Sécurité

Guide de sécurisation de Windows face aux menaces des périphériques amovibles

La clé : le fichier autorun.inf

Penchons-nous sur ce fichier très pratique et son utilisation. Il s'agit là d'une fonctionnalité Windows associée au double-clic lorsque vous ouvrez un volume. C'est à dire que lorsque vous double-cliquez sur un lecteur (quel qu'il soit) pour l'ouvrir, la première démarche de Windows lorsqu'il est configuré par défaut sera de chercher la présence d'un fichier Autorun.inf afin de déterminer ce qu'il doit faire à l'ouverture de ce volume. En l'absence de ce fichier, l'explorateur Windows s'ouvrira. Ce système est surtout utilisé sur les CD-ROM afin de lancer automatiquement une application à l'insertion du CD. Mais il est extensible à tous types de supports et volumes, et c'est cette fonctionnalité qui a été détournée ainsi par les auteurs des infections. On retrouve cette fonction d'exécution automatique sur tous les Windows, de 2000 à Windows 7.

Attention, pour lire le contenu d'un fichier Autorun.inf, il vous faut l'ouvrir par exemple avec le Bloc-notes de windows. Si vous double-cliquez dessus, vous risquez dans certains cas de l'exécuter.

[autorun]
icon = .\Maxtor_Portable.ico

Illustration 4

Nous avons là l'exemple type et basique d'un fichier autorun légitime (Illustration 4). Ce dernier permet d'afficher l'icône nommée Maxtor_Portable.ico dans l'explorateur Windows. Ainsi, en cliquant sur l'Explorateur (XP) ou Ordinateur (Vista, 7), l'icône affichée au lecteur sera celle-ci dans notre exemple (Illustration 5).

Maxtor_Portable.ico
Illustration 5

Nous pouvons voir dans l'exemple ci-dessous (Illustration 6) les différentes commandes généralement incluses dans un fichier autorun.inf d'origine malveillante ou non.

[autorun]
;la commande suivante attribue une icône au lecteur
icon= .\exemple.ico
;l'exemple suivant permet d'afficher par exemple une icône de répertoire au lecteur afin de forcer le double-
clic en incitant l'utilisateur à visualiser le contenu

icon=systemroot%\system32\shell32.dll,4
; la commande suivante exécute le fichier au double-clic
open=exemple.com
; la commande suivante exécute le fichier quel que soit la commande définie par défaut au double clic
shell\open\Default=1
; la commande suivante exécute le fichier sur le "menu contextuel" et "ouvrir"
shell\open\Command=exemple.com
; la commande suivante exécute le fichier sur le "menu contextuel" et "explorer"
shell\explore\Command=exemple.com
; la commande suivante permet de définir la phrase à l'affichage dans la fenêtre de choix d'exécution
automatique

action=Ouvrir le dossier pour afficher les fichiers
; la commande suivante permet d'exécuter le fichier suite au choix dans la fenêtre d'exécution
shellexecute=exemple.com

Illustration 6

L'exemple proposé ci-dessus n'est bien évidemment pas exhaustif. Vous pouvez consulter la page Microsoft dédiée, ou encore le mini-tutoriel réalisé par developpez.com. A présent que nous avons vu le fonctionnement de l'Autorun.inf, nous allons nous attarder sur les différentes mesures de sécurité que l'on peut observer, tant sur le système que sur le support en lui même. Pour que vous preniez conscience de l'exécution automatique d'un programme, je vous suggère de télécharger Autorunplasma de S!Ri qui vous le démontrera de façon ludique à l'ouverture d'un lecteur (Illustration 7) - télécharger l'application compressée et décompressez l'archive obtenue à la racine d'un lecteur ou d'une clé USB - ou d'utiliser un exécutable inoffensif, tel le démineur, associé à un fichier autorun.inf rédigé sous le Bloc-Notes (avec l'exemple proposé ci-dessus).

Virus free
Illustration 7

Note sur Autorunplasma de S!Ri: nous détournons là la finalité de l'application à des buts démonstratifs ; l'outil n'a pas été crée initialement pour cela. Nous y reviendrons dans la partie "Vaccination simple" du chapitre "Les mesures de protection sur le support".

Nous allons aborder dans les parties suivantes différentes manipulations, astuces, et paramètres à configurer. Ils ne sont pas bien sûr à tous appliquer et exécuter sur votre système ou vos supports immédiatement. Après avoir fait le tour des différentes suggestions, nous aborderons dans la partie "Suggestions en fonction de votre situation" les éléments les plus pertinents à opérer en fonction de votre situation.  Nous n'aborderons pas ici les manipulations recommandées non spécifiques aux supports amovibles, comme le fait de surfer et travailler en session limitée et pas en droits administrateurs par exemple. Ce sont normalement des évidences. Divers tutoriels -expliqués pour XP généralement, mais la démarche est la même sous Vista- existent sur le Net pour vous y sensibiliser.

