Powered By Blogger

Rechercher sur ce blogue

dimanche 22 avril 2018

Firewall Windows : les bon réglages



Quelques réglages qui peuvent améliorer sensiblement la sécurité de Windows.
Le pare-feu de Windows peut être largement suffisant si vous suivez toutes les règles de sécurité élémentaires.
Par défaut, le pare-feu de Windows n’est pas forcément bien réglé.
Voici quelques règles à ajouter afin d’obtenir les réglages optimales du firewall de Windows.

Introduction au réglage du pare-feu de Windows

Avant de commencer, il faut plutôt être à l’aise avec le pare-feu de Windows.
Dans le tuto suivant, j’avais expliqué comment ajouter des règles sur une application afin de la bloquer : Autoriser/Bloquer une application sur le pare-feu Windows
Vous pouvez suivre ce tuto.. ici nous utiliserons les options avancés. Il existe d’ailleurs aussi un tuto sur les options avancées du pare-feu de Windows : Autoriser/Bloquer une application sur le pare-feu Windows
En résumé, ce qu’il faut bloquer :
  • C:\Windows\System32\WindowsPowerShell\v1.0\Powershell.exe (utilisé pour télécharger et installer des logiciels malveillants, ou utiliser comme logiciel malveillants, voirLes virus ou trojan Powershell)
  • C:\Windows\system32\wscript.exe : lié au  Virus par clé USB ou virus raccourcis USB et  Malware par VBS / WSH, peut-être utilisé pour télécharger et installer des logiciels malveillants.
  • C:\Windows\explorer.exe – autoriser que les connexions vers le port 443
  • C:\Windows\system32\mshta.exe – permet d’exécuter des applications HTML (extension .hta), ces derniers peuvent télécharger et installer des cheval de troie.
  • C:\Windows\rundll32.exe – en chargeant une DLL via rundll32.exe, un trojan peut télécharger d’autres malwares.
  • Les processus de Word et Excel, ceci afin de vous protéger des macros malicieuses :
    • C:\Program Files (x86)\Microsoft Office\Office15\Winword.exe
    • C:\Program Files (x86)\Microsoft Office\Office15\Excel.exe

Importer des règles du pare-feu de Windows

Pour ceux qui ne veulent pas se prendre la tête à créer chaque règle de blocage sur le pare-feu de Windows.
Je fournis un fichier zip qui peut-être importé sur votre pare-feu.
Attention, cela va écraser toutes vos règles, donc si vous avez des règles d’acceptation pour certaines applications, elles seront perdues.
Le lien vers ces règles : http://www.malekal.com/download/firewall_Windows10_bon_reglage.zip
Ce zip est composé de :
  • fw_windows10_bon_reglage.wfw : qui contient les règles à importer sur le pare-feu de Windows
  • testconnexion.ps1 : qui vous permet de tester le blocage de PowerShell

Faites un clic droit puis « importer la stratégie »

Sur le message d’avertissement qui demande une confirmation pour importer les règles, faites oui.
Puis naviguez dans les dossiers pour sélectionner le fichier fw_windows10_bon_reglage.wfw.

Si l’import réussi, vous obtenez le message suivant.

Dans les règles sortantes, vous devez obtenir ceci.

Vous pouvez alors tester le blocage de connexion sur Powershell avec le script testconnexion.ps1 fourni.
Faites un clic droit dessus puis Exécuter avec PowerShell.

Faire Oui en appuyant sur O (O comme Oui) puis Entrée sur le message d’avertissement.
Un message rouge doit vous indiquer « Impossible de se connecter au serveur distant ».
Dans ce cas, les règles de pare-feu sont effectives.

Créer les règles manuellement

Si vous ne souhaitez pas importer les règles, vous pouvez créer les règles manuellement.

