EdelWeb OSSIR. Le SpyWare dans Windows XP. Le Le Spyware dans Windows XP XP. Nicolas RUFF // EdelWeb Nicolas.ruff@edelweb.fr. EdelWeb/Groupe ON-X

Documents pareils
La fuite d informations dans Office et Windows

Dispositif e-learning déployé sur les postes de travail

Guide d installation BiBOARD

Vulnérabilités et sécurisation des applications Web

Sécurisation d une application ASP.NET

Tropimed Guide d'installation

Installation et configuration du CWAS dans une architecture à 2 pare-feux

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Prérequis techniques

avast! EP: Installer avast! Small Office Administration

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Direction des Systèmes d'information

Guide de migration BiBOARD V10 -> v11

Aménagements technologiques

MANUEL D INSTALLATION DES PRE REQUIS TECHNIQUES SALLE DES MARCHES V.7

Exigences système Edition & Imprimeries de labeur

Standard. Manuel d installation

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Sessions en ligne - QuestionPoint

Installation Windows 2000 Server

CS REMOTE CARE - WEBDAV

Utiliser le portail d accès distant Pour les personnels de l université LYON1

Étude des Spywares. Étudiant : Professeur responsable : En collaboration avec : DE SOUSA Bruno LITZISTORF Gérald TRUPHEME Florent Telecom System 2005

Guide d'installation Application PVe sur poste fixe

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

INSTALLATION MICRO-SESAME

Guide d installation

Exigences système Edition & Imprimeries de labeur

Guide de connexion Wi-Fi sur un hotspot ADP Télécom

Installation de Premium-RH

Fiche Technique. Cisco Security Agent

Syfadis. > Configuration du poste client. Nous vous aidons à réussir. REFERENCE : Syfadis LMS - 20/06/2007. AUTEUR : Equipe technique Syfadis

IPS-Firewalls NETASQ SPNEGO

Sommaire : = Configurations Obligatoire o = Configurations Facultative

Installation ou mise à jour du logiciel système Fiery

Guide utilisateur XPAccess. Version Manuel de référence 1/34

2X ThinClientServer Guide d utilisation

La mémorisation des mots de passe dans les navigateurs web modernes

FileMaker Server 14. Guide de démarrage

Demande d'assistance : ecentral.graphics.kodak.com

Syfadis. > Configuration du poste client. Nous vous aidons à réussir. REFERENCE : Syfadis LMS - 12/09/2008. AUTEUR : Equipe technique Syfadis

L identité numérique. Risques, protection

Crédits... xi. Préface...xv. Chapitre 1. Démarrer et arrêter...1. Chapitre 2. L interface utilisateur...25

I. Descriptif de l offre. L offre Sage 100 Entreprise Edition Entreprise

Assistance à distance sous Windows

Authentification unique Eurécia

SQL Server Installation Center et SQL Server Management Studio

Symantec Backup Exec 12.5 for Windows Servers. Guide d'installation rapide

ClariLog - Asset View Suite

Installation d'un TSE (Terminal Serveur Edition)

Ce manuel vous accompagne au long des procédures d installation et de restauration de PheBuX 2004 [alternative solutions]

Administration de systèmes

Préconisations Techniques & Installation de Gestimum ERP

Disque Dur Internet «Découverte» Guide d utilisation du service

Guide d installation rapide. 30 mn chrono V 6

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

Guide d installation d AppliDis Free Edition sur Windows Serveur 2008 R2

Guide de l administrateur CorpoBack

DOSSIER DE PRESSE WANADOO PRO GROUPE. 11 septembre 2001

GUIDE DE L UTILISATEUR

AVANT PROPOS. Merci d avoir choisi WATCHDOC!

SIRHUS & BFC - Préconisation Poste de travail d un utilisateur SAP

Tous les logiciels cités dans ce document sont des marques déposées de leurs propriétaires respectifs

Découvrez notre solution Alternative Citrix / TSE

VMware View Virtualisation des postes de travail (architecture, déploiement, bonnes pratiques...)

