|
|
|
INFORMATIQUE de l'INAF
|
|
|
|
|
INFORMATIQUE de l'INAF
|
|
|
Une sauvegarde automatique permettra d'une part de récupérer des données détruites mais aussi de remonter à des données non corrompues car l'infection peut être ancienne. Les sauvegardes devront donc être conservées suffisament longtemps. Le CNRS n'a plus d'accord de licence globale avec les éditeurs
des logiciels "F-Secure" de Kaspersky (anciennement AVP) Il faut configurer son Antivirus pour qu'il vérifie automatiquement la présence de nouvelles signatures tous les jours soit à une heure définie (Norton Live Update) soit plusieurs fois par jour (Fsecure Backweb). Il faut réaliser que les virus se propagent sur l'ensemble de la planéte en quelques jours seulement à tel point que certains virus sont programmés pour arréter automatiquement leur diffusion au bout de quelques jours (5 jours pour myparty.com) Si vous n'avez pas configuré la mise à jour automatique, faites le tout de suite. Plusieurs types d'antivirus existent: - Les antivirus scanneurs sont les plus utilisés et permettent la détection et souvent la désinfection pour les virus connus cependant, ils doivent être mis à jour régulièrement. - Les antivirus vérifiant la somme de contrôle comparent la signature des fichiers avant et après infection, ils ne doivent pas générer de fausse alerte lors d'une modification autorisée d'un fichier. - Les antivirus heuristiques essayent de détecter le comportement anormal d'un programme. Leurs règles de détection génèrent parfois de fausses alertes et les concepteurs de virus essayent de contourner ces règles ce qui nécessite également des mises à jour de l'antivirus On appelle 'extension' les quelques lettres (3 en général)
qui suivent le point derrière le nom de fichier par exemple
".DOC" pour les fichiers Word comme "MonTexte.DOC". Attention: sous Windows si l'option "Cacher les extensions des fichiers dont le type est connu" (En Anglais: "Hide file extensions for known file types") est validée alors les extensions sont invisibles et donc la détection des fichiers dangereux est impossible !!! Malheureusement cette option est configurée par défaut par Microsoft, il faudra donc la supprimer dans (Option des dossiers/Affichage). Les virus actuels comme SIRCAM utilisent ce défaut pour rebaptiser leur virus en prenant un nom sur le disque infecté comme "taphoto.GIF" infecté puis rebaptisé "taphoto.GIF.EXE". Ce fichier apparaîtra lors de l'arrivée dans la boite Mail comme celui d'une image sans danger "taphoto.GIF" puisque l'extension réelle ".EXE" le rendant exécutable sera invisible. Un simple clique sur cette pseudo image peut vous infecter ainsi que tous vos correspondants. En dehors des scripts (pratiquement toujours .VBS) et des applications MS-Office (pratiquement toujours .DOC) , les extensions dangereuses réellement rencontrées en pratique sont .COM, .EXE, .SCR, .LNK, .PIF et .BAT. Pour être plus exhaustif : Symantec (Norton Antivirus) recommande de scanner les fichiers
ayant les extensions suivantes: Une autre liste des fichiers potentiellement dangereux est
fournie à l'adresse : *.386 Windows Enhanced Mode Driver or Swap File *.ACM Audio Compression Manager Driver (Windows) and Windows System File *.ASP Active Server Page *.AVB Innoculan Anti-Virus Virus Infected File *.BAT Batch Processing *.BIN Binary File *.CLA Java Class File (usually .CLASS but can be shortened) *.CLASS Java Class File *.CMD OS/2, WinNT Command File, DOS CP/M Command File, dBase II Program File *.CNV MS Word Data Conversion File *.COM Executable File *.CS*. Corel Script *.DLL Dynamic Link Library *.DRV Device Driver *.EXE Executable File *.GMS Corel Global Macro Storage *.HLP Windows Help File *.HTA Hypertext Application (run apps from HTML doc) *.HTM, * .HTML Hypertext Markup Language (HTML) *.HTT Hypertext Template *.INF Information or Setup File *.INI Initialization file (many) *.JS*,*.JS, *.JSE JavaScript Source Code *.LNK Linker File, Windows Shortcut File *.MHT MS MHTML Document (Archived Web Page) *.MPD Mini Port Driver *.OCX Object Linking and Embedding (OLE) Control Extension *.OV* Program Overlay File (.OVL) *.PIF Windows Program Information File *.SCR Screen Saver Script *.SHS Shell Scrap Object File *.SYS System Device Driver *.TLB Remote Automation Truelib Files *.TSP Windows Telephony Service Provider *.VBS Visual Basic Script *.VBE Visual Basic Script Encrypted *.VXD Virtual Device Driver *.WBT WinBatch Script *.WIZ Wizard File *.WSH Windows Script Host Settings File Même le format RTF (Rich Text Format) que l'on croyait sûr peut camoufler un fichier avec virus macro. Pour se protéger des virus de type I love you - Les VBS (Visual
Basic Script) ne doivent pas exécutés automatiquement mais simplement
lus comme des fichiers de texte pour cela il faut désactiver
"Windows Scripting Host" : cf. menu "Démarrer/Paramètres/Panneau
de configuration/Ajout-Suppression de programes/" Cliquez sur
l'onglet "Installation de Windows" dans 'Accessoires' décochez
"Execution de script"
Si vous pensez être infecté par un virus
dont vous connaissez un des noms ou alias (un même virus porte
plusieurs noms suivant les éditeurs antivirus), procéder de la
manière suivante : http://www.drsolomon.com/vircen/enc/ http://www.avp.ch/avpve/findex.stm http://vil.mcafee.com/villib/alpha.asp http://www.symantec.com/avcenter/vinfodb.html http://www.antivirus.com/vinfo/virusencyclo/
Les macros permettent d'introduire des virus dans des fichiers de données Word Excel ou autre. Il est donc conseillé de désactiver le chargement automatique des Macros dans les logiciels bureautiques.
