Dans cette file j'ai regroupé mes ouvertures de la semaine du 25 au 29 novembre 2019, et qui concernent la sécurité informatique.
Bonjour à toutes et à tous. Cette semaine nous allons aborder des notions de sécurité informatique, le but étant de vous donner des bonnes pratiques pour l'utilisation de votre ordinateur au quotidien. Nous allons majoritairement parler de Windows car étant le système le plus répandu, je suppose que c'est également le cas ici.
Nous allons commencer en douceur avec les différents groupes associé à un compte sur un poste de travail Windows (entendez le PC du salon). Ça va aller vite il y en a 3.
Groupe "Invités" : c'est un groupe qui dispose de quasiment aucun droit, si ce n'est l'accès au dossier "Public". Aucun utilisateur ne fais partis de ce groupe par défaut.
Groupe "Utilisateurs" : c'est un groupe qui a les droits minimum pour lancer des applications, naviguer sur internet, écrire des rapports avec Word, jouer à des jeux vidéo.
Groupe "Administrateurs" : c'est un groupe qui a quasiment tous les droits
Par défaut lors de l'installation d'un poste, Windows va créer un utilisateur unique qui fait partie du groupe Administrateurs.
Je vais passer directement à la pratique en vous montrant comment lister les utilisateurs et les groupes depuis un "invite de commandes".
Touche "Windows", tapez "cmd" et faites "entrée" : Une fenêtre noire apparaît alors, avec deux informations :
- En violet la version actuelle de Windows (ici Windows 10)
- En Vert le dossier courant, à savoir le dossier de mon utilisateur courant ("Poire") La commande net users liste les utilisateurs locaux du poste : On y retrouve 6 utilisateurs, dont 4 que nous allons analyser.
Il est possible d'avoir des informations spécifiques de l'utilisateur (Poire par exemple) via la commande net user Poire.
Parmi les 4 comptes, il y en a 2 qui sont créé par défaut mais sont désactivés : "Administrateur" et "Invité".
Les 2 comptes intéressants créés sont "Poire" et "Pomme", dont voici leur rôle :
- Poire : compte créé lors de l'installation de Windows.
- Pomme : compte créé par la suite
Sous Windows, les droits d'un compte dépendent des groupes auquel ils appartiennent.
Pour lister tous les groupes présent sur le poste, il faut taper la commande net localgroup : Parmi la longue liste des différents groupes, on retrouve les 3 qui ont été évoqués au début de l'article :
- Groupe "Administrateurs" : groupe des utilisateurs disposant des droits d'administration
- Groupe "Utilisateurs" : groupe des utilisateurs standard
- Groupe "Invités" : groupe des utilisateurs ayant des droits limités
Pour avoir les membres d'un groupe (ici le groupe "Administrateurs") il faut taper la commande net localgroup Administrateurs On retrouve bien les utilisateurs "Poire" et "Administrateur".
De la même manière, on peut lister les membres du groupe "Utilisateurs", avec l'utilisateur "Pomme" qui en fait parti Il est possible d'ajouter le groupe "Administrateurs" à l'utilisateur standard "Pomme" avec la commande suivante :
net localgroup Administrateurs Pomme /add
Maintenant que nous avons abordé la notion d'utilisateur standard et administrateur, nous verrons plus en détail la différence entre ces deux profils et l'intérêt d'utiliser un compte standard pour les usages du quotidien.
Nous allons commencer en douceur avec les différents groupes associé à un compte sur un poste de travail Windows (entendez le PC du salon). Ça va aller vite il y en a 3.
Groupe "Invités" : c'est un groupe qui dispose de quasiment aucun droit, si ce n'est l'accès au dossier "Public". Aucun utilisateur ne fais partis de ce groupe par défaut.
Groupe "Utilisateurs" : c'est un groupe qui a les droits minimum pour lancer des applications, naviguer sur internet, écrire des rapports avec Word, jouer à des jeux vidéo.
Groupe "Administrateurs" : c'est un groupe qui a quasiment tous les droits
Par défaut lors de l'installation d'un poste, Windows va créer un utilisateur unique qui fait partie du groupe Administrateurs.
Je vais passer directement à la pratique en vous montrant comment lister les utilisateurs et les groupes depuis un "invite de commandes".
Touche "Windows", tapez "cmd" et faites "entrée" : Une fenêtre noire apparaît alors, avec deux informations :
- En violet la version actuelle de Windows (ici Windows 10)
- En Vert le dossier courant, à savoir le dossier de mon utilisateur courant ("Poire") La commande net users liste les utilisateurs locaux du poste : On y retrouve 6 utilisateurs, dont 4 que nous allons analyser.
Il est possible d'avoir des informations spécifiques de l'utilisateur (Poire par exemple) via la commande net user Poire.
Parmi les 4 comptes, il y en a 2 qui sont créé par défaut mais sont désactivés : "Administrateur" et "Invité".
Les 2 comptes intéressants créés sont "Poire" et "Pomme", dont voici leur rôle :
- Poire : compte créé lors de l'installation de Windows.
- Pomme : compte créé par la suite
Sous Windows, les droits d'un compte dépendent des groupes auquel ils appartiennent.