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

JRES 2005 : La mémorisation des mots de passe dans les navigateurs web modernes

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

MODULE I1. Plan. Introduction. Introduction. Historique. Historique avant R&T 1ère année. Sylvain MERCHEZ

Procédure d installation détaillée

Oracle Developer Suite 10g. Guide de l installation. Vista & Seven

Procédure d'installation complète de Click&Decide sur un serveur

Configuration du nouveau Bureau Virtuel (BV) collaboratif de Lyon I

5004H103 Ed. 02. Procédure d installation du logiciel AKO-5004

Pré-requis installation

1. Présentation de WPA et 802.1X

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

CONDITIONS D UTILISATION VERSION NOMADE

Configuration automatique

INSTALLER LA DERNIERE VERSION DE SECURITOO PC

Procédure d installation de la solution Central WiFI Manager CWM

Pré-requis installation

WINDOWS Remote Desktop & Application publishing facile!

MANUEL DU SERVICE CENTER

Microsoft Hosted Exchange 2010 DOCUMENT D EXPLOITATION

Services Réseaux - Couche Application. TODARO Cédric

Mettre en place un accès sécurisé à travers Internet

MANUEL D INSTALLATION

VERITAS Backup Exec TM 10.0 for Windows Servers

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

1. Installation standard sur un serveur dédié

Les GPO 2012 server R2 (appliqués à Terminal Serveur Edition)

WiFi Security Camera Quick Start Guide. Guide de départ rapide Caméra de surveillance Wi-Fi (P5)

Printer Administration Utility 4.2

EN Télécom & Réseau S Utiliser VMWARE

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

Gestionnaire des services Internet (IIS)

Transcription:

ElWeb OSSIR Le Le Spyware dans Windows XP XP Nicolas RUFF // ElWeb Nicolas.ruff@elweb.fr ElWeb/Groupe ON-X page 1

Sommaire 1. 1. Introduction Introduction 2. 2. Le Le noyau noyau système système 1. 1. Installation Installation 2. 2. Activation Activation du du produit produit 3. 3. L'interface L'interface utilisateur utilisateur (Explorer) (Explorer) 4. 4. Ai Ai et et support support 5. 5. WindowsUpdate WindowsUpdate 6. 6. Rapports Rapports d'erreur d'erreur 7. 7. Authentification Authentification Passport Passport 8. 8. Login Login Web Web 9. 9. Synchro Synchro NTP NTP 3. 3. Les Les composants composants préinstallés préinstallés 1. 1. Windows Windows Media Media Player Player 2. 2. Internet Internet Explorer Explorer 3. 3. Windows Windows Messenger Messenger 4. 4. Quelques Quelques mots mots sur sur Office Office XP XP 5. 5. Comment Comment se se protéger protéger? 6. 6. Conclusion Conclusion 7. 7. Annexe Annexe A Sujets Sujets non non traités traités 8. 8. Annexe Annexe B. B. Liste Liste s s sites sites Microsoft Microsoft ElWeb ElWeb/Groupe ON-X page 2

1. Introduction (1/2) ElWeb Le Le SpyWare et et le le respect la la vie privée sont s sujets à la la mo Terrorisme vs. vs. Libertés individuelles LSQ, LCEN, Microsoft fait naître nombreuses angoisses Alertes très très médiatisées («(«supercookie» Windows Media, ) ) «Product Activation» requis à partir Windows XP XP Initiative TCPA // Palladium Etc. Etc. ElWeb/Groupe ON-X page 3

1. Introduction (2/2) Objectifs la la présentation ElWeb Rester objectif Intifier les les communications Windows XP XP avec Internet Serveurs, contenu échangé, possibilités d exploitation par par Microsoft Lister les les zones d ombre Préciser les les risques réels et et proposer s s solutions Moyens Un Un document Microsoft référence «Using UsingWindows XP XP Pro Pro SP1 SP1 in in a Managed Environment Controlling Communication with withthe theinternet» Des Des travaux parallèles Ad-Aware, XP XP AntiSpy, R&D R&D ElWeb, ElWeb/Groupe ON-X page 4

2. Noyau Installation ElWeb Dès l installation, Windows recherche une connexion réseau Méthos Automatique autodétection la la configuration réseau réseau (cf. (cf. cissous) Manuelle possibilité configurer un un accès accès RAS RAS ou ou réseau ci- réseau Actions Activation du du produit (q.v.) (q.v.) Recherche correctifs (site (site WindowsUpdate q.v.) q.v.) Mécanismes d autodétection réseau Via Via s s options DHCP 12 12 Hostname = «machine_name» 53 53 Message Type Type = «Inform Inform» 60 60 Vendor = «MSFT MSFT 5.0 5.0» 61 61 Client Client ID ID = Ethernet + MAC MAC Address ElWeb/Groupe ON-X page 5

