IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Symantec pense avoir repéré un nouveau Stuxnet

  1. #1
    Expert éminent sénior

    Inscrit en
    Juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : Juillet 2009
    Messages : 3 407
    Points : 149 059
    Points
    149 059
    Par défaut Symantec pense avoir repéré un nouveau Stuxnet
    Duqu : la France et la Suisse contaminées
    Le ver exploite une vulnérabilité Zero-day et les protocoles peer-to-peer d'après Symantec

    Mise à jour du 3 novembre 2011 par Idelways


    Le ver extrêmement sophistiqué Duqu gagne du terrain et touche à présent (au moins) huit pays, dont la France et la Suisse.

    C'est ce qui vient d'affirmer le spécialiste des solutions de sécurité Symantec, qui en sait désormais plus sur les voies empruntées par le Trojan pour se répandre et s'installer, sans pour autant arriver à cerner toute l'ampleur de la menace.

    Des fichiers Word infectés, conçus par les cybercriminels, exploitent une faille Zero-day du noyau de Windows qui permet l'exécution du code et l'installation des binaires de Duqu. Symantec ne liste pas les versions de Windows concernées, mais précise que Microsoft travaille diligemment pour sortir un correctif et un bulletin de sécurité.

    Mais ce n'est d'après Symantec que l'une des nombreuses formes d'attaques utilisées pour infecter les ordinateurs.

    D'autres découvertes ont conduit à la fermeture d'un nouveau centre de contrôle et de commande localisé en Belgique. Les attaquants seraient par ailleurs « capables de répandre Duqu dans les ordinateurs des zones non sécurisées et les contrôler à travers un protocole de contrôle et de commande en peer-to-peer », affirme Symantec.

    Il convient de préciser que le mérite d'une grande partie de ces avancées de recherche revient à la collaboration de Symantec avec CrySyS Labs, la petite firme de sécurité qui a découvert Duqu (lire ci-devant) et a préféré confier sa divulgation à Symantec par peur de représailles.

    Les deux entreprises ne proposent pour le moment aucune parade pour éviter la contamination de son ordinateur.


    Flux de l'infection par Duqu

    Source : Symantec





    Duqu mute et frappe en Iran et au Soudan
    Kaspersky Lab décortique le ver, mais ses liens avec Stuxnet restent incertains

    Mise à jour du 27 octobre 2011 par Idelways


    Duqu, le trojan extrêmement sophistiqué découvert la semaine passée, livre ses premiers secrets.

    Plusieurs souches différents ont frappé le Soudan, puis l'Iran, cible principale de son prédécesseur supposé Stuxnet. Mais le lien entre les concepteurs des deux menaces reste incertain, bien que les vers partagent des fonctionnalités, et vraisemblablement du code.

    Cette fois c'est Kaspersky Lab qui a identifié ces infections et décrit Duqu comme « un framework multifonctionnel capable de fonctionner avec tout nombre de tous modules. Duqu est hautement personnalisable et universel », affirme l'expert Alexander Gostev.

    La structure du Trojan est répartie en plusieurs modules.
    Le premier embarque trois composants : un noyau « Driver » qui injecte une librairie aux processus du système. Cette même DLL gère à la fois les opérations systèmes (écritures dans le registre, exécution de fichiers...) et la communication avec les serveurs de contrôle et de commande. On y retrouve aussi un fichier de configuration .PNF.

    Le second module est celui de la frappe. Il se spécialise dans le détournement d'informations confidentielles, et l'ouverture de brèches pour la prise de contrôle à distance.

    Le module original contenait un Keylogger qu'aucune trace ne permet de retrouver sur ces différentes attaques, affirme Kaspersky. Il a donc soit été soigneusement chiffré ou changé, Duqu affiche en tout cas ses capacités de changer de serveur de contrôle et d'installer à tout moment de nouveaux composants.