Vos commentaires
Laissez un commentaire !
A découvrir également :
  1. ZebIxe en tant qu'invité
    le 20 février 2011 à 12h24

    Cette information vaut de l'or pour moi: je n'ai lu aucune réponse-solution qui approchait celle-ci, même en anglais. De l'or... sauf qu'il est un peu tard pour moi pour l'appliquer.

    Éprouvant actuellement un problème d'amorçage sous OS W7 32 bits et comme tout bon internaute, j'ai fait différentes recherches, appliqué différentes solutions «post-mortem» qui n'ont malheureusement pas réglé mon problème qui consiste:
    message d'erreur sur écran bleu mais tellement rapide que je dois désactiver la fonction de démarrage automatique de W7 pour parvenir à le lire soit «UNMOUNTABLE_BOOT_VOLUME, code d'erreur STOP: OX...ED et la suite)

    Rien n'y fait: disque de réparation W7 inopérant (redémarre continuellement), copie de réinstallation W7 inopérante (je savais déjà le pourquoi mais maintenant surtout comment y remédier... lorsque je pourrai le faire évidemment), impossibilité d'appliquer aucune action avancée par F8 (retombe inévitablement sur l'écran bleue ou redémarre), impossibilité d'entrer dans le bios afin d'écrire certaines commandes clées qui pourraient régler mon problème(chksdk /r, fixboot, bootrec /fixmbc, ...).

    Rien n'y fait... de ce que j'ai essayé du moins mais il existe certainement une solution.

    Évidemment, si j'expose ainsi et ici mon problème, c'est qu'il va y avoir une suite à cette phrase style supplication:

    «POURRIEZ-VOUS M'AIDER S'IL-VOUS-PLAÎT???»

    Merci à l'avance pour les réponses qui, j'en suis certain (comprendre ici «espérance») ne manqueront pas de parvenir,

    ZebIxe

    répondre
  2. Gof en tant qu'invité
    le 27 janvier 2011 à 06h00

    Merci à Jean-Michel

    répondre
  3. Yann en tant qu'invité
    le 25 janvier 2011 à 09h32

    Bonjour,

    Voici deux scripts supplémentaires envoyé par Jean-Michel, un de nos lecteur. Merci à lui !

    - VaccinUSB_On-Off_Select_Drive.bat
    - VaccinUSB_On-Off_All_Drive_and_Registre.bat

    CitationLes 2 versions vaccinent contre les mêmes "virus/trojan" que VaccinUSB.exe, avec en plus l'option d'installer ou de désinstaller le vaccin.

    Le nomrep à la fin des scripts pour simplifier l'ajout (la liste de nomrep est la même que l'actuel VaccinUSB.exe )

    La version "All Drive" installe ou désinstalle VaccinUSB sur les 26 lecteurs possibles, ainsi que l'affichage registre au sujet de l'autorun (section :examreg du script).

    La version "Select Drive" demande le lecteur sur lequel l'on veut installer ou désinstaller VaccinUSB.

    Suite à un probléme quand l'on vaccine plus d'une clef USB ajout du nettoyage du "temp" des anciens nomrep.txt, lecteur.txt et rapportVacUSB.txt en début de script pour éviter que l'ancienne vaccination soit répété, en cas de d'ajout ou de retrait de "signature" (nomrep).

    Voilà je pense avoir fait le tour des modifications du script d'origine. Merci pour votre article et à l'auteur du script original qui m'a beaucoup aidé à résoudre un soucis

    Cordialement

    Jean-Michel

    répondre
  4. Gof en tant qu'invité
    le 08 janvier 2011 à 11h00

    dzork a dit :(...) Par contre, j'aimerais savoir s'il est possible de bloquer l'écriture d'un seul port usb sans bloquer les autres ports.
    cordialement.
    Bonjour

    Dans la méthode proposée, tous les périphériques ne seront pas disponibles en écriture. Je n'ai pas la réponse à ta question, à savoir isoler un seul périphérique afin d'interdire l'écriture sur tous les autres. Il faudrait pour cela trouver une solution différente de celle que j'ai proposée, car cette dernière ne permet pas cette distinction.

    répondre
  5. Gof en tant qu'invité
    le 08 janvier 2011 à 10h48

    hossec a dit : (...) Pouvez vous me précisez ou j'ai fait une erreur
    Bonjour hossec

    Pour les lecteurs, il est préférable de poser vos questions éventuelles sur le forum, ici je risque de passer à côté et ne pas voir les questions.

    Je réponds dans ton sujet hossec

    répondre
  6. hossec en tant qu'invité
    le 06 janvier 2011 à 21h57

    Bonsoir,

    Tout d'abord merci pour votre tuto.
    Cependant je rencontre un problème pour créé le bat. J'ai rajouté des lignes comme vous l'avez préconisé, pour créé plusieurs répertoire mais sans succès. il ne me créé qu'un seul répertoire
    Voici mon bat:
    chcp 1252
    @echo off
    del /q %temp%\rapportVacUSB.txt
    echo %date% - %time% - Vaccin USB - Gof>%temp%\rapportVacUSB.txt
    echo. >>%temp%\rapportVacUSB.txt
    goto lecteur
    :vaccon
    echo Répertoires et fichiers vaccins :>>%temp%\rapportVacUSB.txt
    echo. >>%temp%\rapportVacUSB.txt
    FOR /f %%g in (%temp%\lecteur.txt) do for /f %%h in (%temp%\nomrep.txt) do (
    if exist "%%g\%%h" echo %%g\%%h Present >> %temp%\rapportVacUSB.txt
    if exist "%%g\%%h" attrib.exe -h -r -s -a "%%g\%%h"
    if exist "%%g\%%h" del /q "%%g\%%h"
    rd /s /q "%%g\%%h"
    md "%%g\%%h"
    type nul > "\?\%%g\%%h\con.Repertoire vaccin"
    if exist "\?\%%g\%%h\con.Repertoire vaccin" echo %%g\%%h - Vaccin Ok >> %temp%\rapportVacUSB.txt
    attrib.exe +h +r +s +a "%%g\%%h"
    )
    goto sortie
    :sortie
    echo.>> %temp%\rapportVacUSB.txt
    echo %date% - %time% : Fin.>> %temp%\rapportVacUSB.txt
    start %temp%\rapportVacUSB.txt
    exit
    :lecteur
    del /q %temp%\lecteur.txt
    echo Lecteur détectés :>>%temp%\rapportVacUSB.txt
    echo. >>%temp%\rapportVacUSB.txt
    for %%i in (a, b, c, d, e, f, g, h, i, j, k, l, m, n, o, p, q, r, s, t, u, v, w, y, y, z) do (
    vol %%i:
    if not errorlevel 1 echo %%i: >>%temp%\lecteur.txt
    vol %%i:
    if not errorlevel 1 vol %%i: >>%temp%\rapportVacUSB.txt
    )
    echo. >>%temp%\rapportVacUSB.txt
    goto nomrep
    :nomrep
    echo driver > %temp%\nomrep.txt
    echo myfolder > %temp%\nomrep.txt
    echo autorun.inf > %temp%\nomrep.txt
    goto vaccon

    RIEN Y FAIT, IL NE CREE QUE LE REPERTOIRE AUTORUN.INF

    Pouvez vous me précisez ou j'ai fait une erreur

    Merci d'avance

    répondre
  7. dzork en tant qu'invité
    le 06 janvier 2011 à 12h03

    Bonjour et merci pour cette info.
    Par contre, j'aimerais savoir s'il est possible de bloquer l'écriture d'un seul port usb sans bloquer les autres ports.
    cordialement.

    répondre
  8. Gof en tant qu'invité
    le 22 juin 2010 à 22h21

    Bonsoir,

    Le document est à présent disponible sur le lien suivant : cliquer ici.

    Suite à la mise à jour du forum, le lien a changé. Pour ceux qui ont inséré ce billet sur leur site/blog, pensez à changer/modifier le lien de téléchargement, merci.

    répondre
  9. Gof en tant qu'invité
    le 16 mai 2010 à 20h45

    Bonsoir jeje cordao

    Merci du commentaire. En effet, ce petit logiciel permet d'automatiser quasiment tous les éléments recensés et indiqués dans le tutoriel. Le logiciel en question a été créé par Loup blanc, un ami, pour permettre d'automatiser facilement les conseils suggérés du PDF. J'en avais parlé en commentaire du billet de ce Guide, sur le blog La mare du Gof.

    Ainsi, pour ceux qui veulent comprendre et faire les manipulations manuellement, je leur suggère de consulter le PDF et d'appliquer par eux-mêmes les suggestions qui leur conviennent. Pour les autres, moins à l'aise ou plus pressés, l'outil USB-SET conviendra parfaitement.

    USB-SET est disponible ici sur Zebulon, ou sur l'hébergement de l'auteur Loup blanc ici. La version au moment où j'écris ces lignes est la 1.4.1.

    En cas de soucis, un support peut être assuré sur le forum, dans Optimisation, Sécurisation, Prévention.

    A bientôt

    répondre
  10. jeje cordao en tant qu'invité
    le 12 mai 2010 à 15h54

    super travail, bien détaillé, par contre j'ai trouvé un logiciel qui apparemment pourrait réaliser toutes ses actions : USB-set 1.2 ou 1.3?
    Qu'elle est votre opinion sur ce petit utilitaire.
    et encore merci aux nomx de tous

    répondre
Ecrire un commentaire