PowerShell

PowerShell est une invite de commandes qui intègre son propre langage.
PowerShell permet donc de créer des scripts, il est tout à fait possible à partir d’un script de télécharger un fichier distant et de l’exécuter sur l’ordinateur.
En clair, donc PowerShell peut servir de tremplin pour installer un virus sur l’ordinateur, comme Trojan-Downloader.
Exactement comme c’est le cas actuellement des scripts VBS ou JS utilisés dans des campagnes d’emails malicieux qui ont permis l’avènements des crypto-ransomware.
La vidéo suivante montre le cas d’un Trojan Downloader PowerShell qui installe le ransomware Locky :

PowerShell est déjà utilisé par des Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit… il est fort probable que 2017 soit l’année PowerShell… avec une utilisation beaucoup plus accru.
Pour tester le téléchargement, vous pouvez utiliser la commande suivante depuis une invite de commandes classiques :
PowerShell (New-Object System.Net.Webclient).DownloadFile
('http://www.malekal.com/download/FRST.zip', '%USERPROFILE%\Desktop\FRST.zip');
La commande ci-dessous, permet de télécharger le fichier FRST.zip et de le placer sur le bureau.
Un programme malveillant, peut donc facilement être sous la forme d’un script qui télécharge un exécutable dans le dossier TEMP pour l’exécuter.

Plus d’informations, lire : les Trojan ou virus PowerShell

Bloquer PowerShell

En suivant, le tuto Autoriser/Bloquer une application sur le pare-feu Windows
Vous devez bloquer l’application :
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe (version 32-bits)
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell.exe (version 64-bits)
%SystemRoot% = C:\Windows


En créant une règle avancée :
Par défaut donc, le pare-feu de Windows autorise PowerShell.
Il est tout à fait possible de bloquer ce dernier.
Rendez-vous dans le Panneau de configuration de Windows puis Pare-feu.
A gauche, cliquez sur Paramètres avancés.

Dans la nouvelle fenêtre, cliquez sur Règles de trafic sortant
Nouvelle règle.
Laissez sur Programme puis cliquez sur Suivant.

Ensuite, il faut aller chercher le fichier PowerShell.
Pour cela, choisissez la seconde option puis cliquez sur Parcourir.
Naviguez dans les dossiers pour ouvrir Windows > system32 > WindowsPowerShell > v1.0> powershell.exe


Laisser sur « Bloquer la connexion » afin de pouvoir bloquer la connexion provenant de powershell.exe

Laissez tout coché puis cliquez sur Suivant.
Nommez la règle, par exemple Blocage PowerShell ou Blocage PowerShell (32-bits).

La règle est alors visible dans la liste.

Si on relance notre commande, on obtient une erreur. Le téléchargement de fichiers à partir de PowerShell est alors bloqué :
Exception lors de l'appel de « DownloadFile » avec « 2 » argument(s) :
 « Impossible de se connecter au serveur distant »


Pensez à bloquer les deux versions 32-bits et 64-bits, si votre Windows est en version 64-bits.

Wscript

Wscript.exe est le processus système lié à Windows Script Hosting qui donne la possibilité d’exécuter des scripts de type JavaScript (sisi!) et VBS.
Des scripts malicieux existent depuis longtemps. Une recrudescence depuis Décembre 2015 a lieu, via des campagnes d’emails malicieux pour pousser des crypto-ransomware.
Pour obtenir plus d’informations sur les malwares basés sur ces scripts malicieux, lire la page : Malware par VBS / WSH ( Windows Scripting Host )
Voici un exemple de script qui permet de télécharger un fichier sur Windows.
Ensuite, on peut le faire exécuter sans problème.
HTTPDownload "http://www.malekal.com/download/FRST.zip",
 "C:\Users\VincentPC\AppData\Local\Temp"

Sub HTTPDownload( myURL, myPath )

' Standard housekeeping
Dim i, objFile, objFSO, objHTTP, strFile, strMsg
Const ForReading = 1, ForWriting = 2, ForAppending = 8

' Create a File System Object
Set objFSO = CreateObject( "Scripting.FileSystemObject" )

' Check if the specified target file or folder exists,
' and build the fully qualified path of the target file
If objFSO.FolderExists( myPath ) Then
strFile = objFSO.BuildPath( myPath, Mid( myURL, InStrRev( myURL, "/" ) + 1 ) )
ElseIf objFSO.FolderExists( Left( myPath, InStrRev( myPath, "\" ) - 1 ) ) Then
strFile = myPath
Else
WScript.Echo "ERROR: Target folder not found."
Exit Sub
End If

' Create or open the target file
Set objFile = objFSO.OpenTextFile( strFile, ForWriting, True )

' Create an HTTP object
Set objHTTP = CreateObject( "WinHttp.WinHttpRequest.5.1" )

' Download the specified URL
objHTTP.Open "GET", myURL, False
objHTTP.Send

' Write the downloaded byte stream to the target file
For i = 1 To LenB( objHTTP.ResponseBody )
objFile.Write Chr( AscB( MidB( objHTTP.ResponseBody, i, 1 ) ) )
Next

' Close the target file
objFile.Close( )
End Sub

On peut alors créer une règle sortante filtrante, exactement dans le même principe que précédemment.

