Introduction à la sécurité informatique

Dans cette file j'ai regroupé mes ouvertures de la semaine du 25 au 29 novembre 2019, et qui concernent la sécurité informatique.

Bonjour à toutes et à tous. Cette semaine nous allons aborder des notions de sécurité informatique, le but étant de vous donner des bonnes pratiques pour l'utilisation de votre ordinateur au quotidien. Nous allons majoritairement parler de Windows car étant le système le plus répandu, je suppose que c'est également le cas ici.

Nous allons commencer en douceur avec les différents groupes associé à un compte sur un poste de travail Windows (entendez le PC du salon). Ça va aller vite il y en a 3.

Groupe "Invités" : c'est un groupe qui dispose de quasiment aucun droit, si ce n'est l'accès au dossier "Public". Aucun utilisateur ne fais partis de ce groupe par défaut.
Groupe "Utilisateurs" : c'est un groupe qui a les droits minimum pour lancer des applications, naviguer sur internet, écrire des rapports avec Word, jouer à des jeux vidéo.
Groupe "Administrateurs" : c'est un groupe qui a quasiment tous les droits

Par défaut lors de l'installation d'un poste, Windows va créer un utilisateur unique qui fait partie du groupe Administrateurs.

Je vais passer directement à la pratique en vous montrant comment lister les utilisateurs et les groupes depuis un "invite de commandes".
Touche "Windows", tapez "cmd" et faites "entrée" :

1.png (58.55 Kio) Vu 750 fois

Une fenêtre noire apparaît alors, avec deux informations :
- En violet la version actuelle de Windows (ici Windows 10)
- En Vert le dossier courant, à savoir le dossier de mon utilisateur courant ("Poire")

2.png (10.17 Kio) Vu 750 fois

La commande net users liste les utilisateurs locaux du poste :

3.png (7 Kio) Vu 750 fois

On y retrouve 6 utilisateurs, dont 4 que nous allons analyser.
Il est possible d'avoir des informations spécifiques de l'utilisateur (Poire par exemple) via la commande net user Poire.

Parmi les 4 comptes, il y en a 2 qui sont créé par défaut mais sont désactivés : "Administrateur" et "Invité".
Les 2 comptes intéressants créés sont "Poire" et "Pomme", dont voici leur rôle :
- Poire : compte créé lors de l'installation de Windows.
- Pomme : compte créé par la suite

Sous Windows, les droits d'un compte dépendent des groupes auquel ils appartiennent.
Pour lister tous les groupes présent sur le poste, il faut taper la commande net localgroup :

4.png (18.91 Kio) Vu 750 fois

Parmi la longue liste des différents groupes, on retrouve les 3 qui ont été évoqués au début de l'article :
- Groupe "Administrateurs" : groupe des utilisateurs disposant des droits d'administration
- Groupe "Utilisateurs" : groupe des utilisateurs standard
- Groupe "Invités" : groupe des utilisateurs ayant des droits limités

Pour avoir les membres d'un groupe (ici le groupe "Administrateurs") il faut taper la commande net localgroup Administrateurs

5.png (6.14 Kio) Vu 750 fois

On retrouve bien les utilisateurs "Poire" et "Administrateur".

De la même manière, on peut lister les membres du groupe "Utilisateurs", avec l'utilisateur "Pomme" qui en fait parti

6.png (5.76 Kio) Vu 750 fois

Il est possible d'ajouter le groupe "Administrateurs" à l'utilisateur standard "Pomme" avec la commande suivante :
net localgroup Administrateurs Pomme /add

Maintenant que nous avons abordé la notion d'utilisateur standard et administrateur, nous verrons plus en détail la différence entre ces deux profils et l'intérêt d'utiliser un compte standard pour les usages du quotidien.

Aujourd'hui, nous allons voir l'UAC (User Access Control) qui est un mécanisme introduit avec Windows Vista, permettant de séparer explicitement les droits d'un compte administrateur.
Nous allons reprendre l'exemple de notre compte "Poire", qui est un compte qui fait partie du groupe "Administrateurs" et donc dispose de quasiment tous les droits sur l'ordinateur.