Pour lister tous les groupes présent sur le poste, il faut taper la commande net localgroup : Parmi la longue liste des différents groupes, on retrouve les 3 qui ont été évoqués au début de l'article :
- Groupe "Administrateurs" : groupe des utilisateurs disposant des droits d'administration
- Groupe "Utilisateurs" : groupe des utilisateurs standard
- Groupe "Invités" : groupe des utilisateurs ayant des droits limités
Pour avoir les membres d'un groupe (ici le groupe "Administrateurs") il faut taper la commande net localgroup Administrateurs On retrouve bien les utilisateurs "Poire" et "Administrateur".
De la même manière, on peut lister les membres du groupe "Utilisateurs", avec l'utilisateur "Pomme" qui en fait parti Il est possible d'ajouter le groupe "Administrateurs" à l'utilisateur standard "Pomme" avec la commande suivante :
net localgroup Administrateurs Pomme /add
Maintenant que nous avons abordé la notion d'utilisateur standard et administrateur, nous verrons plus en détail la différence entre ces deux profils et l'intérêt d'utiliser un compte standard pour les usages du quotidien.
Aujourd'hui, nous allons voir l'UAC (User Access Control) qui est un mécanisme introduit avec Windows Vista, permettant de séparer explicitement les droits d'un compte administrateur.
Nous allons reprendre l'exemple de notre compte "Poire", qui est un compte qui fait partie du groupe "Administrateurs" et donc dispose de quasiment tous les droits sur l'ordinateur.
Grâce à l'UAC, un compte caché "Poire" avec des droits standard a été créé. (bon en vrai c'est deux jetons avec des droits différents, mais on va rester sur 2 sous-comptes :musique: ).
Ce compte "Poire standard" est utilisé par défaut pour toute les actions du quotidien (lancement d'un navigateur, ouverture d'un fichier Word etc…). Pour la suite de l'article, le compte "Poire administrateur" indiquera le compte d'administration.
Si "Poire" souhaite effectuer une tâche d'administration (normal c'est un administrateur), il faut lancer le programme souhaité avec les droits d'administration. Le 1er carré vert, c'est "Poire standard" qui va ouvrir l'application, le second ce sera "Poire Standard" qui va demander d'ouvrir le programme en tant que "Poire administrateur".
La demande de "Poire standard" est matérialisé par la pop-up UAC suivante, que vous avez tous vu au moins une fois : Cette simple fenêtre ou la majorité des gens clique sur "Oui" sans même lire ce qui est écrit est une très bonne protection contre les programmes qui souhaitent obtenir des droits supplémentaires silencieusement.
Le compte standard "Pomme" quant à lui n'est pas dans le groupe d'administration et donc quand il souhaite lancer un programme en tant qu'administrateur, l'UAC demande à l'utilisateur de s'authentifier en tant qu'utilisateur faisant parti du groupe "Administrateurs", comme Poire par exemple : Cette demande explicite oblige "Pomme" à rentrer le mot de passe d'un compte administrateur, ce qui n'étais pas le cas avec "Poire".
Vous me direz "Mais en fait ça change quoi d'être administrateur ? ". Et bien énormément de choses :
- Pouvoir accéder et modifier quasiment tous les fichiers présents sur l'ordinateur. Je ne sais pas si le mot "ransomware" vous parle, mais si un administrateur se fait infecter, ce sera tous les documents qui seront chiffrés et pas uniquement les données de la personne en question.
- Désactiver un programme (antivirus, protections en tout genre)
- Détruire entièrement le système d'exploitation et les données qui sont dessus
- Installation d'un logiciel espion en profondeur, le rendant très difficilement supprimable (Rootkit kernel).
Enfin, il existe également des solutions permettant de contourner l'UAC, et donc en tant qu'utilisateur "Poire standard", il est possible de démarrer un programme en tant que "Poire Administrateur" sans que la demande d'UAC n'apparaisse.
Toutefois, les techniques sont rapidement bloquées par Microsoft, le classique jeu du chat et de la souris.
Pour résumer cet article :
- Utilisez un compte standard pour les tâches du quotidien,
- s'il vous plaît ne faites pas cette recherche, ça fait des trous dans la couche d'ozone
Nous allons reprendre l'exemple de notre compte "Poire", qui est un compte qui fait partie du groupe "Administrateurs" et donc dispose de quasiment tous les droits sur l'ordinateur.
Grâce à l'UAC, un compte caché "Poire" avec des droits standard a été créé. (bon en vrai c'est deux jetons avec des droits différents, mais on va rester sur 2 sous-comptes :musique: ).
Ce compte "Poire standard" est utilisé par défaut pour toute les actions du quotidien (lancement d'un navigateur, ouverture d'un fichier Word etc…). Pour la suite de l'article, le compte "Poire administrateur" indiquera le compte d'administration.
Si "Poire" souhaite effectuer une tâche d'administration (normal c'est un administrateur), il faut lancer le programme souhaité avec les droits d'administration. Le 1er carré vert, c'est "Poire standard" qui va ouvrir l'application, le second ce sera "Poire Standard" qui va demander d'ouvrir le programme en tant que "Poire administrateur".