Avec le script ci-desous, on obtient une Erreur WinHTTP.WinHTTPRequest
Le fichier FRST.zip est créé mais il fait 0 octet.

Dans le cas de ces scripts, le mieux est de désactiver WSH, c’est tout à fait possible.
A lire : Comment se protéger des scripts malicieux sur Windows
Le programme Marmiton a été conçu dans ce sens : Télécharger Marmiton

Injection processus

L’injection de processus consiste à charger une DLL dans un processus afin de pouvoir contrôler ce dernier.
Ainsi des virus/malwares peuvent utiliser des processus système explorer.exe, svchost.exe, spoolsv.exe afin de se connecter à des serveurs distants pour recevoir les informations de contrôle.
Le pare-feu de Windows peut éventuellement aider à bloquer certaines de ces connexions.
Contrairement, au paragraphe précédent où il s’agit de bloquer un Trojan Downloader afin de bloquer le téléchargement et l’installation del a charge utile… ici la charge utile est déjà installée… De ce fait, il est plus difficile de bloquer le fonctionnement du Trojan.
Voici un exemple d’injection de processus Windows avec le malware Bedep :
Ainsi si on bloque explorer.exe, le Trojan Bedep devient inactif :

Comprenez aussi, qu’il est impossible de bloquer tout l’accès réseau aux processus Windows.
Par exemple :
  • explorer.exe doit pouvoir se connecter aux ordinateurs du réseau LAN pour accéder aux ressources partages (fichiers/dossiers etc)
  • svchost.exe est utilisé, par divers services Windows et notamment Windows Update pour se connecter au service et télécharger les mises à jour de Windows.
Toutefois, vous pouvez bloquer certains ports. Par exemple, il est tout à fait inutile qu’explorer.exe puisse se connecter à des sites WEB (port distant 80 et 443).
Par contre, explorer.exe doit pouvoir se connecter aux partages réseaux, cela se fait sur le port 445 (SMB).
Pour mettre en place un filtrage, nous allons créer deux règles sur explorer.exe
  • La première règle autorise les connexions sur le port 445.
  • La seconde règle interdit toutes les connexions sortantes.
Ainsi, si la première règle est vrai, on s’arrête là.
Si elle est fausse, on continue, la seconde règle qui bloque toutes les connexions sortantes pour explorer.exe est alors appliquée.
Créez la règle sur explorer.exe qui autorise les connexions puis faites un clic droit / Propriétés sur celle-ci.
Dans l’onglet Protocoles et ports, vous pouvez régler ces derniers, comme ceci.
A savoir :
  • Protocole TCP
  • Port, mettre 445
Puis créer la seconde règle qui interdit toutes les connexions explorer.exe

Ci-dessous, les deux règles explorer.exe sur le pare-feu Windows.
Il est tout à fait possible de lister les partages et accéder aux fichiers distants.

Autres processus à bloquer

Vous pouvez aussi bloquer d’autres processus, comme :
  • C:\Windows\rundll32.exe – en chargeant une DLL via rundll32.exe, un trojan peut télécharger d’autres malwares.
  • Les processus de Word et Excel, ceci afin de vous protéger des macros malicieuses :
    • C:\Program Files (x86)\Microsoft Office\Office15\Winword.exe
    • C:\Program Files (x86)\Microsoft Office\Office15\Excel.exe
Par exemple, le pare-feu ZoneAlarm par défaut, autorise les connexions provenant de Word et rundll32.
Une macro Word peut donc télécharger une DLL et la lancer depuis rundll32… c’est notamment le fonctionnement du ransomware Locky.