    Il montre ainsi de grandes aptitudes de mutation et d'auto mise à jour. Sur les quatre découverts en Iran, un incident met en jeux deux ordinateurs du même réseau, contenant deux drivers différents.



    Le moyen qui permet à Duqu d'infiltrer les systèmes reste inconnu, mais l'audit des différents réseaux cibles devrait permettre d'en savoir plus.

    Les similitudes techniques et stratégiques entre Stuxnet et Duqu restent tout de même assez limitées. Ils ne partagent qu'un seul composant, le driver qui permet de décrypter et charger des fichiers chiffrés pour infecter les ordinateurs. Un module qui agit comme un « moteur d'injection ».

    Les deux noyaux exploitent des techniques de dissimulation similaire, mais ce n'est pas suffisant pour prouver qu'ils sont liés, estiment les chercheurs. Du reste, la nouvelle menace ne cible pour le moment aucune structure stratégique, comme des centrales nucléaires...


    Source : Kaspersky Lab, premier rapport de Kaspersky Lab

    Et vous ?

    Que pensez-vous de ces détails ?
    Les deux Trojans sont-ils d'après vous liés ?
    Qui serait derrière cette nouvelle menace ?



    Symantec pense avoir repéré un nouveau Stuxnet
    Le code malicieux particulièrement sophistiqué pourrait avoir été développé par une agence de renseignement


    Les concepteurs de Stuxnet, le ver extrêmement complexe à l'origine toujours aussi mystérieuse qui avait infecté les installations nucléaires iraniennes, auraient repris du service.

    C'est ce qu'affirme Symantec, repris par le New-York Times. Baptisé Duqu par les chercheurs de l'éditeur de produits de sécurité, le nouveau malware aurait pour unique objectif de voler des documents qui permettraient ensuite d'infiltrer des infrastructures très ciblées, comme celles produisant des outils de contrôles industriels.

    Duqu utilise un certificat d'authenticité volé, émis à l'origine par une société Taïwanaise. Il exploite également toute une gamme de vulnérabilités. Et une fois installé, le malware sévit pendant exactement 36 jours, avant de se désinstaller automatiquement.

    Cette description fait effectivement beaucoup penser à son prédécesseur. Pour Symantec, ses développeurs ont d'ailleurs obligatoirement dû avoir accès au code source de Stuxnet.

    Les laboratoires de Symantec ne sont pas à l'origine de la découverte de Duqu. Le malware a été repéré par une organisation qui l'a ensuite porté à la connaissance de l'éditeur pour qu'il puisse l'analyser dans le détail. Symantec refuse d'indiquer sa source pour la protéger, mais qualifie Duqu de particulièrement sophistiqué. Un adjectif déjà appliqué à Stuxnet.

    Pour le porte-parole de Symantec, une telle complexité dans un code malicieux laisse penser que seul une « agence nationale » (comprendre « de renseignements ») aurait suffisamment de ressources pour le créer. Il n'a cependant aucun élément concret pour prouver formellement son hypothèse.

    Depuis la publication du billet technique ce mardi, Symantec aurait déjà repéré plusieurs variantes de Duqu. Le malware, pour sa part, n'aurait « à ce jour été repéré que dans une poignée d'organisations », a priori européennes selon le New York Times.


    Source : New York Times, Symantec

  2. #2
    Membre actif
    Profil pro
    Inscrit en
    Octobre 2007
    Messages
    178
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Octobre 2007
    Messages : 178
    Points : 252
    Points
    252
    Par défaut
    un ver duqu... ils ont essayé le vermifuge ?

  3. #3
    Membre éprouvé
    Profil pro
    Inscrit en
    Décembre 2004
    Messages
    585
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2004
    Messages : 585
    Points : 1 138
    Points
    1 138
    Par défaut
    Ce n'est pas parce que c'est sophistiqué que ça vient d'une agence de renseignement. Ca peut très bien venir d'une entreprise, d'un groupe de pirates, etc. La sophistication, ça veut simplement dire qu'on a pris sont temps pour le faire mais surtout, qu'on n'a pas utilisé un ver "tout prêt" de l'internet, et ça, ça surprend, en ces temps de facilité...
    L'avis publié ci-dessus est mien et ne reflète pas obligatoirement celui de mon entreprise.