La demande de "Poire standard" est matérialisé par la pop-up UAC suivante, que vous avez tous vu au moins une fois : Cette simple fenêtre ou la majorité des gens clique sur "Oui" sans même lire ce qui est écrit est une très bonne protection contre les programmes qui souhaitent obtenir des droits supplémentaires silencieusement.
Le compte standard "Pomme" quant à lui n'est pas dans le groupe d'administration et donc quand il souhaite lancer un programme en tant qu'administrateur, l'UAC demande à l'utilisateur de s'authentifier en tant qu'utilisateur faisant parti du groupe "Administrateurs", comme Poire par exemple : Cette demande explicite oblige "Pomme" à rentrer le mot de passe d'un compte administrateur, ce qui n'étais pas le cas avec "Poire".
Vous me direz "Mais en fait ça change quoi d'être administrateur ? ". Et bien énormément de choses :
- Pouvoir accéder et modifier quasiment tous les fichiers présents sur l'ordinateur. Je ne sais pas si le mot "ransomware" vous parle, mais si un administrateur se fait infecter, ce sera tous les documents qui seront chiffrés et pas uniquement les données de la personne en question.
- Désactiver un programme (antivirus, protections en tout genre)
- Détruire entièrement le système d'exploitation et les données qui sont dessus
- Installation d'un logiciel espion en profondeur, le rendant très difficilement supprimable (Rootkit kernel).
Enfin, il existe également des solutions permettant de contourner l'UAC, et donc en tant qu'utilisateur "Poire standard", il est possible de démarrer un programme en tant que "Poire Administrateur" sans que la demande d'UAC n'apparaisse.
Toutefois, les techniques sont rapidement bloquées par Microsoft, le classique jeu du chat et de la souris.
Pour résumer cet article :
- Utilisez un compte standard pour les tâches du quotidien,
- s'il vous plaît ne faites pas cette recherche, ça fait des trous dans la couche d'ozone
Aujourd'hui nous allons parler d'un problème bien connu, comment bien gérer ses mots de passe.
qu'est-ce qu'un mot de passe robuste ?
Derrière cette question faussement simple, il y a plusieurs questions à se poser :
- Que dois-je protéger ?
- Est-ce que la donnée à protéger est critique si elle fuite ?
Par exemple, nos données personnelles présentes sur un forum de recettes sont moins sensibles que nos données sur le site des impôts ou notre boite email. Naturellement nous ne mettrons pas le même niveau de sécurité du mot de passe car la donnée à protéger n'a pas le même niveau de confidentialité.
A cela s'ajoute :
- la nécessité d'avoir un mot de passe différent pour chaque compte
- Pas de dérivation entre les mots de passe (Twitter123 et Gmail123 -> devinez le mot de passe de Andlil)
Mais comment faire pour s'en sortir ??
j'ai plus de 200 mots de passe différents, et je valide chacune de ces règles
La solution : Un gestionnaire de mot de passe !
Il y en a pleins, j'en ai testé une bonne quantité et je vais vous indiquer celui que j'ai préféré : KeePass.
Avantages :
- Gratuit
- Open-Source
- Un grand jeu de plugins
- Très bien intégré à Windows, il remplit automatiquement les formulaires avec une combinaison de touches
- Disponible sur Windows, Linux, Android (portage sur Mac )
- Pas d'infrastructure "Cloud", mon coffre-fort KeePass reste chez moi et ne bouge pas
Inconvénients :
- La prise en main est un peu complexe au premier abord, mais je vais essayer de vous accompagner au mieux
Pour le télécharger : https://keepass.info/
Une fois installé et lancé, faites "file" -> "new" il va falloir créer votre coffre-fort (qui a pour extension .kdbx). Sauvegardez-le précieusement car si vous le perdez c'est la grosse galère ! Pour l'exemple je vais le sauvegarder sur mon bureau. Par la suite, il va demander de rentrer un mot de passe, qui est le seul mot de passe que vous devrez retenir par la suite. prenez-en un suffisamment robuste. Pour vous aider, voici une illustration Une fois le mot de passe maitre rentré, vous accédez au contenu de votre coffre-fort. Ensuite, dans "Internet" vous pouvez rajouter une entrée pour le site Andlil : En cliquant sur les 3 petits point sur la droite du mot de passe, vous pouvez afficher le mot de passe et donc le mettre à jour si nécessaire.
La partie intéressante va être le remplissage automatique des formulaires. Je n'ai pas trouvé de vidéo donc je vais vous détailler le processus :
1) Aller sur la page d'authentification du forum Andlil : ucp.php?mode=login
2) Cliquez dans l'onglet "Auto-type", et "Add" : 3) Une fenêtre va apparaître, sélectionnez la fenêtre du navigateur dans le menu déroulant Sauvegardez tout ça et maintenant, cliquez dans le champ "nom d'utilisateur" du forum et faites la combinaison "Ctrl+Alt+A" et si tout se passe bien, le login et le mot de passe devrait se remplir automatiquement.
Pour conclure, Je ne connais que deux mots de passe : le mot de passe de ma session Windows et le mot de passe de mon keepass.
Ne perdez pas votre mot de passe keepass ou même votre keepass, sauvegardez le sur plusieurs emplacements, sur un drive (Nextcloud, Dropbox, etc) de manière à ce qu'il se synchronise en permanence.
qu'est-ce qu'un mot de passe robuste ?