Winword.exe est autorisé :

Windows Firewall Control

Windows Firewall Control est un programme qui permet de gérer simplement les règles et autorisations de processus sur le pare-feu de Windows.
En outre, il permet de lire le journal de connexion ou blocage.
Je vous conseille vivement de l’installer, plus d’informations, se reporter au tuto : Tutoriel Windows Firewall Control
GlassWire est aussi une bonne alternative, voir aussi son tuto : Tutoriel Glasswire
Présentation et tuto de Windows Firewall Control en vidéo :

Plus loin dans la sécurité Windows

Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?
OSArmor est un complément idéal à ces règles de blocages du pare-feu de Windows, plus d’informations sur la page : OSArmor : Bloquer l’exécution de processus et connexions malveillantes

SysHardener permet de sécuriser Windows facilement en désactivant certaines fonctions de Windows qui peuvent être utilisées par des logiciels malveillants.
Pour toutes les explications de SysHardener, lire notre article dédié : SysHardener : sécuriser Windows facilement contre les virus
SysHardener : sécuriser Windows facilement contre les virus

Liens autour du pare-feu de Windows

REF.:

samedi 21 avril 2018

Tester les nouveautés de Windows 10: Avec Windows 10 Insider



Microsoft propose un programme Windows 10 Insider qui permet de tester les nouveautés de Windows.
Insider est gratuit et permet de télécharger et installer des build de Windows 10 pour les évaluer et les tester.
Cela se présente donc sous la forme de mises à jour de Windows 10 avec des versions disponibles avant leurs sorties.
Le but de Windows 10 Insider est de proposer les nouveautés de Windows 10 avant l’heure afin de les tester.
Il est ensuite possible de faire des retours à Microsoft sur les bugs rencontrés ou des nouveautés qui ne plaisent pas.
Cet article explique comment installer Windows 10 Insider.

Introduction

Comment fonctionne Windows 10 Insider ?
Vous inscrivez votre ordinateur et Windows sur le programme Windows Insider.
Au bout d’un moment, la dernière build Windows Insider vous ait proposé en téléchargement puis installation.
Votre version de Windows 10 va donc changer de version et build pour arriver à cette version d’évaluation et de test.
Ce qu’il faut donc bien comprendre, c’est que vous changez la build de Windows 10 pour arriver à une version d’évaluation.
Exactement, lorsque vous devez changer de version majeure, par exemple de la version Creators Update 1703 vers Fall Creators Update 1709.
Il s’agit d’obtenir les nouveaux en avance, une fois que la mise à jour majeure avec toutes les nouveautés est disponible, vous pouvez revenir sur celle-ci.
En clair, donc, il faut installer Windows Insider seulement, si vous savez ce que vous faites et éviter sur des ordinateurs de travail ou de jeux car vous risquez de subir des bugs et inconvénients.

Télécharger les mises à jour Windows Insider

L’installation est très simple, vous devez disposer d’un compte Microsoft et activer votre copie de Windows en Windows Insider.
Pour cela, rendez-vous dans les paramètres de Windows puis Mise à jour et sécurité.
Télécharger les mises à jour Windows Insider
Rendez-vous dans l’onglet Programme Windows Insider à gauche.
Une fois dessus, cliquez sur Commencer pour activer le programme.
Télécharger les mises à jour Windows Insider
Il faut indiquer avec quel compte Microsoft, vous souhaitez activer Windows Insider.
Il suffit d’indiquer ce dernier dans la liste.

Télécharger les mises à jour Windows Insider
Télécharger les mises à jour Windows Insider
et de saisir les informations sur votre identité, code confidentiel ou mot de passe de Windows.
Télécharger les mises à jour Windows Insider
Il faut ensuite accepter les conditions d’utilisation et de confidentialité du programme Windows Insider.
Télécharger les mises à jour Windows Insider
Dans les précédentes versions de Windows, vous pouviez choisir le rythme des mises à jour.
Il est possible que ce choix revienne.
Ils s’agit de choisir dans les types de vitesse suivantes :
  • Rapide et lent : Ce sont les mises à jour cumulatives qui peuvent proposées de manière rapides ou lentes.
  • Release Preview: pour obtenir les builds majeures qui offrent une série de nouvelles fonctionnalités.
Télécharger les mises à jour Windows Insider
Télécharger les mises à jour Windows Insider
Une fois le tout valider, il est possible qu’on vous demande de redémarrer Windows.
Télécharger les mises à jour Windows Insider
A partir de là, le menu de Windows Insider affiche les informations de configuration.

