ProRealTime
Un problème de pc ? Une choix de logiciel ou de hardware à faire ? Besoin de conseils pour acheter ou optimiser votre station de trading ?

Introduction à la sécurité informatique

par gorhyk » 05 Déc 2019 14:19

Dans cette file j'ai regroupé mes ouvertures de la semaine du 25 au 29 novembre 2019, et qui concernent la sécurité informatique.

Re: Introduction à la sécurité informatique

par gorhyk » 05 Déc 2019 14:22

Bonjour à toutes et à tous. Cette semaine nous allons aborder des notions de sécurité informatique, le but étant de vous donner des bonnes pratiques pour l'utilisation de votre ordinateur au quotidien. Nous allons majoritairement parler de Windows car étant le système le plus répandu, je suppose que c'est également le cas ici.

Nous allons commencer en douceur avec les différents groupes associé à un compte sur un poste de travail Windows (entendez le PC du salon). Ça va aller vite il y en a 3.

Groupe "Invités" : c'est un groupe qui dispose de quasiment aucun droit, si ce n'est l'accès au dossier "Public". Aucun utilisateur ne fais partis de ce groupe par défaut.
Groupe "Utilisateurs" : c'est un groupe qui a les droits minimum pour lancer des applications, naviguer sur internet, écrire des rapports avec Word, jouer à des jeux vidéo.
Groupe "Administrateurs" : c'est un groupe qui a quasiment tous les droits

Par défaut lors de l'installation d'un poste, Windows va créer un utilisateur unique qui fait partie du groupe Administrateurs.

Je vais passer directement à la pratique en vous montrant comment lister les utilisateurs et les groupes depuis un "invite de commandes".
Touche "Windows", tapez "cmd" et faites "entrée" :


Une fenêtre noire apparaît alors, avec deux informations :
- En violet la version actuelle de Windows (ici Windows 10)
- En Vert le dossier courant, à savoir le dossier de mon utilisateur courant ("Poire")


La commande net users liste les utilisateurs locaux du poste :


On y retrouve 6 utilisateurs, dont 4 que nous allons analyser.
Il est possible d'avoir des informations spécifiques de l'utilisateur (Poire par exemple) via la commande net user Poire.

Parmi les 4 comptes, il y en a 2 qui sont créé par défaut mais sont désactivés : "Administrateur" et "Invité".
Les 2 comptes intéressants créés sont "Poire" et "Pomme", dont voici leur rôle :
- Poire : compte créé lors de l'installation de Windows.
- Pomme : compte créé par la suite

Sous Windows, les droits d'un compte dépendent des groupes auquel ils appartiennent.
Pour lister tous les groupes présent sur le poste, il faut taper la commande net localgroup :


Parmi la longue liste des différents groupes, on retrouve les 3 qui ont été évoqués au début de l'article :
- Groupe "Administrateurs" : groupe des utilisateurs disposant des droits d'administration
- Groupe "Utilisateurs" : groupe des utilisateurs standard
- Groupe "Invités" : groupe des utilisateurs ayant des droits limités

Pour avoir les membres d'un groupe (ici le groupe "Administrateurs") il faut taper la commande net localgroup Administrateurs


On retrouve bien les utilisateurs "Poire" et "Administrateur".

De la même manière, on peut lister les membres du groupe "Utilisateurs", avec l'utilisateur "Pomme" qui en fait parti


Il est possible d'ajouter le groupe "Administrateurs" à l'utilisateur standard "Pomme" avec la commande suivante :
net localgroup Administrateurs Pomme /add

Maintenant que nous avons abordé la notion d'utilisateur standard et administrateur, nous verrons plus en détail la différence entre ces deux profils et l'intérêt d'utiliser un compte standard pour les usages du quotidien.

Re: Introduction à la sécurité informatique

par gorhyk » 05 Déc 2019 14:25

Aujourd'hui, nous allons voir l'UAC (User Access Control) qui est un mécanisme introduit avec Windows Vista, permettant de séparer explicitement les droits d'un compte administrateur.
Nous allons reprendre l'exemple de notre compte "Poire", qui est un compte qui fait partie du groupe "Administrateurs" et donc dispose de quasiment tous les droits sur l'ordinateur.

Grâce à l'UAC, un compte caché "Poire" avec des droits standard a été créé. (bon en vrai c'est deux jetons avec des droits différents, mais on va rester sur 2 sous-comptes :musique: ).
Ce compte "Poire standard" est utilisé par défaut pour toute les actions du quotidien (lancement d'un navigateur, ouverture d'un fichier Word etc…). Pour la suite de l'article, le compte "Poire administrateur" indiquera le compte d'administration.

