Bonjour,
merci pour ta reponse.
Oui, c'est vraie que je dois continuer à apprendre. Mais les tutos sont redigés par n'importe qui. J'ai justement parfois des difficultés d'appréciation avec certitude de la compétence de l'auteur du tuto (ce qui explique un peu ma considération de l'article de wikipédia).
Si bien, qu'au final, l'apprentissage par les tutos/forum, etc devient un peu moins rassurant (qualitativement).
En passant, si tu pourrai m'aiguiller vers quelques tutos (ou autre documents) ou formations à distance que tu juge très fiable, ça m'aiderai vraiment.
Envoyé par
BufferBob
...
de quel "cas concret" parles-tu ? si tu fais référence à l'article, il ne traite nulle part de firewalls (le mot n'est même pas cité une seule fois)
...
J'ai compris qu'il s'agissait du firewall (pare-feu) par simple raisonnement logique.
en gros, pour sécuriser une machine, on a besoin :
1/ d'une protection contre les "LOGICIELS" malveillants (présents sur la machine) tels que virus, cheval de trois, etc.
Il faut une application du type : anti-virus/anti-malware, anti-xxx
2/ dune protection contre les "CONNEXIONS/COMMUNICATIONS" malvaillantes entre 2 machine s situées sur un même reseau ou non (selon les régle de filtrage).
IL faut utiliser une application de type pare-feu (firewall), qui selon nos régles filtrera les flux des données entre notre machine et les autres (en réseau local ou à distance, sur internet).
C'est donc bien le firewall et non l'anti-virus (anti-malware, anti-xx) qui est "RESPONSABLE" du filtrage des paquets entrant ou sortant de notre machine (ou de notre reseau local, par rapport à internet).
Et d'après cette règle de iptable (pour contrôler netfilter) :
Autorise le trafic entrant,pour une connexion déjà établie
permet à une connexion déjà ouverte de recevoir du trafic :
iptables -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
source doc.ubuntu-fr.org/iptables
Cette règle est bien claire.
Si une connexion "ENTRANTE" a l'etat "Déja établi", alors Accepte la connexion
Sinon Refuse la connexion.
- Il s'agit bien d'un pare-feu à état (puis qu'il filtre selon l'etat etabli ou non du paquet)
Par simple logique, on comprends très bien qu'avant de réussir à chiffrer les données du pc piraté (par un virus, malware, etc), il faut bien que ce virus "ENTRE" dans notre réseau (ou pc).
Et c'est là que la règle iptable cité précédemment intervient.
Le pirate sait très bien que tant qu'il n'aura pas une connexion avec l’état "ESTABLISHED", toute ces tentative d'injection du virus seront refusées (par le pare-feu).
Voila pourquoi, le pirate incite un utilisateur lambda à cliquer sur un lien, une image, etc contenu dans un mail par exemple.
Une fois cliqué sur ce lien, l'utilisateur vient (sans se rendre compte) d'initier une connexion qui finira par avoir l’état "ESTABLISHED" par le pare-feu.
Les connexions du pirate vers notre machine (ou réseau) seront maintenant Acceptée (Autorisée) par le pare-feu puisqu'il qu'elles auront bien le statut "ESTABLISHED" et respecteront la règle iptable cité la haut.
Or en lisant l'article sur les ronsomwares,
on a :
... les attaquants par cheval de Troie s’en prenaient aux systèmes dès lors que ces derniers pouvaient être
accessibles depuis internet.
Ils auront donc besoins d'ENTRER dans notre reseau. Et ce n'est pas l'anti-virus qui s'occupe des entrée sorties, mais bien un pare-feu.
Un autre aspect qui rend les ransonwares particulièrement redoutables est le fait qu’ils utilisent la méthode de phishing, réussissant à convaincre des utilisateurs pas souvent très avisés de
cliquer sur des liens ou des pièces jointes.
Il suffit de se poser la question : Pourquoi poussent-ils l'utilisateur à cliquer sur un liens ?
La reponse logique c'est : Pour que l'utilisateur puisse initier une connexion avec la machine du pirate. Et cette connexion aura un etat "ESTABLISHED". cequi permettra au pirate d'ENTRER dans notre reseau/pc, en contournant ainsi la reglè du pare-feu cité la haut.
=>> C'est bien le "pare-feu à état" qui est ciblé par le pirate.
Voila pourquoi, même-ci l'article ne mentionne pas le mot "firewall", j'ai conclus qu'il agissait quand même du firewall "à état" qui à été vaincu (contourné).
Bon, je fais très long surement, mais j'aime bien donner assez de détails, pour m'assurer de bien expliquer ma pensée.
Que penses-tu de cette analyse ?
Je précise bien que si ce cas concret (article ronsomware sur developpez.net) n'avait rien à avoir avec le firewall (à état") pourquoi les pirates poussent-ils leurs victimes à cliquer sur un lien ?
Partager