Bloginfo

Le choix de mise en œuvre d'un système Linux amène légitimement les utilisateurs à rechercher des solutions antivirales . Dans ce registre, voici quelques solutions qui s'exécutent sous Linux. Pour l'heure, il ne s'agit pour l'essentiel que de scanners. Or, pour l'utilisateur lambda, disposer d'intercepteur reste une nécessité... y compris sur Linux. L'installation de ces outils est loin d'être à la portée de tout le monde.

• Avast! Home Edition : nécessite d'être enregistré, trèe complet
• Avira Antivir : démon installé en module ou en noyau, interface graphique en Java (gloups !) et efficacité très basse
• BitDefender, un scanner très rapide et puissant
• F-Prot, non testé pour cause de problèmes de lien sur le site avec Firefox
• Panda, non testé

Pour BitDefender :

• bdscan --update pour une mise à jour très, très longue !
• bdscan votre_dossier_a_scanner : scan récursif du répertoire
• bdscan --suspect-move --quarantine=path

Pour Avast :

• exécutez au moins un fois avast et entrez votre clé communiquée par mail
• avast-update pour la mise à jour
• avastgui : un scanner en mode graphique

Pour Antivir :

• antivir --update pour la mise à jour manuelle toujours aussi longue...
• antivir --allfiles --heur-nomacro votre_dossier_a_scanner : résultat très, très décevant

Autres billets sur les antivirus sur ce blog

• Clamav : l'antivirus libre et gratuit sous Linux
• Les antivirus, vecteurs d'insécurité ?
• Antivirus et protections : mais à quoi ça sert ?
• Tous les billets sur les antivirus dans ce blog

Clamav dont la transposition s'appelle Clamwin sous Windows est un outil de premier rang en matière de sécurité. Pour la mise à jour, vous disposez de freshclam.

Les fichiers de configuration sont stockés dans /etc/clamav. La base de signatures se trouve dans /var/lib/clamav.

clamscan est un scanner qui fonctionne en mode texte. Voici quelques exemples de syntaxe :

• Affiche les fichiers infectés et les déplace : clamscan -i -r votre_dossier_a_scanner --move=/tmp --no-pdf
• Affiche les fichiers infectés et les supprime : clamscan -i -r votre_dossier_a_scanner --remove --no-pdf

En mode graphique, vous disposez à ce jour de trois outils :

• avscan (bof)
• klamav (très, voire trop complet)
• clamtk (sobre et correct)

Les moteurs d'antivirus à base de signature, même s'ils conservent leur légitimité technique, ont perdu la partie face à l'explosion des codes viraux. Leur fonctionnement résident pourrait nous amener à douter de la réalité de la loi de Moore. La "finitude" des sources d'infection virale pose clairement la question du maintien de leur fonctionnement résident.

Pour les vers qui souvent transforment les PC en zombies, l'antivirus reste parfaitement inadapté. Malgré la présence d'antivirus, les PC continuent à être infectés. Les éditeurs l'ont d'ailleurs parfaitement compris au point où ils intègrent désormais un pare-feu à leur offre. Les failles observées sur les solutions de sécurité doivent toutefois vous dissuader de choisir cette solution dont l'effet couche-culottes ne suffira toutefois pas à vous protéger. En la matière, je vous conseillerai plutôt de vous oindre d'eau bénite tous les dimanches matin.

Pour l'essentiel, les infections viennent aujourd'hui de la navigation et de la messagerie. Pour la navigation, rappelons qu'Internet Explorer, du fait de l'utilisation potentielle d'ActiveX et de son imbrication au système d'exploitation, est un produit à ne pas utiliser. Pour autant, l'utilisation de Firefox ne résout pas tout. Dans les options du navigateur, pensez à désactiver Java. Le recours massif aux greffons tels que Flash, Acrobat ne sont pas non plus sans poser de sérieuses questions.

Pour la messagerie, l'antispam couplé à un antivirus demeure un outil de prévention remarquable. La curiosité malsaine des utilisateurs ne garantit pas, à la vitesse où se propagent les nouvelles signatures virales, une degré de fiabilité totale de ses solutions. Leur complexité de mise en œuvre, à moins de disposer d'un service hébergé est loin d'être à la portée de Madame Michu !