2. Noyau Installation 55 55 Parameters Parameters 1 1 subnet subnet 3 3 router router 6 6 DNS DNS 12 12 hostname hostname 15 15 domain domain name name 31 31 router router discovery discovery 33 33 static static route route 43 43 [vendor-specific] [vendor-specific] 44, 44, 46, 46, 47 47 NetBT NetBT configuration configuration 249 249 [Microsoft-specific] [Microsoft-specific] non non documenté documenté 252 252 [Microsoft-specific] [Microsoft-specific] WPAD WPAD option option (cf. (cf. Q296591) Q296591) ElWeb Via Via une une requête DNS DNS wpad.<domaine> wpad.<domaine> (Web (Web Proxy Proxy Auto Auto Discovery) Discovery) Remarque les les mécanismes d autoconfiguration ont ont été été améliorés avec Windows 2003 ElWeb/Groupe ON-X page 6

2. Noyau Activation (1/2) Présentation générale Ne Ne pas pas confondre «activation» et et «enregistrement» L activation permet permet d obtenir une une licence définitive Les Les clés clés «en en volume» outrepassent cette cette fonction Objectif principal pour pour Microsoft lutter lutter contre contre le le piratage Détails techniques Génération Paramètres Paramètres pris pris en en compte compte Numéro Numéro série série la la partition partition système système Adresse Adresse MAC MAC l interface l interface réseau réseau Chaîne Chaîne d intification d intification du du CD-ROM CD-ROM Chaîne Chaîne d intification d intification la la carte carte graphique graphique CPU CPU ID ID Chaîne Chaîne d intification d intification du du disque disque dur dur Chaîne Chaîne d intification d intification la la carte carte SCSI SCSI Chaîne Chaîne d intification d intification du du contrôleur contrôleur IDE IDE Modèle Modèle CPU CPU RAM RAM installée installée (en (en puissances puissances 32 32 Mo) Mo) Système Système amovible amovible ou ou non non ElWeb ElWeb/Groupe ON-X page 7

2. Noyau Activation (2/2) Outil Outil MSOOBE.EXE MSOOBE.EXE (%SystemRoot%\System32\OOBE) Algorithmes Algorithmes MD5 MD5 et et SHA-1 SHA-1 Transmission 22 méthos méthos téléphone téléphone ou ou Internet Internet Site Site http//wpa.one.microsoft.com/ Stockage ElWeb Un Un journal journal s s opérations opérations se se trouve trouve dans dans %SystemRoot%\setuplog.txt La La clé clé finale finale se se trouve trouve dans dans %SystemRoot%\System32\wpa.dbl %SystemRoot%\System32\wpa.dbl HKLM\SYSTEM\WPA HKLM\SYSTEM\WPA Enregistrement Site Site http//reg.register.microsoft.akadns.net/ Références http//www.microsoft.com/piracy/basics/activation/ http//www.licenturion.com/xp/ ElWeb/Groupe ON-X page 8

2. Noyau Explorer.exe Nombreuses interactions entre entre Explorer et et le le mon mon extérieur ElWeb Les Les raccourcis raccourcis réseau réseau et et Web Web sont sont vérifiés vérifiés à à l ouverture l ouverture session session et et lors lors tout tout rafraîchissement rafraîchissement Option Option ««rechercher rechercher automatiquement automatiquement les les dossiers dossiers et et imprimantes imprimantes partagées partagées»» Option Option ««cette cette copie copie Windows Windows est-elle est-elle légale légale?»» Assistant Assistant Recherche Recherche Interface Interface complètement complètement Web Web (avec (avec scripts scripts encodés) encodés) Site Site recherche recherche par par défaut défaut http//ie.search.msn.com/ http//ie.search.msn.com/ Répertoire Répertoire stockage stockage %windir%\srchasst %windir%\srchasst Mise Mise à à jour jour automatique automatique cette cette fonctionnalité fonctionnalité puis puis Internet Internet Paramétrable Paramétrable par par la la clé clé ««Use Use Search Search Asst Asst»» Conservation Conservation s s logs logs annoncée annoncée par par Microsoft Microsoft 1 1 an an Affiche Affiche la la pub pub Autres Autres risques (pour (pour mémoire) L interface L interface Explorer Explorer par par défaut défaut est est une une page page Web Web Prise Prise en en compte compte du du modèle modèle ««folr.htt folr.htt»» Affichage Affichage incorrect incorrect s s extensions extensions fichier fichier même même si si l option l option globale globale est activée est activée (ex. (ex..shs,.shs,.<guid>).<guid>) Exécution Exécution fichiers fichiers indépendamment indépendamment leur leur extension extension via via la la ligne ligne comman comman Ordre Ordre recherche recherche s s exécutables exécutables dangereux dangereux (clé (clé SafeDllSearchMo) SafeDllSearchMo) ElWeb/Groupe ON-X page 9

