez ce que vous faites, alors vous pourrez probablement vous en passer.
4. Ne lui faites pas confiance.
   Les logiciels antivirus modernes sont très fiables, mais il est très important de se rappeler qu'AUCUN logiciel antivirus n'est parfait. Aucun logiciel antivirus sur cette planète ne peut compenser l'imprudence ou de mauvais logiciels. Aucun logiciel antivirus ne détectera toujours tous les virus.
5. Utilisez le intelligemment.
   Certains logiciels antivirus vous proposent des options et gadgets équivoques. N'utilisez pas une fonction simplement "parce qu'elle est là". Par exemple, les certifications que certains antivirus ajoutent aux messages électroniques ne servent à rien, sauf à faire de la pub pour le logiciel antivirus.

2. Installez les correctifs pour votre système d'exploitation et vos logiciels
Nous vous conseillons vivement d'installer tous les correctifs de sécurité dès qu'ils sont disponibles. Voici une liste des correctifs "essentiels". Notez que cette liste est loin d'être complète:

• http://www.microsoft.com/technet/security/bulletin/ms99-032.mspx
  pour Internet Explorer 4.0 et 5.0 ainsi qu'Outlook Express
  Jetez un oeil à la description du ver Kak.
  
  
• http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
  pour Internet Explorer 5.0, 5.01 et 5.5 ainsi qu'Outlook Express
  Il s'agit d'une faille exploitée par un grand nombre de virus, dont Klez
  
  
• http://www.microsoft.com/technet/security/bulletin/MS00-072.mspx
  pour Windows 95, 98, 98 Seconde Edition et ME
  Cette faille est exploitée par Opaserv
  
  
• http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx
  *Remplacé par: http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx
  pour Windows NT, 2000, XP et 2003 - Mise à jour cumulée pour Microsoft RPC/DCOM
  Cette faille est exploitée par Blaster
  
  
• http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
  for Windows NT, 2000, XP and 2003
  Cette faille est exploitée par Sasser

Vous pouvez vous servir des sites Windows Update et Office Update pour mettre à jour votre système. Notez qu'ils ne fonctionnent qu'avec Internet Explorer. Il faudra éventuellement que vous baissiez votre niveau de sécurité pour qu'ils fonctionnent correctement. N'oubliez pas de rehausser le niveau de sécurité une fois la mise à jour terminée.


3. Considérez l'utilisation de navigateurs et logiciels de messagerie alternatifs
Les programmes Internet Explorer et Outlook Express de Microsoft sont connus pour leurs nombreuses lacunes en matière de sécurité, qui en ont fait les cibles privilégiées des "programmeurs" malveillants. Vous profiterez sans doute de l'utilisation de logiciels alternatifs, dont voici une liste:

• Navigateurs:
  
  • Mozilla/Firefox :
      http://www.mozilla.com
      http://frenchmozilla.sourceforge.net
  • K-Meleon (basé sur Mozilla) :
      http://kmeleon.sourceforge.net
      http://kmeleon.sourceforge.net/?switchlang=fr
  • Opera: http://www.opera.com
• Logiciels de courrier électronique:
  
  • Mozilla/Thunderbird et Opera (voir ci-dessus)
  • The Bat!: http://www.ritlabs.com
  • Pegasus Mail: http://www.pmail.com

Notez que des défaillances peuvent aussi être découvertes dans ces logiciels (moins souvent probablement), donc il vaut mieux vérifier régulièrement si des mises à jour sont disponibles.

Vous pourrez importer les favoris d'IE dans la plupart de ces navigateurs. Veillez bien à régler la sécurité d'IE au maximum pour toutes les zones :
http://www.microsoft.com/security/incident/settings.mspx#XSLTsection125121120120
y compris la zone "poste de travail" : http://support.microsoft.com/default.aspx?scid=kb;fr;182569
(Et envisagez l'utilisation d'IE uniquement pour télécharger les mises à jour pour Windows ainsi que les correctifs de sécurité critiques pour votre version de Windows. Une fois que cela est fait, remettez le niveau de sécurité de toutes les zones au maximum.)


4. Soyez prudent en maniant des messages avec des pièces jointes et en téléchargeant des fichiers
Voici ce que vous ne devez jamais (et nous disons bien jamais!) faire:

• N'ouvrez jamais des pièces jointes de source inconnue
• N'ouvrez jamais des pièces jointes même de source connue
• N'ouvrez jamais des pièces jointes non sollicitées avant d'avoir confirmé que l'expéditeur les a envoyées intentionnellement. Si vous connaissez l'expéditeur et que vous êtes absolument sûr qu'il les a envoyées intentionnellement, alors examinez les à l'aide d'un antivirus à jour avant de les ouvrir.
• Ne faites jamais suivre des alertes aux virus à moins que vous soyez abonné à un service d'alerte sérieux. Le mieux est d'ignorer ces avertissements.
• N'acquérez jamais de programmes par l'intermédiaire de sites "warez" ou de logiciels d'échange tels que Kazaa. Obtenez vos programmes depuis des sites connus et dignes de confiance uniquement.