Grâce à l'UAC, un compte caché "Poire" avec des droits standard a été créé. (bon en vrai c'est deux jetons avec des droits différents, mais on va rester sur 2 sous-comptes :musique: ).
Ce compte "Poire standard" est utilisé par défaut pour toute les actions du quotidien (lancement d'un navigateur, ouverture d'un fichier Word etc…). Pour la suite de l'article, le compte "Poire administrateur" indiquera le compte d'administration.

Si "Poire" souhaite effectuer une tâche d'administration (normal c'est un administrateur), il faut lancer le programme souhaité avec les droits d'administration.

1.png (19.88 Kio) Vu 745 fois

Le 1er carré vert, c'est "Poire standard" qui va ouvrir l'application, le second ce sera "Poire Standard" qui va demander d'ouvrir le programme en tant que "Poire administrateur".

La demande de "Poire standard" est matérialisé par la pop-up UAC suivante, que vous avez tous vu au moins une fois :

2.png (21.35 Kio) Vu 745 fois

Cette simple fenêtre ou la majorité des gens clique sur "Oui" sans même lire ce qui est écrit est une très bonne protection contre les programmes qui souhaitent obtenir des droits supplémentaires silencieusement.

Le compte standard "Pomme" quant à lui n'est pas dans le groupe d'administration et donc quand il souhaite lancer un programme en tant qu'administrateur, l'UAC demande à l'utilisateur de s'authentifier en tant qu'utilisateur faisant parti du groupe "Administrateurs", comme Poire par exemple :

3.png (27.12 Kio) Vu 745 fois

Cette demande explicite oblige "Pomme" à rentrer le mot de passe d'un compte administrateur, ce qui n'étais pas le cas avec "Poire".

Vous me direz "Mais en fait ça change quoi d'être administrateur ? ". Et bien énormément de choses :
- Pouvoir accéder et modifier quasiment tous les fichiers présents sur l'ordinateur. Je ne sais pas si le mot "ransomware" vous parle, mais si un administrateur se fait infecter, ce sera tous les documents qui seront chiffrés et pas uniquement les données de la personne en question.
- Désactiver un programme (antivirus, protections en tout genre)
- Détruire entièrement le système d'exploitation et les données qui sont dessus
- Installation d'un logiciel espion en profondeur, le rendant très difficilement supprimable (Rootkit kernel).

Enfin, il existe également des solutions permettant de contourner l'UAC, et donc en tant qu'utilisateur "Poire standard", il est possible de démarrer un programme en tant que "Poire Administrateur" sans que la demande d'UAC n'apparaisse.
Toutefois, les techniques sont rapidement bloquées par Microsoft, le classique jeu du chat et de la souris.

Pour résumer cet article :
- Utilisez un compte standard pour les tâches du quotidien,
- s'il vous plaît ne faites pas cette recherche, ça fait des trous dans la couche d'ozone

4.png (29.96 Kio) Vu 745 fois

Aujourd'hui nous allons parler d'un problème bien connu, comment bien gérer ses mots de passe.

qu'est-ce qu'un mot de passe robuste ?
Derrière cette question faussement simple, il y a plusieurs questions à se poser :
- Que dois-je protéger ?
- Est-ce que la donnée à protéger est critique si elle fuite ?

Par exemple, nos données personnelles présentes sur un forum de recettes sont moins sensibles que nos données sur le site des impôts ou notre boite email. Naturellement nous ne mettrons pas le même niveau de sécurité du mot de passe car la donnée à protéger n'a pas le même niveau de confidentialité.

A cela s'ajoute :
- la nécessité d'avoir un mot de passe différent pour chaque compte
- Pas de dérivation entre les mots de passe (Twitter123 et Gmail123 -> devinez le mot de passe de Andlil)

Mais comment faire pour s'en sortir ??
j'ai plus de 200 mots de passe différents, et je valide chacune de ces règles

La solution : Un gestionnaire de mot de passe !