Télécharger les mises à jour Windows Insider
Une fois la mise à jour d’évaluation disponible, celle-ci se télécharge par Windows Update.
La version d’évaluation peut faire dans les 4 Go, ce qui peut prendre du temps à télécharger.
Une fois le téléchargement de la mise à jour terminée, l’installation est disponible.
Télécharger les mises à jour Windows Insider

Installer les mises à jour Windows Insider

On vous propose alors d’installer la mise à jour ce qui nécessite de redémarrer Windows 10.
Installer les mises à jour Windows Insider
Installer les mises à jour Windows Insider
Une phase de configuration assez rapide se lance puis l’ordinateur redémarre pour lancer l’installation de la nouvelle version de Windows 10.
Installer les mises à jour Windows Insider
Ils ‘agit du même mécanisme que pour installer une mise à jour majeure de Windows 10 puisque vous changez de build.
Cela peut prendre 45 minutes environ, laissez l’installation de la mise à jour Windows Insider se poursuivre.
Installer les mises à jour Windows Insider
Installer les mises à jour Windows Insider
Enfin Windows démarre normalement, lors de l’ouverture de session, une validation des paramètres de protection des données personnelles peut s’afficher.
Installer les mises à jour Windows Insider
puis le bureau de Windows s’ouvree sur la nouvelle version de Windows 10.
Vous pouvez alors visualiser les nouvelles fonctionnalités et tester celle-ci.
Notez en bas à droite, les informations concernant le fait que vous êtes sur une version d’évaluation de Windows.

REF.:

Comment vérifier si Windows est cracké



Parfois, vous pouvez avoir un doute sur l’authenticité de votre licence Windows.
Cet article, vous explique rapidement comment vérifier si votre Windows est cracké ou 
légitime.

Introduction

Il existe des logiciels comme KMSPico qui permettent de cracker une licence Windows.
Le but est d’activer Windows sans payer.
Certains magasins après réinstallation de Windows peuvent utiliser ces derniers, ce qui n’est pas légal.
Par la suite, cela peut provoquer des problèmes d’activation de Windows.
Vous trouverez toutes les explications sur KMSPico sur la page :
KMSPico : activation de Windows de manière illégale
Voici comment vérifier si la licence de Windows est légitime et valide.
Pour informations, il existe un autre article plus long et plus complet, au besoin :
 WGA : vérifier authenticité licence Windows (si cracké)
Pour vérifier, Ouvrez l’invite de commandes en administrateur : 5 méthodes pour ouvrir l’invite de commandes sur Windows 10
Comment vérifier si Windows est cracké
Saisissez la commande :
slmgr /dlv
Si vous voyez KMS_Client, il y a de forte chance que logiciel KMSpico ait été utilisé pour cracker Windows.
De plus, la clé partielle peut facilement être retrouvé sur Google.
Comment vérifier si Windows est cracké
Dans le cas d’un ordinateur d’un constructeur valide, on obtient une active en OEM_DM_Channel.
Comment vérifier si Windows est cracké
Enfin vous pouvez vérifier sir le programme KMSpico est installé dans la liste des programmes de
Windows.
Comment vérifier si Windows est cracké

L’activation sur Windows 10

Lire la page : Activation et licence de Windows 10 et FAQ : Les licences de Windows 10
Des codes erreurs avec explications y sont aussi données.

REF.:

mercredi 18 avril 2018

IBM dévoile le plus petit ordinateur du monde, pas plus gros qu’un grain de sel !




La marque IBM réussit l’impossible : développer l’ordinateur le plus petit de la planète. De la taille d’un grain de sel !
IBM dévoile le plus petit ordinateur du monde, pas plus gros qu'un grain de sel !
La taille de cet ordinateur d’IBM est exceptionnelle
Lors de la conférence Think 2018 à Las Vegas, l’entreprise américaine IBM a présenté un appareil tout à fait étonnant. La marque, qui a révolutionné l’univers informatique, frappe fort une nouvelle fois en dévoilant l’ordinateur le plus petit du monde. De la taille d’un grain de sel ! L’unité en question ne mesure que 1mm par 1mm. Elle intègre le processeur x86, utilisé par les premiers ordinateurs de bureau IBM dans les années 90.