2. Noyau Ai et support Ai et et support Interface complètement Web Web %WinDir%\PCHealth\HelpCtr\ Certaines sections proviennent directement d Internet Rubrique Rubrique ««Le Le saviez-vous saviez-vous?»» %WinDir%\PCHealth\HelpCtr\Config\NewsSet.xml %WinDir%\PCHealth\HelpCtr\Config\NewsSet.xml et et News\NewsVer.xml News\NewsVer.xml http//go.microsoft.com/fwlink/?linkid=11 http//go.microsoft.com/fwlink/?linkid=11 http//windows.microsoft.com/windowsxp/newsver.xml http//windows.microsoft.com/windowsxp/newsver.xml Recherche Recherche dans dans MSDN MSDN Transmet Transmet la la langue langue et et le le type type produit produit installé installé Paramétrable Clé Clé Headlines Headlines Options Options recherche recherche Prise en en main du du poste par par Microsoft via via Remote Assistance Compte SUPPORT_388945a0 Membre Membre HelpServicesGroups HelpServicesGroups Extensible par par les les OEM OEM Site Site https//webresponse.one.microsoft.com/ ElWeb ElWeb/Groupe ON-X page 10

2. Noyau WindowsUpdate (1/2) Composants Composant ActiveX «UpdateClass» (taille (taille ~100 ~100 Ko) Ko) Sites Sites http//v4.windowsupdate.microsoft.com/cab/x86/unico/iuctl.cab http//www.windowsupdate.com/ (alias) (alias) http//windowsupdate.microsoft.com/ Traitement partagé ElWeb Script Script côté côté client client Liste Liste s s versions versions à à jour jour sur sur https//v4.windowsupdate.microsoft.com/getmanifest.asp https//v4.windowsupdate.microsoft.com/getmanifest.asp https//v4.windowsupdate.microsoft.com/consumerdrivers/getmanifest.asp https//v4.windowsupdate.microsoft.com/consumerdrivers/getmanifest.asp Répertoires travail travail C\Program C\ProgramFiles\WindowsUpdate C\WUTemp C\WUTemp Journaux Historique Historique s s installations installations IUHIST.XML IUHIST.XML %SystemRoot%\Windows %SystemRoot%\Windows Update.log Update.log Journal Journal global global s s installations installations Setupapi.log Setupapi.log ElWeb/Groupe ON-X page 11

2. Noyau WindowsUpdate (2/2) Remarques Exploite le le service «Uploadmgr» Effectue Effectue s s transferts transferts en en arrière arrière plan plan Démarré Démarré par par SVCHOST SVCHOST => => difficile difficile à à filtrer filtrer Non Non documenté documenté!! ElWeb N utilise pas pas HTTPS HTTPS (sauf (sauf pour pour la la base base XML) XML) mais mais les les correctifs sont sont signés signés Même Même mécanisme pour pour les les fonctions type type «Dynamic Update»,», «Auto Auto Update» Adresse IP IP «en en dur dur» dans dans le le contrôle ActiveX 207.46.226.17 (inexistante!)!) Commentaire tiré tiré d une d une page page WindowsUpdate // // Do Do not not Remove Remove this this "else". "else". Bug Bug 16783 16783 (If (If u remove remove this this else, else, then then for for IE5 IE5 when when we we redirect redirect to to another another page page in in above above line, line, then then it it flashes flashes an an Action Action Cancelled Cancelled page page for for a a sec) sec) Rappel Rappel ce ce site site ne ne concerne que que les les mises mises à jour jour Windows // IE IE (ce (ce qui qui exclut exclut Office, Office, SQL, SQL, Exchange, etc.) etc.) ElWeb/Groupe ON-X page 12

2. Noyau Rapport d erreur (1/2) Informations incluses (application) Adresse IP IP (lors la la transmission) Product ID ID Minidump (documenté dans le le Platform SDK) ElWeb Threads (informations «standard» et et «étendues»)») Modules (chargés et et déchargés) Données d allocation mémoire (32 (32 et et 64 64 bits) bits) Gestionnaire d exceptions Informations système Commentaires Handles Fonctions exportées [Windows 2003] 2003] Données du du processus (ID, (ID, temps temps d exécution) Champs «réservés» ElWeb/Groupe ON-X page 13