Il y en a pleins, j'en ai testé une bonne quantité et je vais vous indiquer celui que j'ai préféré : KeePass.
Avantages :
- Gratuit
- Open-Source
- Un grand jeu de plugins
- Très bien intégré à Windows, il remplit automatiquement les formulaires avec une combinaison de touches
- Disponible sur Windows, Linux, Android (portage sur Mac )
- Pas d'infrastructure "Cloud", mon coffre-fort KeePass reste chez moi et ne bouge pas

Inconvénients :
- La prise en main est un peu complexe au premier abord, mais je vais essayer de vous accompagner au mieux

Pour le télécharger : https://keepass.info/
Une fois installé et lancé, faites "file" -> "new" il va falloir créer votre coffre-fort (qui a pour extension .kdbx).

1.png (25.35 Kio) Vu 742 fois

Sauvegardez-le précieusement car si vous le perdez c'est la grosse galère ! Pour l'exemple je vais le sauvegarder sur mon bureau. Par la suite, il va demander de rentrer un mot de passe, qui est le seul mot de passe que vous devrez retenir par la suite.

2.png (40.36 Kio) Vu 742 fois

prenez-en un suffisamment robuste. Pour vous aider, voici une illustration

3.png (203.47 Kio) Vu 742 fois

Une fois le mot de passe maitre rentré, vous accédez au contenu de votre coffre-fort.

4.png (28.91 Kio) Vu 742 fois

Ensuite, dans "Internet" vous pouvez rajouter une entrée pour le site Andlil :

5.png (38.22 Kio) Vu 742 fois

En cliquant sur les 3 petits point sur la droite du mot de passe, vous pouvez afficher le mot de passe et donc le mettre à jour si nécessaire.

La partie intéressante va être le remplissage automatique des formulaires. Je n'ai pas trouvé de vidéo donc je vais vous détailler le processus :

1) Aller sur la page d'authentification du forum Andlil : ucp.php?mode=login

2) Cliquez dans l'onglet "Auto-type", et "Add" :

6.png (18.77 Kio) Vu 742 fois

3) Une fenêtre va apparaître, sélectionnez la fenêtre du navigateur dans le menu déroulant

7.png (44.49 Kio) Vu 742 fois

Sauvegardez tout ça et maintenant, cliquez dans le champ "nom d'utilisateur" du forum et faites la combinaison "Ctrl+Alt+A" et si tout se passe bien, le login et le mot de passe devrait se remplir automatiquement.

Pour conclure, Je ne connais que deux mots de passe : le mot de passe de ma session Windows et le mot de passe de mon keepass.

Ne perdez pas votre mot de passe keepass ou même votre keepass, sauvegardez le sur plusieurs emplacements, sur un drive (Nextcloud, Dropbox, etc) de manière à ce qu'il se synchronise en permanence.

Maintenant que vous avez tous un compte utilisateur standard pour naviguer sur internet, avec vos mots de passe uniques et robustes dans un gestionnaire de mots de passe, nous allons voir quelques astuces pour analyser rapidement un fichier suspect.

Afficher correctement un fichier

Par défaut, Windows ne va pas afficher les extensions "connues" d'un fichier. Voici 3 fichiers "fraise" ayant le même nom :

1.png (8.84 Kio) Vu 741 fois

Or, depuis un invite de commande, la commande "dir" qui permet de lister le répertoire courant nous indique une image (.bmp) un document word (.docx) et un fichier texte (.txt) :

2.png (16.67 Kio) Vu 741 fois

Windows se base donc sur l'extension pour afficher l'icône associée. Nous allons profiter de cette confiance accordée par le système d'exploitation pour afficher une application comme étant un fichier texte :

3.png (8.65 Kio) Vu 741 fois

Maintenant en listant le contenu on constate deux fichiers "fraise" : un document texte et une application :

4.png (17.65 Kio) Vu 741 fois

Mais comment différencier les deux ? Il suffit d'afficher les extensions :
View -> Options -> View -> désactiver "Cacher l'extension des fichiers connus"

5.png (112.6 Kio) Vu 741 fois

Maintenant les extensions sont affichées et les fichiers malveillants n'ont qu'à bien se tenir :

6.png (2.95 Kio) Vu 741 fois

Ok très bien, mais est-ce que ce fichier est malveillant ? Puis-je l'ouvrir sans risque ? Pour répondre à cette question, nous allons soumettre le fichier à plusieurs tests.