N.b.: Certains types de fichiers peuvent être testés en lançant d'abord le logiciel qui leur est associé et en se servant de sa fonction d'ouverture de fichier (généralement "Fichier", "Ouvrir..."). Par exemple, un fichier de type JPG ou GIF peut être testé en lançant un logiciel de traitement d'image quelconque. Quand vous recevez de tels fichiers, sauvegardez les d'abord dans un répertoire de test (vous pouvez en créer un). Ensuite servez-vous de votre logiciel de traitement d'image pour ouvrir le fichier sans risque. Si le fichier est louche, le logiciel se plaindra et vous pourrez tout simplement l'effacer.

De manière similaire, les fichiers MP3, WAV, etc. peuvent être testés en lançant d'abord le lecteur correspondant. Les fichiers prétendus en texte brut (TXT) peuvent être ouverts avec le bloc-notes. Il ne faut jamais double-clicker dessus dans l'explorateur ou le logiciel de messagerie avant qu'ils n'aient été testés de cette manière. Il pourrait y avoir une   extension cachée ou   CLSID (extension "class ID").

Pendant que nous y sommes, évoquons brièvement la manière dont certains lecteurs de forums manient les images et d'autres types de fichiers. Par exemple, Free Agent (un lecteur de forums gratuit de Forté) possède une option dangereuse dans le menu File appelée "Launch binary attachment" ("lancer pièce jointe binaire"). Cela permet l'exécution de fichiers JPEG et GIF avec une extension .exe (exécutable) cachée. (C'est très mauvais.) L'utilisateur devrait plutôt cliquer sur "Decode binary attachment" ("décoder la pièce jointe binaire") et le fichier codé par uuencode sera décodé dans le répertoire Agent, vous permettant ainsi de lancer votre logiciel préféré pour ouvrir ce type de fichier.


5. Les formats de fichiers
N'utilisez plus les fichiers DOC (si possible). Utilisez plutôt le format   RTF pour vos documents car il ne supporte pas le langage macro. Malheureusement, ici aussi il faut faire attention. Certains virus macro interceptent la fonction de sauvegarde au format RTF et sauvegardent un fichier avec une extension .RTF qui contient en fait des données au format DOC! Il faut donc que ce soient de vrais fichiers RTF. Demandez aux personnes avec lesquelles vous échangez des données que vous préfèreriez qu'elles vous envoient des documents au format RTF ou CSV (  "Comma-Separated Variable") plutôt que des fichiers DOC ou XLS.

  Avertissement - Bulletin de sécurité RTF de Microsoft - 22 mai 2001


6. Configurez votre système d'exploitation convenablement

• Configurez Windows de manière à ce qu'il affiche les extensions de tous les fichiers, y compris celles de types de fichiers connus. Vous trouverez une case à cocher dans les options de l'explorateur Windows. (Un mode d'emploi pour la version anglaise se trouve   ici.)
  Notez que même avec cette option, Windows cachera toujours les extensions de certains types de fichiers, dont les .shs et .pif. Pour contourner cela, vous pouvez supprimer les chaînes de caractères "NeverShowExt" (sans les guillemets) dans la base de registre avec le programme regedit.exe.
  
  
  Soyez prudent en modifiant la base de registre. Ne le faites que si vous savez ce que vous faites!
  
  
• La plupart des versions de Windows comportent le "Windows Scripting Host" (WSH) qui permet l'exécution de fichiers VBS (Visual Basic Script) et JS (JScript). Ces fichiers peuvent contenir du code malveillant.
  
  Vous pouvez empêcher l'exécution accidentelle de programmes malveillants de ce type en changeant l'action par défaut que subissent les fichiers VBS/VBE et JS/JSE. Changez la en "Editer" de manière à ce que ces fichiers soient ouverts dans le bloc-notes. Au cas où vous voudriez réellement lancer un tel fichier, vous pourrez choisir l'option "Ouvrir" dans son menu contextuel, auquel vous accéderez avec un clic droit.
  
  
• Si vous n'êtes pas connecté à un réseau local (LAN), désactivez le partage de fichiers et d'imprimantes dans le panneau de configuration. Si vous avez besoin du partage de fichiers et d'imprimantes, alors partagez uniquement les répertoires nécessaires. Ne partagez jamais des disques entiers ou des répertoires sensibles comme celui où réside Windows, et interdisez l'accès en écriture. Il est également primordial de protéger les répertoires partagés par des mots de passe balèzes. Les mots de passe devraient être constitués d'un mélange de lettres, de chiffres et de signes de ponctuation.
  Si vous utilisez Windows 95, 98, 98 Seconde Edition ou ME, installez le correctif suivant:
  http://www.microsoft.com/technet/security/bulletin/MS00-072.mspx
  
  Pour plus d'informations sur la configuration de réseaux, jetez un oeil aux sites suivants:
  
  •   http://grc.com/su-rebinding9x.htm
  •   http://www.pcflank.com
  
  La configuration de réseaux est un élément important. Beaucoup d'utilisateurs insouciants ne sont pas conscients des dangers posés par les partages, et certains virus se servent du partage de fichiers pour se propager (avec succès d'ailleurs). Deux de ces bestioles sont:
  