  4. #4
    Membre émérite
    Avatar de ymoreau
    Homme Profil pro
    Ingénieur étude et développement
    Inscrit en
    Septembre 2005
    Messages
    1 154
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Ingénieur étude et développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2005
    Messages : 1 154
    Points : 2 834
    Points
    2 834
    Par défaut
    Ce qui est sophistiqué demande du temps et des moyens, et bien entendu des personnes compétentes (donc de l'argent ou une très forte motivation). C'est en ce sens je pense qu'ils ont parlé d'agence de renseignement, mais effectivement il ne faut pas négliger les entreprises qui sont maintenant plus riches que les états pour certaines.

  5. #5
    Expert éminent sénior
    Avatar de rawsrc
    Homme Profil pro
    Dev indep
    Inscrit en
    Mars 2004
    Messages
    6 142
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Dev indep

    Informations forums :
    Inscription : Mars 2004
    Messages : 6 142
    Points : 16 545
    Points
    16 545
    Billets dans le blog
    12
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Baptisé Duqu par les chercheurs de l'éditeur
    On dirait que Bigard a retrouvé du travail

  6. #6
    Membre éclairé
    Profil pro
    maçon
    Inscrit en
    Novembre 2004
    Messages
    263
    Détails du profil
    Informations personnelles :
    Localisation : France, Haute Loire (Auvergne)

    Informations professionnelles :
    Activité : maçon

    Informations forums :
    Inscription : Novembre 2004
    Messages : 263
    Points : 674
    Points
    674
    Par défaut
    Ca pue ce genre de virus ?
    Voila je sors désolé
    Pourvu que ça ne contamine pas l'informatique chez Gaz de France
    Bon cette fois je me casse vraiment désolé

  7. #7
    Membre chevronné
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Juillet 2007
    Messages
    884
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Juillet 2007
    Messages : 884
    Points : 2 018
    Points
    2 018
    Par défaut
    Et puis il y a aussi autre chose... Ce qui nécessite beaucoup de ressource, qui coûte cher, peut se faire
    - soit par un grand groupe amateurs. C'est le cas des projets open-source et de certains malware. Dans ce cas là, le code source circule. Ce cas est donc à exclure. La diffusion est trop large pour être secrète.
    - soit par une grosse organisation à but lucratifs. C'est le cas des OS Microsoft, Apple et d'organisations mafieuse. Mais il doit y avoir un retour sur investissement important ce qui est loin d'être le cas. Ce vers est trop spécifique.
    - soit par une organisation idéologique ou étatique avec de gros moyen. C'est le cas des agence de renseignements de pays et de l'organisation Al Quaïda. Il n'y a qu'a regarder qui est la victime cible pour discerner. Si la victime est occidental, on cherchera côté oriental (AlQuaïda éventulement) et vice versa. Si la victime est universel, on cherchera plutôt du côté Al Quaïda...

    Evidemment comme pour Stuxnet on aurra difficilement une réponse sûr. Pour Stuxnet le coupable idéal était Israël (à cause principalement de référence Biblique) à moins que l'on est voulu brouillé les pistes...
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

  8. #8
    Membre chevronné

    Homme Profil pro
    Mentaliste
    Inscrit en
    Mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 872
    Points : 1 813
    Points
    1 813
    Par défaut
    Genre "tu veux récupérer des films X" => Tiens en voilà Duqu !
    .I..

  9. #9
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 548
    Points
    68 548
    Par défaut
    Duqu mute et frappe en Iran et au Soudan
    Kaspersky Lab décortique le ver, mais ses liens avec Stuxnet restent incertains

    Mise à jour du 27 octobre 2011 par Idelways


    Duqu, le trojan extrêmement sophistiqué découvert la semaine passée, livre ses premiers secrets.