Un bobard (Hoax) est un faux message d'alerte,n'en tenez pas compte.Le but de ce type de courrier est de générer du "spam" en saturant les boites aux lettres de vos correspondants par un effet "boule de neige" car de plus en plus de personne se renvoient le message. Ne tombez pas dans le piège. Ne propagez pas ce type de message. L'anti-virus le plus adapté pour ces Hoax est la "poubelle". Vous pourrez reconnaitre ces fausses alertes aux caractéristiques
suivantes: Quelques exemples de bobards, mais il y en a d'autres ! http://www.datafellows.com/hoaxes/catcolon.htm Un autre type de canular existe sous la forme de chaine de courrier entrainant des saturations de boites aux lettres. En général, le théme traite d'action humanitaire ou engagée mais, soit elles sont totalement fictives ou soit les faits sont corrects mais il n'y a plus personne pour collecter les signatures entrainant la saturation des boites des personnes initiatrices ou d'une personne quelconque. Les sites où des textes et commentaires sur ce type de difficultés sont analysées: http://www.hoaxkill.com/hoaxes/petitions.html and http://www.feminist.org/action/action50.html http://athos.rutgers.edu/~watrous/pbs-funding-chain-letter-petition.html http://www.wish.org/craig.htm http://www.nbi.dk/~dickow/stop-chain-letter.txt http://www.cancer.org/chain.html http://urbanlegends.miningco.com/library/weekly/aa021198.htm http://www.ietf.org/internet-drafts/draft-ietf-run-adverts-00.txt http://www.ietf.org/internet-drafts/draft-ietf-run-spew-07.txt http://ciac.llnl.gov/ciac/CIACChainLetters.htmlIl est possible de vérifier qu'une alerte virus est un "canular" aux pseudo-virus (bobard, rumeur, hoax, myths) ou un vrai virus en consultant au choix les sites suivants :
Les archives des canulars et autres mythes qui courent sur Internet
: Attention, beaucoup de problèmes proviennent d'usurpation d'identité. Attention aussi au Phishing. Problèmes de CONFIDENTIALITE
Votre ordinateur laisse des informations à votre insu sur les réseaux. Il faut savoir qu'en général les informations circulent en clair sur le réseau. Un courriel (email) classique s'apparente plus à une carte postale qu'à une lettre cachetée. Pour éliminer 99% des indiscrets qui peuvent "sniffer" le réseau, on peut crypter l'information (SSH, SSL etc ...) mais ensuite pour "casser" votre codage ce n'est qu'une question de puissance de calcul donc de temps. N'importe qui peut se transformer en espion en cachant un "web Bug" dans le courriel qu'il vous envoie. Dans le cas le plus simple ce "Web Bug" se contente de charger une image qui signale à distance que vous êtes en train de lire ce mail. Pour être plus intrusif, quelques lignes JavaScript insérée dans le corps du message (invisible pour le destinataire comme le code html l'est sur une page web) permettent à chacun d'espionner les messages électroniques des autres ( cf. Richard Smith, Privacy Foundation). Si le message est reçu par un logiciel compatible JavaScript, toute réponse contenant le message original sera retournée à l'émetteur d'origine. Autrement dit, si vous faites suivre un message ainsi piégé, ce message et vos commentaires privés seront copiés et envoyés à l'adresse de l'expéditeur d'origine. es utilisateurs suivants sont aussi en danger si le texte d'origine est toujours intact et même si un utilisateur désactive l'option JavaScript dans son logiciel de messagerie, le mouchard sera opérationnel dès qu'il sera reçu par un autre utilisateur qui n'aura pas fait cette manipulation. Il faut donc DESACTIVER LES JAVASCRIPTS Il y a aussi les variables d'environnement qui sont des paramètres
système envoyés sur le réseau. Ils ne sont pas confidentiels mais
peuvent vous identifier par recoupement avec d'autres informations