  Opaserv: http://www.sophos.fr/virusinfo/analyses/w32opaserva.html
  Bugbear: http://www.sophos.fr/virusinfo/analyses/w32bugbeara.html
  

7. Préservez votre vie privée
Voici ce que vous ne devez jamais (encore une fois: jamais) faire:

• N'utilisez jamais la fonction de désabonnement des messages publicitaires car en faisant cela, vous confirmez que votre adresse est valable et le spammeur peut continuer à vous envoyer ces publicités non sollicitées.
  La meilleure façon de traiter ces messages est de les effacer, et, si vous le souhaitez, de vous plaindre auprès du fournisseur d'accès de l'expéditeur. Pour ce faire, vous devez examiner l'en-tête du message pour déterminer de quel fournisseur d'accès il s'agit. Ne vous fiez pas à la prétendue adresse email car elle est probablement falsifiée.
• Ne laissez jamais votre navigateur stocker des noms d'utilisateur et mots de passe.
• Ne révélez jamais de détails personnels, financiers ou de carte de crédit aux sites peu connus ou suspects.
• N'utilisez jamais un ordinateur ou un appareil auquel vous ne faites pas entièrement confiance.
• N'utilisez pas d'ordinateurs publics pour accéder à des services financiers en ligne ou pour effectuer des transactions.

8. Astuces diverses

• Faites attention aux fichiers avec de multiples extensions. Généralement, c'est la dernière extension qui compte. Par exemple, un fichier nommé
  
  hello.mp3.exe
  
  est un programme exécutable (.exe) et pas un fichier MP3!
  
  Notez cependant que si vous utilisez Outlook Express et que vous voyez un fichier avec trois extensions, Outlook Express pourra considérer la seconde extension comme étant l'extension valable. Ainsi, un fichier nommé
  
  hello.mp3.exe.jpg
  
  est un programme exécutable (.exe) et ni un fichier MP3 ni un fichier JPG!
  (Note: ceci n'est ni une faute de frappe ni une erreur -- il s'agit d'une   faille de sécurité dans Outlook Express utilisée par "Sadhound".)
  
  C'est pourquoi il est important de suivre la procédure exposée dans le paragraphe 4 pour ouvrir des fichiers inconnus. Vous ne courrez aucun risque si vous ignorez simplement les fichiers avec plus d'une extension.
  
  
• Dans le BIOS, réglez la séquence de démarrage de manière à ce que l'ordinateur démarre d'abord du disque dur et pas depuis une disquette. Choisissez la séquence que vous voulez, du moment que "C:" vient en premier.
  
  
• Sauvegardez régulièrement vos données.
  
  
• Installez un bon pare-feu. Nous avons une page dédiée aux pare-feu et filtres ici.

9. Si toutefois vous attrapez un virus...
... alors la règle la plus importante est la suivante: NE PANIQUEZ PAS

Souvent les utilisateurs angoissés causent plus de dégâts que le programme malveillant dont ils veulent se débarrasser aurait occasionné.

Si votre ordinateur est infecté, le forum fr.comp.securite.virus est un endroit où vous trouverez de l'assistance et des informations. Vous pourrez demander conseil à un certain nombre de professionnels et d'utilisateurs expérimentés.

Veuillez noter ceci avant de poster sur le forum fr.comp.securite.virus:

• Ne postez pas de fichiers binaires ou d'échantillons de virus.
• Exposez clairement votre problème quand vous demandez de l'aide.
• Faites en sorte que votre lecteur de forums n'exécute pas les scripts enfouis dans le HTML.
• Effacez tous les messages qui contiennent des pièces jointes.
• Ne vous laissez pas intimider par le bruit de fond.
• Lisez d'abord quelques messages et recherchez des messages dont l'objet pourrait indiquer un problème semblable au vôtre.
• Ne donnez pas de conseils si vous n'êtes pas sûr que ce sont de bons conseils, même si vous voulez simplement aider quelqu'un.

fr.comp.securite.virus chez Google

---

Conseil pour les administrateurs

Vous profiterez peut-être d'une ligne de conduite concernant les canulars semblable à celle-ci: "A personne tu n'enverras d'avertissements à propos de virus, sauf à <insérez ici le nom de la personne responsable de la sécurité informatique>. Qu'il s'agisse d'un avertissement d'un éditeur de logiciels d'antivirus, ou que l'avertissement ait été soi-disant confirmé par une grande boîte de l'informatique (IBM, AOL, Microsoft, etc.) ou par cousin Raoul, n'a aucune importance. Tous les avertissements doivent être envoyés uniquement à <insérez le nom>. C'est la tâche de <insérez le nom> de faire circuler des avertissements, donc tout avertissement provenant d'une autre source doit être ignoré."

---

Avant de partir...

• Demandez à tous vos amis et à votre famille de pratiquer le "safe hex"
• Souvenez-vous, si un jour vous recontrez un virus, ne paniquez pas!
• Jetez un oeil à notre liste de références.
• Des liens supplémentaires au sujet de la sécurité informatique sont disponibles   ici.