Maman, j'ai rétréci les virus ! Stanislas Quastana | Cyril Voisin | Pascal Sauliere Microsoft...
78
Maman, j'ai rétréci les virus ! Stanislas Quastana | Cyril Voisin | Pascal Sauliere Microsoft France http://www.microsoft.com/france/sec urite
-
Upload
mireio-baudet -
Category
Documents
-
view
109 -
download
0
Transcript of Maman, j'ai rétréci les virus ! Stanislas Quastana | Cyril Voisin | Pascal Sauliere Microsoft...
Maman, j'ai rétréci les virus !Stanislas Quastana | Cyril Voisin | Pascal SauliereMicrosoft Francehttp://www.microsoft.com/france/securite
bienvenue !
merci !
d'avoir assisté ou visionné la session "Le virus est mort… Vive le malware !?"166491
Internet est plus que jamais partoutles menaces démontrées sont toujours là, enrichies de nouvellesles usages sont plus variés
depuis 1 an
et désormais…
ma mère est sur !
…comme vos utilisateurs
usages du Web
• communication• information• divertissement• réseaux sociaux• comptes (banque)• commerce en ligne• etc.
70% des internautes
achètent des
cadeaux de Noël en ligne
85% des internautes
gèrent leurs comptes en ligne (+5 points vs mars 2008)
25 millions d'internautes
vont sur les blogs et sites communautaires
objectifs de cette session
montrer simplement les risques qui existent et que tout le monde connaît (ou devrait connaître)vous donner des idées pour aider les utilisateurs autour de vous à se protéger
rapport sur les données de sécurité n°7 (SIR) 1S09
données & tendances observées pendant ces dernières années
focus sur janvier-juin 2009sources : MSRT, Windows Defender, Windows Live OneCare Safety Scanner,Windows Live OneCare, Forefront Online Protection for Exchange, Forefront Client Security, Bing, Windows Live Hotmail, etc.
http://microsoft.com/sir
enseignements
plus le logiciel est récent, plus le logiciel est maintenu à jour, moins il y a d'infectionsexploitation de vulnérabilités par navigateur, part Microsoft
Windows XP : 56,4% Windows Vista : 15,5 %exploitations par documents Office
à 71% sur MS06-027attaques par courrier électronique
2,1 % de logiciels malveillants
1H07 2H07 1H08 2H08 1H090.0
5.0
10.0
15.0
20.0
25.0
30.0
35.0
40.0
Windows XP RTM
Windows XP SP1
Windows XP SP2
Windows XP SP3
Windows Vista RTM
Windows Vista SP1
tierces par-ties
43,6%Microsoft
56.4%tierces parties
84,5%
Micros-oft
15.5%
0%2%4%6%8%
0%
5%
10%
15%
20%
25%
détections de top malwares par MSRTFrance : 7,9 ; monde : 8,7
les virus sont morts ? non, mais minoritaires
le top 25 pour la Francerang famille catégorie machines
infectées
1 Win32/Wintrim Misc. Trojans 316,234
2 Win32/Taterf Worms 222,741
3 Win32/Vundo Misc. Trojans 127,498
4 Win32/Frethog Password Stealers & Monitoring Tools 125,491
5 Win32/Renos Trojan Downloaders and Droppers 104,016
6Win32/ZangoSearchAssistant
Adware 103,152
7 Win32/Zlob Trojan Downloaders and Droppers 85,826
8 Win32/Alureon Misc. Trojans 84,453
9 Win32/C2Lop Misc. Trojans 73,172
10 Win32/RJump Worms 61,857
11 Win32/Hotbar Adware 52,947
12Win32/ZangoShoppingreports
Adware 52,724
rang famille catégorie machines infectées
13 Win32/Playmp3z Adware 38,598
14 Win32/FakeXPA Misc. Trojans 37,363
15 Win32/Wimad Trojan Downloaders and Droppers 32,052
16 Win32/Conficker Worms 31,314
17 Win32/Agent Misc. Trojans 29,924
18 Win32/Brontok Worms 29,624
19 Win32/Skintrim Misc. Trojans 28,905