    Plusieurs souches différents ont frappé le Soudan, puis l'Iran, cible principale de son prédécesseur supposé Stuxnet. Mais le lien entre les concepteurs des deux menaces reste incertain, bien que les vers partagent des fonctionnalités, et vraisemblablement du code.

    Cette fois c'est Kaspersky Lab qui a identifié ces infections et décrit Duqu comme « un framework multifonctionnel capable de fonctionner avec tout nombre de tous modules. Duqu est hautement personnalisable et universel », affirme l'expert Alexander Gostev.

    La structure du Trojan est répartie en plusieurs modules.
    Le premier embarque trois composants : un noyau « Driver » qui injecte une librairie aux processus du système. Cette même DLL gère à la fois les opérations systèmes (écritures dans le registre, exécution de fichiers...) et de la communication avec les serveurs de contrôle et de commande. On y retrouve aussi un fichier de configuration.

    Le second module est celui de la frappe. Il se spécialise dans le détournement d'informations confidentielles, et l'ouverture de brèches pour la prise de contrôle à distance.



    Le module original contenait un Keylogger qu'aucune trace ne permet de retrouver sur ces différentes attaques, affirme Kaspersky. Il a donc soit été soigneusement chiffré ou changé, Duqu affiche en tout cas ses capacités de changer de serveur de contrôle et d'installer à tout moment de nouveaux composants.

    Il montre ainsi de grandes aptitudes de mutation et d'auto mise à jour. Sur les quatre découverts en Iran, un incident met en jeux deux ordinateurs du même réseau, contenant deux drivers différents.



    Le moyen qui permet à Duqu d'infiltrer les réseaux reste inconnu, mais l'audit des différents réseaux cibles devrait permettre d'en savoir plus.

    Les similitudes techniques et stratégiques entre Stuxnet et Duqu restent tout de même assez limitées. Ils ne partagent qu'un seul composant, le driver qui permet de décrypter et charger des fichiers chiffrés pour infecter les ordinateurs. Un module qui agit comme un « moteur d'injection ».

    Les deux noyaux exploitent des techniques de dissimulation similaire, mais ce n'est pas suffisant pour prouver qu'ils sont liés, d'après les chercheurs. Du reste, la nouvelle menace ne cible pour le moment aucune structure stratégique, comme des centrales nucléaires.


    Source : Kaspersky Lab, premier rapport de Kaspersky Lab

    Et vous ?

    Que pensez-vous de ces détails ?
    Les deux Trojans sont-ils d'après vous liés ?
    Qui serait derrière cette nouvelle menace ?

  10. #10
    Membre habitué
    Avatar de baxou087
    Profil pro
    Développeur COBOL
    Inscrit en
    Mai 2010
    Messages
    49
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Développeur COBOL

    Informations forums :
    Inscription : Mai 2010
    Messages : 49
    Points : 128
    Points
    128
    Par défaut
    Citation Envoyé par abriotde Voir le message
    - soit par un grand groupe amateurs. C'est le cas des projets open-source et de certains malware. Dans ce cas là, le code source circule. Ce cas est donc à exclure. La diffusion est trop large pour être secrète.
    Je ne suis pas d'accord, il est possible de cacher des secrets en les exposant à la vue de tous. D'ailleurs ceux-là sont particulièrement difficiles à trouver.

    Citation Envoyé par abriotde Voir le message
    - soit par une grosse organisation à but lucratifs. C'est le cas des OS Microsoft, Apple et d'organisations mafieuse. Mais il doit y avoir un retour sur investissement important ce qui est loin d'être le cas. Ce vers est trop spécifique.
    Qu'est-ce qui te dit que le "retour sur investissement" n'est pas important? Si ce ver est aussi spécifique, ne penses-tu pas que c'est justement parce qu'il doit rechercher quelque chose qui a beaucoup de valeur pour les créateurs/investisseurs?

    Citation Envoyé par abriotde Voir le message
    - soit par une organisation idéologique ou étatique avec de gros moyen. C'est le cas des agence de renseignements de pays et de l'organisation Al Quaïda. Il n'y a qu'a regarder qui est la victime cible pour discerner. Si la victime est occidental, on cherchera côté oriental (AlQuaïda éventulement) et vice versa. Si la victime est universel, on cherchera plutôt du côté Al Quaïda...
    Point Godwin!?
    A force de trop vouloir avancer on en oublie d'être idiot

    Ne m'en veuillez pas pour les fautes d'accentuation, mais Qwerty oblige et j'aime Qwerty


    La douleur de la colere ne se situe pas dans la peur, mais plutot dans ce qu'on ne peut accepter.

  11. #11
    Membre du Club
    Homme Profil pro
    Directeur technique
    Inscrit en
    Février 2010
    Messages
    65
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Indre et Loire (Centre)

    Informations professionnelles :
    Activité : Directeur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Février 2010
    Messages : 65
    Points : 51
    Points
    51
    Par défaut duqu duqu duqu
    Les auteurs de ce vers, si tant est qu'il soit aussi balaise que vendu par les spécialistes, sont forcément très proches de Microsoft.

    Dans le virus comme dans le reste du logiciel, la connivence avec Microsoft qui fabrique les chausses trappes et à la documentation laconique, incomplète ou fausse est une aide précieuse

    Pour mémoire rappelons nous du rootkit présent sur les CDAUDIO de SONY, il fallait être initié par Microsoft pour concevoir un tel prodige (débusqué par osronline à l'époque).

    Microsoft n'assume pas la responsabilité de concevoir des OS munis de nombreuses failles, intentionnalité ou incompétence, peu importe.

  12. #12
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 548
    Points
    68 548
    Par défaut
    Duqu : la France et la Suisse contaminées
    Le ver exploite une vulnérabilité Zero-day et les protocoles peer-to-peer d'après Symantec

    Mise à jour du 3 novembre 2011 par Idelways


    Le ver extrêmement sophistiqué Duqu gagne du terrain et touche à présent (au moins) huit pays, dont la France et la Suisse.

    C'est ce qui vient d'affirmer le spécialiste des solutions de sécurité Symantec, qui en sait désormais plus sur les voies empruntées par le Trojan pour se répandre et s'installer, sans pour autant arriver à cerner toute l'ampleur de la menace.

    Des fichiers Word infectés, conçus par les cybercriminels, exploitent une faille Zero-day du noyau de Windows qui permet l'exécution du code et l'installation des binaires de Duqu. Symantec ne liste pas les versions de Windows concernées, mais précise que Microsoft travaille diligemment pour sortir un correctif et un bulletin de sécurité.

    Mais ce n'est d'après Symantec que l'une des nombreuses formes d'attaques utilisées pour infecter les ordinateurs.

    D'autres découvertes ont conduit à la fermeture d'un nouveau centre de contrôle et de commande localisé en Belgique. Les attaquants seraient par ailleurs « capables de répandre Duqu dans les ordinateurs des zones non sécurisées et les contrôler à travers un protocole de contrôle et de commande en peer-to-peer », affirme Symantec.

    Il convient de préciser que le mérite d'une grande partie de ces avancées de recherche revient à la collaboration de Symantec avec CrySyS Labs, la petite firme de sécurité qui a découvert Duqu (lire ci-devant) et a préféré confier sa divulgation à Symantec par peur de représailles.

    Les deux entreprises ne proposent pour le moment aucune parade pour éviter la contamination de son ordinateur.