2. Noyau Rapport d erreur (2/2) Informations incluses (noyau) Adresse IP IP (lors (lors la la transmission) Informations matérielles Processeurs, Processeurs, RAM RAM Drivers Drivers installés installés et et drivers drivers chargés chargés (verbeux) (verbeux) Informations logicielles (OS, (OS, version, langue) Message d erreur Contexte d exécution Pile Pile noyau noyau Remarque Les Les informations sont sont transmises au au reboot rebootsuivant ElWeb Principes communs Composant %SystemRoot%\System32\dwwin.exe Site Site http//watson.microsoft.com/ Protocoles HTTP HTTP et et HTTPS HTTPS Site Site «Corporate Error ErrorReporting» (http//oca.microsoft.com/) Consultation Consultation s s rapports rapports reçus reçus par par Microsoft Microsoft pendant pendant 180 180 jours jours ElWeb/Groupe ON-X page 14

2. Noyau Authentification Passport Passport Passport = SSO SSO à à l échelle l échelle du du Web Web Accès Accès aux aux services services Microsoft Microsoft (MSDN, (MSDN, Beta Beta Previews, Previews, etc.) etc.) Accès Accès aux aux ««spin-offs spin-offs»» Microsoft Microsoft MSN, MSN, Hotmail, Hotmail, Messenger Messenger Accès Accès aux aux sites sites partenaires partenaires (cf. (cf. http//www.passport.net/) http//www.passport.net/) Principe Principe Serveur Serveur central central d authentification d authentification (base (base données données utilisateurs) utilisateurs) http//register.passport.net/ http//register.passport.net/ https//login.passport.com/ https//login.passport.com/ https//nexus.passport.com/ https//nexus.passport.com/ (remarque (remarque ««nexus nexus»» est est un un terme terme utilisé utilisé dans dans Palladium) Palladium) Mo Mo d authentification d authentification natif natif supporté supporté par par Windows Windows / / IE IE / / IIS IIS / / Risques Risques Base Base données données d informations d informations nominatives nominatives partagée partagée entre entre tous tous les les partenaires partenaires L utilisateur L utilisateur est est censé censé conserver conserver un un niveau niveau contrôle contrôle sur sur la la diffusion diffusion l information l information Remplace Remplace avantageusement avantageusement les les cookies cookies pour pour un un ««tracking tracking»» mondial mondial Vol Vol d information d information Vulnérabilités Vulnérabilités déjà déjà intifiées intifiées Ex. Ex. Cookie Cookie ««PPTProf= PPTProf=»» Concurrence Concurrence Liberty Liberty Alliance Alliance (http//www.projectliberty.org/) (http//www.projectliberty.org/) peu peu avancé avancé Références Références http//www.tcpmux.com/products/netintercept/casestudies/passport http//www.tcpmux.com/products/netintercept/casestudies/passport Passport Passport SDK SDK ElWeb ElWeb/Groupe ON-X page 15

2. Noyau Login Web (1/2) Deux types login Natif Natif HTTP HTTP ( ( type type «.htaccess»)») Login Login applicatif (formulaires) Natif Mos Mos d authentification supportés par par IE IE 6.0 6.0 SP1 SP1 Anonymous Anonymous (pas (pas d'authentification) d'authentification) Basic Basic (mot (mot passe passe en en clair clair --RFC2617) RFC2617) Basic Basic sur sur connexion connexion SSL SSL Digest Digest Authentication Authentication (MD5 (MD5 avec avec secret secret partagé partagé --RFC2617) RFC2617) Challenge/Response Challenge/Response NTLM NTLM Passport Passport Client Client Certificates Certificates (certificats (certificats clients clients SSL) SSL) Fortezza Fortezza (solution (solution à à base base certificats) certificats) Authentification par par défaut défaut Zone Zone Internet, Internet, Sites Sites sensibles sensibles manr manr le le mot mot passe passe Zone Zone Intranet, Intranet, Sites Sites confiance confiance login login automatique automatique (avec (avec le le login Windows login Windows!)!) Remarque même même comportement avec avec le le client client Telnet Telnet Authentification Authentification NTLM NTLM par par défaut défaut (cf. (cf. MS00-067) MS00-067) ElWeb ElWeb/Groupe ON-X page 16