comme les Cookies. Les cookies qui peuvent être utilisés pour suivre les pages internet que vous avez consultées. En particulier quand vous diffusez des informations personnelles comme votre Nom qui peut, grâce aux Cookies être associé, à vos goûts lorsque vous cliquez sur telle ou telle icône du Web. En conclusion, je conseille pour ma part de configurer votre Navigateur pour que, par défaut, il refuse les Cookies. Cette solution est cependant parfois lourde car elle impose beaucoup de clique de validation Ultérieurement, il sera toujours possible au besoin de les accepter ponctuellement pour un site qui les exige. En effet, il est parfois nécessaire d'accepter les Cookies sur un site "fiable" qui utilise les Cookies pour des raisons de sécurité et d'authentification. Les e-mails ne sont pas sécurisés. Aucun chiffrement n'est appliqué à ce que vous envoyez, tous vos e-mails peuvent donc être lus par quiconque se trouvant sur le "chemin" de votre ordinateur à celui de votre correspondant. N'envoyez aucune donnée confidentielle telle qu'un mot de passe par courriel, ni vos coordonnées bancaires. . La gestion des traces d'utilisation des moyens informatiques et des services réseaux au CNRS a été déclarée à la CNIL sous forme générique, pour l'ensemble des laboratoires sous tutelle CNRS et a fait l'objet d'une décision publiée le 11 octobre 2004 au bulletin officiel du CNRS ( décision 04P014DSI ). Les unités disposent dorénavant d'un cadre réglementaire pour traiter correctement la question de la "journalisation des opérations sur les systèmes informatiques", sous réserves de mise en œuvre de dispositions internes d'accompagnement visant à la transparence du dispositif. Le texte complet de la déclaration, intitulé "politique de gestion des traces d'utilisation des moyens informatiques et des services réseau au CNRS", peut être consulté sur l' intranet du CNRS (accès par certificat électronique). Ce texte explicite les traces qu'on peut conserver ainsi que leur durée maximale de conservation et les finalités de traitement auxquels elles donnent lieu. Il fait la distinction entre structures fonctionnelles et structures hiérarchiques afin de rendre compatibles, pour les Administrateurs Systèmes et Réseaux, travail d'équipe et obligation du "secret professionnel ". Il appartient maintenant aux directeurs d'unité d'arrêter leur politique interne de gestion des traces, en s'appuyant s'ils le souhaitent sur ce dispositif commun déclaré à la CNIL. Un courrier explicitant le dispositif a été adressé à tous les directeurs d'unité le 16 février 2005 par le Fonctionnaire de Sécurité de Défense.
SPYWARES : L'une des menaces les plus grandes. 
Il ne faut pas oublier les espiogiciels ou Spyware qui sont des routines intégrées dans de nombreux logiciels du commerce qui permettent d'espionner les habitudes des utilisateurs, sinon plus. Ces spywares (spy=espion) sont dangereux, car leur objectif et de transmetre, à votre insu, vos centres d'interets et informations personnelles à des sites distants inconnus et indépendants du site que vous consultez.Les spywares de type Keyloger sont les plus inquiétants puisqu'ils captent toutes les touches que vous frappez au clavier y compris vos passwords et codes de carte banquaire. Cette collecte des touches du clavier est imparable puisqu'elle se produit avant le cryptage par une éventuelle connexion sécurisée de type https ou SSH. Il y a aussi des utilitaires qui transmettent le nom et l'adresse d'origine des fichiers que vous avez téléchargés et par recoupement avec d'autres données comme les cookies, votre nom peut y être associé créant ainsi une base de données de vos centres d'intérêts.
Une menace grandissante est le phising qui vous fait croire que vous vous connectez à un site fiable alors que les informations que vous envoyez passent par un site de pirate. D'une manière générale l'usurpation d'identité est la technique la plus classique pour duper les internautes. Les certificats électroniques peuvent être une parade partielle s'ils sont mis en place et utilisés avec une très grande rigueur. En conclusion, ne croyez pas tout ce que vous voyez sur Internet, il faut toujours être méfiant et vérifier l'information. Cela étant fait, l' Internet améne une révolution du savoir, on y trouve une information très riche et diversifiée, donc ne jetons pas le bébé avec l'eau du bain.
ADRESSES UTILES POUR S'INFORMER
C'est l'administrateur de votre réseau local, la personne que vous allez voir quand plus rien ne marche! Posez votre question ici ! informatique@inaf.cnrs-gif.fr contactez :  ; (tel 016982 4145)
|
|
Cette page a
été à l'origine inspirée de celle
de l'Université Paris 7, bravo pour leur travail. Page "http://www.inaf.cnrs-gif.fr/../informatique/securite_inaf.html"- bM-23/8/2004-14/4/2008 - © CNRS - |