Derrière cette question faussement simple, il y a plusieurs questions à se poser :
- Que dois-je protéger ?
- Est-ce que la donnée à protéger est critique si elle fuite ?
Par exemple, nos données personnelles présentes sur un forum de recettes sont moins sensibles que nos données sur le site des impôts ou notre boite email. Naturellement nous ne mettrons pas le même niveau de sécurité du mot de passe car la donnée à protéger n'a pas le même niveau de confidentialité.
A cela s'ajoute :
- la nécessité d'avoir un mot de passe différent pour chaque compte
- Pas de dérivation entre les mots de passe (Twitter123 et Gmail123 -> devinez le mot de passe de Andlil)
Mais comment faire pour s'en sortir ??
j'ai plus de 200 mots de passe différents, et je valide chacune de ces règles
La solution : Un gestionnaire de mot de passe !
Il y en a pleins, j'en ai testé une bonne quantité et je vais vous indiquer celui que j'ai préféré : KeePass.
Avantages :
- Gratuit
- Open-Source
- Un grand jeu de plugins
- Très bien intégré à Windows, il remplit automatiquement les formulaires avec une combinaison de touches
- Disponible sur Windows, Linux, Android (portage sur Mac )
- Pas d'infrastructure "Cloud", mon coffre-fort KeePass reste chez moi et ne bouge pas
Inconvénients :
- La prise en main est un peu complexe au premier abord, mais je vais essayer de vous accompagner au mieux
Pour le télécharger : https://keepass.info/
Une fois installé et lancé, faites "file" -> "new" il va falloir créer votre coffre-fort (qui a pour extension .kdbx). Sauvegardez-le précieusement car si vous le perdez c'est la grosse galère ! Pour l'exemple je vais le sauvegarder sur mon bureau. Par la suite, il va demander de rentrer un mot de passe, qui est le seul mot de passe que vous devrez retenir par la suite. prenez-en un suffisamment robuste. Pour vous aider, voici une illustration Une fois le mot de passe maitre rentré, vous accédez au contenu de votre coffre-fort. Ensuite, dans "Internet" vous pouvez rajouter une entrée pour le site Andlil : En cliquant sur les 3 petits point sur la droite du mot de passe, vous pouvez afficher le mot de passe et donc le mettre à jour si nécessaire.
La partie intéressante va être le remplissage automatique des formulaires. Je n'ai pas trouvé de vidéo donc je vais vous détailler le processus :
1) Aller sur la page d'authentification du forum Andlil : ucp.php?mode=login
2) Cliquez dans l'onglet "Auto-type", et "Add" : 3) Une fenêtre va apparaître, sélectionnez la fenêtre du navigateur dans le menu déroulant Sauvegardez tout ça et maintenant, cliquez dans le champ "nom d'utilisateur" du forum et faites la combinaison "Ctrl+Alt+A" et si tout se passe bien, le login et le mot de passe devrait se remplir automatiquement.
Pour conclure, Je ne connais que deux mots de passe : le mot de passe de ma session Windows et le mot de passe de mon keepass.
Ne perdez pas votre mot de passe keepass ou même votre keepass, sauvegardez le sur plusieurs emplacements, sur un drive (Nextcloud, Dropbox, etc) de manière à ce qu'il se synchronise en permanence.
Maintenant que vous avez tous un compte utilisateur standard pour naviguer sur internet, avec vos mots de passe uniques et robustes dans un gestionnaire de mots de passe, nous allons voir quelques astuces pour analyser rapidement un fichier suspect.
Afficher correctement un fichier
Par défaut, Windows ne va pas afficher les extensions "connues" d'un fichier. Voici 3 fichiers "fraise" ayant le même nom : Or, depuis un invite de commande, la commande "dir" qui permet de lister le répertoire courant nous indique une image (.bmp) un document word (.docx) et un fichier texte (.txt) : Windows se base donc sur l'extension pour afficher l'icône associée. Nous allons profiter de cette confiance accordée par le système d'exploitation pour afficher une application comme étant un fichier texte : Maintenant en listant le contenu on constate deux fichiers "fraise" : un document texte et une application : Mais comment différencier les deux ? Il suffit d'afficher les extensions :
View -> Options -> View -> désactiver "Cacher l'extension des fichiers connus" Maintenant les extensions sont affichées et les fichiers malveillants n'ont qu'à bien se tenir : Ok très bien, mais est-ce que ce fichier est malveillant ? Puis-je l'ouvrir sans risque ? Pour répondre à cette question, nous allons soumettre le fichier à plusieurs tests.
Calcul du hash
Pour identifier un fichier de manière unique, il suffit de calculer son empreinte. Le calcul de l'empreinte est une opération cryptographique qui permet à partir d'un ensemble de N octets en entrée de retourner une chaîne de caractère unique de taille fixe. Les algorithmes les plus utilisés sont MD5, SHA1 et SHA256. L'outil 7zip permet de calculer cette empreinte facilement, via le menu contextuel du fichier : Analyse du fichier
Sur cet exemple, vous pouvez prendre l'empreinte SHA1 et la soumettre sur le site de comparaison d'empreinte le plus complet à ce jour : https://www.virustotal.com/gui/home/search
Il suffit de soumettre l'empreinte dans la barre de recherche : et si le fichier a déjà été analysé, vous aurez le résultat directement : En plus de faire une comparaison avec une base d'empreintes, VirusTotal va également faire analyser le fichier à un grand nombre d'anti-virus.
Si le fichier n'existe pas, vous pouvez également le soumettre mais sachez que vous le partagerez à toutes les personnes qui peuvent récupérer les fichiers soumis (il suffit de donner quelques billets)
A titre d'exemple, voici le résultat d'un malware en vogue en ce moment : Si vous avez encore un doute, vous pouvez ouvrir le fichier dans un environnement cloisonné, spécialement dédié à l'analyse de malwares. Ces environnements appelé SandBox (Bac à sable) sont gratuits pour quelques soumissions, l'une des plus pertinentes en ce moment est https://app.any.run/.
Afficher correctement un fichier
Par défaut, Windows ne va pas afficher les extensions "connues" d'un fichier. Voici 3 fichiers "fraise" ayant le même nom : Or, depuis un invite de commande, la commande "dir" qui permet de lister le répertoire courant nous indique une image (.bmp) un document word (.docx) et un fichier texte (.txt) : Windows se base donc sur l'extension pour afficher l'icône associée. Nous allons profiter de cette confiance accordée par le système d'exploitation pour afficher une application comme étant un fichier texte : Maintenant en listant le contenu on constate deux fichiers "fraise" : un document texte et une application : Mais comment différencier les deux ? Il suffit d'afficher les extensions :
View -> Options -> View -> désactiver "Cacher l'extension des fichiers connus" Maintenant les extensions sont affichées et les fichiers malveillants n'ont qu'à bien se tenir : Ok très bien, mais est-ce que ce fichier est malveillant ? Puis-je l'ouvrir sans risque ? Pour répondre à cette question, nous allons soumettre le fichier à plusieurs tests.
Calcul du hash
Pour identifier un fichier de manière unique, il suffit de calculer son empreinte. Le calcul de l'empreinte est une opération cryptographique qui permet à partir d'un ensemble de N octets en entrée de retourner une chaîne de caractère unique de taille fixe. Les algorithmes les plus utilisés sont MD5, SHA1 et SHA256. L'outil 7zip permet de calculer cette empreinte facilement, via le menu contextuel du fichier : Analyse du fichier
Sur cet exemple, vous pouvez prendre l'empreinte SHA1 et la soumettre sur le site de comparaison d'empreinte le plus complet à ce jour : https://www.virustotal.com/gui/home/search
Il suffit de soumettre l'empreinte dans la barre de recherche : et si le fichier a déjà été analysé, vous aurez le résultat directement : En plus de faire une comparaison avec une base d'empreintes, VirusTotal va également faire analyser le fichier à un grand nombre d'anti-virus.
Si le fichier n'existe pas, vous pouvez également le soumettre mais sachez que vous le partagerez à toutes les personnes qui peuvent récupérer les fichiers soumis (il suffit de donner quelques billets)
A titre d'exemple, voici le résultat d'un malware en vogue en ce moment : Si vous avez encore un doute, vous pouvez ouvrir le fichier dans un environnement cloisonné, spécialement dédié à l'analyse de malwares. Ces environnements appelé SandBox (Bac à sable) sont gratuits pour quelques soumissions, l'une des plus pertinentes en ce moment est https://app.any.run/.
Pour finir la semaine, nous allons nous concentrer sur l'analyse d'une URL. Comme les chasseurs, il y a des bonnes et des mauvaises URL.
Rentrons directement dans le vif du sujet, je prends la première URL que j'ai sous les yeux, ma boite email : L'URL est la suivante : https://mail.google.com/mail/u/0/#inbox
L'accès à un site Web depuis un navigateur se fait avec deux protocoles : HTTP et HTTPS. Quelle différence entre les deux me diriez-vous ? Et bien c'est le "S" mon bon monsieur.
Blague à part, le premier (HTTP) est un protocole ou toutes les données échangées entre votre navigateur et le serveur qui héberge le site web sont en clair, il suffit qu'une personne se place en écoute entre vous deux pour être en mesure de voir en temps réel ce que vous voyez, et de modifier à la volée s'il le souhaite le contenu de la page web que le serveur vous transmet.
Cette attaque appelée "Man In The Middle" (l'homme du milieu) est assez facile à mettre en place. Je ne vais pas détailler cette partie mais si vous êtes curieux, voici une introduction de cette attaque : https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-zero/3200349-lattaque-de-lhomme-du-milieu-mitm
Le protocole HTTPS lui est une surcouche du protocole HTTP, il rajoute la couche sécurité, en mettant en place un tunnel chiffré entre le site web et votre navigateur. Je ne vais pas rentrer non plus dans les détails de ce tunnel, restons concentrés sur l'URL.
Comme on peut le constater, le protocole utilisé est HTTPS, un méchant attaquant étant positionné entre mon navigateur et le site web ne peut donc pas facilement intercepter et modifier les données échangées.
Warning rouge !!! Je tiens à préciser que ce n'est pas parce qu'il y a le "petit cadenas à gauche" que c'est un site qui n'a pas de "virus", (maman si tu me lis…) Nous le verrons par la suite.
Une fois le protocole identifié, on va regarder le nom de domaine. Le nom de domaine se situe entre les https:// et le premier /, qui correspond dans notre cas à mail.google.com. Ce domaine est composé de 3 parties séparées par des points.
L'analyse d'un domaine se fait de la droite vers la gauche en analysant chaque ensemble séparé par les points :
.com : ça correspond à l'extension d'un domaine (le TLD pour Top Level Domain) on peut trouver .fr, .org, .net ou depuis quelques temps des plus exotiques comme .ninja ou .paris
.google : le niveau d'en dessous est appelé "domaine principal" (Oui je sais très original)
mail : cette partie correspond au sous-domaine, il peut y en avoir beaucoup plus (3 sous-domaines par exemple : mail.services.api.google.com)
Ce que se situe après le premier / correspond à l'arborescence et aux paramètres du site : /mail/u/0/#inbox Je ne vais pas non plus détailler cette partie-là, non pertinent pour déterminer si une URL est malveillante.
En résumé ce que l'on doit en conclure :
- Utilisation du protocole HTTPS -> c'est bien
- Tld en .com -> c'est classique, c'est bien (les extensions en .fun par exemple sont beaucoup plus facile à acheter, et donc plus simple pour un attaquant)
- Domaine principal : google -> on peut dire que c'est une valeur sûre, c'est un domaine qui appartient aux GAFA et est donc extrêmement surveillé.
- Sous-domaine : mail -> classique également, rien de choquant
Maintenant, vous recevez par mail cette URL : https://mails-google.com/mail/u/0/#inbox La différence est le domaine, nous ne sommes plus sur le domaine "google" mais le domaine "mails-google" qui n'appartient peut-être pas à google. D'ailleurs pour la petite histoire, ce domaine est disponible pour tous : mais je vous déconseille de l'acheter, vous allez rapidement vous retrouver avec une armée d'avocats aux fesses avant même de pouvoir l'utiliser.
Enfin si vous avez un doute, vous pouvez toujours soumettre une URL au site virustotal, qui va s'occuper d'analyser le lien pour vous :
Rentrons directement dans le vif du sujet, je prends la première URL que j'ai sous les yeux, ma boite email : L'URL est la suivante : https://mail.google.com/mail/u/0/#inbox
L'accès à un site Web depuis un navigateur se fait avec deux protocoles : HTTP et HTTPS. Quelle différence entre les deux me diriez-vous ? Et bien c'est le "S" mon bon monsieur.
Blague à part, le premier (HTTP) est un protocole ou toutes les données échangées entre votre navigateur et le serveur qui héberge le site web sont en clair, il suffit qu'une personne se place en écoute entre vous deux pour être en mesure de voir en temps réel ce que vous voyez, et de modifier à la volée s'il le souhaite le contenu de la page web que le serveur vous transmet.
Cette attaque appelée "Man In The Middle" (l'homme du milieu) est assez facile à mettre en place. Je ne vais pas détailler cette partie mais si vous êtes curieux, voici une introduction de cette attaque : https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-zero/3200349-lattaque-de-lhomme-du-milieu-mitm
Le protocole HTTPS lui est une surcouche du protocole HTTP, il rajoute la couche sécurité, en mettant en place un tunnel chiffré entre le site web et votre navigateur. Je ne vais pas rentrer non plus dans les détails de ce tunnel, restons concentrés sur l'URL.
Comme on peut le constater, le protocole utilisé est HTTPS, un méchant attaquant étant positionné entre mon navigateur et le site web ne peut donc pas facilement intercepter et modifier les données échangées.
Warning rouge !!! Je tiens à préciser que ce n'est pas parce qu'il y a le "petit cadenas à gauche" que c'est un site qui n'a pas de "virus", (maman si tu me lis…) Nous le verrons par la suite.
Une fois le protocole identifié, on va regarder le nom de domaine. Le nom de domaine se situe entre les https:// et le premier /, qui correspond dans notre cas à mail.google.com. Ce domaine est composé de 3 parties séparées par des points.
L'analyse d'un domaine se fait de la droite vers la gauche en analysant chaque ensemble séparé par les points :
.com : ça correspond à l'extension d'un domaine (le TLD pour Top Level Domain) on peut trouver .fr, .org, .net ou depuis quelques temps des plus exotiques comme .ninja ou .paris
.google : le niveau d'en dessous est appelé "domaine principal" (Oui je sais très original)
mail : cette partie correspond au sous-domaine, il peut y en avoir beaucoup plus (3 sous-domaines par exemple : mail.services.api.google.com)
Ce que se situe après le premier / correspond à l'arborescence et aux paramètres du site : /mail/u/0/#inbox Je ne vais pas non plus détailler cette partie-là, non pertinent pour déterminer si une URL est malveillante.
En résumé ce que l'on doit en conclure :
- Utilisation du protocole HTTPS -> c'est bien
- Tld en .com -> c'est classique, c'est bien (les extensions en .fun par exemple sont beaucoup plus facile à acheter, et donc plus simple pour un attaquant)
- Domaine principal : google -> on peut dire que c'est une valeur sûre, c'est un domaine qui appartient aux GAFA et est donc extrêmement surveillé.
- Sous-domaine : mail -> classique également, rien de choquant
Maintenant, vous recevez par mail cette URL : https://mails-google.com/mail/u/0/#inbox La différence est le domaine, nous ne sommes plus sur le domaine "google" mais le domaine "mails-google" qui n'appartient peut-être pas à google. D'ailleurs pour la petite histoire, ce domaine est disponible pour tous : mais je vous déconseille de l'acheter, vous allez rapidement vous retrouver avec une armée d'avocats aux fesses avant même de pouvoir l'utiliser.
Enfin si vous avez un doute, vous pouvez toujours soumettre une URL au site virustotal, qui va s'occuper d'analyser le lien pour vous :
Merci gorhyk pour ces articles sur la sécurité informatique.
C'est dommage que tu n'aies pas eu le temps d'aborder les pare-feu (firewalls) :
- celui par défaut de Windows
- comment aller plus loin avec le Pare-Feu Windows Defender avec fonctions avancées de sécurité
- différences entre réseau privé et réseau public
- comment autoriser (ou non) l'accès à internet à un logiciel
- avantages et inconvénients du pare-feu Windows Defender (par rapport à d'autres firewalls)
- quels autres logiciels sont utiles pour sécuriser, surveiller ou protéger son OS ? par ex:
Habituellement il est déconseillé d'avoir deux pare-feu installés en même temps, mais perso, j'utilise TinyWall (et je le conseille, mais seulement pour les utilisateurs qui cherchent un peu plus de contrôle des règles du pare-feu) : il s'agit d'un logiciel gratuit, non-intrusif (pas de pop-up) qui complète bien le pare-feu de Windows avec une interface pour lister les programmes bloqués, les services & logiciels qui tentent de se connecter au net, des menus pour ajouter des processus ou logiciels à la liste d'exception, etc. https://tinywall.pados.hu/
Sinon il y a Windows Firewall Control qui, en plus d'être gratuit lui aussi, complète également très bien Windows Defender. https://www.binisoft.org/wfc.php
En tous cas, merci gorhyk ces rappels de sécurité.
C'est dommage que tu n'aies pas eu le temps d'aborder les pare-feu (firewalls) :
- celui par défaut de Windows
- comment aller plus loin avec le Pare-Feu Windows Defender avec fonctions avancées de sécurité
- différences entre réseau privé et réseau public
- comment autoriser (ou non) l'accès à internet à un logiciel
- avantages et inconvénients du pare-feu Windows Defender (par rapport à d'autres firewalls)
- quels autres logiciels sont utiles pour sécuriser, surveiller ou protéger son OS ? par ex:
- - Currports : pour surveiller quels logiciels se connectent à internet (et vers où, par quel port, etc..) : https://www.nirsoft.net/utils/cports.html
- - Windows Sandbox (pour isoler un logiciel et le tester sans qu'il n'affecte le reste du système) :
https://www.tomsguide.fr/installer-sandbox-windows-10-regler-problemes/ ...
Habituellement il est déconseillé d'avoir deux pare-feu installés en même temps, mais perso, j'utilise TinyWall (et je le conseille, mais seulement pour les utilisateurs qui cherchent un peu plus de contrôle des règles du pare-feu) : il s'agit d'un logiciel gratuit, non-intrusif (pas de pop-up) qui complète bien le pare-feu de Windows avec une interface pour lister les programmes bloqués, les services & logiciels qui tentent de se connecter au net, des menus pour ajouter des processus ou logiciels à la liste d'exception, etc. https://tinywall.pados.hu/
Sinon il y a Windows Firewall Control qui, en plus d'être gratuit lui aussi, complète également très bien Windows Defender. https://www.binisoft.org/wfc.php
En tous cas, merci gorhyk ces rappels de sécurité.
merci beaucoup gorhyk d'avoir tout regroupé !
ce sera plus facile pour relire et mettre en application
et merci blia pour le complément
bon w-e à vous
ce sera plus facile pour relire et mettre en application
et merci blia pour le complément
bon w-e à vous
Merci blia pour le complément
Vu que j'ai un peu de temps, je vais vous illustrer l'analyse d'une tentative de phishing que j'ai reçu il y a 5mn.
Je reçois ce message par SMS : Comme une grande majorité des gens, je suis en attente d'un colis et donc mon premier réflexe est de cliquer sur le lien. Ce lien est ce que l'on appelle un "short link", le service qui est derrière permet de créer des mini liens temporaire, permettant de réduire grandement la longueur à partager. Parmi ces services, on peut citer https://bitly.com/ ou https://www.shorturl.at/. Une fois redirigé, voici le lien final : /!\ Ouvrir le lien dans un environnement qui ne craint rien (depuis un terminal linux, depuis une Sandbox, depuis une machine virtuelle...)
On va analyser cette URL :
1) https -> Protocole sécurisé, c'est cool mais comme on l'a vu, ça ne veut rien dire
2) fir5.com : Domaine principal. à priori ça n'a aucun lien avec la poste
3) colis-information : là ça a un lien avec la poste mais le domaine principal non, on va soumettre le nom de domaine sur le site virustotal : On peut voir que les premières soumissions remontent à 15 jours, ce qui est beaucoup trop récent pour un site de gestion de colis comme la poste.
En plus, le numéro de colis renseigné ne correspond pas à un vrai numéro de colis, la preuve finale que c'est un faux site.
En espérant vous avoir un peu plus éclairé sur ce sujet là
Vu que j'ai un peu de temps, je vais vous illustrer l'analyse d'une tentative de phishing que j'ai reçu il y a 5mn.
Je reçois ce message par SMS : Comme une grande majorité des gens, je suis en attente d'un colis et donc mon premier réflexe est de cliquer sur le lien. Ce lien est ce que l'on appelle un "short link", le service qui est derrière permet de créer des mini liens temporaire, permettant de réduire grandement la longueur à partager. Parmi ces services, on peut citer https://bitly.com/ ou https://www.shorturl.at/. Une fois redirigé, voici le lien final : /!\ Ouvrir le lien dans un environnement qui ne craint rien (depuis un terminal linux, depuis une Sandbox, depuis une machine virtuelle...)
On va analyser cette URL :
1) https -> Protocole sécurisé, c'est cool mais comme on l'a vu, ça ne veut rien dire
2) fir5.com : Domaine principal. à priori ça n'a aucun lien avec la poste
3) colis-information : là ça a un lien avec la poste mais le domaine principal non, on va soumettre le nom de domaine sur le site virustotal : On peut voir que les premières soumissions remontent à 15 jours, ce qui est beaucoup trop récent pour un site de gestion de colis comme la poste.
En plus, le numéro de colis renseigné ne correspond pas à un vrai numéro de colis, la preuve finale que c'est un faux site.
En espérant vous avoir un peu plus éclairé sur ce sujet là
J'ai reçu exactement le même type de SMS il y a quelques jours. Une demande d'affranchissement de seulement quelques euros.
Cette technique est malheureusement très ingénieuse et des millions de gens vont se faire avoir, surtout en cette période où tout le monde attend des colis. Quelques euros multipliés par des millions de personnes rendent un hacker tranquille jusqu'à la fin de ses jours.
Ouh la en me relisant, je précise que ce n'est absolument pas un conseil pour devenir riche.
Cette technique est malheureusement très ingénieuse et des millions de gens vont se faire avoir, surtout en cette période où tout le monde attend des colis. Quelques euros multipliés par des millions de personnes rendent un hacker tranquille jusqu'à la fin de ses jours.
Ouh la en me relisant, je précise que ce n'est absolument pas un conseil pour devenir riche.
Oui, c'est assez dévastateur comme technique.Celle-ci est assez grossière mais l'idée est là
Bobo, surtout si tu paie en CB il aura full acces a ta carte.. donc c'est pas juste qq euros, de plus si ta banque estime que tu na pas ete suffisamment attentif elle ne fera pas marcher son assurance pour toi....
super post gorhyk bonne soiree a tous
super post gorhyk bonne soiree a tous
Oui ne t'en fais pas Iakouar, je ne suis pas tombé dans ce piège. Dans mon métier, nous sommes sensibilisés à la sécurité des systèmes d'information depuis pas mal d'années déjà.
Malheureusement dans chaque campagne de phishing de ce type, des gens se font avoir.
Malheureusement dans chaque campagne de phishing de ce type, des gens se font avoir.
Top Bobo bien joué ! comme quoi les campagnes de sensibilisation marchent
Merci pour ce complément d'information, Gorhyk.
Dans le moindre doûte, le mieux est d'aller directement sur le site de la Poste et d'y rechercher le numéro de colis plutôt que de cliquer sur le lien dans le mail. Même par un environnement dit sécurisé comme une sandbox, celà me paraît risqué d'aller sur le lien.
Dans le moindre doûte, le mieux est d'aller directement sur le site de la Poste et d'y rechercher le numéro de colis plutôt que de cliquer sur le lien dans le mail. Même par un environnement dit sécurisé comme une sandbox, celà me paraît risqué d'aller sur le lien.
Spoiler:
C'estbma méthode ...un carte avec le minium ...je garde même l'ancien carte ...si un voyou ou une voyelle me demande ma carte bancaire dans le train ...je donnerai la périmée...
Merci pour la file j'etudirai ce week-end
Merci pour la file j'etudirai ce week-end
pas bête comme idée !
Pulcherie, joli ton féminin de voyou. Je viens de vérifier et on dit voyoute en fait, mais je n'avais jamais entendu ce terme.
Ce mot est très peu connu, comme si les femmes étaient des anges.
Ce mot est très peu connu, comme si les femmes étaient des anges.
Pulcherie, je n'y avais jamais penser ! Je vais faire cela alors ! Parfait !
Sujets similaires
Sécurité: comment protégez-vous votre station de trading?
par ChristelleP » 16 juin 2014 11:58 (15 Réponses)
par ChristelleP » 16 juin 2014 11:58 (15 Réponses)
Cadenas sécurité site internet
Fichier(s) joint(s) par DarthTrader » 28 févr. 2015 10:30 (3 Réponses)
Fichier(s) joint(s) par DarthTrader » 28 févr. 2015 10:30 (3 Réponses)
La sécurité bancaire est terminée place au vol légal
par DarthTrader » 07 déc. 2015 14:50 (13 Réponses)
par DarthTrader » 07 déc. 2015 14:50 (13 Réponses)