Si "Poire" souhaite effectuer une tâche d'administration (normal c'est un administrateur), il faut lancer le programme souhaité avec les droits d'administration.


Le 1er carré vert, c'est "Poire standard" qui va ouvrir l'application, le second ce sera "Poire Standard" qui va demander d'ouvrir le programme en tant que "Poire administrateur".

La demande de "Poire standard" est matérialisé par la pop-up UAC suivante, que vous avez tous vu au moins une fois :


Cette simple fenêtre ou la majorité des gens clique sur "Oui" sans même lire ce qui est écrit est une très bonne protection contre les programmes qui souhaitent obtenir des droits supplémentaires silencieusement.

Le compte standard "Pomme" quant à lui n'est pas dans le groupe d'administration et donc quand il souhaite lancer un programme en tant qu'administrateur, l'UAC demande à l'utilisateur de s'authentifier en tant qu'utilisateur faisant parti du groupe "Administrateurs", comme Poire par exemple :


Cette demande explicite oblige "Pomme" à rentrer le mot de passe d'un compte administrateur, ce qui n'étais pas le cas avec "Poire".

Vous me direz "Mais en fait ça change quoi d'être administrateur ? ". Et bien énormément de choses :
- Pouvoir accéder et modifier quasiment tous les fichiers présents sur l'ordinateur. Je ne sais pas si le mot "ransomware" vous parle, mais si un administrateur se fait infecter, ce sera tous les documents qui seront chiffrés et pas uniquement les données de la personne en question.
- Désactiver un programme (antivirus, protections en tout genre)
- Détruire entièrement le système d'exploitation et les données qui sont dessus
- Installation d'un logiciel espion en profondeur, le rendant très difficilement supprimable (Rootkit kernel).

Enfin, il existe également des solutions permettant de contourner l'UAC, et donc en tant qu'utilisateur "Poire standard", il est possible de démarrer un programme en tant que "Poire Administrateur" sans que la demande d'UAC n'apparaisse.
Toutefois, les techniques sont rapidement bloquées par Microsoft, le classique jeu du chat et de la souris.

Pour résumer cet article :
- Utilisez un compte standard pour les tâches du quotidien,
- s'il vous plaît ne faites pas cette recherche, ça fait des trous dans la couche d'ozone :D

Re: Introduction à la sécurité informatique

par gorhyk » 05 Déc 2019 14:29

Aujourd'hui nous allons parler d'un problème bien connu, comment bien gérer ses mots de passe.

qu'est-ce qu'un mot de passe robuste ?
Derrière cette question faussement simple, il y a plusieurs questions à se poser :
- Que dois-je protéger ?
- Est-ce que la donnée à protéger est critique si elle fuite ?

Par exemple, nos données personnelles présentes sur un forum de recettes sont moins sensibles que nos données sur le site des impôts ou notre boite email. Naturellement nous ne mettrons pas le même niveau de sécurité du mot de passe car la donnée à protéger n'a pas le même niveau de confidentialité.

A cela s'ajoute :
- la nécessité d'avoir un mot de passe différent pour chaque compte
- Pas de dérivation entre les mots de passe (Twitter123 et Gmail123 -> devinez le mot de passe de Andlil)

Mais comment faire pour s'en sortir ?? :hein:
j'ai plus de 200 mots de passe différents, et je valide chacune de ces règles

La solution : :top: Un gestionnaire de mot de passe ! :bravo:

Il y en a pleins, j'en ai testé une bonne quantité et je vais vous indiquer celui que j'ai préféré : KeePass.
Avantages :
- Gratuit
- Open-Source
- Un grand jeu de plugins
- Très bien intégré à Windows, il remplit automatiquement les formulaires avec une combinaison de touches
- Disponible sur Windows, Linux, Android (portage sur Mac :top:)
- Pas d'infrastructure "Cloud", mon coffre-fort KeePass reste chez moi et ne bouge pas


Inconvénients :
- La prise en main est un peu complexe au premier abord, mais je vais essayer de vous accompagner au mieux

Pour le télécharger : https://keepass.info/
Une fois installé et lancé, faites "file" -> "new" il va falloir créer votre coffre-fort (qui a pour extension .kdbx).


Sauvegardez-le précieusement car si vous le perdez c'est la grosse galère ! Pour l'exemple je vais le sauvegarder sur mon bureau. Par la suite, il va demander de rentrer un mot de passe, qui est le seul mot de passe que vous devrez retenir par la suite.


prenez-en un suffisamment robuste. Pour vous aider, voici une illustration


Une fois le mot de passe maitre rentré, vous accédez au contenu de votre coffre-fort.


Ensuite, dans "Internet" vous pouvez rajouter une entrée pour le site Andlil :


En cliquant sur les 3 petits point sur la droite du mot de passe, vous pouvez afficher le mot de passe et donc le mettre à jour si nécessaire.

La partie intéressante va être le remplissage automatique des formulaires. Je n'ai pas trouvé de vidéo donc je vais vous détailler le processus :

1) Aller sur la page d'authentification du forum Andlil : ucp.php?mode=login

2) Cliquez dans l'onglet "Auto-type", et "Add" :


3) Une fenêtre va apparaître, sélectionnez la fenêtre du navigateur dans le menu déroulant


Sauvegardez tout ça et maintenant, cliquez dans le champ "nom d'utilisateur" du forum et faites la combinaison "Ctrl+Alt+A" et si tout se passe bien, le login et le mot de passe devrait se remplir automatiquement.

Pour conclure, Je ne connais que deux mots de passe : le mot de passe de ma session Windows et le mot de passe de mon keepass.

Ne perdez pas votre mot de passe keepass ou même votre keepass, sauvegardez le sur plusieurs emplacements, sur un drive (Nextcloud, Dropbox, etc) de manière à ce qu'il se synchronise en permanence.

Re: Introduction à la sécurité informatique

par gorhyk » 05 Déc 2019 14:34

Maintenant que vous avez tous un compte utilisateur standard pour naviguer sur internet, avec vos mots de passe uniques et robustes dans un gestionnaire de mots de passe, nous allons voir quelques astuces pour analyser rapidement un fichier suspect.

Afficher correctement un fichier

Par défaut, Windows ne va pas afficher les extensions "connues" d'un fichier. Voici 3 fichiers "fraise" ayant le même nom :


Or, depuis un invite de commande, la commande "dir" qui permet de lister le répertoire courant nous indique une image (.bmp) un document word (.docx) et un fichier texte (.txt) :


Windows se base donc sur l'extension pour afficher l'icône associée. Nous allons profiter de cette confiance accordée par le système d'exploitation pour afficher une application comme étant un fichier texte :


Maintenant en listant le contenu on constate deux fichiers "fraise" : un document texte et une application :


Mais comment différencier les deux ? Il suffit d'afficher les extensions :
View -> Options -> View -> désactiver "Cacher l'extension des fichiers connus"


Maintenant les extensions sont affichées et les fichiers malveillants n'ont qu'à bien se tenir :


Ok très bien, mais est-ce que ce fichier est malveillant ? Puis-je l'ouvrir sans risque ? Pour répondre à cette question, nous allons soumettre le fichier à plusieurs tests.

Calcul du hash

Pour identifier un fichier de manière unique, il suffit de calculer son empreinte. Le calcul de l'empreinte est une opération cryptographique qui permet à partir d'un ensemble de N octets en entrée de retourner une chaîne de caractère unique de taille fixe. Les algorithmes les plus utilisés sont MD5, SHA1 et SHA256. L'outil 7zip permet de calculer cette empreinte facilement, via le menu contextuel du fichier :



Analyse du fichier

Sur cet exemple, vous pouvez prendre l'empreinte SHA1 et la soumettre sur le site de comparaison d'empreinte le plus complet à ce jour : https://www.virustotal.com/gui/home/search
Il suffit de soumettre l'empreinte dans la barre de recherche :


et si le fichier a déjà été analysé, vous aurez le résultat directement :


En plus de faire une comparaison avec une base d'empreintes, VirusTotal va également faire analyser le fichier à un grand nombre d'anti-virus.
Si le fichier n'existe pas, vous pouvez également le soumettre mais sachez que vous le partagerez à toutes les personnes qui peuvent récupérer les fichiers soumis (il suffit de donner quelques billets)

A titre d'exemple, voici le résultat d'un malware en vogue en ce moment :


Si vous avez encore un doute, vous pouvez ouvrir le fichier dans un environnement cloisonné, spécialement dédié à l'analyse de malwares. Ces environnements appelé SandBox (Bac à sable) sont gratuits pour quelques soumissions, l'une des plus pertinentes en ce moment est https://app.any.run/.

Re: Introduction à la sécurité informatique

par gorhyk » 05 Déc 2019 14:41

Pour finir la semaine, nous allons nous concentrer sur l'analyse d'une URL. Comme les chasseurs, il y a des bonnes et des mauvaises URL.
Rentrons directement dans le vif du sujet, je prends la première URL que j'ai sous les yeux, ma boite email :


L'URL est la suivante : https://mail.google.com/mail/u/0/#inbox

L'accès à un site Web depuis un navigateur se fait avec deux protocoles : HTTP et HTTPS. Quelle différence entre les deux me diriez-vous ? Et bien c'est le "S" mon bon monsieur.

