Discussion :

[serenity]

Bonjour,

J'ai 2 questions concernant la sécurité des systèmes, les voici si ça vous intéresse de réfléchir avec moi

Question 1 :

Soit un ver W32/beagle qui se présente sous forme de courrier électronique avec fichier joint .exe compressé et chiffré. Le mot de passe pour le déchiffrer est contenu dans l’email. Si la victime exécute le fichier en utilisant le mot de passe, le ver se propage en choisissant la prochaine victime dans le carnet d’adresses de la victime courante.
Pourquoi le fichier compressé est il chiffré puisque le mot de passe et fourni en clair dans le message lui-même ? Et comment le serveur de messagerie peut il repousser ce genre d’attaque ?


Question 2 :

Supposons un parc informatique comprenant plusieurs stations de travail connectées à Internet via un firewall. Plusieurs utilisateurs signalent que leur machine redémarre de manière intempestive. Selon l’un des utilisateurs ce problème est dû à un ver virulent qui exploite une faille du système d’exploitation. Pour ce propager le ver semble utiliser des connexions TCP et UDP vers d’autres machines aussi bien dans le réseau local que dans l’extérieur du réseau.
Quelles sont les mesures d’urgence à appliquer afin d’enrayer la propagation du ver ?
Quelles sont les mesures à prendre pour restaurer l’intégrité du système ?

J'attends vos propositions de réponses !
Merci

[rberthou]

Question 1 :
- Le fichier est compressé et crypté pour déjouer les Antivirus
- La seule solution consiste pour contrer cela à interdire les pièces jointes exécutable compressés et crypés.

Question 2 :
Mesures a prendre en urgence :
- débrancher le lien internet
- identifier la signature ver
- patcher le firewall ( ajout de règle pour filtrer ce trafic entrant ET sortant)
- rebrancher le lien internet

Pour corriger : (cela dépends du ver mais je dirais )
- identifier la signature ver
- le localiser et le supprimer si c est un "simple" trojan
- restaurer la pile IP si elle a etait infectée

[serenity]

Merci