IBM crée une unité complète minuscule pour limiter le vol et les contrefaçons

Ce « crypto-anchor » microscopique (ou ancre cryptographique) est un système complet avec processeur, mémoire, module de stockage et de communication. En fait, il s’avère être un dispositif anti-fraude. En effet, IBM souhaite proposer une nouvelle solution de lutte contre la fraude dans le monde du transport et de la logistique. Ainsi, ces mini-ordinateurs permettraient de vérifier l’authenticité d’un produit.
En prime, il est peu cher puisque sa production coûterait moins de 10 cents. Cet ordinateur pourrait donc être intégré dans n’importe quel objet, comme les étiquettes de prix ou l’emballage des produits. Avec ce petit grain de selIBM améliorerait ainsi la sécurité de la chaîne d’approvisionnement. « Il pourra surveiller, analyser, communiquer et même agir sur les données. « Il peut aider à vérifier qu’un produit a été manipulé correctement tout au long de son long voyage.« , a déclaré la société.
Encore au stade de prototypes, les unités serviront également à authentifier les produits achetés en ligne comme les aliments, les produits pharmaceutiques et les produits de luxe pour s’assurer qu’ils n’ont pas été altérés.  Utilisés en association avec une blockchain, ces petits ordinateurs assureront l’authenticité d’un objet depuis son point d’origine jusqu’à son arrivée entre les mains d’un client. En somme, IBM espère faire de son minuscule ordinateur le digne remplaçant des puces RFID.


REF.:

Électricité: Robot solution ?



LineScout – Un robot polyvalent pour lʼinspection des lignes aériennes

Le LineScout est une plateforme robotique conçue pour lʼinspection et la maintenance des lignes de transport sous tension. Capable de franchir la plupart des obstacles sur son chemin, le LineScout est un outil de choix pour obtenir une information détaillée de qualité, essentielle pour assurer la fiabilité du réseau sans compromettre lʼexploitation. Les capteurs dʼévaluation non destructives quʼil transporte permettent le diagnostic de lʼétat des conducteurs, et ce, en minimisant lʼéchantillonnage. Il vous fournit une information de qualité, détaillée, essentielle à la prise de décision.
Outre lʼinspection, le LineScout peut accomplir certaines tâches de maintenance en toute sécurité, comme la réparation de brins brisés sur les conducteurs et les câbles de garde.


LineROVer – Un robot compact pour lʼinspection des lignes aériennes

Léger et compact, le LineROVer a été mis au point pour le déglaçage des câbles de garde et des conducteurs aériens. Ce robot télécommandé a depuis trouvé de nombreuses applications pour lʼinspection et la maintenance des lignes aériennes de transport et de distribution, sur lesquelles il peut intervenir même quand elles sont sous tension.
Simple dʼutilisation et dʼinstallation, le LineROVer sʼavère un outil de choix pour une vaste gamme dʼinterventions dans des endroits difficiles dʼaccès.



LineCore – Un détecteur de corrosion pour les conducteurs en aluminium-acier

Le détecteur LineCore vous renseigne sur lʼétat de la protection galvanique des conducteurs de lignes de transport et de distribution. Déployable sur un réseau sous tension, il mesure avec précision lʼépaisseur de la couche de zinc dʼune portée complète. Vous pouvez ainsi déceler les anomalies causées par la corrosion avec un minimum dʼéchantillonnage.
Cʼest lʼoutil de choix pour obtenir une information détaillée sur lʼétat des conducteurs en aluminium-acier (ou ACSR pour Aluminum Conductor Steel Reinforced).
Les données fournies par le détecteur LineCore permettent de calculer le niveau de dégradation du conducteur et contribuent à lʼévaluation de la fin de sa durée de vie utile.



DRONES - Révolution dans le marché de l’inspection et de la maintenance de lignes de transport

Développer des drones ultraperformants et spécialisés pour la réalisation de tâches dʼinspection et de maintenance des infrastructures de lʼindustrie électrique


REF.: