Bonjour à tous,
Suite au comportement que je jugeais anormal de ma messagerie (je recevais
régulièrement des messages infectés, et il semble que le virus utilise mon
adresse pour infecter d'autres personnes), j'ai lancé un scan de mon disque.
Il semble que je sois effectivement infecté, puisque l'antivirus m'annonce avoir
découvert:
Trojan.Spy.Bispy.C
Backdoor.Ralpha.A
Je ne trouve pas sur les sites des antivirus la référence à ces deux virus, et
ne sais donc pas quel utilitaire utiliser pour me désinfecter.
Quelqu'un peut-il m'aider?
Ah! La bonne vieille technique de céçuikildikié...je laisse ça aux amateurs ;-)
-- joke0
ppc
AMcD® wrote:
Au fait, tu peux écrire en français s'il te plaît ? J'ai énormément de mal à te comprendre.
Je remarque également, que tu te soucies d'avantage à compréhension de la langue française qu'à tes codes, "la qualité de ce que l'on comprend dépends de la qualité de celui qui parle", serais-tu si raté que t'aimerais te rassassier uniquement par le regard? :-(
AMcD® wrote:
Au fait, tu peux écrire en français s'il te plaît ? J'ai énormément de mal à
te comprendre.
Je remarque également, que tu te soucies d'avantage
à compréhension de la
langue française qu'à tes codes, "la qualité de ce
que l'on comprend dépends de la qualité de celui qui
parle", serais-tu si raté que t'aimerais te
rassassier uniquement par le regard? :-(
Au fait, tu peux écrire en français s'il te plaît ? J'ai énormément de mal à te comprendre.
Je remarque également, que tu te soucies d'avantage à compréhension de la langue française qu'à tes codes, "la qualité de ce que l'on comprend dépends de la qualité de celui qui parle", serais-tu si raté que t'aimerais te rassassier uniquement par le regard? :-(
joke0
Salut,
Frederic Bonroy:
les gens dont l'anglais est la langue natale doivent bien se marrer quand ils voient de telles tentatives d'imiter l'anglais "kewl" de la rue de la part d'un Franchouillard.
Toutafé m8 :)
-- joke0
Salut,
Frederic Bonroy:
les gens dont l'anglais est la langue natale doivent bien se
marrer quand ils voient de telles tentatives d'imiter
l'anglais "kewl" de la rue de la part d'un Franchouillard.
les gens dont l'anglais est la langue natale doivent bien se marrer quand ils voient de telles tentatives d'imiter l'anglais "kewl" de la rue de la part d'un Franchouillard.
Toutafé m8 :)
-- joke0
AMcD®
ppc wrote:
Je remarque également, que tu te soucies d'avantage à compréhension de la langue française qu'à tes codes,
Quels codes ?
"la qualité de ce que l'on comprend dépends de la qualité de celui qui parle",
Ben justement, c'est toi qui parles...
serais-tu si raté que t'aimerais te rassassier uniquement par le regard? :-(
Oui, oui.
-- AMcD®
http://arnold.mcdonald.free.fr/
ppc wrote:
Je remarque également, que tu te soucies d'avantage
à compréhension de la
langue française qu'à tes codes,
Quels codes ?
"la qualité de ce
que l'on comprend dépends de la qualité de celui qui
parle",
Ben justement, c'est toi qui parles...
serais-tu si raté que t'aimerais te
rassassier uniquement par le regard? :-(
Je remarque également, que tu te soucies d'avantage à compréhension de la langue française qu'à tes codes,
Quels codes ?
"la qualité de ce que l'on comprend dépends de la qualité de celui qui parle",
Ben justement, c'est toi qui parles...
serais-tu si raté que t'aimerais te rassassier uniquement par le regard? :-(
Oui, oui.
-- AMcD®
http://arnold.mcdonald.free.fr/
Frederic Bonroy
LaDDL wrote:
Le mot atrocité est disproportionné/exagéré. Internet, réseau des réseaux, est d'origine anglosaxone, tout comme Usenet.
Mon clavier est d'origine allemande. Müssen wir deshalb Deutsch reden?
Autrement dans le même esprit pourquoi ne traduis-tu pas enfin/définitivement l'expression anglosaxone "safe hex" ? Alors que tu pourrais la traduire en français par : savoir administrer/entretenir/optimiser son système.
Pour la raison très simple que safe hex est a) un jeu de mots difficilement traduisible b) trois fois plus cours qu'"administrer son système"
Commences par appliquer tes propres conseils avant de vouloir en donner aux autres.
Conernant l'utilisation d'anglicismes je n'ai aucun reproche à me faire; vous me connaissez très mal. ;-)
Premièrement tout le monde ne parle pas anglais C'est un fait. Mais il faut aussi tenir compte de la réalité où la
pratique de l'anglais domine les échanges/relations des individus à travers le monde. Les réseaux numériques n'en font pas exception.
