Université des Sciences et Technologies de Lille 59655 Villeneuve d Ascq Cedex Centre de Ressources Informatiques Bât M4 Dossier sécurité informatique Lutter contre les virus Version 2.3 (décembre 2007)
Sommaire Introduction Page 2 Partie I : Considérations générales sur les virus informatiques I) A) Définition des virus informatiques Page 4 I) A) a. Virus classiques Page 4 I) A) b. Virus «vers» Page 4 I) A) c. Trojans (chevaux de Troie) Page 4 I) A) d. Cas des spywares Page 4 I) B) Quelques règles élémentaires Page 4 I) B) a. Utilisation d un ordinateur Page 4 I) B) b. Utilisation de la messagerie électronique Page 5 Partie II : Procédure d installation d un système d exploitation sain Pré-requis Page 7 II) A) Installation de Windows 2000 ou XP Page 7 II) A) a. Mot de passe administrateur (indispensable!) Page 7 II) A) b. Cas de Windows XP Page 7 II) B) Mise à jour du système d'exploitation Page 9 II) B) a. Les correctifs Page 9 II) B) b. Paramétrage de Windows Update pour Windows 2000 (ancienne version) Page 9 II) B) c. Paramétrage de Windows Update pour Windows XP Page 10 II) C) Anti-virus Page 11 II) C) a. Symantec Page 11 II) C) b. McAfee Page 12 II) D) Derniers ajustements Page 14 II) D) a. Activation du pare-feu de connexion pour Windows XP Page 14 II) D) b. Connexion au réseau et dernières mises à jour Page 15 II) D) c. Analyse anti-virale des données Page 15 Historique Page 16 Version 2.3 (12/2007) Page 2
Introduction Depuis le mois d août 2003 et l arrivée du très populaire virus Blaster, plusieurs attaques virales ont déferlé sur les réseaux informatiques mondiaux, et n ont pas épargné celui de l USTL. Face aux menaces que ces virus représentent et aux conséquences parfois désastreuses qu ils engendrent, ce dossier a pour but d expliquer et d apporter des solutions simples pour réduire les risques d infection liés à l utilisation d un ordinateur. Il s adresse dans sa première partie à tous les utilisateurs connectés au réseau informatique de l USTL, leur expliquant les modes de contamination et les règles de bon sens à observer dans l utilisation quotidienne qu ils font de l outil informatique. La seconde partie, un peu plus technique, s adresse aux personnels responsables des parcs informatiques des différents laboratoires/ufr/services, expliquant de façon précise et détaillée la procédure à suivre pour installer un système d exploitation sain, seul garant d une sécurité optimale des données utilisateurs et d un réseau informatique assaini. Chaque ordinateur du campus étant interconnecté avec tous les autres, une seule machine peut être la source d une infection qui pénalisera et ralentira l ensemble du réseau de l USTL, c est pourquoi la sécurité informatique doit être la préoccupation et la responsabilité de chacun. Version 2.3 (12/2007) Page 3
Partie I Considérations générales sur les virus informatiques I) A) Définition des virus informatiques I) A) a. Virus classiques : ils se logent dans certains types de fichiers (.exe,.com,.bat,.scr,.doc,.xls, etc ) et infectent la machine quand ils sont exécutés, en plus de contaminer d autres fichiers. Leurs méfaits sont variables, du ralentissement global du système jusqu à la corruption ou la suppression irrémédiable de données système ou utilisateur. Un anti-virus maintenu à jour quotidiennement permet dans pratiquement tous les cas de s en prémunir. I) A) b. Virus «vers» : ils se propagent librement via les réseaux informatiques, et n ont pas besoin de support comme pour les virus classiques pour se reproduire. Il en résulte qu une machine simplement connectée au réseau peut être infectée sans que l utilisateur ait fait quoique ce soit! Ces vers pénètrent dans la machine par des failles de sécurité non comblées, ou par des «portes dérobées» mises en place par d autres virus. Une fois infectée, la machine va à son tour exploiter le réseau pour y diffuser le ver, conduisant à un effet boule de neige et le ralentissant considérablement. Un système d exploitation maintenu à jour allié à un anti-virus également à jour permettent de s en prémunir. I) A) c. Trojans (chevaux de Troie) : ce type de virus crée ce que l on appelle une porte dérobée (backdoor) permettant à un individu de piloter à distance la machine infectée. Dès lors, tout lui est possible, comme consulter tous les fichiers de l utilisateur ou modifier la configuration du système I) A) d. Cas des spywares Ce sont