20 Win32/SpywareSecure Misc. Potentially Unwanted Software 27,291
21 Win32/Tibs Misc. Trojans 26,871
22 Win32/SeekmoSearchAssistant Adware 25,193
23 Win32/Yektel Trojan Downloaders and Droppers
22,455
24 Win32/Cutwail Trojan Downloaders and Droppers 21,403
25 Win32/Koobface Worms 8,538
hameçonnage
Jul-08Aug-08
Sep-08Oct-08
Nov-08Dec-08
Jan-09Feb-09
Mar-09Apr-09
May-09Jun-09
0%
50%
100%
150%
200%
250%
300%
350%
Jan-09Feb-09
Mar-09Apr-09
May-09Jun-09
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
OtherOnline ServicesE-Commerce SitesSocial Networking SitesFinancial Sites
sécurité = comportement
méfiance|sites de confiance|bon sens
+ technologiespare-feu|mises à jour|antimalware|navigateur récent
Maitrisez les informations que vous rendez disponibles
Quand un tweet déclenche une news…
Quand un tweet déclenche une news…
Quand un tweet déclenche une news…
Quand un tweet déclenche une news…
Fuite d’informations et réseaux sociaux
À l’image de Windows Live Spaces, LinkedIn, Facebook, Twitter… les réseaux sociaux sont de plus en plus populaires
Ambassadeurs du Web 2.0, ils regorgent de données (souvent publiques) susceptibles d’être utilisées à des fins malveillantes :
Date de naissanceLocalisationProjets personnels ou professionnels
en coursNom des animaux de compagnie…
ingénierie sociale & autres supercheries
Les enjeux sont énormes :Atteinte à l’image publiqueRespect de la vie privéeRevente d’informations personnelles / professionnellesUsurpation d’identitéEnvoi de spams ciblés…
Les nouvelles plateformes sociales sont devenues d’excellents laboratoires pour tester les théories que les sociologues et les manipulateurs pensaient pourtant maîtriser dans leur petit monde.
Le Web 2.0 oui, mais contrôlé !
Vérifiez le paramétrage par défaut de vos profils dans les sites de réseaux sociaux
Votre vie et vos informations personnelles ne doivent pas être « Open Bar »
Sachez refuser des amis (surtout si ce sont des inconnus)Lisez les conditions d’utilisation des applications disponibles
sur les réseaux sociauxFaites attention à ce que vous écrivez, le Web ayant une bonne
mémoireRéfléchissez avant d’annoncer publiquement que vous partez à
l’autre bout de la planète pendant un mois !!!
DEMOS
Infos personnelles : Facebook, Windows Live
Meta moteurs
mot de passe
pas le même partoutéviter les attaques de dictionnaires et hybrides
ne contient aucun nom ou motsymboles/chiffres/accents aussi au début
position sur le clavier (attention aux espions)ex : « àço09O_èu87U-(t »
initiales d’une phrase, plus d&f0rm@tions non trivialesex : « Tc:1j,jr&àNYat! »
questions secrètes
utilisées pour la réinitialisation de mot de passeattention aux questions dont la réponse peut être publique
(nom de jeune fille de votre mère)positionner une réponse complètement ou partiellement
fausse, mais dont vous vous souviendrez
2 + 2 = ?2 + 2 = 3!
la messagerie électronique,un vecteur de menaces
SPAM, mon ami encombrant…
23 Nov – 29 Nov
30 Nov – 6 Dec
7 Dec – 13 Dec
14 Dec – 20 Dec
21 Dec – 27 Dec
28 Dec – 4 Jan
0
5,000,000,000
10,000,000,000
15,000,000,000
20,000,000,000
25,000,000,000
Message filtrésMessages légitimes
<4%
une INCROYABLE chance ! 150 000 €
+ 2 500 000 €+ 17 532 184 €
plus de
20 millions d'euros !!!
quand c'est TROP BEAU pour ÊTRE VRAI….
c'est effectivement très souvent FAUX !
Scam ou fraude-419aussi appelé scam 419, ou arnaque nigériane en raison de son
origine. La dénomination 4-1-9 vient du numéro de l'article du code nigérian sanctionnant ce type de fraude.
On reçoit un e-mail expliquant qu'une grosse quantité d'argent est à l'abri dans une banque d'un pays étranger, et que seule une petite somme est nécessaire pour débloquer ces fonds, en échange d'un large pourcentage sur l'argent en banque. On vous demande alors d'apporter cette somme ou de la transférer…
… bien entendu, dans la réalité on ne devient jamais riche aussi simplement ;-)
35
Phishing / Hameçonnage
Usurpation de marque dans le but de voler des informations personnelles telles que comptes et mots de passe, numéros de carte bleu, informations bancaires…
Par le biais d’e-mail ou de messages pop-up (IM)Fréquemment
AlarmisteNon personnaliséLien dans le message(Fautes d’orthographe / grammaire)
DEMOSBienvenue à la criée !!
tout phrais(*) du matin pêché
(*) le correcteur orthographique lui non plus n'aime pas ce mot
ouvrez l'œil pour naviguer plus futé
quel est le nom du domaine que vous visitez ?
http://www.paypal.com.ag5g60cwlf.6scfhfwrn5d.com/cmd-confirm/?543-303-846RNC543-303-846?login
nom de domaine
www.societegenera1e.fr
ne pas suivre de lien vers les sites sensibles, saisir soi-même l'adresse
• authentification : vérifie que l'adresse correspond au certificat • confidentialité : établit un "tuyau" chiffré avec le serveur Web
• le cadenas doit être dans la zone de notification du navigateur, pas dans la page !!(avec IE8 : cadenas dans la barre d'adresse avec Firefox : cadenas en bas à droite de la fenêtre, nom de domaine dans zone de couleur en début de barre d'adresse)
https : la communication Web sécurisée
certificat à validation étendue (https + barre d'adresse verte)
• vérifications plus poussées avant fourniture du certificat numérique au site Web
• indique le nom de la société qui possède le site Web et son emplacement
filtre antiphishing• prévient l'internaute que
la page visitée est identifiée comme page de hameçonnage (escroquerie) ou fournissant des téléchargements de logiciels malveillants
• utile pour les URL raccourcies
URL raccourcies
URL raccourcies
tinyurl.com, bit.ly, ow.ly, tr.im, goo.gl…Exemple :
Mais en présence de l’URL courte uniquement…Quelle garantie sur l’URL longue ?Cliqueriez-vous sur ce lien ?
De l’URL courte à l’URL longue
Idée : consulter l’URL longue avant de la visiter
Utiliser un client Twitter comme TweetDeckServices de prévisualisation :
http://tinyurl.com/preview.phphttp://expandmyurl.com/http://www.longurlplease.com/Add-on de bit.ly (pour FF et Chrome)
DEMOS
Naviguez tranquille
Navigation sans traces sur le PC
Nous partageons souvent des ordinateursA la maisonDans l’entrepriseDans des cyber-cafésChez des amis…
Les navigateurs de dernière génération intègrent désormais des mécanismes de nettoyage des traces (cookies, historique, champs de saisie…) laissées par la navigation
DEMO
Navigation « ni vu ni connu »
Scareware
Source : http://ddanchev.blogspot.com/
Scareware ?
Faux logiciel de sécuritéDistribution :
Sites web compromisMalvertising (publicités Flash, pop-
ups)Blackhat search engine optimization
(SEO) (mots-clés, célébrités…)Botnets (Koobface)
Fausses critiques, fausses critiquesApparence professionnelleCherche à faire peur (scare-ware)Difficile à désinstallerDemandes de paiement (racket ?)
Microsoft Security Essentials
antimalware de qualité gratuit (pour les Windows authentiques), à télécharger uniquement chez Microsoft
$$
Combien vaut votre carte de crédit ? Votre login WoW ? etc.
DEMO
phaites(*) vos courses
(*) oui, oui…
PHAITES(*) LE
TEST
synthèse
synthèse
le problème n'est pas que technique, les solutions non plus!
actions possibles vers vos utilisateurs
sensibilisez les utilisateurs (emails, campagne d'affichage…)
aux diverses arnaques (hameçonnage, chevaux de Troie…)aux bonnes pratiques comportementales (prudence, méfiance, choix de mots de passe, réponses aux questions personnelles)
du point de vue technique :pare-feumises à jour système et applicationsantivirus à journavigateur et add-ons récents (laissez IE6 aux collectionneurs; IE8 est votre ami)antispamantiphishing
AVANT d’entrer des données personnelles, vérifiez au moins :
le "s"de https
le nom du domaine (en gras) ici :
caisse-epargne.frle cadenas
dans la barre d'adresse
en l'absence de ces 3 vérifications NE PAS entrer de mot de passe, de numéro de carte bancaire…
ou toute autre donnée personnelle
12 3
à bientôt!?http://www.microsoft.com/france/securite http://blogs.technet.com/pascals http://twitter.com/psauliere http://twitter.com/squastana http://blogs.technet.com/stanislas http://blogs.technet.com/voy
82
Malicious Web SitesTop families blocked by SmartScreen Filter
Rank Family Most Significant CategoryPercent of Malware
Impressions1 Win32/Moneytree Misc. Potentially Unwanted Software 32.8%
2 Win32/Pdfjsc Exploits 5.2%
3 Win32/Renos Trojan Downloaders & Droppers 4.6%
4 Win32/FakeXPA Miscellaneous Trojans 4.6%
5 Win32/Winwebsec Miscellaneous Trojans 4.5%
6 Win32/PrivacyCenter Miscellaneous Trojans 4.2%
7 Win32/Obfuscator Miscellaneous Trojans 4.0%
8 Win32/InternetAntivirus Miscellaneous Trojans 4.0%
9 Win32/Small Trojan Downloaders & Droppers 3.7%
10 Win32/Fakerean Miscellaneous Trojans 3.3%
Top 10 malware families hosted on sites blocked by the SmartScreen filter in Internet Explorer in 1H09
83
Malicious And Potentially Unwanted Software
Distribution of malware hosting sites, worldwide, 1H09
84
Software Vulnerability Exploit DetailsTop 10 browser-based exploits by month
The 10 browser-based vulnerabilities exploited most often, by month, January-June 2009
Jan-09 Feb-09 Mar-09 Apr-09 May-09 Jun-090%
5%
10%
15%
20%
25%
30%CVE-2009-0927 (Adobe Reader)
CVE-2009-0075/MS09-002 (Microsoft Internet Explorer)
CVE-2007-5892: SSReader_pdg2
CVE-2006-0003/MS06-01 (Microsoft Data Access Components)
CVE-2007-5601 (Real-Networks RealPlayer)
Ourgame_GLIEDown2
CVE-2007-4816: BaoFeng_Storm2
CVE-2007-0071 (Adobe Flash Player)
CVE-2008-6442: Sina_Dloader
GLChat_startNotify
démos filtre SmartScreen
• tentative de téléchargement de logiciel malfaisant
• site hébergeant des logiciels malfaisant
• site suspect
• site de hameçonnage
barre d'adresse rouge = problème• site d'escroquerie (hameçonnage)
• erreur de certificat (par exemple adresse ne correspondant pas au contenu du certificat)
attaques de « cross site scripting » (XSS)
• très courantes• problème de sécurité sur le serveur
attaque du client visitant le serveur !
• Internet Explorer 8 offre un filtre contre certaines de ces attaques
![[Databeers] 20150129 "#DaTactic: Datos con Tácticas. ¿Nuevo formato de activismo en redes?". Saya Sauliere (Oxfam Intermón)](https://static.fdocuments.net/doc/165x107/55a841051a28ab22168b461b/databeers-20150129-datactic-datos-con-tacticas-nuevo-formato-de-activismo-en-redes-saya-sauliere-oxfam-intermon.jpg)
