J'ai chopé un virus !

"François Yves Le Gal" <flegal@aingeal.com> a écrit dans le message de
news:md7c36hvo8fghfsekp1hgm6sld3t8lfr6b@4ax.com...

On Tue, 6 Jul 2010 20:04:05 +0200, "Az Sam" <me@home.net> wrote:

ils rigolent ou quoi ?!

Ben non, ce sont des tazuniens, au pays où les hommes sont des hommes et
les
moutons sont effrayés et où tout le monde fait des procès à tout le monde.

ouais un modèle a ne pas promouvoir donc.

--
Cordialement,
Az Sam.

Le 08/07/2010 08:33, I N F O R A D I O a écrit :

A cela j'ajouterai que cela ne garantit en rien une sécurisation à 100%
ce qui est utopique

Ex tout bete, j'ai désinfecté un PC il y a quelques heures, pourtant
sécurisé, ayant tout ses logiciels à jour, etc

L'infection s'est produite de facon toute bete : Une visite sur un site
CONNU (Yahoo page d'accueil et ses nombreuses pubs) avec un Js.script
qui voulait ramener un payload (le dropper était déja en place)

Virus qui ne serait pas passé en utilisant NOSCRIPT
comme je l'indique sur :

Tu ne sais pas de quoi tu parles

Elle avait noscript d'installé, et pas seulement (Hostsman etc)

Yahoo a presque une quarantaine de script bloqués par NOSCRIPT

et les partenaires en pub (images) balancent plus d'une dizaines de
scripts spécifiques

Les images de fond viennent de

http://d.yimg.com/


Et c'est par ce fournisseur d'images de fond qu'est venu l'infection
(pas de png à la fin de l'url)

Elle avait autorisé l'un de ces scripts considéré comme fiable PAR
OBLIGATION sinon elle n'avait pas accès au contenu

C'est là la limitation de NOSCRIPT

Sur pas mal de sites tu es obligé d'en laissé passer si tu veux accèder
à ce dont tu as besoin (d'où la liste blanche dans NOSCRIPT et c'est là
le piège car il suffit de véroler l'une de ces sources pour être infecté
avec un ZeroDay)

On a eu le meme ca l'année dernière avec une fille sur Malekal qu'on
venait de désinfecter
Elle a eu besoin juste après d'aller sur le site Eurodisney, à la
boutique, et elle s'est fait infecter par le biais de la Sté qui
fournissait l'un des liens.

C'est difficilement détectable car aléatoire (tu peux passer juste après
et avoir des liens sains) et ca une durée de vie très courte (le but
pour ceux qui posent cela est de ne pas se faire repérer)

La seule alternative pour naviguer de façon sécurisée et de tout
balancer dans une boite à sable (SandBoxie fait cela très bien)

Ca évite d'avoir une armada de programmes (dont un HIPS par ex)dont que
les utilisateurs ne maitrisent qu'à moitié ou mal les fonctionnalités.


Depuis le temps que tu traines sur MALEKAL tu devrais savoir qu'il n'y a
pas DE PROGRAMME qui est capable de parer à tout.
NOSCRIPT y compris

Le 08/07/2010 14:02, Eric Demeester a écrit :

dans (in) fr.comp.securite.virus, DePassage<monadresseamoi@hotmail.com>
ecrivait (wrote) :

Bonjour,

Le 07/07/2010 11:38, albator300 a écrit :

Maintenant je vais voir pour installer Avira

Si c'est en version FREE, tu peux y ajouter MalwareBytes
Ils sont complémentaires

Je confirme. J'ai les deux en parallèle et ça fait longtemps que je n'ai
pas été victime d'une infection. Pour être honnête, en fait, depuis 1984
(date d'acquisition de mon premier ordinateur personnel -- Amstrad
pc1512 --), je n'ai jamais constaté la présence d'un virus, d'une
backdoor ou autre cochonnerie sur mes machines. On ne dira jamais assez
l'importance de l'interface chaise clavier en matière de sécurité
informatique :)

C'était valable il y a quelques années avec les "virus" maintenant ce
n'est qu'à moitié vrai avec les infections actuelles

Dans les zeroday il y a beaucoup de choses qui passent les barrières des
protections
Le fameux 1% des infections que les protections ne détectent pas (dont
les anti virus aussi bons soient-ils) qui représentent 1500 infections
nouvelles à l'heure.

Mais bon.. en évitant les sites de cul, les cracks, le P2P, les échanges
de clé USB, disk, et prioritairement en gardant ses logiciels à jour
(dont le fameux lecteur flash, PDF, etc)et en installant 2 ou 3
bricoles, on réduit PRESQUE a néant ce pourcentage
Il est facile de se faire infecter involontairement meme en ne cliquant
sur rien sur une page.
Le simple fait de visiter un site considéré comme SAFE suffit
Il suffit de passer au mauvais moment.


Perso, hormis sur ordi AMIGA,(j'étais meme pas ado) je n'ai jamais été
infecté sur PC autrement que volontairement pour études des infections.
Mais néanmoins dire que l'on n'a jamais été infecté ne veut rien dire et
n'est pas représentatif

Tout comme un LUDO qui pense avoit trouvé le bouclier ultime avec un
NOSCRIPT, ou comme il pensait avoit trouvé le saint graal avec AVAST il
y a quelques années, persistant dans sa connerie 3 ans après, alors que
tout le monde lui indiquait pendant ces trois années, que c'était à
l'époque une passoire.

Mais le LUDO vit dans un monde persistant, ne croit que ce qu'il voit ou
expérimente, alors que le monde bouge. Mais pas lui.

dans (in) fr.comp.securite.virus, DePassage <monadresseamoi@hotmail.com>
ecrivait (wrote) :

Hello,

Mais bon.. en évitant les sites de cul, les cracks, le P2P, les échanges
de clé USB, disk, et prioritairement en gardant ses logiciels à jour
(dont le fameux lecteur flash, PDF, etc)et en installant 2 ou 3
bricoles, on réduit PRESQUE a néant ce pourcentage

Ah voila, c'est tout moi, ça :) Sauf que je ne suis pas fan de mises à
jour, parce que je suis partisan de « if it works, don't fix it ».

Il est facile de se faire infecter involontairement meme en ne cliquant
sur rien sur une page.
Le simple fait de visiter un site considéré comme SAFE suffit
Il suffit de passer au mauvais moment.

Je suppose que tu as raison et que j'ai eu de la chance jusqu'à
maintenant...

Perso, hormis sur ordi AMIGA,(j'étais meme pas ado) je n'ai jamais été
infecté sur PC autrement que volontairement pour études des infections.

Pile-poil pareil même chose en ce qui me concerne.

Mais néanmoins dire que l'on n'a jamais été infecté ne veut rien dire et
n'est pas représentatif

Certes. Note que je ne me vante pas ni n'affirme que les infections sont
des vues de l'esprit, hein. Je dis juste que jusqu'à maintenant je suis
passé au travers, et qu'avoir un comportement responsable en ne cliquant
pas sur n'importe quoi réduit les risques.

--
Eric

Le 08/07/2010 23:44, Eric Demeester a écrit :

dans (in) fr.comp.securite.virus, DePassage<monadresseamoi@hotmail.com>
ecrivait (wrote) :

Hello,

Mais bon.. en évitant les sites de cul, les cracks, le P2P, les échanges
de clé USB, disk, et prioritairement en gardant ses logiciels à jour
(dont le fameux lecteur flash, PDF, etc)et en installant 2 ou 3
bricoles, on réduit PRESQUE a néant ce pourcentage

Ah voila, c'est tout moi, ça :)

J'oublie MSN, facebook etc

Sauf que je ne suis pas fan de mises à
jour, parce que je suis partisan de « if it works, don't fix it ».

Idem mais néanmoins on est parfois obligé d'y passer un minima (lecteur
alternatif pour le PDF, lecture des anims en flash, etc) parce que si
faille il y a, les protections ne pourront rien faire

On peut considérer la faille comme une backdoor en fait

Ensuite à chacun de voir suivant les fonctionnalités nouvelles qui
peuvent être interessantes etc

Dans l'absolu il faudrait avoir le temps de tout installer dans une
machine virtuelle et tester, mais le temps tout le monde ne l'a pas, et
tout le monde ne veut pas passer son temps à mettre les mains dans le
cambouis
Du reste tout le marketing est fait pour que les gens achetent un PC et
qu'ils puissent penser qu'il n'y a qu'à se connecter sur internet et
cliquer.

Il est facile de se faire infecter involontairement meme en ne cliquant
sur rien sur une page.
Le simple fait de visiter un site considéré comme SAFE suffit
Il suffit de passer au mauvais moment.

Je suppose que tu as raison et que j'ai eu de la chance jusqu'à
maintenant...

En fait il est surtout très rare de tomber sur une infection zero day
sur un site considéré comme "safe" hormis pour quelques cas particuliers
(usage conjoint avec FaceBook ou MSN)

Perso, hormis sur ordi AMIGA,(j'étais meme pas ado) je n'ai jamais été
infecté sur PC autrement que volontairement pour études des infections.

Pile-poil pareil même chose en ce qui me concerne.

Mais néanmoins dire que l'on n'a jamais été infecté ne veut rien dire et
n'est pas représentatif

Certes. Note que je ne me vante pas ni n'affirme que les infections sont
des vues de l'esprit, hein.

Je parlais pour moi :-)

Je dis juste que jusqu'à maintenant je suis
passé au travers, et qu'avoir un comportement responsable en ne cliquant
pas sur n'importe quoi réduit les risques.

C'est pourtant très facile de se faire avoir...
Je ne vais pas citer des ex ou des liens, parce que quelques
inconscients voudront tester, mais un p'tit coup de fatigue, une
distraction et hop :-)

Je pense ne pas faire de pub (y a rien à gagner ou à payer et le site ne
vit pas de la pub)

http://forum.malekal.com/pourquoi-comment-fais-infecter-t3259.html

C'est juste un aperçu

Ou un peu plus complet :

Connaitre les menaces

http://www.malekal.com/menu_windows_securite.php


La partie sécuriser son ordi est en mode "parano" (perso je contribue au
site mais je n'ai pas depuis des années tout ce qui est préconisé meme
si j'ai testé pour des articles)sinon on passe son temps à sécuriser son
ordi
Il faut trouver le bon ratio entre le moindre emmerdement et pouvoir
quand meme se servir de son PC

"DePassage" <monadresseamoi@hotmail.com> a écrit dans le message de
news:i15cp0$j9t$1@speranza.aioe.org...

Elle avait autorisé l'un de ces scripts considéré comme fiable PAR
OBLIGATION sinon elle n'avait pas accès au contenu

C'est là la limitation de NOSCRIPT

c'est là que le comportement de l'utilisateur intervient : etait il
indispensable de voir ce contenu ?
Boycotter, ou plutot tout simplement ne pas consommer, etait la solution a
adopter : "on m'oblige à ? alors tant pis pour eux, je ne regarde pas et
n'en cause pas.."

La seule alternative pour naviguer de façon sécurisée et de tout balancer
dans une boite à sable (SandBoxie fait cela très bien)

solutions de virtualisation qui devraient être en place dans la conception
du navigateur et de son système hôte.
On peut se demander pourquoi ce n'est toujours pas fait, y compris sur les
PC d'OEM qui savent pourtant bien comment mettre en place des pré
configurations avancées . le dernier que j'ai croisé : un proxy sur un VAIO
mis en place par une appli estampillée Sony conjointement a MS SQL serveur..

--
Cordialement,
Az Sam.

Az Sam nous a raconté (news:4c36cd6c$0$24821$426a74cc@news.free.fr)
:

Bonjour / Bonsoir
(rayer la mention inutile)

La seule alternative pour naviguer de façon sécurisée et de tout
balancer dans une boite à sable (SandBoxie fait cela très bien)

solutions de virtualisation qui devraient être en place dans la
conception du navigateur et de son système hôte.

Ou installer en natif une carte watchdog. Ca coûte moins de 3 roros en
chine (au détail, port compris). Le seul problème étant de formater
l'utilisateur, l'installation sous win (au moins 2k et xp) nécessitant
un ou 1,5 neurone actif. Ensuite ça roule tout seul. Malheureusement
ces cartes ne fonctionnent pas sous Linux (à ma connaissance tout au
moins), même si l'intérêt est limité pour l'instant.

J'ai fait un script pour l'install de 2k/xp avec une de ces cartes,
testé au moins une vingtaine de fois par des utilisateurs tous niveaux
(de 'gros noob' à 'conscient mais pas très compétent') sans souci, sauf
avec deux 'gros noobs' en mode 'je clique partout', choisis pour leur
ignorance crasse et leur 'j'en foutisme'. Ca ne devrait vraiment pas
poser de souci à un fabricant.


--
Amicalement

Bernard

Le 09/07/2010 09:19, Az Sam a écrit :

"DePassage" <monadresseamoi@hotmail.com> a écrit dans le message de
news:i15cp0$j9t$1@speranza.aioe.org...

Elle avait autorisé l'un de ces scripts considéré comme fiable PAR
OBLIGATION sinon elle n'avait pas accès au contenu

C'est là la limitation de NOSCRIPT

c'est là que le comportement de l'utilisateur intervient : etait il
indispensable de voir ce contenu ?

Ben tu sais c'est un peu comme avec le site SNCF, les sites de
l'administration (pour des actes d'état civil) Ebay, les pages jaunes
également certains sites où tu dois entrer ton login/mot de passe, ou ..
pour payer payer tout simplement (le formulaire, pas au moment de la
transaction en https) etc etc

Il est des endroits ou tu dois laisser passer des scripts

Boycotter, ou plutot tout simplement ne pas consommer, etait la solution
a adopter : "on m'oblige à ? alors tant pis pour eux, je ne regarde pas
et n'en cause pas.."

Nombres de sites sont comme cela et en général tu finis par les mettre
en liste blanche.

Le problème c'est lorsque un petit malin (des groupes mafieux serait
l'appellation plus exacte) a réussi à infecter le site de ta banque, de
ton site d'actualité (dépendant d'un grand groupe) etc qui sont censés
etre "safe" à la base

La seule alternative pour naviguer de façon sécurisée et de tout
balancer dans une boite à sable (SandBoxie fait cela très bien)

solutions de virtualisation qui devraient être en place dans la
conception du navigateur et de son système hôte.

Ouais... on n'en n'est pas encore là :-)

Puis là aussi, va expliquer à l'utilisateur lambda que la mise à jour
qu'il vient de télécharger ne peut se mettre en place parce qu'elle ne
peut s'échapper de la boite à sable
La manip existe mais j'ai des tas de gens autour de moi (bon j'aouve des
filles) qui ne savent que cliquer et ne cherchent pas à comprendre (sauf
si ce sont des outils sociaux type messagerie et MSN car CELA les interesse)
En général lorsqu'un problème surgit elles se reposent sur le mec, le
copain etc qui les dépannera.

On peut se demander pourquoi ce n'est toujours pas fait, y compris sur
les PC d'OEM qui savent pourtant bien comment mettre en place des pré
configurations avancées . le dernier que j'ai croisé : un proxy sur un
VAIO mis en place par une appli estampillée Sony conjointement a MS SQL
serveur..

Un proxy appartenant à SONY ? :-)

Dans la mesure où ce sont des stés qui achètent ce genre de portables
(des filles aussi mais c'est accessoire) )il vaut mieux ne pas faire
confiance à ce genre de solution (mais les autres marques ne sont pas
mieux lorsque l'on voit les HP/COMPAQ, avec un WIN propriétaire, avec
des tas de programmes qui communiquent à l'extérieur et qui ne sont pas
documentés)

Mais au moins cela prouve que lorsqu'une société (SONY) se penche sur le
sujet, elle sait faire

dans (in) fr.comp.securite.virus, DePassage <monadresseamoi@hotmail.com>
ecrivait (wrote) :

Hello,

J'oublie MSN, facebook etc

Je comprends. Il m'arrive de me connecter sur Facebook parce que je peux
difficilement faire autrement (avec un faux nez parce que je n'ai pas
confiance), mais je n'utilise aucun logiciel proposé pour jouer et
autres services offerts par FB. Mon profil est de plus défini en mode
parano, je ne donne aucune information me concernant, pas même mon vrai
nom. Je crois que c'est en contradiction avec leurs CGU, mais tant pis,
qu'ils me virent s'ils en ont envie, je n'en ai rien à battre.

Pour ce qui est des messageries instantanées, je déteste et ne suis
inscrit nulle part, sauf sur IRC, sur un serveur en lequel j'ai
confiance, et pour cause, c'est le mien.

Idem mais néanmoins on est parfois obligé d'y passer un minima (lecteur
alternatif pour le PDF, lecture des anims en flash, etc) parce que si
faille il y a, les protections ne pourront rien faire

Pas faux.

Dans l'absolu il faudrait avoir le temps de tout installer dans une
machine virtuelle et tester, mais le temps tout le monde ne l'a pas, et
tout le monde ne veut pas passer son temps à mettre les mains dans le
cambouis

Dans l'absolu, adopter un autre système d'exploitation que Windows
(MacOs, Linux, BSD) éradique instantanément à peu près 98% des
emmerdements potentiels. Je sais, ce n'est pas politiquement correct
d'affirmer ça, mais c'est pourtant le cas.

J'utilise toujours (flemme de migrer mon mail par exemple) une vielle
version de Windows sur mon poste de travail, mais ça fait plus de 10 ans
que les serveurs que j'administre sont sous FreeBSD, et là bas, jamais
aucun problème.

Les serveurs sont derrière des firewalls bien configurés, ça aide.

Les serveurs sont attaqués quotidiennement mais les attaques (j'ai un
rapport quotidien par email) sont des attaques au dictionnaire visant à
devenir root sur mes machines, et comme les mots de passe ne sont pas
triviaux, forcément les attaques échouent systématiquement, même si ça
génère chaque jour plusieurs Mo de logs m'informant que Neuneu a essayé
de s'introduire sur mon serveur depuis telle IP en testant sans succès
quelques milliers de couples identifiant/mot de passe.

>> Mais néanmoins dire que l'on n'a jamais été infecté ne veut rien dire et
>> n'est pas représentatif
>
> Certes. Note que je ne me vante pas ni n'affirme que les infections sont
> des vues de l'esprit, hein.

Je parlais pour moi :-)

Je parlais pour moi aussi :-)

C'est pourtant très facile de se faire avoir...

J'ai lu les liens et je reste sur mes positions. Même si on est sous
Windows, il faut être naïf, idiot ou inexpérimenté pour se faire
avoir...

Il faut trouver le bon ratio entre le moindre emmerdement et pouvoir
quand meme se servir de son PC

Voila, pile-poil.

--
Eric

Le 08/07/2010 08:33, I N F O R A D I O a écrit :

A cela j'ajouterai que cela ne garantit en rien une sécurisation à 100%
ce qui est utopique

Ex tout bete, j'ai désinfecté un PC il y a quelques heures, pourtant
sécurisé, ayant tout ses logiciels à jour, etc

L'infection s'est produite de facon toute bete : Une visite sur un site
CONNU (Yahoo page d'accueil et ses nombreuses pubs) avec un Js.script
qui voulait ramener un payload (le dropper était déja en place)

*Virus qui ne serait pas passé en utilisant NOSCRIPT*
comme je l'indique sur :

http://inforadio..... bricolage....

Mouarf, "il faut retenir qu’une fois de plus, aucun Antivirus n’a
résisté à presque toutes les attaques (6/7) utilisées":

http://www.lestutosdenico.com/evenements/pwn2kill-compte-rendu-resultats

« Le pire cauchemar, c'est le décideur qui écoute les messages
marketing des éditeurs d'antivirus »:

http://www.lexpansion.com/economie/actualite-high-tech/eric-filiol-esiea-171-le-pire-cauchemar-c-est-le-decideur-qui-ecoute-les-messages-marketing-des-editeurs-d-antivirus-187_232136.html

Corrolaire: "le pire cauchemar c'est celui qui sur Usenet écoute les
messages marketing de ceux (INFORADIO) qui écoutent les messages
marketing des éditeurs d'antivirus"

Que l'on dénonce publiquement vos inepties en matière de sécurité est
un devoir de professionnalisme.

--
Roland Garcia