Calcul du hash

Pour identifier un fichier de manière unique, il suffit de calculer son empreinte. Le calcul de l'empreinte est une opération cryptographique qui permet à partir d'un ensemble de N octets en entrée de retourner une chaîne de caractère unique de taille fixe. Les algorithmes les plus utilisés sont MD5, SHA1 et SHA256. L'outil 7zip permet de calculer cette empreinte facilement, via le menu contextuel du fichier :

7.png (17.08 Kio) Vu 741 fois

8.png (13.77 Kio) Vu 741 fois

Analyse du fichier

Sur cet exemple, vous pouvez prendre l'empreinte SHA1 et la soumettre sur le site de comparaison d'empreinte le plus complet à ce jour : https://www.virustotal.com/gui/home/search
Il suffit de soumettre l'empreinte dans la barre de recherche :

9.png (8.36 Kio) Vu 741 fois

et si le fichier a déjà été analysé, vous aurez le résultat directement :

10.png (18.68 Kio) Vu 741 fois

En plus de faire une comparaison avec une base d'empreintes, VirusTotal va également faire analyser le fichier à un grand nombre d'anti-virus.
Si le fichier n'existe pas, vous pouvez également le soumettre mais sachez que vous le partagerez à toutes les personnes qui peuvent récupérer les fichiers soumis (il suffit de donner quelques billets)

A titre d'exemple, voici le résultat d'un malware en vogue en ce moment :

11.png (43.56 Kio) Vu 741 fois

Si vous avez encore un doute, vous pouvez ouvrir le fichier dans un environnement cloisonné, spécialement dédié à l'analyse de malwares. Ces environnements appelé SandBox (Bac à sable) sont gratuits pour quelques soumissions, l'une des plus pertinentes en ce moment est https://app.any.run/.

Pour finir la semaine, nous allons nous concentrer sur l'analyse d'une URL. Comme les chasseurs, il y a des bonnes et des mauvaises URL.
Rentrons directement dans le vif du sujet, je prends la première URL que j'ai sous les yeux, ma boite email :

1.png (52.63 Kio) Vu 740 fois

L'URL est la suivante : https://mail.google.com/mail/u/0/#inbox

L'accès à un site Web depuis un navigateur se fait avec deux protocoles : HTTP et HTTPS. Quelle différence entre les deux me diriez-vous ? Et bien c'est le "S" mon bon monsieur.

Blague à part, le premier (HTTP) est un protocole ou toutes les données échangées entre votre navigateur et le serveur qui héberge le site web sont en clair, il suffit qu'une personne se place en écoute entre vous deux pour être en mesure de voir en temps réel ce que vous voyez, et de modifier à la volée s'il le souhaite le contenu de la page web que le serveur vous transmet.

Cette attaque appelée "Man In The Middle" (l'homme du milieu) est assez facile à mettre en place. Je ne vais pas détailler cette partie mais si vous êtes curieux, voici une introduction de cette attaque : https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-zero/3200349-lattaque-de-lhomme-du-milieu-mitm

Le protocole HTTPS lui est une surcouche du protocole HTTP, il rajoute la couche sécurité, en mettant en place un tunnel chiffré entre le site web et votre navigateur. Je ne vais pas rentrer non plus dans les détails de ce tunnel, restons concentrés sur l'URL.

Comme on peut le constater, le protocole utilisé est HTTPS, un méchant attaquant étant positionné entre mon navigateur et le site web ne peut donc pas facilement intercepter et modifier les données échangées.

Warning rouge !!! Je tiens à préciser que ce n'est pas parce qu'il y a le "petit cadenas à gauche" que c'est un site qui n'a pas de "virus", (maman si tu me lis…) Nous le verrons par la suite.

Une fois le protocole identifié, on va regarder le nom de domaine. Le nom de domaine se situe entre les https:// et le premier /, qui correspond dans notre cas à mail.google.com. Ce domaine est composé de 3 parties séparées par des points.