    Flux de l'infection par Duqu

    Source : Symantec

  13. #13
    Membre chevronné

    Homme Profil pro
    Mentaliste
    Inscrit en
    Mars 2008
    Messages
    872
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Mentaliste
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2008
    Messages : 872
    Points : 1 813
    Points
    1 813
    Par défaut
    <troll>
    Ils n'ont qu'à être sous Linux. Sisi c'est une réponse constructive : Linux n'a pas de virus et cet article n'aurait pas lieu d'exister si tout le monde était sous Linux. Même chose avec une autre firme dont l'éthique me dégoûte c'est pour ça que je ne la citerai pas
    </troll>
    .I..

  14. #14
    Modérateur

    Avatar de Robin56
    Homme Profil pro
    Architecte de système d'information
    Inscrit en
    Juin 2009
    Messages
    5 297
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Architecte de système d'information

    Informations forums :
    Inscription : Juin 2009
    Messages : 5 297
    Points : 13 670
    Points
    13 670
    Par défaut
    @SurferIX : Eh bien heureusement que tu t'auto <troll> toi.

    Moi ce qui m'intrigue là dedans c'est comment ont-ils pensé à ce nom ?
    Responsable Java de Developpez.com (Twitter et Facebook)
    Besoin d'un article/tutoriel/cours sur Java, consulter la page cours
    N'hésitez pas à consulter la FAQ Java et à poser vos questions sur les forums d'entraide Java
    --------
    Architecte Solution
    LinkedIn : https://www.linkedin.com/in/nicolascaudard/

  15. #15
    Membre éprouvé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Février 2010
    Messages
    267
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 267
    Points : 964
    Points
    964
    Par défaut
    Je ne voudrais pas nourrir le troll mais on est bien obligé de constater que windows reste quand même très vulnérable, en grande partie par sa tendance à exécuter automatiquement des programmes à l'insu de l'utilisateur pour lui "simplifier la vie".
    Par ailleurs, de part sa conception très complexe, un système windows compromis est souvent difficile à récupérer. Quelques monstruosités comme les ADS se prètent particulièrement bien à la dissimulation de virus et complexifient largement leur éradication. Par ailleurs, modifier la base de registres depuis un liveCD est quand même une entreprise difficile alors que coté linux/unix, éditer des fichier de configuration est à la porté de n'importe quel éditeur texte.

    Contrairement à ce qui a été dit, linux a des failles et même des grosses. J'ai déjà testé quelques exploits à faire pâlir... Simplement il est quand même plus rare de parvenir à exécuter du code sans action de l'utilisateur et encore plus rare de parvenir à devenir root sans entrer le mot de passe.

    La plus grosse faille reste encore et toujours l'utilisateur. En général, plus le système est "User Friendly", plus il est vulnérable.

    Voila pour le troll.

    Maintenant ce qui m'intéresse, c'est le fonctionnement de ces saletés, admettons que word ait une vulnérabilité permettant d'exécuter du code. Ca peut toujours arriver, même aux meilleurs codeurs, et l'important c'est plus d'arriver à limiter la casse quand ça arrive que d'empêcher à tout prix que ça arrive. Admettons, disais-je que word ait une vulnérabilité permettant d'exécuter du code, comment le dit code arrive-t-il à s'installer si le compte utilisateur est limité comme ce devrait systématiquement être le cas ou sans déclancher l'UAC sur le vista et 7 ?
    Il y aurait donc au moins 2 failles successives ? Une dans le programme et une autre dans le bac à sable où il est sensé tourner ? (Je ne voit strictement aucune raison valable pour laquelle un traitement de texte aurait besoin de privilèges)

    Maintenant, si tout repose sur le fait que les utilisateurs sont admin de leur poste et cliquent OK quand ils ont un message d'avertissement, c'est plus un PEBKAC qu'autre chose....

  16. #16
    Membre averti
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    351
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 351
    Points : 432
    Points
    432
    Par défaut
    Maintenant, si tout repose sur le fait que les utilisateurs sont admin de leur poste et cliquent OK quand ils ont un message d'avertissement, c'est plus un PEBKAC qu'autre chose....
    Windows XP existe toujours avec plus de 30% de part de marché et dans les services publiques xp est omniprésent. Même quand un professionnel installe XP sur un pc d'un particulier, il y aura un seul compte en admin et sans login. C'est volontaire tout simplement si tu fais pas ça bcp de gens ne seront pas capable d'installer de nouveaux logiciels.