des programmes espions qui s exécutent à l insu de l utilisateur suite à l installation d un logiciel d apparence anodin (lecteur de fichiers MP3, économiseur d écran, logiciel de messagerie instantanée (chat), etc ) Ces spywares sont capables de communiquer à des sites distants certaines informations concernant la machine ou l utilisateur, comme les sites Internet visités ou les logiciels installés sur la machine. S ils causent rarement des dégâts, il n en reste pas moins qu ils ouvrent une faille dans le système pour diffuser les informations qu ils enregistrent sur l utilisateur. Ils sont jugés moins dangereux que les virus, mais constituent néanmoins une faille de sécurité ; de plus ils ont tendance à ralentir la machine. Plusieurs logiciels se sont spécialisés dans la détection et l élimination de ces spywares. L un d entres eux, Spybots Search & Destroy, totalement gratuit, est disponible à cette adresse : http://www.safer-networking.org/ I) B) Quelques règles élémentaires On constate que la méthode d infection virale est dans la plupart des cas l utilisation imprudente d Internet ou de la messagerie électronique. Voici quelques règles simples à respecter : I) B) a. Utilisation d un ordinateur - Il ne faut pas avoir une confiance absolue dans son anti-virus! Le meilleur anti-virus au monde reste l utilisateur qui, par sa méfiance et sa prudence, évitera de lancer sur son poste de travail n importe quel programme, ou d avoir des conduites à risque (détaillées plus loin). Version 2.3 (12/2007) Page 4
- Certains sites Internet sont connus pour exécuter des codes malicieux sur votre machine Ce sont des sites «exotiques» qui ne concernent pas l usage que vous devez faire d Internet au sein de l USTL. Pour rappel, le réseau RENATER qui vous fournit votre connexion Internet ne doit être utilisé qu à des fins pédagogiques ou de recherche. La charte est disponible à cette adresse : http://www.renater.fr/telechargement/charte_v12.pdf - Eviter les échanges de programmes entre collègues ou amis, ou ramenés au bureau parce qu ils sont utilisés à la maison. Il est illégal d installer un quelconque logiciel commercial dont votre UFR/laboratoire/service n a pas acheté la licence. En cas d intervention ou de contrôle, le CRI peut vous demander de fournir vos licences avant toute intervention. - D une manière générale, l ordinateur que vous utilisez pour votre travail ne doit servir que dans cette optique. Les programmes courants de messagerie ou de bureautique que vous utilisez sont développés par des éditeurs réputés, mais qu en est-il du petit programme bien pratique ou de l économiseur d écran que vous avez trouvé sur Internet!? Pour information, sachez que le CRI peut refuser une intervention concernant un poste sur lequel se trouvent installés des logiciels sans rapport apparent avec le travail et qui en altéreraient le bon fonctionnement. - Faites toujours une copie de sauvegarde (ou plusieurs!) de vos données importantes. L idéal est de stocker très régulièrement ces données sur disquettes ou CD-Rom N oubliez pas qu une bonne sauvegarde est une sauvegarde dont les données ont été contrôlées comme étant intègres! - Il est malheureusement utopique de vouloir appliquer les correctifs Microsoft suite à une attaque virale, le mal étant déjà fait. Une machine qui a été un jour infectée ne sera plus jamais sûre Personne ne peut connaître avec certitude toutes les failles ou autres portes dérobées qui ont pu être mises en place à l insu de l utilisateur et qui pourront servir à des virus futurs. La solution est la réinstallation complète du système (voir partie II). - Une prudence toute particulière est recommandée dans l'utilisation sur le réseau informatique de l'ustl des ordinateurs portables qui sont par nature sujets à être connectés à différents réseaux, représentant autant de risques potentiels d'infection. I) B) b. Utilisation de la messagerie électronique - Le point d entrée des virus le plus important concerne les pièces jointes. Si elles portent l extension.exe,.bat,.com,.vbs,.pif,.scr, ne surtout pas exécuter!!! Pour les extensions comme.doc,.xls,.pps, à moins d en connaître la provenance (et encore!), procédez avec prudence, ils peuvent contenir un code malveillant. Même si votre correspondant est de bonne foi, il peut être infecté sans le savoir! - Ne pas ouvrir de mail dont la provenance est incertaine, voire douteuse Si vous ne connaissez pas l expéditeur du mail et que son adresse vous semble étrange, et si le sujet semble sans rapport apparent avec votre activité, supprimez ce message. - Si vous recevez un mail rédigé dans une langue étrangère (notamment l anglais) sans pour autant que vous ayez de contacts étrangers, évitez de l ouvrir. - Si le mail semble particulièrement aguicheur («Comment gagner à coup sûr X millions d sur Internet» ), vous pouvez être certain qu il s agit de spam, vous pouvez vous débarrasser de ce type de courrier sans crainte. - Se méfier de ce type de mail ayant pour objet «Mail Delivery system» et comme objet «Undelivered Mail Returned». Il peut signifier que l un de vos mails n est pas parvenu à son destinataire, mais peut contenir également une attaque potentielle. S il contient de plus une pièce jointe, supprimez-le. Version 2.3 (12/2007) Page 5
- Se méfier des liens HTML contenus dans un e-mail. Ils peuvent vous rediriger directement vers une page qui contient un code malveillant. Ce n est pas parce qu un lien se présente sous la forme http://www.yahoo.fr/ qu il pointe effectivement sur ce site! Et quand bien même vous vous retrouveriez apparemment sur la bonne page, vous avez pu être redirigé un instant sur un site pirate ayant stocké des informations personnelles vous concernant (technique du phishing, voir ici : http://www.secuser.com/communiques/2005/050527_phishing_banques.htm) - Se méfier des mails annonçant une information de sécurité importante venant de Microsoft, Symantec, McAfee ou d autres éditeurs de logiciels en rapport avec la sécurité informatique Ces sociétés ne font JAMAIS de telles annonces au grand public par mail. - Etre d autant plus prudent si l on consulte une messagerie extérieure à celle de l USTL (Yahoo, MSN, La Poste, Wanadoo ), la passerelle anti-virus et anti-spam du serveur de messagerie de l USTL ne pouvant absolument pas vous protéger dans ce cas! - Voici quelques exemples de mails potentiellement dangereux : Version 2.3 (12/2007) Page 6
Partie II Procédure d'installation d'un système d'exploitation sain Pré-requis : La dernière version de Windows 2000 est en SP4. La dernière version de Windows XP est en SP2. Si vous ne disposez pas des CD-Rom d installation dans ces versions, veuillez prendre contact avec le CRI pour les obtenir. II) A) Installation de Windows 2000 ou XP (HORS CONNEXION RESEAU!) Commencer par installer le système d'exploitation de façon classique, en configurant vos paramètres réseau, sans pour autant vous y connecter!! II) A) a. Mot de passe administrateur (indispensable!) Choisissez un mot de passe administrateur qui respecte ces critères : - au moins 8 caractères - mélanger les majuscules et les minuscules - un ou plusieurs caractères numériques - changez-le régulièrement - ne jamais utiliser le même mot de passe sur plusieurs machines. - ne jamais laisser un mot de passe vide! NB : nous avons constaté qu un système configuré avec tous les correctifs de sécurité et les dernières mises à jour virales est capable d être contaminé juste parce que le mot de passe administrateur avait été laissé vide! Il y a également de fortes chances pour que des mots de passe administrateur faibles communs à plusieurs machines causent les mêmes dégâts II) A) b. Cas de Windows XP En plus du choix d'un mot de passe administrateur lors de l'installation d'xp, le programme demande la création d'au moins un compte lors du premier démarrage : Version 2.3 (12/2007) Page 7
Ce sera sur ce compte que se connectera la machine pour la première fois, avec les droits administrateurs et un mot de passe vide!! Il est donc impératif de créer au premier lancement de Windows XP un mot de passe pour ce compte, et de le retirer du groupe des administrateurs pour le placer dans le groupe utilisateurs. Version 2.3 (12/2007) Page 8
II ) B) Mise à jour du système d'exploitation II) B) a. Les correctifs Il faut maintenant appliquer tous les correctifs de sécurité critiques de Microsoft. Pour Windows 2000, il n est pas possible d utiliser Windows Update, car aucun pare-feu ne protège le poste. Une procédure automatique de déploiement des correctifs est détaillée dans la documentation suivante : ftp://ftp.univ-lille1.fr/pub/os/windows/updates/w2k/qchain/documentation/documentation.pdf Pour Windows XP, à la condition indispensable que le pare-feu soit bien activé (voir page 14), effectuer manuellement deux mises à jour en ligne successives via Windows Update: - La première va installer les derniers modules d installation - La seconde va procéder à l installation proprement dite des mises à jour. II) B) b. Paramétrage de Windows Update pour Windows 2000 (ancienne version) Dans bouton Démarrer, Paramètres, Windows Update Version 2.3 (12/2007) Page 9