L'analyse d'un domaine se fait de la droite vers la gauche en analysant chaque ensemble séparé par les points :
.com : ça correspond à l'extension d'un domaine (le TLD pour Top Level Domain) on peut trouver .fr, .org, .net ou depuis quelques temps des plus exotiques comme .ninja ou .paris
.google : le niveau d'en dessous est appelé "domaine principal" (Oui je sais très original)
mail : cette partie correspond au sous-domaine, il peut y en avoir beaucoup plus (3 sous-domaines par exemple : mail.services.api.google.com)

Ce que se situe après le premier / correspond à l'arborescence et aux paramètres du site : /mail/u/0/#inbox Je ne vais pas non plus détailler cette partie-là, non pertinent pour déterminer si une URL est malveillante.

En résumé ce que l'on doit en conclure :
- Utilisation du protocole HTTPS -> c'est bien
- Tld en .com -> c'est classique, c'est bien (les extensions en .fun par exemple sont beaucoup plus facile à acheter, et donc plus simple pour un attaquant)
- Domaine principal : google -> on peut dire que c'est une valeur sûre, c'est un domaine qui appartient aux GAFA et est donc extrêmement surveillé.
- Sous-domaine : mail -> classique également, rien de choquant

Maintenant, vous recevez par mail cette URL : https://mails-google.com/mail/u/0/#inbox

2.png (49.61 Kio) Vu 740 fois

La différence est le domaine, nous ne sommes plus sur le domaine "google" mais le domaine "mails-google" qui n'appartient peut-être pas à google. D'ailleurs pour la petite histoire, ce domaine est disponible pour tous :

3.png (19.64 Kio) Vu 740 fois

mais je vous déconseille de l'acheter, vous allez rapidement vous retrouver avec une armée d'avocats aux fesses avant même de pouvoir l'utiliser.

Enfin si vous avez un doute, vous pouvez toujours soumettre une URL au site virustotal, qui va s'occuper d'analyser le lien pour vous :

4.png (19.64 Kio) Vu 740 fois

Merci gorhyk pour ces articles sur la sécurité informatique.

C'est dommage que tu n'aies pas eu le temps d'aborder les pare-feu (firewalls) :
- celui par défaut de Windows
- comment aller plus loin avec le Pare-Feu Windows Defender avec fonctions avancées de sécurité
- différences entre réseau privé et réseau public
- comment autoriser (ou non) l'accès à internet à un logiciel
- avantages et inconvénients du pare-feu Windows Defender (par rapport à d'autres firewalls)
- quels autres logiciels sont utiles pour sécuriser, surveiller ou protéger son OS ? par ex:

• - Currports : pour surveiller quels logiciels se connectent à internet (et vers où, par quel port, etc..) : https://www.nirsoft.net/utils/cports.html
• - Windows Sandbox (pour isoler un logiciel et le tester sans qu'il n'affecte le reste du système) :
  https://www.tomsguide.fr/installer-sandbox-windows-10-regler-problemes/ ...

Habituellement il est déconseillé d'avoir deux pare-feu installés en même temps, mais perso, j'utilise TinyWall (et je le conseille, mais seulement pour les utilisateurs qui cherchent un peu plus de contrôle des règles du pare-feu) : il s'agit d'un logiciel gratuit, non-intrusif (pas de pop-up) qui complète bien le pare-feu de Windows avec une interface pour lister les programmes bloqués, les services & logiciels qui tentent de se connecter au net, des menus pour ajouter des processus ou logiciels à la liste d'exception, etc. https://tinywall.pados.hu/

Sinon il y a Windows Firewall Control qui, en plus d'être gratuit lui aussi, complète également très bien Windows Defender. https://www.binisoft.org/wfc.php

En tous cas, merci gorhyk ces rappels de sécurité.

merci beaucoup gorhyk d'avoir tout regroupé !
ce sera plus facile pour relire et mettre en application
et merci blia pour le complément
bon w-e à vous

Merci blia pour le complément

Vu que j'ai un peu de temps, je vais vous illustrer l'analyse d'une tentative de phishing que j'ai reçu il y a 5mn.