  17. #17
    Nouveau membre du Club
    Homme Profil pro
    Consultant en Business Intelligence
    Inscrit en
    Octobre 2008
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Consultant en Business Intelligence
    Secteur : Conseil

    Informations forums :
    Inscription : Octobre 2008
    Messages : 23
    Points : 31
    Points
    31
    Par défaut
    Linux n'a pas de virus
    Vu le pourcentage d'utilisateurs de Linux, tu m'étonnes .

  18. #18
    Membre éprouvé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    Février 2010
    Messages
    267
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : Février 2010
    Messages : 267
    Points : 964
    Points
    964
    Par défaut
    Linux n'a pas de virus
    Oh que si !
    Je suis un fervent linuxien, simplement il me parait essentiel de rester lucide sur les limitations de son OS.

    Simplement ce ne sont généralement pas les même types de virus que sous windows. Ce sont plutot des espions/backdoor conçus pour rester discrets et pas des trucs qui prennent tout le CPU en en balançant des popups de pub dans tous les coins. Niveau discrétion, certains sont même horriblement astucieux. Il y a quelques années j'ai eu un troyen qui remplaçait tout les outils de base comme ps, et ls pour masquer sa présence. même md5sum ne renvoyait pas les vrais hashs.
    Je m'en suis rendu compte par chance, en cherchant pourquoi ma commande ls se mettait subitement à appeler des fonction dépréciées de la libc qui faisaient des warning.


    Pour en revenir à duqu, et autres saloperies du genre, je ne comprends toujours pas le mode d'infection, en particulier l'étape numero 5 du schéma.
    J'ai déjà vu des trucs qui ont réussi à s'installer en tant que service à partir d'une session d'utilisateur limité. (sous winXP) le tout avec kill automatique d'outils comme procxp ou hijackthis. Je n'ai pas eu d'autre choix que de réinstaller l'OS.

  19. #19
    Membre chevronné
    Profil pro
    Développeur Web
    Inscrit en
    Février 2008
    Messages
    2 050
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2008
    Messages : 2 050
    Points : 2 087
    Points
    2 087
    Par défaut
    Citation Envoyé par Robin56 Voir le message
    @SurferIX : Eh bien heureusement que tu t'auto <troll> toi.

    Moi ce qui m'intrigue là dedans c'est comment ont-ils pensé à ce nom ?
    çà, il faut reconnaître que pour un logiciel censé exploiter des trous de sécurité, ils ont fait fort

  20. #20
    Membre chevronné
    Profil pro
    Développeur Web
    Inscrit en
    Février 2008
    Messages
    2 050
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2008
    Messages : 2 050
    Points : 2 087
    Points
    2 087
    Par défaut
    Citation Envoyé par pcdwarf Voir le message
    Maintenant, si tout repose sur le fait que les utilisateurs sont admin de leur poste et cliquent OK quand ils ont un message d'avertissement, c'est plus un PEBKAC qu'autre chose....
    Effectivement. Le bon sens voudrait qu'un salarié digne de confiance (pour l'utilisation de l'informatique) dispose de deux comptes sur sa machine, un pour installer les logiciels, l'autre pour les utiliser.

    Jamais vu pratiquer ça.

Discussions similaires

  1. Réponses: 208
    Dernier message: 04/03/2013, 16h09
  2. Réponses: 191
    Dernier message: 17/01/2011, 23h20
  3. Réponses: 2
    Dernier message: 14/11/2008, 20h47
  4. Je pense avoir des memory leaks
    Par rdpdo dans le forum Général JavaScript
    Réponses: 3
    Dernier message: 06/04/2008, 16h40

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo