Client Windows

[ Accueil ] [ Attaques ] [ Etude de cas ] [ Contrôles possibles ] [ Protections ] [ Les Firewalls ] [ Client Windows ]

---

Et les bons vieux Windows...

Revenons à une situation plus commune, celle de l'internaute privé, qui ne dispose pas d'un réseau de type entreprise chez lui. Tout au plus, 

Il faut distinguer deux cas qui n'ont pas beaucoup de rapports :

• Ceux qui utilisent les services d'un petit routeur NAT du commerce, on en trouve maintenant à moins de 150 €. En général, ce type d'équipement propose déjà pas mal de fonctions de filtrage de paquets,
• ceux qui utilisent une machine connectée directement au Net et qui peut éventuellement partager la connexion avec un ou deux autres postes. Les dernières versions de Windows (Me, 2000 et XP) proposent un moyen simple de le faire, Mac OS X également. Dans ces cas, il est clair que la machine exposée devra disposer d'un minimum de protections. Si Mac OS X propose un filtre de paquets performant, hérité de ses origines BSD, les diverses version Windows ne sont pas très performantes dans ce domaine, bien qu'au moins 2000 et XP proposent un filtrage de paquets.

Windows NT, 2000, XP

Les systèmes "professionnels" de Microsoft. N'en déplaise aux détracteurs de ces produits, NT n'est pas une passoire, il est même (je vais me faire des ennemis) beaucoup plus sûr qu'une version Linux installée sans précautions. Pourquoi? Pour au moins la raison suivante: Windows NT, sauf dans sa version "terminal server", ne sait pas exécuter des tâches à distance, sauf pour le groupe des administrateurs, qui peuvent en lancer quelques unes (mais pas des moindres, il est vrai). Un minimum de précautions reste toutefois incontournable :

•  Ne laissez pas le compte d'administrateur par défaut avec un mot de passe vide :-) (C'est évident, mais combien l'ont fait?)
• Au moins Windows 2000 et Windows XP permettent de changer le nom de l'administrateur. Dans leur version Française, l'administrateur s'appelle "Administrateur" (comme root sur Linux). Changez ce nom.
• Adoptez pour ce compte (et ceux d'éventuels autres administrateurs) un mot de passe "fort":
  • 7 caractères minimum; 14, c'est mieux
  • Utilisez une combinaison de caractères sans signification (recherches par dictionnaire), avec des majuscules, des minuscules, des caractères de ponctuation et même éventuellement des caractères non imprimables
• Désactivez NetBIOS sur TCP/IP sur l'interface connectée au Net.
• N'installez pas de serveur inutile. IIS est dangereux, l'agent SMTP de l'option pack aussi, le DNS également.
• Proscrivez  dans la mesure du possible tout logiciel de prise de contrôle à distance,
• bloquez les ports 135 à 139 aussi bien en UDP qu'en TCP, ça peut se faire  sur NT,  2000 et XP sans logiciel supplémentaire, dans la configuration de la pile IP,
• installez les derniers Service Packs,
• vérifiez chez Microsoft l'apparition de nouveaux patchs de sécurité,
• vérifiez fréquemment que vous n'avez pas installé un "backorifice" ou un "netbus" par inadvertance. (Ctrl+Alt+Suppr permet de visualiser les tâches et processus en cours. C'est pas toujours très compréhensible, mais on y gagne beaucoup à analyser la liste des processus en cours).
• Eventuellement, installez un antivirus sérieux.

Avec ces précautions, vous devriez déjà être relativement à l'abri.

Windows 9x et Me

Là encore, je risque de me faire d'autres ennemis: Vous risquez plus du côté des plantages à répétition que du côté des pirates... Moyennant tout de même quelques précautions.

Ces systèmes d'exploitation n'installent par défaut aucun serveur, donc aucun port d'écoute, si ce n'est bien entendu les ports 137 à 139. Par ailleurs, les outils d'administration distante ne sont pas installés par défaut, ce qui enlève encore un point faible par rapport à leurs grands frères NT, 2000 et XP. Heureusement d'ailleurs, parce que si c'est plus difficile de rentrer dans une machine de ce type, une fois que l'on est dedans, il n'y a plus aucune barrière, puisqu'il n'y a jamais d'authentification de l'utilisateur.

• N'installez pas de logiciels de contrôle à distance (netmeeting par exemple)
• N'installez pas PWS (Personal Web Server), sauf si vous en avez absolument besoin. Dans ce cas, ne le laissez actif que le temps où vous en avez besoin et déconnectez-vous si possible de l'Internet. C'est contraignant, mais PWS est trop dangereux sur ces OS.
• Ne partagez pas de ressources. Si c'est absolument nécessaire, faites-le sur un répertoire et certainement pas sur la racine de votre disque système. De plus, mettez-y un mot de passe "fort" aussi bien pour l'écriture que pour la lecture.
• Là aussi, installez les derniers service packs et patchs de sécurité pris directement chez Microsoft et absolument pas ailleurs.
• Installez absolument un antivirus du commerce, pas n'importe quoi que vous avez téléchargé n'importe où sous prétexte qu'il est gratuit. Au mieux, vous installez un guignol, au pire, c'est un cheval de Troie et maintenez régulièrement sa base de donnée à jour à partir du site officiel du fournisseur. (Ces directives sont d'ailleurs également vraies pour tous les autres systèmes).

En revanche, vous ne pourrez pas grand chose contre les attaques destinées à bloquer votre machine. Dans ce cas, seul un logiciel de surveillance pourra limiter les risques.

Les logiciels de surveillance

Il en existe un grand nombre, plus ou moins efficaces, plus ou moins simples à configurer, plus ou moins gratuits.

Nous n'allons pas parler de tous, mais de deux, gratuits ou pas chers. Je n'entrerai pas dans les détails de ces deux logiciels, ma configuration ne nécessitant pas l'usage de ces outils. Ceux qui voudront préparer à leur sujet des pages d'explications plus détaillées seront les bien venus. Ces deux logiciels sont réputés fonctionner sous WIndows 95, Windows 98, Windows NT et Windows 2000

Zone Alarm.

Zone Alarm est gratuit dans sa version personnelle. Bien qu'en anglais, son principal avantage est qu'il se configure assez simplement. Son inconvénient est également qu'il se configure assez simplement, c'est à dire qu'il n'offre pas de possibilités très fines. Il n'en demeure pas moins un outil sérieux et efficace dans la plupart des cas.

Look 'n Stop

Look 'n Stop est écrit par un français, que vous rencontrerez peut-être sur news://nzn.fr.cable.wanadoo sous le pseudonyme de XunK. C'est également l'auteur du fameux Stat 'n Perf, le compteur de trafic IP indispensable pour les câblés sous Windows. La version Beta est, à l'heure où j'écris ces lignes, gratuite pour un usage personnel. Vous trouverez toutes les informations nécessaires sur son site officiel  A mon sens, cet outil parait plus intéressant dans la mesure où il est finement configurable par l'utilisateur. Le seul inconvénient, mais en est-ce vraiment un en matière de sécurité, est qu'il nécessite de comprendre un peu ce que l'on fait. Il dispose tout de même de règles par défaut déjà établies pour les usages courants.

Conclusions

Je tiens à m'excuser auprès des possesseurs de Mac. (Apple), je n'ai aucune compétence dans ce domaine. Mais des outils analogues doivent exister.

La protection d'une machine connectée à l'Internet sous Windows (comme sous n'importe quel OS d'ailleurs) passe d'abord par des principes de prudence et de sécurité de bon sens, encore faut-il être suffisamment averti des problèmes potentiels et des règles élémentaires d'hygiène en matière de réseaux et j'espère que cet exposé vous aura aidé à y voir un peu plus clair dans ce domaine.

En plus de cela, l'usage d'un outil de surveillance reste tout de même conseillé, mais afin de ne pas sombrer dans la paranoïa, il convient de se renseigner sur les risques, les mécanismes des réseaux pour pouvoir faire le tri dans les alertes, entre celles qui sont réellement dangereuses et celles qui ne le sont pas.

---

---