Les problèmes de sécurité, pour l'essentiel, relèvent de la pédagogie. Le réductionnisme du discours technique en matière de sécurité appartient au registre de l'invocation. La problématique de la sécurité reste dans le périmètre de l'utilisateur. L'externalisation de la sécurité a pour limite de restreindre le périmètre aux infrastructures de l'entreprise. Les lignes Maginot ne sont hélas que très imaginaires. Parfois, certains informaticiens continuent d'y croire !

Autres éclairages

• Il n'y aura plus d'innovations technologiques sur les antivirus à base de signatures
• Au diable la sécurité nationale, les virus sont plus dangereux!
• Seagate : un virus sur certains disques externes
• Sécurité entreprises : la crainte des logiciels espions
• La technologie n'est pas la seule réponse aux problèmes de sécurité.
• Les PME externalisent de plus en plus leur sécurité
• Les machines zombies prêtes à enterrer Internet
• L’avis de 228 professionnels de la sécurité informatique sur l’adoption des logiciels libres en entreprises
• L'Open Source : un choix en matière de sécurité
• Attention aux salariés de retour de congés qui surfent avant les mises à jour de sécurité
• UE : la sécurité informatique des PME remise en cause
• Comment effacer « vraiment » les données critiques
• Mozilla souhaiterait une conférence sur la sécurité dans l'Open Source
• La virtualisation, vecteur de vulnérabilité
• Les professionnels de la sécurité revoient la notation des vulnérabilités
• Le FBI lance une chasse aux PC zombies
• La menace informatique innove
• Les Français et la sécurité sur Internet
• McAfee vient de publier un rapport sur les menaces informatiques de l'année 2008.

Les hasards d'une vie professionnelle trépidante m'ont amené durant ces deux derniers jours à travailler sur la Rochelle.

Là, j'ai été amené à paramétrer Securitoo, la solution de sécurité payante que propose Orange à ses abonnés.

Première remarque : l'outil est loin d'être simple et l'interface d'une complexité rare, ce qui fait que les utilisateurs, après l'avoir installé, le laissent fonctionner avec les réglages fournis par défaut.

Deuxième remarque : le pare-feu, y compris, en mode personnalisé, ne permet pas d'éditer soi-même une règle afin d'associer une application Tcp/Ip à un logiciel utilisé. En fait, pour être précis, après avoir autorisé une application en mode invite, vous pouvez, par la suite, supprimer ou déplacer un port utilisé au niveau de contrôle d'application de ladite application.

Le pare-feu est loin d'être satisfaisant et, de mon point de vue, est très loin des qualités d'un Kerio, plus simple d'emploi. Par l'intégration qu'il propose, l'outil me semble beaucoup plus perméable en terme de vulnérabilité. Il vaut mieux de mon point de vue choisir différents logiciels prenant en charge pare-feu, antivirus, antispyware et antispam. Avast ou AVG, SpyBot, Kerio, SpamBayes ou SpamPal fournissent de ce point de vue une excellente complémentarité. Avast, AVG et Kerio sont GRATUITS POUR LES PARTICULIERS. SpyBot est en GPL. SpamBayes et SpamPal sont libres d'utilisation.

En bref, ce produit est loin d'être satisfaisant. On peut se rassurer en se disant : c'est mieux que rien !

NB La solution Securitoo ne marche pas sous Linux !

Je ne sais pas si Gabriel Rodrigue est canadien. En tout cas, il semble quelque peu "couillu"... le gars. Voici ce qu'il déclare dans le portail Branchez-vous :

"J'ai particulièrement horreur des antivirus et autres systèmes de protection. Non seulement ils ralentissent nos ordinateurs, mais ils nous empêchent également de profiter pleinement de notre ordinateur; «Voulez-vous vraiment faire ceci? Faire cela?» Mais j'ai installé CA Internet Security Suite 2007 dernièrement... et voilà que mon avis a changé du tout au tout !"

A la fois, il semble avoir fait son coming-out. 'Errare humanum est, sed perseverare diabolicum'.

L'avalanche de failles suivie d'une avalanche de correctifs est quelque chose de parfaitement banal pour qui évolue dans le microcosme informatique. Mais lorsque ces failles se transforment en réalité, les choses sérieuses commencent. Soudainement, l'horizon enchanteur s'assombrit sur les outils utilisés.

Suite à l'introduction d'un internaute qui a eu la gentillesse de ne pas s'essuyer les pieds sur le blog politique que je co-anime, je me suis posé une avalanche de questions qui ont abouti à :

1. renforcer les mots de passe
2. abaisser le niveau de droits des animateurs du blog

Depuis, plus de nouvelles. Je sauvegarde tous les jours craignant le jour où je me ferai sans doute défacer par un dangereux militant de droite, d'extrême-droite ou d'extrême-gauche.

Mais lorsqu'il s'agit d'un hack portant sur un site Internet dont le contenu a été réalisé à plusieurs mains à l'aide de nombreux outils, des doutes persistent. Est-ce que l'un des concepteurs du site ne s'est pas lui même fait hacké sa machine ? Négligence ou défaillance humaine ? A la vérité, je n'en sais rien. Mais nous devrons très vite reconsidérer les CMS que nous avons mis en œuvre ainsi que l'ensemble de la politique de mots de passe. Sans doute, y trouverez-vous là l'expression la plus banale de l'instinct de conservation transposé à l'informatique !

L'erreur est sans doute d'avoir multiplié les CMS utilisés. Sous la charge de travail, la multiplication des outils utilisés nous éloigne de leur compréhension. Faut-il reconsidérer l'emploi d'outils tout autant performants et sophistiqués qu'ils sont faillibles au point où nous en revenions à la conception de nos propres outils ? Le temps perdu autour de ces CMS par l'insécurité qu'ils transportent doit nous interroger. Je n'ai pas forcément la réponse. En tout cas, le choix de l'outil devra se fonder sur la capacité de réactivité et l'activité de ses concepteurs.

Il existe actuellement bon nombre d'antivirus gratuits. Certains sont des détecteurs (scanners) qu'il faut lancer manuellement : ils indiquent les virus et les fichiers infectés. Ils ne disposent d'aucune fonction de nettoyage. Les "nettoyeurs" détectent et permettent d'éradiquer les virus de votre système. Il faut aussi les lancer manuellement. Quant aux intercepteurs, ils sont les plus complets. Il s'exécutent en temps réel, vous avertissent et éradiquent. Toutefois, leurs conditions d'utilisation ne permettent pas de les utiliser en toutes circonstances :

• Antivir : gratuit pour les particuliers / anglais / intercepteur
• Avast! Home Edition : gratuit pour les particuliers / français / intercepteur
• Avast! Virus Cleaner Free Edition : pas de limitation / anglais / nettoyeur
• Avg : gratuit pour les particuliers / anglais / intercepteur
• Avg Cleaner : pas de limitation / anglais / nettoyeur
• BitDefender : pas de limitation / anglais / détecteur
• Clamwin + Winpooch : pas de limitation /anglais / intercepteur (pas toujours très stable en version 5.10)
• Comodo Antivirus : pas de limitation / anglais / intercepteur
• Dr. Web CureIt : pas de limitation / anglais / nettoyeur
• Stinger : pas de limitation / anglais / détecteur
• Trend Sysclean Package : pas de limitation / anglais / nettoyeur

J'éviterai de parler ici des antivirus en ligne qui, en général, emploient des composants ActiveX, un comble pour des outils de sécurité, voire une faute !

Vous pouvez tester la qualité de vos antivirus par Eicar, un faux virus. Vous pouvez télécharger le fichier de signature sur cette page.

Sous Windows, NetStumbler est un excellent outil. Il permet de connaître la nature des réseaux, cryptés et non cryptés, les SSID, les canaux.

AirCrack-Ng, sous Windows et sous Linux, permet de cracker votre clé Wep. Dans le même registre, siganlons également l'excellent Aircrack-ptw ! Le guide pour Newbie vous aidera à utiliser le logiciel.

La sécurité avec un clé Wep reste une illusion totale. J'incite vivement tous les possesseurs de LiveBox à ne pas utiliser le Wifi qui y est intégré tant que Orange ne dotera pas le firmware de dispositif de contrôle d'accès par filtrage Mac. Pour ma part, je dispose d'un point d'accès NetGear qui offre cette fonction. La sécurité a un coût.

Pour rappel, l'extrait de l'alinéa 1er de l'article 462-2 de la loi Godfrain du 5 janvier 1988 :

L'accès indu et le maintien indu dans un système informatique sont incrimines. L'accès non autorise dans le système est donc réprimé, alors même qu'il n'en ait résulte aucun préjudice. Le seul fait d'entrer dans le système sans qu'il y ait lieu à considère le but poursuivi ou les conséquences possibles, est incriminable en temps que tel. Le maintien non autorise dans un système, même de manière parfaitement inoffensive est incriminable. La personne poursuivie doit avoir pénétré le système ou s'être maintenu dans celui-ci sans y avoir droit. Non respect des conditions d'accès au système ou de maintien dans celui-ci.

Un très bon tuto sur le produit est disponible sur Tuto-fr.

Dans un autre registre, citons Kismet, un excellent Sniffer Wifi. L'objectif de ce produit est de connaître les assaillants potentiels.

Sunbelt fait évoluer l'un des tous meilleurs pare-feux qui soient sur le marché sous Windows. Il est désormais compatible avec Windows Vista.

Il est libre d'utilisation. Certaines de ses fonctionnalités qui n'ont rien à voir avec les fonctionnalités de pare-feux seront désactivés au bout de 30 jours. Pour ma part, elles sont désactivées dès la première minute qui suit le reboot de Windows.

-> Lien de téléchargement

A la suite d'un commentaire, j'ai tenu à essayer Ashampoo Firewall Free Edition. Bof !

A moins d'une erreur de ma part, je n'ai pas vu la moindre possibilité de déterminer le protocole - ICMP, UDP, TCP - sur lequel porte la règle de filtrage, y compris en activant le mode expert. Tout juste le numéro du port ! Le logiciel présente des règles internes dont on ne peut pas éditer le contenu. Que font-elles ? Dns et Dhcp pour sûr. Pour le reste, c'est le mystère le plus complet !

Seul intérêt du logiciel : des règles de filtrage par exécutable. Très au dessous de Kerio ou de feu Sygate Personal Firewall. Pour être bref, je ne vous recommande pas la version gratuite. Je ne connais pas la version Pro. Toujours est-il que je ne vois pas le gain commercial à permettre une utilisation -y compris gratuite - d'un produit aussi limité.

Deux petits tutos pour vous expliquer que le Wi-fi en terme de sécurité... c'est pas vraiment ça ! Vous en doutiez ?

• un tuto pour cracker vos clés Wpa-Psk
• un Pdf pour récupérer une clé Wep en 60 secondes

Fait froid d'un seul coup.

En cette fin d'année, sortez couverts sur Internet et pensez à votre sécurité. J'ai déjà eu l'occasion dans un post précédent de définir ce qu'est un rootkit. Je n'y reviendrai donc pas.

Dans cette catégorie, l'offre de gratuits s'étoffe :

• RootKitRevealer de Bryce Cogswell et Mark Russinovich
• BitDefender RootKit Uncover, toujours en version beta
• BlackLight de la société F-Secure
• Sophos Anti-RootKit
• Trend RootKit Buster
• RootKit Hook Analyzer de Resplendence Software
• RootKit Unhooker
• Avg AntiRootKit

Les spyware..., ces logiciels espions légaux qui doivent leur existence au souci illégitime des éditeurs de profiler les utilisateurs sont la lie de la terre informatique. Je vous propose, ce soir, quelques outils gratuits, bien sûr, pour éradiquer cette vermine, produit de la marchandisation globale !

Pour les spyware fournis par Microsoft (IE, MediaPlayer, Office, services, ...)

Je vous recommande chaudement deux logiciels, certes un peu complexes à utiliser : Xp-Antispy et Xpy. Ces outils vous évitent tous les réglages que vous feriez habituellement directement dans le registre. Un gain de temps tout à fait considérable ! Ces deux produits s'inscrivent dans une logique beaucoup plus large que celle du seul antispy. On est déjà dans le tuning.

Pour les autres, DivX and Co

SpyBot - Search and Destroy est un des meilleurs produits en la matière. Ad-Aware est gratuit pour les particuliers et pas pour les entreprises. Et puis, mention spéciale au petit dernier : AVG AntiSpyware gratuit pour les particuliers, écoles et associations charitatives.

Outils testés

• Arovax Antispyware

Autres outils non testés

• Bazooka, simplet
• hijackthis, un peu différent d'un simple antispyware
• Perfect Process, détecteur de spy réseau
• RegFreeze, qui contrôle votre registre
• SpywareBlaster et SpywareGuard
• StartupList, qui produit une liste des périphériques et des services chargés au lancement de votre système
• SuperAntispyware, pas trop mal et gratuit pour un usage personnel
• WinPatrol aux conditions d'utilisation très imprécises
• CounterSpy, gratuit durant 15 jours (merci Francis)
• Windows Defender (exige d'être autehntifié et enregistré)

Le site AV-Comparatives nous affuble de façon trimestrielle d'un comparatif sur le niveau de fiabilité des solutions anti-virales. De la dernière étude datant de février 2007, il ressort que Microsoft OnCare est la plus mauvaise des solutions testées. C'est vrai qu'avec Vista et Office 2007, on s'était habitué à tant de qualité !

Le parti de l'ordre qui milite pour une vision ultra-sécuritaire de la société viendrait de se faire chiper la liste de ses promesses de parainage. Ca la fout mal !

Le FN aurait porté plainte le 1er mars auprès du tribunal de Nanterre pour intrusion dans son système informatique. Parallèlement à l'enquête de police judiciaire, le FN cherche à connaître l'existence éventuelle de complicités internes.

Quand je le dis à mes stagiaires que les problèmes de sécurité viennent de l'intérieur...

Source : 01 Informatique, Le Monde, Jdnet

L'installation d'un produit Norton édité par la société Symantec est une partie de plaisir à côté de sa désinstallation. Au point d'ailleurs où Symantec met désormais à votre disposition une solution qui vous permettra de désinstaller complètement ses solutions.

Au passage, c'est l'occasion pour remplacer votre Norton AntiVirus par des solutions antivirales gratuites pour les particuliers efficaces telles que Avast et AVG.

Pour les spécialistes de la sécurité qui parcourt de temps à autre ce site, je vous conseille d'aller visiter le site CipherDyne. Il regorge d'outils spécialisés pour la sécurité informatique de vos réseaux :

• Port Scan Attack Detector : il analyse les logs de IpTables
• FireWall KNock OPerator : il combine Ssh et la technique de knocking (toc toc toc) pour gérer les accès à la machine
• FwSnort : il utilise les règles Snort pour gérer les accès à la machine

NST n'a aucune filiation avec MST et NTM. C'est une distribution à base d'une Fedora Core 5 téléchargeable et utilisable sous forme d'un LiveCd au format Iso.

Elle comprend de nombreux outils dont wireshark, nessus, snort, nmap, ntop, kismet, ...

Les meilleurs antivirus 2006 selon les auteurs des comparatifs sont :

• Gdata Avk
• Nod32
• TrustPort

Ce matin, à la lecture de mon fil Zataz, je lis : "No Msn... Une préfecture interdit Microsoft Messenger". Evidemment, je pense à une préfecture française. Le ou les éditeurs du site sont coutumiers des titres un peu racolleurs. Ca fait du buzz. Et puis, autre gros défaut, alors que la News évoque Ratiatum, vous pourrez constater qu'aucun lien vers la source n'est présent sur le billet.

Sans doute ai-je l'esprit mal tourné, allez-vous me dire ?