Préambule
AdobeR.exe, Ravmon.exe, Copy.exe, Host.exe, Svchost.exe, [login].exe, etc. Tous ces noms vous évoquent-ils quelque chose ? Indépendamment de leur vecteur de propagation, ces fichiers d’infections sont devenus classiques et leur finalité est avouée : une fois présentes sur votre pc, elles agissent comme tout malware classique. Elles peuvent permettre un accès à distance à votre système, télécharger du code sur le Net, modifier des variables systèmes, compromettre l’intégrité complète d’un réseau, piller vos documents ou encore stocker des éléments illicites. La finalité précise de chacune dépend évidemment de la variante rencontrée.
Qu’il s’agisse de sécurité domestique sur le PC familial, ou qu’il s’agisse d’un petit ensemble de machines au sein d’un réseau local ou non, la sécurisation des systèmes face aux menaces se propageant par supports amovibles n’est pas toujours aisée. Ces menaces, fluctuantes, sont susceptibles de toujours plus gravement compromettre l’intégrité de vos systèmes et la confidentialité des informations détenues. Après vous en avoir expliqué le mécanisme de propagation, je vous suggérerai quelques pistes que je crois pertinentes pour la sécurisation de vos machines. Il est à noter que c’est faire preuve d’abus de langage d’évoquer ces menaces en les cantonnant aux seuls supports amovibles ; car ces dernières exploitent une opportunité Windows présente sur tous types de supports (cf annexe A) : les supports amovibles en effet (tout ce qui peut se brancher en USB – on pensera donc aux clés bien entendu, aux lecteurs audio et vidéo, aux appareils photos, aux téléphones, aux disques durs externes ), mais également aux cartes stick d’appareils photos, aux différentes partitions d’un même disque dur.
Avant-hier il s’agissait de script Kiddies rajoutant un titre personnalisé à vos fenêtres Internet Explorer (ms32dll.dll.vbs). On entend par “Script Kiddies” des bouts de code recueillis par quelques amateurs sur le Net et adaptés par ces derniers ; ils ne sont souvent pas bien originaux et ne sont destinés qu’à valoriser le pilleur au sein de sa communauté. Hier il s’agissait de Bots IRC permettant un accès distant au système et à l’utilisation de votre bande passante (adobeR.exe), en passant par les techniques de réplication automatique (host.exe) allant jusqu’à la saturation de l’environnement complet. Aujourd’hui, de masquage en driver système (Conficker) tout en exploitant les vulnérabilités systèmes révélées sur la Toile, de masquage en driver matériel (tdss.sys et ses nombreuses variantes) jusqu’aux codes évolués pour piller toutes les informations sensibles dès l’insertion du support amovible fourni par social engineering (USB Switchblade à titre d’exemple) ; les menaces de demain et leurs finalités sont encore à préciser. Conficker et ses déclinaisons, et ce malgré toutes les études des différents éditeurs de sécurité sur l’infection, n’a pas encore délivré tous ses secrets. Les célèbres -et toujours très présentes sur les réseaux d’échange et de cracks- infections Bagle et Virut exploitent aussi ce procédé pour se propager.
C’est en amont, lorsque le système est sain qu’il faut prévenir la situation ; car il faut réaliser que la propagation par supports amovibles n’est pas une finalité, mais un moyen -à moindre frais- pour facilement dupliquer et propager les infections. Il est à mon sens illusoire de partir du postulat de traiter les menaces lorsque ces dernières se matérialisent, car elles recouvrent un panel de déclinaisons trop importantes pour un seul outil de sécurité (votre antivirus, un antimalware, un fix). Dans le cas des graves infections, il est bien souvent trop tard pour neutraliser efficacement le souci lorsque le problème infectieux a été constaté. Nous verrons aux travers de différentes étapes comment nous pourrions procéder pour s’en protéger efficacement, en s’efforçant de prendre en compte les différents impératifs d’accès et de restrictions des utilisateurs aux systèmes. Notez que rien de nouveau ne sera particulièrement évoqué ; il s’agira uniquement de synthétiser différentes méthodes et astuces, en manuel ou à l’aide d’outils gratuits, qui se sont révélées -à l’usage- très efficaces dans les cas que j’ai eu l’occasion de rencontrer.
Il est donc vain -je crois- d’espérer traiter les infections à leur apparition et de les attendre passivement, et ce pour différentes raisons que nous allons aborder à la page suivante.
Dernière mise à jour le 17 mars 2019