Sommaire

Cet article fait partie d'une série de 5 articles sur la sécurité informatique.

Épisode précédent : Les menaces sur Internet

Dernière mise à jour : 25/11/2007.

Configurer sa machine

Il n'y a pas de secrets, les points d'entrée sont d'autant plus nombreux que votre machine propose des services réseau à des tiers. La règle, évidemment, c'est d'éteindre tous les services dont on ne se sert pas :

  • partage de répertoires et d'imprimantes
  • outils de partage de fichiers (emule, bittorrent, etc.)
  • accès distants (remote desktop, VNC, VPN, telnet, ssh, etc.)
  • serveur web ou ftp
  • serveur de courrier électronique ou de messagerie instantanée
  • serveur de temps NTP
  • etc.

Bien sûr à la maison on n'est habituellement pas concerné par tous ces services réseau, il est néanmoins fréquent que le système active quelques uns de ces services spontanément après l'installation. Sous Linux on a vite fait l'état des lieux des services ouverts avec la commande nmap. Sous Windows®, on peut se faire scanner sa connexion réseau sur des pages web spécialisées (par exemple chez Security Scan - Sygate Online Services) ou télécharger l'utilitaire Portsentry. On découvrira peut-être quelques serveurs installés par des logiciels malveillants ?

L'autre point très important est qu'il ne faut jamais travailler dans une session d'administrateur. C'est la règle de base de tout administrateur système. Et il faut l'appliquer à la maison car sinon, si un logiciel malveillant entrait dans votre session, il aurait les droits d'administrateur sur la machine et pourrait installer ou modifier tout ce qu'il veut... Malheureusement dans les Windows® non professionnels (95, 98, Me, XP Home), la notion d'administrateur est floue ou absente (car tout utilisateur est administrateur !). Au contraire sur certains Linux comme Debian et Ubuntu, il n'est même pas possible d'ouvrir une session en tant qu'administrateur[1]...

Fiabilité des logiciels

Le constat, aussi déplaisant soit-il pour certains, est le suivant :

  • plus un logiciel est utilisé, plus il est attaqué[2]
  • plus un logiciel comporte de fonctionnalités, plus il est complexe, alors plus il est susceptible de comporter des failles de sécurité[3]
  • ne pas divulguer le code source[4] d'une application n'empêche aucunement son détournement par des personnes mal-intentionnées
  • les logiciels de type freeware et shareware[5] sont connus pour véhiculer fréquemment des logiciels malveillants[6]
  • c'est aussi le cas des logiciels craqués[7] et des logiciels servant à pirater des supports artistiques (CD, DVD)
  • certains logiciels propriétaires[8] renommés véhiculent des logiciels espions souvent en toute légalité[9]
  • bien souvent, pour des raisons de marketing, les logiciels commerciaux sortent à un stade de maturité insuffisant : ils comportent de nombreux bogues qui peuvent constituer des failles de sécurité

Les conséquences sont extrêmement simples concernant le choix des logiciels à utiliser :

  • utiliser des logiciels plus simples plutôt qu'un logiciel très fourni dont moins de 10% des fonctionnalités sont réellement utiles
  • éviter les logiciels Microsoft qui sont de loin les plus diffusés et d'une qualité discutable sur le plan des failles et des bogues
  • bannir les logiciels piratés
  • bannir les logiciels de type freeware et shareware
  • préférer les logiciels libres[10] chaque fois que c'est possible

Les logiciels libres réputés, qui font partie de distributions Linux majeures et que l'on peut donc utiliser et installer comme on veut, sont en effet examinés par des personnes compétentes en la matière. La raison est que de nombreuses administrations nationales se tournent vers le logiciel libre arguant, entre autres, d'une sécurité accrue et de la transparence du code, l'objectif étant de garantir la souveraineté nationale et la confidentialité des données.

En corollaire, il faut régulièrement s'assurer que le système, les pilotes[11] pour le matériel et les applications installées sont à jour. Ceci est une opération relativement simple sous Linux puisque les pilotes et les applications installées sont généralement intégralement gérés par le système. En revanche sous Windows®, le système ne vous proposera que les mises à jour de lui-même, il faudra vous débrouiller pour les applications et les pilotes.

Rappelons aussi que, côté Microsoft, seul Windows® XP et Vista bénéficient encore de toutes les mises à jour, le support pour Windows® 2000 est passé au strict minimum, et celui pour les autres versions est arrêté ! Si vous avez une vieille machine, seul un Linux vous permettra d'être à jour sans écrouler la machine et sans ou avec peu de frais de mise à jour.

Enfin pour se faire une idée de la vulnérabilité d'un logiciel, on peut consulter le site secunia.com. On y apprendra avec stupeur que 20% des failles de Windows® XP ne sont pas corrigées mi 2006. Cela dit vulnérable n'est pas synonyme d'attaqué, il faut donc prendre ce type d'information avec des pincettes.

Quelles applications utiliser ?

Nous proposons ici des applications de remplacement pour les outils principaux d'une machine à la maison. Il s'agit évidemment de logiciels libres réputés donc au-dessus de tout soupçon. Si vous ne trouvez pas votre bonheur dans cette (toute) petite liste, vous pouvez aller fouiner sur Framasoft.

Navigateur Internet

C'est certainement l'application qui est le plus longtemps en contact avec Internet. Rohit Dhamankar, manager de la recherche sur la sécurité à TippingPoint, une division de 3Com[12], le dit lui-même : « Je pense qu'il est presque l'heure de renommer Internet Explorer en Internet Exploiter »[13]. Il faut donc abandonner Internet Explorer le plus vite possible au profit d'un navigateur plus sûr et gratuit comme Firefox ou Opéra. Une étude datant de mai 2007[14] montre que des pages web d'apparence inoffensive mais contenant des codes malveillants affectent Internet Explorer mais ni Firefox ni Opera.

Courrier électronique

Abandonner aussi Outlook qui a un passif chargé en matière de (non-)sécurité : très sensible aux virus et favorise la réception de spam par des méthodes de validation implicite de l'adresse du destinataire[15]. On peut avantageusement utiliser Thunderbird.

Classiquement les virus récupèrent le carnet d'adresse du logiciel Outlook afin d'alimenter les bases de destinataires de courrier indésirable (spam). Si vous ne voulez pas de spam, ne laissez pas votre adresse sur Internet et sécurisez les machines de vos correspondants ! Attention le spam est utilisé à des fins publicitaires mais aussi pour transmettre des virus via des leurres ou du phishing...

Messagerie instantanée

Le client de messagerie instantanée MSN est aussi la cible de virus et autres, on peut donc le remplacer par Gaim qui est multi-protocole (MSN, Yahoo, IRC, Jabber, etc.) et bien sûr un logiciel libre réputé.

Lecteur multimédia

Le lecteur de Microsoft peut être remplacé par un logiciel libre comme VLC ou MPlayer. On évitera ainsi l'exécution de code malveillant au sein du lecteur multimédia[16] ! Ou encore que l'on décide pour nous avec les DRM[17] de ce qui est bon et ce qui n'est pas bon à écouter ou visionner sur tel appareil...(lire Devinez qui vient fouiller chez vous ce soir). En plus, ces logiciels reconnaissent d'emblée un plus grand nombre de formats, notamment ceux de Apple Quicktime ou i-Tunes.

Suite bureautique

On ne compte plus les fichiers au format Microsoft Office qui comportent des logiciels malveillants... Là encore, plutôt que de dépenser 400 € pour une série de logiciels dont on n'utilise que 5% des fonctionnalités à la maison, on a intérêt à opter pour la suite OpenOffice ou même des applications légères comme Abiword (traitement de textes) et Gnumeric (tableur). On perd éventuellement en compatibilité avec MS Office, mais on gagne sur de nombreux autres tableaux. Bien sûr, si vous ne rédigez que des lettres et que vous n'utilisez un tableur que pour faire vos comptes, contentez-vous de AbiWord et de Gnumeric - Bureautique - Logiciels Libres - Framasoft qui lisent moins bien les fichiers Microsoft mais rendent d'aussi bon services.

Visionneuse PDF

On utilise souvent Adobe Acrobat Reader qui est gratuit. Cependant ce logiciel, comme de nombreux logiciels commerciaux, fait preuve d'un embonpoint de plus en plus injustifié au fil des ans. Or plus on ajoute de fonctionnalités, plus il y a risque de failles, surtout quand, comme dans son cas, on devient capable d'aller sur Internet. Il est donc plus sage d'opter pour un utilitaire nettement plus léger : Sumatra PDF

Gestion d'archives compressées

Winzip étant maintenant ciblé par les attaques de machines à travers le navigateur web (cf. Pages web malveillantes : Firefox bas Internet Explorer par KO...), il vaut mieux à nouveau utiliser plus simple et plus performant : 7-Zip.

Windows®

Gardons le meilleur pour la fin... Éh oui on peut remplacer Windows®, par Linux ou Mac OS X par exemple. Et ceux qui n'utilisent plus Windows® n'en voient vraiment plus l'intérêt ! Il faut savoir que les seuls Windows® qui résistent un minimum sur Internet sont XP SP2, 2003 et Vista, toutes les versions précédentes ne tiennent pas plus de 20 minutes sur l'ADSL, sans même télécharger quoi que ce soit. Alors ?

Attester de son identité

Puisque certains détournent les adresses email ou les comptes utilisateur récupérés par des logiciels espions afin d'usurper l'identité des gens[18], il est intéressant d'être en mesure d'attester de son identité pour transférer des emails ou des fichiers par tout autre mode. Envoyer un mail sous un faux nom est en effet enfantin.

On peut signer numériquement son courrier avec par exemple Enigmail sous Mozilla Thunderbird, extension exploitant le logiciel libre de cryptographie GnuPG. Concrètement, un code est ajouté au email à l'envoi grâce à une clef. A la réception, une clef complémentaire atteste de l'authenticité du message. Personnellement je signe maintenant tous mes courriers privés pour faciliter la détection d'une usurpation de mon identité. La simple absence du code de la signature numérique est mauvais signe.

Par ailleurs, le courrier sensible peut être crypté afin qu'une éventuelle interception de son contenu lors de son transit sur Internet ne révèle pas d'informations personnelles : nom d'utilisateur, mot de passe, adresse, numéro de téléphone, code d'accès, etc. Enfin les fichiers peuvent être cryptés avant de passer sur un support amovible ou pour stockage à l'aide de GnuPG.

La suite

Notes

[1] parce que les outils de configuration système demandent le mot de passe administrateur à l'utilisateur normal

[2] comme en témoigne une récente étude du SANS Institute, relayée dans l'article Le marché aux pirates fonctionne à plein régime

[3] défaut d'un logiciel qui peut être exploité à des fins d'intrusion dans un système

[4] code source : suite d'instructions écrites dans un langage informatique qui dictent à l'ordinateur comment réagir aux actions de l'utilisateur : ouvrir un fichier, afficher une page, etc.

[5] logiciels pouvant être gratuits et dont le code source est tenu secret par leurs auteurs

[6] c'est un moyen répandu de rémunération de leurs auteurs car les logiciels espions constituent une source d'information sans équivalent qui se monnaie très cher

[7] dont une partie a été modifiée pour en ôter la protection contre la copie

[8] édités par des sociétés qui ne veulent pas divulguer le code source du logiciel

[9] ils se déchargent par l'inclusion d'un petit texte d'information dans le contrat de licence kilométrique que personne ne lit

[10] logiciels dont le code source est librement disponible, ce qui permet à des experts indépendants de garantir l'absence de logiciel malveillant en leur sein

[11] voir le billet Et maintenant les pilotes du matériel...

[12] société spécialisée dans le matériel réseau

[13] en anglais, exploit désigne le fait d'exploiter une faille de sécurité d'un logiciel

[14] voir le billet Pages web malveillantes : Firefox bas Internet Explorer par KO...

[15] afficher une image dans un spam suffit à valider votre adresse !

[16] Media Files that Spread Spyware

[17] voir le billet Les DRM non merci ! sur ce blog

[18] c'est comme ça qu'on reçoit un email d'un de ses amis contenant un virus