II) B) c. Paramétrage de Windows Update pour Windows XP - Bouton Démarrer, Paramètres, Panneau de configuration, Icône Système - Onglet Mises à jour automatiques NB : lors de la mise à jour automatique du système, une fenêtre peut apparaître, demandant le redémarrage de la machine, et laissant 5 minutes à l utilisateur pour enregistrer son travail en cours. Veuillez informer vos utilisateurs que cette fenêtre n'a rien à voir avec un quelconque virus Blaster ou Sasser, donc pas de panique! Version 2.3 (12/2007) Page 10
II ) C) Anti-virus Votre correspondant réseau doit fournir le cd-rom d'installation de Symantec Anti-virus ou de McAfee Anti-virus, ou procéder directement à son installation. Pour les dernières mises à jour des définitions virales, il est impératif de les récupérer selon les procédures indiquées ci-dessous à partir d un poste sain. Eviter de procéder à une mise à jour en ligne, les définitions virales présentes à l installation du logiciel sont bien trop anciennes (2 ans pour Norton). II) C) a. Symantec Les dernières mises à jour virales se situent à cette adresse : http://www.symantec.com/avcenter/download/pages/fr-n95.html Version 2.3 (12/2007) Page 11
Par défaut, Symantec est configuré pour se mettre à jour tous les vendredis à 20H. Il faut changer cette configuration, via le menu Fichier, Programmer les mises à jour en choisissant une heure à laquelle la machine est la plus susceptible d'être en fonctionnement : II) C) b. McAfee Les dernières mises à jour virales se situent à cette adresse : http://download.mcafee.com/us/updates/superdat.asp Version 2.3 (12/2007) Page 12
Par défaut, McAfee est configuré pour se mettre à jour tous les vendredis à 17H. Modifier la configuration, par un clic droit sur l'icône Mise à jour automatique, puis sélectionner Propriétés : Dans l onglet planification, sélectionner une heure à laquelle la machine est la plus susceptible d'être en fonctionnement : Version 2.3 (12/2007) Page 13
II) D) Derniers ajustements... II) D) a. Activation du pare-feu de connexion pour Windows XP - Bouton Démarrer, Paramètres, Connexions réseau, faire un clic droit sur la carte réseau, puis Propriétés : Dans l onglet Paramètres avancés, cocher la case «Protéger mon ordinateur et le réseau en limitant ou interdisant l accès à cet ordinateur à partir d Internet» NB : attention au paramétrage du pare-feu si vous utilisez des partages de fichiers ou d'imprimante. Version 2.3 (12/2007) Page 14
II) D) b. Connexion au réseau et dernières mises à jour - Il est recommandé de lancer une mise à jour manuelle de l'anti-virus, ainsi qu'un Windows Update, histoire de ne rien oublier. Pour Windows Update, certains composants comme Internet Explorer ou Office pourraient être également concernés par des mises à jour mineures. II) D) c. Analyse anti-virale des données - Pensez à faire une analyse anti-virale approfondie de vos données avant de les utiliser!! Maintenant que votre système est sain, il peut être intéressant de l utiliser pour analyser via le réseau d autres machines. Avec l installation détaillée précédemment, le système d exploitation sera maintenu à jour automatiquement dès qu une nouvelle faille de sécurité sera signalée par Microsoft, ainsi que les mises à jour des définitions virales. Associé aux règles élémentaires détaillées dans la première partie, votre système devrait vous garantir l intégrité de vos données et le maintient de la qualité de service du réseau informatique de l USTL. Version 2.3 (12/2007) Page 15
Historique Version 1.0 (07/2004) - Version de base Version 2.0 (08/2004) - Ajout de la partie «Considérations générales sur les virus informatiques» - Ajout d un sommaire - Remise en page - Diverses retouches et ajouts Version 2.1 (07/2005) - Ajout de quelques lignes concernant le rollup de Windows 2000 - Ajout d un lien sur le phishing - Diverses retouches et ajouts Version 2.2 (09/2005) - Diverses retouches et ajouts Version 2.3 (12/2007) - Liens vers la documentation Qchain pour Windows 2000 - Diverses retouches et ajouts Version 2.3 (12/2007) Page 16