2. Noyau Login Web (2/2) Applicatif Plusieurs options «saisie semi-automatique» Adresses Web Web Contenu s s formulaires Logins Logins dans dans les les formulaires Mots Mots passe passe dans dans les les formulaires ElWeb Les Les mots passe sont stockés dans le le «protected storage» Emplacement HKCU\Software\Microsoft\Protected Storage System Provir (invisible par par défaut) Chiffrés avec avec le le mot mot passe passe login login Windows Récupérables Cf. Cf. outil outil ««IE IE Password PasswordRevealer»,», sites sites LostPassword, LostPassword, Elcomsoft, Elcomsoft, etc. etc. ElWeb/Groupe ON-X page 17

2. Noyau Synchro NTP ElWeb Par défaut les postes XP utilisent une synchro horaire Machine en en domaine Serveur par par défaut défaut DC DC Machine en en «Workgroup» Serveur par par défaut défaut time.windows.com Autre Autre serveur serveur time.nist.gov time.nist.gov Intervalle par par défaut défaut 1/semaine Paramétrable Clé Clé HKLM\System\CCS\Services\W32Time Remarques Le Le protocole NTP NTP standard est est utilisé Aucune information indésirable n est transmise ElWeb/Groupe ON-X page 18

3. Composants préinstallés Windows Media Player Version livrée livrée avec avec Windows XP XP SP1 SP1 8.0 8.0 (non (non téléchargeable) Dernière version (toutes (toutes plateformes) 9.0 9.0 Liste Liste s s fonctions accédant à Internet Acquisition Acquisition licences licences (DRM) (DRM) Accès Accès à à s s services services ««en en direct direct»» (contenu (contenu à à la la man, man, radios) radios) Métadonnées MétadonnéesCD CD et et DVD DVD (en (en lecture/écriture) lecture/écriture) Téléchargement Téléchargement cocs cocs Mises Mises à à jour jour logicielles logicielles Skins Skins et et visualisations visualisations ««Media Media Library Library»,»,««Media Media Gui Gui»,», Newsletter Newsletter MSN, MSN, Risques (majeurs) ElWeb Superbe Superbe outil outil marketing marketing personnalisé personnalisé Le Le lecteur lecteur Windows Windows Media Media possè possè un un GUID GUID Il Il s agit s agit d un d un composant composant ActiveX ActiveX scriptable scriptable par par s s tiers tiers => => notion notion ««Supercookie Supercookie»» Les Les skins skins et et visualisations visualisations sont sont s s archives archives ZIP ZIP incluant incluant du du contenu contenu actif actif => risque => risque d infection d infection Etc. Etc. Sites Sites http//*.windowsmedia.com/ ElWeb/Groupe ON-X page 19

3. Composants préinstallés Internet Explorer (1/2) Version livrée avec Windows XP XP SP1 SP1 6.00.2600.1106 Liste s s fonctions accédant à Internet Page Page initiale initiale (=> (=> statistiques d installation) ElWeb http//www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Spyware «Alexa Alexa» (détecté par par Ad-Aware) En En lien lien avec avec l option l option ««effectuer effectuer s s recherches recherches puis puis la la barre barre d adresses d adresses»» «Vérifier les les signatures s s programmes téléchargés» «Vérifier la la révocation s s certificats» «Vérifier la la révocation s s certificats l éditeur» «Vérifier automatiquement les les mises mises à jour jour IE IE» «Mise Mise à jour jour s s certificats racine racine» (option Windows) Si Si un un certificat certificat SSL SSL signé signé par par une une autorité autorité inconnue inconnue est est présenté, présenté, une une mise mise à à jour jour la la base base s s autorités autorités racine racine est est déclenchée déclenchée Site Site http//www.download.windowsupdate.com/msdownload/update/v3/static/tru stedr/en/authrootseq.txt stedr/en/authrootseq.txt ElWeb/Groupe ON-X page 20

3. Composants préinstallés Internet Explorer (2/2) Autres risques ElWeb IE IE est est une une source privilégiée pour l installation Spywares Gestion s s cookies par par défaut défaut le le navigateur utilise utilise P3P P3P Options ««Activer Activer les les extensions extensions tierce tierce partie partie»» ««Activer Activer l installation l installation à à la la man man»» ««Éléments Éléments installables installablesdu du bureau bureau»» Bogues permettant d exécuter du du co co ElWeb/Groupe ON-X page 21

