Les bonnes pratiques de sécurité
Date de publication : 14/07/2004 , Date de mise à jour : 05/11/2006
Par
Cédric Chatelain (Pages perso)
Les menaces se multipliant ces derniers temps (virus, vers, spyware, intrusions), il est primordial de savoir
quelles attitudes
et actions adopter pour se prémunir et réagir aux problèmes de sécurité. A côté de ça un autre problème (le spam)
augmente aussi de manière inquiétante...
Ce texte a été rédigé grâce aux remarques des différents internautes sur notre forum, et notamment les posts de ce
sujet :
http://www.developpez.net/forums/viewtopic.php?p=1021600#1021600.
N’hésitez pas à venir y donner votre avis !
Merci
1. Vérifiez vos informations
2. les courriers non sollicités (le spam)
2.1. Ce qu'il faut savoir sur le spam
2.2. S'en protéger
3. Se protéger contre les spywares
3.1. Ce qu'il faut savoir sur les spywares
3.2. Liens utiles pour enlever les spywares
4. Se protéger contre les virus
4.1. L'attitude à adopter pour éviter les virus
4.2. Liens utiles pour lutter contre les virus
4.3. Les sites de base sur la sécurité et les virus
4.4. Les Chevaux de Troie
4.5. Adresses de laboratoires d'antivirus où envoyer éventuellement vos bébêtes
5. Se protéger des intrusions
5.1. Quel pare-feu ?
5.2. Testez votre sécurité
6. Fermer les services inutiles
6.1. Sous Windows
6.2. Conseils pour les services sous Linux
7. Les mots de passe
Merci
1. Vérifiez vos informations
Ne sombrez pas dans la paranoïa et vérifiez vos sources d'information, car quelques fois les remèdes que l'on vous
conseille sont
pires que les maux qu'ils sont censés soigner… Donc, si vous recevez un message alarmiste, vérifiez le. Un site permet
cette
vérification :
http://www.hoaxbuster.com/.
2. les courriers non sollicités (le spam)
2.1. Ce qu'il faut savoir sur le spam
Tout ce que veulent les spammeurs, c'est recueillir un maximum d'adresses de courrier électronique valides.
Par conséquent:
- Ne répondez jamais à un spam (d'ailleurs la plupart du temps les adresses d'origine sont fausses).
- N'utilisez jamais les liens pour vous désinscrire, vous ne feriez que valider votre adresse, et la quantité de spam ne
fera qu'augmenter
- Les pseudos-sites vous inscrivant sur des listes pour ne plus avoir de spam sont des escroqueries, vous recevrez encore
plus de spam.
Un très bon site (en anglais) sur le spam:
http://www.spamhaus.org/
2.2. S'en protéger
- Ne faites
jamais suivre des chaînes vous recevrez dans 99% des cas des virus sur votre adresse e-mail : pourquoi ?
Le champ servant à masquer les destinataires est en effet peu utilisé, et les listes des destinataires restent dans
le corps du message. Ainsi, la première machine infectée recevant cette chaîne dispose de plusieurs centaines d'adresses
e-mail valides à infecter..
Faites pression sur vos contacts pour qu'ils ne vous envoient pas ces chaînes....
- Evitez de donner votre adresse de courrier électronique "n'importe où".
- Créez une boite aux lettres "poubelle" que vous utiliserez si vous devez fournir une adresse de courrier électronique
pour vous inscrire sur un site autre qu'un site de "confiance" (banque, enseigne connue,etc.).
- Utilisez un filtre anti-spam :
Le logiciel MailWasher est particulièrement adapté pour cette fonction. Le principe est qu'il va interroger vos courriers,
et vous permettre, sans avoir besoin de les récupérer, de décider si vous voulez les détruire ou les récupérer par la suite.
Ce filtrage en amont permet d'éviter les pièges des nouveaux courriers publicitaires, où le simple affichage d'une image
permet à l'expéditeur de savoir que votre adresse est valide.
Ce logiciel inclus un système de liste noire/liste d'amis, qui vous fera gagner du temps dans le filtrage de vos
courriers.
Site de ce logiciel:
http://www.mailwasher.net
Ce logiciel inclut une fonction très utile: il peut envoyer un faux message d'erreur, afin de faire croire que votre
adresse de courrier électronique est invalide. Utilisez systématiquement cette option afin de faire diminuer le nombre de
courriers de type spam que vous recevrez.
Cliquez ensuite sur "Free download".
La configuration est simple, vous aurez besoin de vos codes de messagerie (ceux fournis lors de votre abonnement).
3. Se protéger contre les spywares
3.1. Ce qu'il faut savoir sur les spywares
Les spywares sont des espions qui récoltent des informations quand vous naviguez sur internet.
Les spywares sont souvent présent dans les version gratuites de certains logiciels et récoltent des informations à but
commercial.
Ils envoient donc, à votre insu, des données sur internet.
3.2. Liens utiles pour enlever les spywares
4. Se protéger contre les virus
4.1. L'attitude à adopter pour éviter les virus
- Si vous recevez par courrier électronique un message d'un inconnu, surtout si c'est dans une langue étrangère, avec
une pièce jointe, ce message contient quasiment toujours un virus : supprimez le sans le lire. Cette simple précaution
suffit à éliminer la plupart des virus.
- Installez un antivirus et mettez le à jour. Norton Antivirus inclut un an de mise à jour après l'installation.
- Installez les mises à jour de sécurité via Windows Update (Démarrer > Windows Update) pour les ordinateurs sous
Windows, ou le système correspondant à votre OS. Ces virus s'en prennent aux machines connectées à Internet, sans
que vous ayez eu à exécuter un logiciel infecté.
En cas de problème vous pouvez consulter le support Microsoft :
http://support.microsoft.com/default.aspx
4.2. Liens utiles pour lutter contre les virus
4.3. Les sites de base sur la sécurité et les virus
4.4. Les Chevaux de Troie
4.5. Adresses de laboratoires d'antivirus où envoyer éventuellement vos bébêtes
5. Se protéger des intrusions
5.1. Quel pare-feu ?
5.2. Testez votre sécurité
6. Fermer les services inutiles
Il est important de ne pas lancer de services inutiles. Les ressources libérées en mémoire et en CPU peuvent alors servir
aux applications de sécurité (firewall et antivirus) et évitent aux failles de sécurité de devenir critiques. De plus, certains
services, de par leur fonctionnement peuvent directement poser des problèmes de sécurité. D'autres, au contraire, sont
indispensables au bon fonctionnement de votre PC.
6.1. Sous Windows
| Service |
Description (la description est dans le panneau de configuration) |
Conseil |
| Accès à distance au Registre |
Permet aux utilisateurs à distance de modifier les paramètres du Registre sur cet
ordinateur. |
Ce service doit être "désactivé", les raison de sécurité sont évidentes. |
| Acquisition d'image Windows (WIA) |
Fournit des services d'acquisition d'images pour les scanneurs et les appareils photo. |
Ce service peut être mis sur "manuel" sans perturber le bon fonctionnement, passez
le en "automatique uniquement si vous constatez un problème lors de l'utilisation de votre
scanner ou de votre appareil photo numérique. |
| Affichage des messages |
Envoie et reçoit les messages des services d'alertes entre les clients et les serveurs.
Ce service n'est pas lié à Windows Messenger. Si ce service est arrêté, les messages d'alertes
ne seront pas transmis. Si ce service est désactivé, les services qui en dépendent ne pourront
pas démarrer. |
Ce service doit être "désactivé". Il constitue le moyen privilégié de vous
faire parvenir de la publicité ou de vous attirer sur un site "piège". |
| Aide et support |
Permet à l'application Aide et support de fonctionner sur cet ordinateur. Si ce service
est arrêté, la fonctionnalité Aide et support ne sera pas disponible. S'il est désactivé,
tous les services dépendant explicitement de ce service ne pourront pas démarrer. |
Ce service peut être "désactivé" si vous pouvez vous passer de l'aide Windows,
sinon vous pouvez le laisser en "manuel". |
| Application système COM+ |
Gère la configuration et le suivi des composants de base COM+ (Component Object Model) .
Si le service est arrêté, la plupart des composants de base COM+ ne fonctionneront pas correctement.
Si ce service est désactivé, les services qui en dépendent de manière explicite ne pourront pas
démarrer. |
Vous pouvez laisser ce service en "automatique" pour conserver un bon fonctionnement plus
"simple". Pour renforcer la sécurité vous mouvez le passer en "manuel". |
| Assistance TCP/IP NetBIOS |
Permet la prise en charge pour NetBIOS sur un service TCP/IP (NetBT) et la résolution
des noms NetBIOS. |
Si vous êtes en réseau, laissez le en "automatique". Dans le cas contraire, vous pouvez
le désactiver. |
| Audio Windows |
Gère les périphériques audio pour les programmes basés sur Windows. Si ce service est
arrêté, les périphériques et les effets audio ne fonctionneront pas correctement. Si ce service
est désactivé, les services en dépendant explicitement ne démarreront pas. |
Si vous utilisez votre carte son, laissez le en "automatique". Dns le cas contraire vous
pouvez le désactiver. |
| Avertissement |
Informe les utilisateurs et les ordinateurs sélectionnés des alertes administratives.
Si ce service est arrêté, les programmes qui utilisent les alertes administratives ne les
recevront pas. Si ce service est désactivé, les services qui en dépendent ne pourront pas
démarrer. |
Vous pouvez désactiver ce service sans risquer de problèmes particuliers. |
| Client DHCP |
Gère la configuration réseau en inscrivant et en mettant à jour les adresses IP et les
noms DNS. |
Si vous êtes en réseau avec des IP fixes, ou que vous n'êtes pas dans un réseau,
vous pouvez le désactiver. Il n'y aura pas de disfonctionnement. |
| Client DNS |
Résout et met en cache les noms DNS pour cet ordinateur. Si ce service est arrêté,
l'ordinateur ne pourra pas résoudre les noms DNS et trouver les contrôleurs de domaine Active
Directory. Si ce service est désactivé, les services qui en dépendent ne pourront pas
démarrer. |
Vous pouvez le désactiver. Il n'y aura pas de disfonctionnement. |
| Compatibilité avec le Changement rapide d'utilisateur |
Fournit un système de gestion à des applications qui nécessitent de l'Assistance
dans un environnement d'utilisateurs multiples. |
Si vous êtes le seul utilisateur, ou que vous changez rarement d'utilisateur sur
votre PC, vous pouvez le désactiver. |
| Configuration automatique sans fil |
Permet le démarrage des processus sous d'autres informations d'identification. Si ce
service est arrêté, ce type d'ouverture de session sera indisponible. Si ce service est
désactivé, tout service en dépendant explicitement ne démarrera pas. |
Si vous n'utilisez pas de réseau sans fil, vous pouvez le désactiver. |
| Connexion secondaire |
Permet le démarrage des processus sous d'autres informations d'identification. Si ce
service est arrêté, ce type d'ouverture de session sera indisponible. Si ce service est désactivé,
tout service en dépendant explicitement ne démarrera pas. |
Ce service peut poser des problèmes de sécurité et le mettre en manuel ne suffit pas.
Il faut le désactiver. Attention toutefois aux applications qui ont une option
"lancer avec un compte restreint" et qui en auront besoin si cette dernière est activée. |
| DSDM DDE réseau |
Gère l'échange dynamique de données partagées de réseau. Si ce service est arrêté,
l'échange dynamique de données partagées de réseau ne sera plus disponible. Si ce service
est désactivé, tout service en dépendant explicitement ne démarrera pas. |
Vous pouvez le désactiver si vous n'utilisez pas de réseau. |
| Explorateur d'ordinateur |
Tient à jour une liste des ordinateurs présents sur le réseau et fournit cette liste
aux ordinateurs désignés comme navigateurs. Si ce service est arrêté, la liste ne sera pas mise
ou tenue à jour. Si ce service est désactivé, les services qui en dépendent ne pourront pas
démarrer. |
Vous pouvez le désactiver si vous n'utilisez pas de réseau. |
| Gestionnaire de l'Album |
Active le Gestionnaire de l'Album afin de stocker les informations et les partager
avec des ordinateurs à distance. Si le service est arrêté, le Gestionnaire de l'Album ne
pourra pas partager les informations avec des ordinateurs à distance. Si ce service est
désactivé, tout service en dépendant explicitement ne démarrera pas. |
Ce service peut être désactivé si il n'y a pas de partage avec une machine distante. |
| Horloge Windows |
Conserve la synchronisation de la date et de l'heure sur tous les clients et serveurs
sur le réseau. Si ce service est arrêté, la synchronisation de la date et de l'heure sera
indisponible. Si ce service est désactivé, tout service en dépendant explicitement ne
démarrera pas. |
Si vous pouvez vous passer de la mise à l'heure depuis le internet, désactivez
ce service. |
| Journal des événements |
Active les messages d'événements émis par les programmes fonctionnant sous Windows
et les composants devant être affichés dans l'observateur d'événements. Ce service ne peut
être arrêté. |
Si vous ne consultez pas le journal des événements, vous pouvez le passer en "manuel".
La modification prend effet après le redémarrage de Windows. |
| Journaux et alertes de performance |
Collecte les données de performances des ordinateurs locaux ou distants basés sur des
paramètres planifiés préconfigurés, puis écrit les données dans un journal ou déclenche une
alerte. Si ce service est arrêté, les informations de performances ne seront pas collectées.
Si ce service est désactivé, tout service en dépendant explicitement ne démarrera pas. |
Il est préférable de désactiver ce service. Aucune perturbation ne devrait en résulter. |
| Partage de Bureau à distance NetMeeting |
Permet aux personnes autorisées d'accéder à votre Bureau Windows en utilisant NetMeeting. |
Il faut désactiver ce service pour des raisons évidentes de sécurité. |
| Routage et accès distant |
Offre aux entreprises des services de routage dans les environnements de réseau
local ou étendu. |
Comme tout ce qui permet des accès distants, pour des raisons de sécurité, il faut
le désactiver. |
6.2. Conseils pour les services sous Linux
Mon expérience Linux est assez restreinte, mais nous allons essayer de faire le tour des services linux potentiellement
dangereux pour votre PC.
| Service |
Description |
Conseil |
| fingerd |
Ce service fournit des informations sur les utilisateurs déclarés dans votre
système. |
Il préférable, au minimum, de le rendre inaccessible depuis internet et
, au mieux, de le désactiver. |
| fptd |
C'est un serveur FTP. |
Il a connu de nombreux bugs. Il est préférable d'utiliser un autre serveur FTP ou
de se contenter du user "anonymous", mais en aucun cas d'utiliser les users du système. |
| httpd (Apache) |
C'est le serveur Web. |
Utilisez le seulement si vous avez besoin d'un serveur Web. Assurez vous que votre
version de PHP est à jour, et désactivez le PHP si vous ne l'utilisez pas. |
| telnetd |
Permet la prise de contrôle à distance du poste |
Il est fortement recommandé de désactiver ce service. |
7. Les mots de passe
Les mots de passe, que ce soit sur votre PC ou sur une application internet (webmail, forum, etc...) sont une cible d'attaques. Les attaques se font
principalement sous 2 formes :
- dictionnaire des mots de passe les plus fréquents
- brutforce
Le mot de passe ne doit donc, ni être un mot commun, ni être facile à trouver. De plus il doit avoir une longueur suffisante (6 charactères me semble
être le minimum passable) et être composé de minuscules, majuscules, chiffres et caractères spéciaux(si ces derniers sont acceptés) tels @*ù$#{[]}()-_
ou de ponctuations ,;: afin de compliquer au maximum une attaque brutforce (attaque dans laquelle toutes les combinaisons possibles sont testées en mot
de passe). Un mot de passe généré aléatoirement est ce qu'il y a de mieux. De tels générateurs existent, en extensions firefox ou en widgets opéra par
exemple.
Afin que votre mot de passe reste une protection efficace de vos données personnelles, vous devriez suivre les recommandations suivantes :
- Un mot de passe est personnel : ne le confiez jamais à un tiers, ne l'écrivez pas sur un post it collé sur l'écran...etc
- Evitez tant que possible d'avoir le même mot de passe sur 2 (ou plus) applications différentes.
- un mot de passe doit être changé régulièrement
Si vous devez mettre en place une politique de mot de passe au sein d'une application ou d'un système, il arrive souvent d'avoir des utilisateurs très
récalcitrants. C'est alors à vous de faire preuve à la fois de diplomatie mais aussi de sévèrité pour que soit respecter cette politique.
Il existe des programmes tel que John The Ripper sous Unix qui permettent de faire une attaque de forcebrute sur vos fichiers de mot de passe. C'est
très interressant de montrer aux utilisateurs non informaticiens, comment un mot de passe faible est si facilement trouvable.


Copyright ©
2004
Developpez LLC. Tous droits réservés Developpez LLC.
Aucune reproduction, même partielle, ne peut être faite de ce site et de
l'ensemble de son contenu : textes, documents et images sans l'autorisation
expresse de Developpez LLC. Sinon vous encourez selon la loi jusqu'à 3 ans
de prison et jusqu'à 300 000 E de dommages et intérêts.
Cette page est déposée à la
SACD.