Je reçois ce message par SMS :

1.jpg (10.36 Kio) Vu 611 fois

Comme une grande majorité des gens, je suis en attente d'un colis et donc mon premier réflexe est de cliquer sur le lien. Ce lien est ce que l'on appelle un "short link", le service qui est derrière permet de créer des mini liens temporaire, permettant de réduire grandement la longueur à partager. Parmi ces services, on peut citer https://bitly.com/ ou https://www.shorturl.at/. Une fois redirigé, voici le lien final :

2.jpg (156.01 Kio) Vu 611 fois

/!\ Ouvrir le lien dans un environnement qui ne craint rien (depuis un terminal linux, depuis une Sandbox, depuis une machine virtuelle...)

On va analyser cette URL :
1) https -> Protocole sécurisé, c'est cool mais comme on l'a vu, ça ne veut rien dire
2) fir5.com : Domaine principal. à priori ça n'a aucun lien avec la poste
3) colis-information : là ça a un lien avec la poste mais le domaine principal non, on va soumettre le nom de domaine sur le site virustotal :

3.jpg (81.56 Kio) Vu 611 fois

On peut voir que les premières soumissions remontent à 15 jours, ce qui est beaucoup trop récent pour un site de gestion de colis comme la poste.

En plus, le numéro de colis renseigné ne correspond pas à un vrai numéro de colis, la preuve finale que c'est un faux site.

En espérant vous avoir un peu plus éclairé sur ce sujet là

J'ai reçu exactement le même type de SMS il y a quelques jours. Une demande d'affranchissement de seulement quelques euros.
Cette technique est malheureusement très ingénieuse et des millions de gens vont se faire avoir, surtout en cette période où tout le monde attend des colis. Quelques euros multipliés par des millions de personnes rendent un hacker tranquille jusqu'à la fin de ses jours.

Ouh la en me relisant, je précise que ce n'est absolument pas un conseil pour devenir riche.

Oui, c'est assez dévastateur comme technique.Celle-ci est assez grossière mais l'idée est là

Bobo, surtout si tu paie en CB il aura full acces a ta carte.. donc c'est pas juste qq euros, de plus si ta banque estime que tu na pas ete suffisamment attentif elle ne fera pas marcher son assurance pour toi....
super post gorhyk bonne soiree a tous

Oui ne t'en fais pas Iakouar, je ne suis pas tombé dans ce piège. Dans mon métier, nous sommes sensibilisés à la sécurité des systèmes d'information depuis pas mal d'années déjà.
Malheureusement dans chaque campagne de phishing de ce type, des gens se font avoir.

Top Bobo bien joué ! comme quoi les campagnes de sensibilisation marchent

Merci pour ce complément d'information, Gorhyk.

Dans le moindre doûte, le mieux est d'aller directement sur le site de la Poste et d'y rechercher le numéro de colis plutôt que de cliquer sur le lien dans le mail. Même par un environnement dit sécurisé comme une sandbox, celà me paraît risqué d'aller sur le lien.

Spoiler:

Bobo, surtout si tu paie en CB il aura full acces a ta carte.. donc c'est pas juste qq euros, de plus si ta banque estime que tu na pas ete suffisamment attentif elle ne fera pas marcher son assurance pour toi....

Si on est obligé de payer par carte bleue, il vaut mieux recourir à une carte bleue pré-payée ou à autorisation systématique, sur un compte bancaire sans découvert autorisé et alimenté d'une somme minimum et tout juste suffisante pour les besoins. Pour éviter que même cette somme soit volée (en espérant que la banque ne ponctionne pas le compte sur livret en cas d'insuffisance d'allimentation du compte courant), on peut la transférer sur un compte sur livret qui est dans la même banque et la remettre sur le compte courant juste au moment de l'utilisation de la carte bleue (les virements entre comptes appartenant à la même personnes et dans la même banque sont instantanés).

C'estbma méthode ...un carte avec le minium ...je garde même l'ancien carte ...si un voyou ou une voyelle me demande ma carte bancaire dans le train ...je donnerai la périmée...
Merci pour la file j'etudirai ce week-end

pas bête comme idée !

Pulcherie, joli ton féminin de voyou. Je viens de vérifier et on dit voyoute en fait, mais je n'avais jamais entendu ce terme.
Ce mot est très peu connu, comme si les femmes étaient des anges.

Pulcherie, je n'y avais jamais penser ! Je vais faire cela alors ! Parfait !