3. Composants préinstallés Windows Messenger (1/2) Version livrée avec Windows XP XP SP1 SP1 4.7 4.7 Utilise les les 3 services suivants Exchange 2000 2000 (si (si configuré) Serveur SIP SIP (Session Initiation Protocol) RFC RFC 2543 2543 Serveur Microsoft avec avec authentification Passport ElWeb http//messenger.hotmail.com1863/ POST http//gateway.messenger.hotmail.com/gateway/gateway.dll?action=open& POST Server=NS&IP=messenger.hotmail.com HTTP/1.1 HTTP/1.1 Protocole HTTP encapsulant 2 sous-protocoles XYZ XYZ [paramètre 1] 1] [paramètre 2] 2] [ ] [ ] XYZ XYZ = comman comman Données type type MIME MIME propriétaire Risques Ex. Ex. ««application/x-msn-messenger»,»,««text/x-msmsgsprofile text/x-msmsgsprofile»,», Partiellement Partiellement brouillées brouillées Divulgation d informations personnelles en en clair clair Système à serveur central central Niveau Niveau d information réel réel inconnu à cause cause du du brouillage s s données ElWeb/Groupe ON-X page 22

3. Composants préinstallés Windows Messenger (2/2) ElWeb Exemple Exemple Content-Type Content-Type text/x-msmsgsprofile; text/x-msmsgsprofile; charset=utf-8 charset=utf-8 EmailEnabled EmailEnabled 1 1 MemberIdHigh MemberIdHigh 9xxxx 9xxxx MemberIdLow MemberIdLow -2114xxxxxx -2114xxxxxx lang_preference lang_preference 1036 1036 preferredemail preferredemail xxxxxxx@hotmail.com xxxxxxx@hotmail.com country country FR FR PostalCo PostalCo 75010 75010 Genr Genr m Kid Kid 0 0 Age Age 26 26 BDayPre BDayPre 2 2 Birthday Birthday 2.821600e 2.821600e 004 004 Wallet Wallet 0 0 Flags Flags 1027 1027 sid sid 507 507 kv kv 4 4 MSPAuth 4n3lILtj1DTLjIKvsjAeFx3NL3kmxyhl5V5207HY!tFCSReUcuFi62d5Z86Fq*6Bea*I5Qsl3lt MSPAuth 4n3lILtj1DTLjIKvsjAeFx3NL3kmxyhl5V5207HY!tFCSReUcuFi62d5Z86Fq*6Bea*I5Qsl3lt ClientIP ClientIP 212.xxx.xxx.xxx 212.xxx.xxx.xxx ClientPort ClientPort 0 0 ElWeb/Groupe ON-X page 23

4. Office XP Contexte Suite Suite fortement intégrée à Windows Ex. Ex. Word Word vient vient l éditeur l éditeur HTML HTML par par défaut défaut Produits fortement intégrés entre entre eux eux Risques ElWeb Ex. Ex. envoyer envoyer un un document document Word Word avec avec Outlook Outlook modifie modifie les les propriétés propriétésdu du document document Propriétés du du document (auteur, temps temps d édition, chemins UNC) UNC) Historique du du document (versions antérieures) «Word Word bugs bugs» Macros Champs fusion fusion GUID GUID = adresse MAC MAC Etc. Etc. Référence MISC MISC n 7 n 7 «La La fuite fuite d information dans dans les les documents propriétaires» ElWeb/Groupe ON-X page 24

5. Les solutions Intégrées ElWeb Tous Tous les les composants sont sont paramétrables (le (le paramétrage par par défaut est défaut est souvent insatisfaisant) Interface Interface graphique graphique Clés Clés base base registre registre GPO GPO ««Administration Administration Kits Kits»» Configuration globale du du Proxy Proxy Certains Certains logiciels logiciels (ex. (ex. Netscape) Netscape) gèrent gèrent s s paramètres paramètres Proxy personnalisés Proxy personnalisés Désintallation s s composants cachés (fichier (fichier SYSOC.INF Utiliser la la fonction restriction d exécution Mettre Mettre en en place place s s miroirs internes (ex. (ex. MSUS) MSUS) Externes Utiliser un un firewall personnel Utiliser s s outils outils tiers tiers recherche configuration «anti-spyware» Couper tout tout accès accès Internet ElWeb/Groupe ON-X page 25

6. Conclusion ElWeb Windows XP SP1 communique régulièrement avec s sites Web Ces Ces fonctions sont activées par par défaut (mais désactivables) Les Les informations collectées sont individuellement peu peu significatives Mais Mais le le recoupement permettrait d obtenir un un puissant outil outil marketing personnalisé Les Les informations transmises bénéficient d un niveau protection très très hétérogène HTTP, HTTP, HTTPS, chiffrement, brouillage, protocole propriétaire, Il Il existe s s moyens se se protéger Le Le plus plus simple simple étant étant ne ne pas pas configurer l adresse son son Proxy Proxy Le Le sujet est loin d être clos (cf. annexe A) A) ElWeb/Groupe ON-X page 26

Bibliographie ElWeb «Using Windows XP Pro SP1 in in a Managed Environment Controlling Communication with the Internet» http//technet.microsoft.at/inclus/file.asp?id=4668 «XP Anti-Spy» http//www.xp-antispy./ «Windows XP shows the direction Microsoft is isgoing» http//www.hevanet.com/peace/microsoft.htm ElWeb/Groupe ON-X page 27

Annexe A. Sujets non traités (1/3) ElWeb «Application Help» //«Driver Protection» // Assistant Compatibilité Microsoft maintient une une base base d applications incompatibles et et correctifs APPHELP.SDB + SYSMAIN.SDB // DRVMAIN.SDB Cette Cette liste liste est est mise mise à jour jour par par WindowsUpdate «Device Manager» Les Les pilotes pilotes signés signés peuvent être être mis mis à jour jour en en 1 click click Cette Cette fonction est est gérée gérée par par WindowsUpdate Journal d événements La La plupart s s événements système contiennent un un raccourci vers vers un un site site explicatif http//go.microsoft.com/fwlink/events.asp Configurable via via les les clés clés suivantes MicrosoftRedirectionURL MicrosoftRedirectionURL MicrosoftRedirectionProgram MicrosoftRedirectionProgramCommandLineParameters ElWeb/Groupe ON-X page 28

Annexe A. Sujets non traités (2/3) Associations fichiers Cliquer sur sur un un fichier dont l extension n est pas pas associée provoque la la redirection vers un un site site Microsoft ElWeb http//shell.windows.com/fileassoc/nnnn/xml/redir.asp?ext=aaa (Nnnn (Nnnn = langue, AAA AAA = extension) Configurable via via la la clé clé NoInternetOpenWith Jeux «on on line» Se Se connectent au au site site http//www.zone.msn.com/ Netmeeting Se Se connecte à un un serveur ILS ILS au au choix Par Par défaut défaut netmeeting.microsoft.com Ports utilisés TCP/389, TCP/522, TCP/1503, TCP/1720, TCP/1731 + ports dynamiques ElWeb/Groupe ON-X page 29

Annexe A. Sujets non traités (3/3) «Online Device Help»,», Plug-and-Play Ai en en ligne pour la la recherche drivers Si Si un un périphérique inconnu est est détecté Lors Lors l insertion nouveaux périphériques Transmet le le profil matériel du du périphérique (PnPID) Site Site http//www.microsoft.com/windows/catalog/ Outlook Express 6 Universal Plug-and-Play Requêtes UDP/1900 MSN Explorer Portail Internet Microsoft ElWeb ElWeb/Groupe ON-X page 30

Annexe B. Sites Microsoft (1/2) Sites cités dans la la présentation Microsoft.com ElWeb http//oca.microsoft.com/ http//go.microsoft.com/fwlink/?linkid=11 http//go.microsoft.com/fwlink/events.asp http//watson.microsoft.com/ http//windows.microsoft.com/windowsxp/newsver.xml http//windowsupdate.microsoft.com/ http//wpa.one.microsoft.com/ http//www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnho me me http//www.microsoft.com/windows/catalog/ http//www.microsoft.com/piracy/basics/activation/ http//v4.windowsupdate.microsoft.com/cab/x86/unico/iuctl.cab ElWeb/Groupe ON-X page 31

Annexe B. Sites Microsoft (2/2) MSN.com, hotmail.com http//messenger.hotmail.com1863/ http//gateway.messenger.hotmail.com/ http//ie.search.msn.com/ http//www.zone.msn.com/ Passport.net http//www.passport.net/ http//register.passport.net/ WindowsUpdate ElWeb http//www.windowsupdate.com/ http//www.download.windowsupdate.com/msdownload/update/v3/ static/trustedr/en/authrootseq.txt Autres http//reg.register.microsoft.akadns.net/ http//www.windowsmedia.com/ http//shell.windows.com/fileassoc/nnnn/xml/redir.asp?ext=aaa ElWeb/Groupe ON-X page 32

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back