Blague à part, le premier (HTTP) est un protocole ou toutes les données échangées entre votre navigateur et le serveur qui héberge le site web sont en clair, il suffit qu'une personne se place en écoute entre vous deux pour être en mesure de voir en temps réel ce que vous voyez, et de modifier à la volée s'il le souhaite le contenu de la page web que le serveur vous transmet.

Cette attaque appelée "Man In The Middle" (l'homme du milieu) est assez facile à mettre en place. Je ne vais pas détailler cette partie mais si vous êtes curieux, voici une introduction de cette attaque : https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-zero/3200349-lattaque-de-lhomme-du-milieu-mitm

Le protocole HTTPS lui est une surcouche du protocole HTTP, il rajoute la couche sécurité, en mettant en place un tunnel chiffré entre le site web et votre navigateur. Je ne vais pas rentrer non plus dans les détails de ce tunnel, restons concentrés sur l'URL.

Comme on peut le constater, le protocole utilisé est HTTPS, un méchant attaquant étant positionné entre mon navigateur et le site web ne peut donc pas facilement intercepter et modifier les données échangées.

Warning rouge !!! Je tiens à préciser que ce n'est pas parce qu'il y a le "petit cadenas à gauche" que c'est un site qui n'a pas de "virus", (maman si tu me lis…) Nous le verrons par la suite.

Une fois le protocole identifié, on va regarder le nom de domaine. Le nom de domaine se situe entre les https:// et le premier /, qui correspond dans notre cas à mail.google.com. Ce domaine est composé de 3 parties séparées par des points.

L'analyse d'un domaine se fait de la droite vers la gauche en analysant chaque ensemble séparé par les points :
.com : ça correspond à l'extension d'un domaine (le TLD pour Top Level Domain) on peut trouver .fr, .org, .net ou depuis quelques temps des plus exotiques comme .ninja ou .paris
.google : le niveau d'en dessous est appelé "domaine principal" (Oui je sais très original)
mail : cette partie correspond au sous-domaine, il peut y en avoir beaucoup plus (3 sous-domaines par exemple : mail.services.api.google.com)

Ce que se situe après le premier / correspond à l'arborescence et aux paramètres du site : /mail/u/0/#inbox Je ne vais pas non plus détailler cette partie-là, non pertinent pour déterminer si une URL est malveillante.

En résumé ce que l'on doit en conclure :
- Utilisation du protocole HTTPS -> c'est bien
- Tld en .com -> c'est classique, c'est bien (les extensions en .fun par exemple sont beaucoup plus facile à acheter, et donc plus simple pour un attaquant)
- Domaine principal : google -> on peut dire que c'est une valeur sûre, c'est un domaine qui appartient aux GAFA et est donc extrêmement surveillé.
- Sous-domaine : mail -> classique également, rien de choquant

Maintenant, vous recevez par mail cette URL : https://mails-google.com/mail/u/0/#inbox


La différence est le domaine, nous ne sommes plus sur le domaine "google" mais le domaine "mails-google" qui n'appartient peut-être pas à google. D'ailleurs pour la petite histoire, ce domaine est disponible pour tous :


mais je vous déconseille de l'acheter, vous allez rapidement vous retrouver avec une armée d'avocats aux fesses avant même de pouvoir l'utiliser.

Enfin si vous avez un doute, vous pouvez toujours soumettre une URL au site virustotal, qui va s'occuper d'analyser le lien pour vous :

Re: Introduction à la sécurité informatique

par Blia » 05 Déc 2019 19:08

Merci gorhyk pour ces articles sur la sécurité informatique.

C'est dommage que tu n'aies pas eu le temps d'aborder les pare-feu (firewalls) :
- celui par défaut de Windows
- comment aller plus loin avec le Pare-Feu Windows Defender avec fonctions avancées de sécurité
- différences entre réseau privé et réseau public
- comment autoriser (ou non) l'accès à internet à un logiciel
- avantages et inconvénients du pare-feu Windows Defender (par rapport à d'autres firewalls)
- quels autres logiciels sont utiles pour sécuriser, surveiller ou protéger son OS ? par ex:
  • - Currports : pour surveiller quels logiciels se connectent à internet (et vers où, par quel port, etc..) : https://www.nirsoft.net/utils/cports.html
  • - Windows Sandbox (pour isoler un logiciel et le tester sans qu'il n'affecte le reste du système) :
    https://www.tomsguide.fr/installer-sandbox-windows-10-regler-problemes/ ...