Ici nous sommes sur un forum francophone, nous pouvons partir du principe que tout le monde ici est capable de communiquer en français.
troisièmement les gens dont l'anglais est la langue natale C'est ma langue maternelle.
Raison de plus pour la parler correctement et où il se doit (c'est-à-dire pas sur les forums francophones).
En ce qui me concerne, je me suis très souvent aperçu que, de manière générale, hein, je ne veux marcher sur les pieds de personne, les ceusses qui z'y parlent comme ça sont incapables de sortir une vraie phrase en bon anglais. [Troll]
Non, vérité.
Pour satisfaire ta curiosité, ces mots sont de l'argot/jargon familier/urbain employés par toutes les personnes qqsoit leur classe sociale.
Ouais, je vois devant moi un sénateur adresser la parole à un général au sujet des sévices en Irak et lui demander "and u dude what do u know"?
LaDDL wrote:
Le mot atrocité est disproportionné/exagéré.
Internet, réseau des réseaux, est d'origine anglosaxone, tout comme
Usenet.
Mon clavier est d'origine allemande. Müssen wir deshalb Deutsch reden?
Autrement dans le même esprit pourquoi ne traduis-tu pas
enfin/définitivement l'expression anglosaxone "safe hex" ? Alors que tu
pourrais la traduire en français par : savoir
administrer/entretenir/optimiser son système.
Pour la raison très simple que safe hex est
a) un jeu de mots difficilement traduisible
b) trois fois plus cours qu'"administrer son système"
Commences par appliquer tes propres conseils avant de vouloir en donner
aux autres.
Conernant l'utilisation d'anglicismes je n'ai aucun reproche à me faire;
vous me connaissez très mal. ;-)
Premièrement tout le monde ne parle pas anglais
C'est un fait. Mais il faut aussi tenir compte de la réalité où la
pratique de l'anglais domine les échanges/relations des individus à
travers le monde. Les réseaux numériques n'en font pas exception.
Ici nous sommes sur un forum francophone, nous pouvons partir du
principe que tout le monde ici est capable de communiquer en français.
troisièmement les gens dont l'anglais est la langue natale
C'est ma langue maternelle.
Raison de plus pour la parler correctement et où il se doit
(c'est-à-dire pas sur les forums francophones).
En ce qui me concerne, je me suis très souvent aperçu que, de manière
générale, hein, je ne veux marcher sur les pieds de personne, les
ceusses qui z'y parlent comme ça sont incapables de sortir une vraie
phrase en bon anglais.
[Troll]
Non, vérité.
Pour satisfaire ta curiosité, ces mots sont de l'argot/jargon
familier/urbain employés par toutes les personnes qqsoit leur classe
sociale.
Ouais, je vois devant moi un sénateur adresser la parole à un général au
sujet des sévices en Irak et lui demander "and u dude what do u know"?
Le mot atrocité est disproportionné/exagéré. Internet, réseau des réseaux, est d'origine anglosaxone, tout comme Usenet.
Mon clavier est d'origine allemande. Müssen wir deshalb Deutsch reden?
Autrement dans le même esprit pourquoi ne traduis-tu pas enfin/définitivement l'expression anglosaxone "safe hex" ? Alors que tu pourrais la traduire en français par : savoir administrer/entretenir/optimiser son système.
Pour la raison très simple que safe hex est a) un jeu de mots difficilement traduisible b) trois fois plus cours qu'"administrer son système"
Commences par appliquer tes propres conseils avant de vouloir en donner aux autres.
Conernant l'utilisation d'anglicismes je n'ai aucun reproche à me faire; vous me connaissez très mal. ;-)
Premièrement tout le monde ne parle pas anglais C'est un fait. Mais il faut aussi tenir compte de la réalité où la
pratique de l'anglais domine les échanges/relations des individus à travers le monde. Les réseaux numériques n'en font pas exception.
Ici nous sommes sur un forum francophone, nous pouvons partir du principe que tout le monde ici est capable de communiquer en français.
troisièmement les gens dont l'anglais est la langue natale C'est ma langue maternelle.
Raison de plus pour la parler correctement et où il se doit (c'est-à-dire pas sur les forums francophones).
En ce qui me concerne, je me suis très souvent aperçu que, de manière générale, hein, je ne veux marcher sur les pieds de personne, les ceusses qui z'y parlent comme ça sont incapables de sortir une vraie phrase en bon anglais. [Troll]
Non, vérité.
Pour satisfaire ta curiosité, ces mots sont de l'argot/jargon familier/urbain employés par toutes les personnes qqsoit leur classe sociale.
Ouais, je vois devant moi un sénateur adresser la parole à un général au sujet des sévices en Irak et lui demander "and u dude what do u know"?
ppc
AMcD® wrote:
Ben justement, c'est toi qui parles...
Mais c'est toi qui interprète 8-) or la pensée et la connaissance sont radicalement différentes et tu est tombé dans la ruse, car tu veux impressionner, mais plus haut tu hurles, plus vite tu t'estompes :-(
serais-tu si raté que t'aimerais te rassassier uniquement par le regard? :-(
Oui, oui.
Ta vanité serait la raison majeure de l'échec de la vie?
AMcD® wrote:
Ben justement, c'est toi qui parles...
Mais c'est toi qui interprète 8-) or la pensée et la
connaissance sont radicalement différentes et tu est
tombé dans la ruse, car tu veux impressionner, mais
plus haut tu hurles, plus vite tu t'estompes :-(
serais-tu si raté que t'aimerais te
rassassier uniquement par le regard? :-(
Oui, oui.
Ta vanité serait la raison majeure de l'échec de la vie?
Mais c'est toi qui interprète 8-) or la pensée et la connaissance sont radicalement différentes et tu est tombé dans la ruse, car tu veux impressionner, mais plus haut tu hurles, plus vite tu t'estompes :-(
serais-tu si raté que t'aimerais te rassassier uniquement par le regard? :-(
Oui, oui.
Ta vanité serait la raison majeure de l'échec de la vie?
AMcD®
ppc wrote:
AMcD® wrote:
Mais c'est toi qui interprète 8-) or la pensée et la connaissance sont radicalement différentes et tu est tombé dans la ruse, car tu veux impressionner, mais plus haut tu hurles, plus vite tu t'estompes :-(
Oui, oui.
Ta vanité serait la raison majeure de l'échec de la vie?
Oui, oui, exactement.
-- AMcD®
http://arnold.mcdonald.free.fr/
ppc wrote:
AMcD® wrote:
Mais c'est toi qui interprète 8-) or la pensée et la
connaissance sont radicalement différentes et tu est
tombé dans la ruse, car tu veux impressionner, mais
plus haut tu hurles, plus vite tu t'estompes :-(
Oui, oui.
Ta vanité serait la raison majeure de l'échec de la vie?
Mais c'est toi qui interprète 8-) or la pensée et la connaissance sont radicalement différentes et tu est tombé dans la ruse, car tu veux impressionner, mais plus haut tu hurles, plus vite tu t'estompes :-(
Oui, oui.
Ta vanité serait la raison majeure de l'échec de la vie?
Oui, oui, exactement.
-- AMcD®
http://arnold.mcdonald.free.fr/
AMcD®
Frederic Bonroy wrote:
Ouais, je vois devant moi un sénateur adresser la parole à un général au sujet des sévices en Irak et lui demander "and u dude what do u know"?
Tssss. Un trop hype guy dira plutôt comme ça :
"What about ya dude? Waddia know?"
Tu n'as pas tout à fait tort de noter dans un post plus haut le côté ridicule pour un français de parler l'argot américain. En général, ça se résume à des dude, u, da, etc. Cela fait bien hype, mais c'est assez risible car c'est bien plus complexe en réalité ! Et un gars qui te parle/écrit argot, du vrai de vrai de la rue trop grave, si t'es pas super entraîné, c'est parfaitement imbitable.
Je joue parfois en réseau avec des américains trop djeunz sa mère, c'est quand même assez chelou à comprendre. Déjà, à la base, c'est, comme l'argot de nos rues bien à nous, très grossier. Ça s'arrête pas à du "yes bud". Exemple:
"hey dude, make a game!" "holly shit! waddia wanna make a game for? say da stuff right there noob!" "me noob? lol u just fucking dickead!" "ditto!" "gonna kick ur ass dumb!"
Etc., etc.
Et quand c'est écrit, encore, ça peut aller, mais parlé, c'est parfaitement incompréhensible (selon la vitesse d'élocution des gaziers).
Alors, les "yes bud!", je me marre un peu. Cela étant, ça fait très Jean-kevin Hackz ze Weurld.
-- AMcD®
http://arnold.mcdonald.free.fr/
Frederic Bonroy wrote:
Ouais, je vois devant moi un sénateur adresser la parole à un général
au sujet des sévices en Irak et lui demander "and u dude what do u
know"?
Tssss. Un trop hype guy dira plutôt comme ça :
"What about ya dude? Waddia know?"
Tu n'as pas tout à fait tort de noter dans un post plus haut le côté
ridicule pour un français de parler l'argot américain. En général, ça se
résume à des dude, u, da, etc. Cela fait bien hype, mais c'est assez risible
car c'est bien plus complexe en réalité ! Et un gars qui te parle/écrit
argot, du vrai de vrai de la rue trop grave, si t'es pas super entraîné,
c'est parfaitement imbitable.
Je joue parfois en réseau avec des américains trop djeunz sa mère, c'est
quand même assez chelou à comprendre. Déjà, à la base, c'est, comme l'argot
de nos rues bien à nous, très grossier. Ça s'arrête pas à du "yes bud".
Exemple:
"hey dude, make a game!"
"holly shit! waddia wanna make a game for? say da stuff right there noob!"
"me noob? lol u just fucking dickead!"
"ditto!"
"gonna kick ur ass dumb!"
Etc., etc.
Et quand c'est écrit, encore, ça peut aller, mais parlé, c'est parfaitement
incompréhensible (selon la vitesse d'élocution des gaziers).
Alors, les "yes bud!", je me marre un peu. Cela étant, ça fait très
Jean-kevin Hackz ze Weurld.
Ouais, je vois devant moi un sénateur adresser la parole à un général au sujet des sévices en Irak et lui demander "and u dude what do u know"?
Tssss. Un trop hype guy dira plutôt comme ça :
"What about ya dude? Waddia know?"
Tu n'as pas tout à fait tort de noter dans un post plus haut le côté ridicule pour un français de parler l'argot américain. En général, ça se résume à des dude, u, da, etc. Cela fait bien hype, mais c'est assez risible car c'est bien plus complexe en réalité ! Et un gars qui te parle/écrit argot, du vrai de vrai de la rue trop grave, si t'es pas super entraîné, c'est parfaitement imbitable.
Je joue parfois en réseau avec des américains trop djeunz sa mère, c'est quand même assez chelou à comprendre. Déjà, à la base, c'est, comme l'argot de nos rues bien à nous, très grossier. Ça s'arrête pas à du "yes bud". Exemple:
"hey dude, make a game!" "holly shit! waddia wanna make a game for? say da stuff right there noob!" "me noob? lol u just fucking dickead!" "ditto!" "gonna kick ur ass dumb!"
Etc., etc.
Et quand c'est écrit, encore, ça peut aller, mais parlé, c'est parfaitement incompréhensible (selon la vitesse d'élocution des gaziers).
Alors, les "yes bud!", je me marre un peu. Cela étant, ça fait très Jean-kevin Hackz ze Weurld.
-- AMcD®
http://arnold.mcdonald.free.fr/
Noshi
On Wed, 19 May 2004 19:35:57 +0200, LaDDL wrote:
Noshi wrote:
Oui en effet. Mais ranger l'utilisateur au rang de vulnérabilité me parait un peu excessif.
Malheureusement si car ses réactions peuvent engendrer des dysfonctionnements, bugs, risques.
Ca n'en fait pas une vulnérabilité mais une faiblesse.
dont je cite la partie sur laquelle ce fil a pris naissance "Un cheval de Troie qui formate le disque dur n'exploite aucune vulnérabilité dans quoi que ce soit, et les pare-feu ne peuvent rien faire contre."
C'est Fréd qui dit cela et non moi.
Je donnais l'origine de cette discussion ci.
Ma réponse était basée sur le fait que ta réponse ignorait le cas particulier donné par Frédéric pour généraliser au niveau trojan.
Non. Car sa réponse laissait entendre qu'un FW ne sert à rien. Ce qui est une contre-vérité.
Ben non. Sa réponse faisait clairement la différence entre une menace et un outil qui n'est pas adapté a lutter contre cette menace précise. Il ne disait rien des autres menaces
Et donc de sortir de la partie spécifique : le firewall ne sert a rien dans le cas d'un trojan qui formate le disque dur. Ce qui permet a l'utilisateur de voir les failles dans sa sécurité. Si il pense que son firewall suffit alors son firewall est inutile car l'erreur viendra de son comportement à lui qui se croira protégé.
Faire confiance en la technique, ses logiciels ou son matériel est bien évidemment risqué sans administration/entretien de son environnement.
Surtout sans connaitre son environnement. C'est le probleme principal. Les gens utilisent des ordinateurs sans connaitre les risques.
Le terme bloquer définit un programme qui possède une liste finir d'application autorisée a se lancer. Le controle de la base de registre n'est plus du blocage mais un bonus.
Le contrôle de la BDR permet d'aministrer et gèrer son environnement tout comme d'accepter/refuser toute entrée/sortie.
controler la base de registre ne veut pas dire bloquer l'écriture. Et si il s'agit de définir des droits. Aucun programme n'est nécessaire puisque la structure de la base de registre integre déjà ce systeme.
Déjà l'heuristique des antivirus c'est pas un truc optimal...
Ca l'est de plus en plus. Peux-tu expliquer pourquoi tu dis cela ?
Parce qu'il n'offre aucune garantie que ce qu'il dit est pertinent. Il n'y a pas d'intelligence derrière. Juste des regles de conduites. Et donc ce n'est pas parce qu'il dit qu'un fichier n'est pas dangereux qu'il ne l'est pas réellement.
[...]
Donc meme avec tes autres contremesure j'estime que je trojan a de bonne chance de passer et de virer le disque.
Tu oublies le cryptage des données.
Non je ne l'oublie pas. Tout dépend de quel cryptage on parle. Si c'est un cryptage ou on doit taper son mdp d'acces a chaque acces alors en effet ca bloquera l'effacement des fichiers. Mais pour le reste... vu que le cryptage de windows par exemple est fonction de l'utilisateur qui a ouvert la session... et bien le trojan etant lancé sous cette session, rien ne l'empeche d'avoir acces aux fichiers comme il veut.
Pour les autres types de trojans ca les arrêteras. Tous les trojans sont détectables si on maitrise son environnement.
La détection a 100% n'existe pas.
[...]
Ce n'était pas le propos. Une bonne sécurité s'appuie sur une protection multi-niveau.
Non. Si et bien évidement pas uniquement.
Pour moi le premier echelon de la bonne sécurité c'est l'utilisateur. Tout le reste de ce qu'on peut mettre en place ne servira a *rien* si l'utilisateur n'est pas formé. Donc c'est pour moi la pièce maitresse et tout le reste est dépendant de cette condition.
[...]
Le controle de la BDR a partir du moment ou ce que le trojan veut faire c'est effacer des fichiers ou lire directement dans d'autres (voir meme lire la BDR) ca ne servira a rien.
Tu considères que le Trojan est déjà installé. Avant même qu'il ne puisse agir je t'explique que l'on peut toujours le détecter.
Ben non on ne peut pas "toujours".
Bien entendu cela dépend du niveau de sécurité de l'environnement de la cible et du comportement du user.
Non. C'est une certitude. Quelle que soit les techniques trouvées pour détecter des programmes dangereux il existera une technique suivante qui les dissimulera a ces nouvelles techniques et qui obligera a mettre en place des techniques supplémentaires. SAUF si on arrive a expliquer a tout le monde qu'il ne faut pas cliquer sur n'importe quoi. Etc. L'utilisateur formé rend la nécessité des parades moins vitales.
Commencer a gérer des droits de lecture ecriture a un fichier en fonction du programme qui en fait la demande c'est pas gérable.
Détrompes-toi. Le cryptage de données c'est pas fait pour les chiens.
Mais ces données il faut bien y avoir acces. Et si l'utilisateur qui a le droit fait quelque chose de mauvais (lancer un trojan) cryptage ou pas... ca ne bloquera pas)
Le cryptage est la pour assurer que une personne non autorisée n'aura pas acces aux données qu'il ne peut pas voir. Pas pour s'assurer que l'utilisateur qui y a acces ne fera pas de conneries.
Quand au flux http... a partir du moment ou c'est toi qui initie le téléchargement... ca reste du domaine de l'antivirus.
Pas forcément. tout dépend de l'environnement. On est bien toujours dans le cadre du user et de son PC ? C'est juste pour être sûr.
Oui bien sur. Je n'en suis pas sorti.
Le firewall n'est pas concu pour analyser un flux. Il est concu pour bloquer ou autoriser des connections sur base de critères.
C'est juste pour ce qui est du firewall classique dirons-nous. Mais il existe des firewalls applicatifs.
Non. Le firewall applicatif dans le sens qui lui est donné sur ce forum est un firewall qui peut gérer les applications qui peuvent avoir acces au réseau en plus de filtrer simplement sur les ports et protocoles. Donc ca reste des criteres. Par exemple le détournement d'IE par JAB (excellent POC de Nicob) montre a quel point il est erroné de croire que le firewall applicatif offre une protection a 100%
Le filtrage des flux se situe au niveau de l'IDS qui est un autre aspect de la sécurité.
Le filtrage des flux s'effectue au niveau des applications, protocoles. L'iDS est une technique de détection à base de signatures.
Comment savoir qu'une page HTML qui arrive dans internet explorer est une page valide ou pas? Comment savoir que cette page a été demandée par un programme malsain? c'est pas possible.
Sinon le flux HTTPS ... si tu veux l'analyser ca veut dire que ca doit se faire par le programme qui établit la connexion... puisque ce qui arrive au niveau du firewall est déjà illisible.
L'analyse des flux https repose sur l'emploi de firewall applicatif (reverse proxy).
Si tu reprend bien ma réponse tu verras que ca parle du programme qui établit la connexion. Donc que ca soit un reverse proxy (tiens a ce sujet ca n'existe pas pour faire de l'analyse de flux mais principalement pour des systèmes de load balancing, fail over et un peu de sécurité) ou tout autre programme établissant ce type de connection.
Sinon ca serait interessant de donner plus d'info sur un firewall qui jouerait le role de reverse proxy...
-- Noshi
On Wed, 19 May 2004 19:35:57 +0200, LaDDL wrote:
Noshi wrote:
Oui en effet. Mais ranger l'utilisateur au rang de vulnérabilité me parait
un peu excessif.
Malheureusement si car ses réactions peuvent engendrer des
dysfonctionnements, bugs, risques.
Ca n'en fait pas une vulnérabilité mais une faiblesse.
dont je cite la partie sur laquelle ce fil a pris naissance
"Un cheval de Troie qui formate le disque dur n'exploite aucune
vulnérabilité dans quoi que ce soit, et les pare-feu ne peuvent rien
faire contre."
C'est Fréd qui dit cela et non moi.
Je donnais l'origine de cette discussion ci.
Ma réponse était basée sur le fait que ta réponse ignorait le cas
particulier donné par Frédéric pour généraliser au niveau trojan.
Non.
Car sa réponse laissait entendre qu'un FW ne sert à rien. Ce qui est une
contre-vérité.
Ben non. Sa réponse faisait clairement la différence entre une menace et un
outil qui n'est pas adapté a lutter contre cette menace précise. Il ne
disait rien des autres menaces
Et donc
de sortir de la partie spécifique : le firewall ne sert a rien dans le cas
d'un trojan qui formate le disque dur. Ce qui permet a l'utilisateur de
voir les failles dans sa sécurité. Si il pense que son firewall suffit
alors son firewall est inutile car l'erreur viendra de son comportement à
lui qui se croira protégé.
Faire confiance en la technique, ses logiciels ou son matériel est bien
évidemment risqué sans administration/entretien de son environnement.
Surtout sans connaitre son environnement. C'est le probleme principal. Les
gens utilisent des ordinateurs sans connaitre les risques.
Le terme bloquer définit un programme qui possède une liste finir
d'application autorisée a se lancer. Le controle de la base de registre
n'est plus du blocage mais un bonus.
Le contrôle de la BDR permet d'aministrer et gèrer son environnement
tout comme d'accepter/refuser toute entrée/sortie.
controler la base de registre ne veut pas dire bloquer l'écriture. Et si il
s'agit de définir des droits. Aucun programme n'est nécessaire puisque la
structure de la base de registre integre déjà ce systeme.
Déjà l'heuristique des antivirus c'est pas un truc optimal...
Ca l'est de plus en plus.
Peux-tu expliquer pourquoi tu dis cela ?
Parce qu'il n'offre aucune garantie que ce qu'il dit est pertinent. Il n'y
a pas d'intelligence derrière. Juste des regles de conduites. Et donc ce
n'est pas parce qu'il dit qu'un fichier n'est pas dangereux qu'il ne l'est
pas réellement.
[...]
Donc meme avec tes autres
contremesure j'estime que je trojan a de bonne chance de passer et de virer
le disque.
Tu oublies le cryptage des données.
Non je ne l'oublie pas. Tout dépend de quel cryptage on parle. Si c'est un
cryptage ou on doit taper son mdp d'acces a chaque acces alors en effet ca
bloquera l'effacement des fichiers. Mais pour le reste... vu que le
cryptage de windows par exemple est fonction de l'utilisateur qui a ouvert
la session... et bien le trojan etant lancé sous cette session, rien ne
l'empeche d'avoir acces aux fichiers comme il veut.
Pour les autres types de trojans ca les arrêteras.
Tous les trojans sont détectables si on maitrise son environnement.
La détection a 100% n'existe pas.
[...]
Ce n'était pas le propos. Une bonne sécurité s'appuie sur une protection
multi-niveau.
Non.
Si et bien évidement pas uniquement.
Pour moi le premier echelon de la bonne sécurité c'est l'utilisateur. Tout
le reste de ce qu'on peut mettre en place ne servira a *rien* si
l'utilisateur n'est pas formé. Donc c'est pour moi la pièce maitresse et
tout le reste est dépendant de cette condition.
[...]
Le controle de la BDR a partir du moment ou ce que le trojan veut faire
c'est effacer des fichiers ou lire directement dans d'autres (voir meme
lire la BDR) ca ne servira a rien.
Tu considères que le Trojan est déjà installé. Avant même qu'il ne
puisse agir je t'explique que l'on peut toujours le détecter.
Ben non on ne peut pas "toujours".
Bien
entendu cela dépend du niveau de sécurité de l'environnement de la cible
et du comportement du user.
Non. C'est une certitude. Quelle que soit les techniques trouvées pour
détecter des programmes dangereux il existera une technique suivante qui
les dissimulera a ces nouvelles techniques et qui obligera a mettre en
place des techniques supplémentaires. SAUF si on arrive a expliquer a tout
le monde qu'il ne faut pas cliquer sur n'importe quoi. Etc. L'utilisateur
formé rend la nécessité des parades moins vitales.
Commencer a gérer des droits de lecture
ecriture a un fichier en fonction du programme qui en fait la demande c'est
pas gérable.
Détrompes-toi. Le cryptage de données c'est pas fait pour les chiens.
Mais ces données il faut bien y avoir acces. Et si l'utilisateur qui a le
droit fait quelque chose de mauvais (lancer un trojan) cryptage ou pas...
ca ne bloquera pas)
Le cryptage est la pour assurer que une personne non autorisée n'aura pas
acces aux données qu'il ne peut pas voir. Pas pour s'assurer que
l'utilisateur qui y a acces ne fera pas de conneries.
Quand au flux http... a partir du moment ou c'est toi qui initie le
téléchargement... ca reste du domaine de l'antivirus.
Pas forcément. tout dépend de l'environnement. On est bien toujours dans
le cadre du user et de son PC ? C'est juste pour être sûr.
Oui bien sur. Je n'en suis pas sorti.
Le firewall n'est pas
concu pour analyser un flux. Il est concu pour bloquer ou autoriser des
connections sur base de critères.
C'est juste pour ce qui est du firewall classique dirons-nous. Mais il
existe des firewalls applicatifs.
Non. Le firewall applicatif dans le sens qui lui est donné sur ce forum est
un firewall qui peut gérer les applications qui peuvent avoir acces au
réseau en plus de filtrer simplement sur les ports et protocoles. Donc ca
reste des criteres. Par exemple le détournement d'IE par JAB (excellent POC
de Nicob) montre a quel point il est erroné de croire que le firewall
applicatif offre une protection a 100%
Le filtrage des flux se situe au niveau de l'IDS qui est un autre aspect de la sécurité.
Le filtrage des flux s'effectue au niveau des applications, protocoles.
L'iDS est une technique de détection à base de signatures.
Comment savoir qu'une page HTML qui arrive dans internet explorer est une
page valide ou pas? Comment savoir que cette page a été demandée par un
programme malsain? c'est pas possible.
Sinon le flux HTTPS ... si tu veux l'analyser ca veut dire que ca doit se
faire par le programme qui établit la connexion... puisque ce qui arrive
au niveau du firewall est déjà illisible.
L'analyse des flux https repose sur l'emploi de firewall applicatif
(reverse proxy).
Si tu reprend bien ma réponse tu verras que ca parle du programme qui
établit la connexion. Donc que ca soit un reverse proxy (tiens a ce sujet
ca n'existe pas pour faire de l'analyse de flux mais principalement pour
des systèmes de load balancing, fail over et un peu de sécurité) ou tout
autre programme établissant ce type de connection.
Sinon ca serait interessant de donner plus d'info sur un firewall qui
jouerait le role de reverse proxy...
Oui en effet. Mais ranger l'utilisateur au rang de vulnérabilité me parait un peu excessif.
Malheureusement si car ses réactions peuvent engendrer des dysfonctionnements, bugs, risques.
Ca n'en fait pas une vulnérabilité mais une faiblesse.
dont je cite la partie sur laquelle ce fil a pris naissance "Un cheval de Troie qui formate le disque dur n'exploite aucune vulnérabilité dans quoi que ce soit, et les pare-feu ne peuvent rien faire contre."
C'est Fréd qui dit cela et non moi.
Je donnais l'origine de cette discussion ci.
Ma réponse était basée sur le fait que ta réponse ignorait le cas particulier donné par Frédéric pour généraliser au niveau trojan.
Non. Car sa réponse laissait entendre qu'un FW ne sert à rien. Ce qui est une contre-vérité.
Ben non. Sa réponse faisait clairement la différence entre une menace et un outil qui n'est pas adapté a lutter contre cette menace précise. Il ne disait rien des autres menaces
Et donc de sortir de la partie spécifique : le firewall ne sert a rien dans le cas d'un trojan qui formate le disque dur. Ce qui permet a l'utilisateur de voir les failles dans sa sécurité. Si il pense que son firewall suffit alors son firewall est inutile car l'erreur viendra de son comportement à lui qui se croira protégé.
Faire confiance en la technique, ses logiciels ou son matériel est bien évidemment risqué sans administration/entretien de son environnement.
Surtout sans connaitre son environnement. C'est le probleme principal. Les gens utilisent des ordinateurs sans connaitre les risques.
Le terme bloquer définit un programme qui possède une liste finir d'application autorisée a se lancer. Le controle de la base de registre n'est plus du blocage mais un bonus.
Le contrôle de la BDR permet d'aministrer et gèrer son environnement tout comme d'accepter/refuser toute entrée/sortie.
controler la base de registre ne veut pas dire bloquer l'écriture. Et si il s'agit de définir des droits. Aucun programme n'est nécessaire puisque la structure de la base de registre integre déjà ce systeme.
Déjà l'heuristique des antivirus c'est pas un truc optimal...
Ca l'est de plus en plus. Peux-tu expliquer pourquoi tu dis cela ?
Parce qu'il n'offre aucune garantie que ce qu'il dit est pertinent. Il n'y a pas d'intelligence derrière. Juste des regles de conduites. Et donc ce n'est pas parce qu'il dit qu'un fichier n'est pas dangereux qu'il ne l'est pas réellement.
[...]
Donc meme avec tes autres contremesure j'estime que je trojan a de bonne chance de passer et de virer le disque.
Tu oublies le cryptage des données.
Non je ne l'oublie pas. Tout dépend de quel cryptage on parle. Si c'est un cryptage ou on doit taper son mdp d'acces a chaque acces alors en effet ca bloquera l'effacement des fichiers. Mais pour le reste... vu que le cryptage de windows par exemple est fonction de l'utilisateur qui a ouvert la session... et bien le trojan etant lancé sous cette session, rien ne l'empeche d'avoir acces aux fichiers comme il veut.
Pour les autres types de trojans ca les arrêteras. Tous les trojans sont détectables si on maitrise son environnement.
La détection a 100% n'existe pas.
[...]
Ce n'était pas le propos. Une bonne sécurité s'appuie sur une protection multi-niveau.
Non. Si et bien évidement pas uniquement.
Pour moi le premier echelon de la bonne sécurité c'est l'utilisateur. Tout le reste de ce qu'on peut mettre en place ne servira a *rien* si l'utilisateur n'est pas formé. Donc c'est pour moi la pièce maitresse et tout le reste est dépendant de cette condition.
[...]
Le controle de la BDR a partir du moment ou ce que le trojan veut faire c'est effacer des fichiers ou lire directement dans d'autres (voir meme lire la BDR) ca ne servira a rien.
Tu considères que le Trojan est déjà installé. Avant même qu'il ne puisse agir je t'explique que l'on peut toujours le détecter.
Ben non on ne peut pas "toujours".
Bien entendu cela dépend du niveau de sécurité de l'environnement de la cible et du comportement du user.
Non. C'est une certitude. Quelle que soit les techniques trouvées pour détecter des programmes dangereux il existera une technique suivante qui les dissimulera a ces nouvelles techniques et qui obligera a mettre en place des techniques supplémentaires. SAUF si on arrive a expliquer a tout le monde qu'il ne faut pas cliquer sur n'importe quoi. Etc. L'utilisateur formé rend la nécessité des parades moins vitales.
Commencer a gérer des droits de lecture ecriture a un fichier en fonction du programme qui en fait la demande c'est pas gérable.
Détrompes-toi. Le cryptage de données c'est pas fait pour les chiens.
Mais ces données il faut bien y avoir acces. Et si l'utilisateur qui a le droit fait quelque chose de mauvais (lancer un trojan) cryptage ou pas... ca ne bloquera pas)
Le cryptage est la pour assurer que une personne non autorisée n'aura pas acces aux données qu'il ne peut pas voir. Pas pour s'assurer que l'utilisateur qui y a acces ne fera pas de conneries.
Quand au flux http... a partir du moment ou c'est toi qui initie le téléchargement... ca reste du domaine de l'antivirus.
Pas forcément. tout dépend de l'environnement. On est bien toujours dans le cadre du user et de son PC ? C'est juste pour être sûr.
Oui bien sur. Je n'en suis pas sorti.
Le firewall n'est pas concu pour analyser un flux. Il est concu pour bloquer ou autoriser des connections sur base de critères.
C'est juste pour ce qui est du firewall classique dirons-nous. Mais il existe des firewalls applicatifs.
Non. Le firewall applicatif dans le sens qui lui est donné sur ce forum est un firewall qui peut gérer les applications qui peuvent avoir acces au réseau en plus de filtrer simplement sur les ports et protocoles. Donc ca reste des criteres. Par exemple le détournement d'IE par JAB (excellent POC de Nicob) montre a quel point il est erroné de croire que le firewall applicatif offre une protection a 100%
Le filtrage des flux se situe au niveau de l'IDS qui est un autre aspect de la sécurité.
Le filtrage des flux s'effectue au niveau des applications, protocoles. L'iDS est une technique de détection à base de signatures.
Comment savoir qu'une page HTML qui arrive dans internet explorer est une page valide ou pas? Comment savoir que cette page a été demandée par un programme malsain? c'est pas possible.
Sinon le flux HTTPS ... si tu veux l'analyser ca veut dire que ca doit se faire par le programme qui établit la connexion... puisque ce qui arrive au niveau du firewall est déjà illisible.
L'analyse des flux https repose sur l'emploi de firewall applicatif (reverse proxy).
Si tu reprend bien ma réponse tu verras que ca parle du programme qui établit la connexion. Donc que ca soit un reverse proxy (tiens a ce sujet ca n'existe pas pour faire de l'analyse de flux mais principalement pour des systèmes de load balancing, fail over et un peu de sécurité) ou tout autre programme établissant ce type de connection.
Sinon ca serait interessant de donner plus d'info sur un firewall qui jouerait le role de reverse proxy...