Habituellement il est déconseillé d'avoir deux pare-feu installés en même temps, mais perso, j'utilise TinyWall (et je le conseille, mais seulement pour les utilisateurs qui cherchent un peu plus de contrôle des règles du pare-feu) : il s'agit d'un logiciel gratuit, non-intrusif (pas de pop-up) qui complète bien le pare-feu de Windows avec une interface pour lister les programmes bloqués, les services & logiciels qui tentent de se connecter au net, des menus pour ajouter des processus ou logiciels à la liste d'exception, etc. https://tinywall.pados.hu/

Sinon il y a Windows Firewall Control qui, en plus d'être gratuit lui aussi, complète également très bien Windows Defender. https://www.binisoft.org/wfc.php

En tous cas, merci gorhyk ces rappels de sécurité. :top:

Re: Introduction à la sécurité informatique

par oilp » 08 Déc 2019 12:04

merci beaucoup gorhyk d'avoir tout regroupé !
ce sera plus facile pour relire et mettre en application
et merci blia pour le complément
bon w-e à vous

Re: Introduction à la sécurité informatique

par gorhyk » 10 Déc 2019 16:37

Merci blia pour le complément :D

Vu que j'ai un peu de temps, je vais vous illustrer l'analyse d'une tentative de phishing que j'ai reçu il y a 5mn.

Je reçois ce message par SMS :


Comme une grande majorité des gens, je suis en attente d'un colis et donc mon premier réflexe est de cliquer sur le lien. Ce lien est ce que l'on appelle un "short link", le service qui est derrière permet de créer des mini liens temporaire, permettant de réduire grandement la longueur à partager. Parmi ces services, on peut citer https://bitly.com/ ou https://www.shorturl.at/. Une fois redirigé, voici le lien final :


/!\ Ouvrir le lien dans un environnement qui ne craint rien (depuis un terminal linux, depuis une Sandbox, depuis une machine virtuelle...)

On va analyser cette URL :
1) https -> Protocole sécurisé, c'est cool mais comme on l'a vu, ça ne veut rien dire
2) fir5.com : Domaine principal. à priori ça n'a aucun lien avec la poste
3) colis-information : là ça a un lien avec la poste mais le domaine principal non, on va soumettre le nom de domaine sur le site virustotal :


On peut voir que les premières soumissions remontent à 15 jours, ce qui est beaucoup trop récent pour un site de gestion de colis comme la poste.

En plus, le numéro de colis renseigné ne correspond pas à un vrai numéro de colis, la preuve finale que c'est un faux site.

En espérant vous avoir un peu plus éclairé sur ce sujet là :top:

Re: Introduction à la sécurité informatique

par Bobo » 10 Déc 2019 19:21

J'ai reçu exactement le même type de SMS il y a quelques jours. Une demande d'affranchissement de seulement quelques euros.
Cette technique est malheureusement très ingénieuse et des millions de gens vont se faire avoir, surtout en cette période où tout le monde attend des colis. Quelques euros multipliés par des millions de personnes rendent un hacker tranquille jusqu'à la fin de ses jours.

Ouh la en me relisant, je précise que ce n'est absolument pas un conseil pour devenir riche. :?

Articles en relation
Introduction au Deep Learning
Fichier(s) joint(s) par plataxis » 12 Mar 2017 08:59 (12 Réponses)
Certificat de sécurité
Fichier(s) joint(s) par DarthTrader » 05 Fév 2015 09:57 (9 Réponses)
IG/ Sécurité/ Mobile
Fichier(s) joint(s) par Benoist Rousseau » 03 Déc 2016 13:17 (31 Réponses)
Cadenas sécurité site internet
Fichier(s) joint(s) par DarthTrader » 28 Fév 2015 10:17 (5 Réponses)
Sécurité: comment protégez-vous votre station de trading?
par falex » 16 Juin 2014 10:58 (13 Réponses)
Se former à l'informatique ?
par apj » 19 Aoû 2018 19:10 (12 Réponses)
Piratage Informatique
par spike » 09 Fév 2014 21:25 (10 Réponses)
Matériel Informatique
par DarthTrader » 18 Nov 2014 20:40 (9 Réponses)
Réseaux et informatique
par AD_ » 16 Sep 2016 10:44 (3 Réponses)
Ouverture du forum informatique
par Benoist Rousseau » 26 Jan 2013 12:50 (6 Réponses)

ProRealTime