jeudi 30 août 2018

FRSSystemWatch : visualiser les modifications de Windows en temps réel

Process Explorer, processus, windows

FRSSystemWatch est un outil gratuit qui permet de visualiser les modifications effectuées en temps réel sur le disque par Windows ou des applications.
Cet outil liste les actions effectuées et modifications sur le disque dur ainsi que dans le registre Windows.
Cela est très pratique si vous souhaitez visualiser les changements faits lors de l’installation d’une application par exemple.

FRSSystemWatch : visualiser les modifications de Windows en temps réel

La page officielle du site FRSSystemWatch est ici.
Une fois installé, la fenêtre de FRSSystemWatch se présente ainsi avec la liste des modifications en temps réel qui défile.
Une icône permet d’indiquer s’il s’agit d’un accès sur un fichier, disque ou registre Windows.
Enfin la colonne Action permet donne les actions effectuées sur les fichiers : supprimer, renommer.
Dommage que l’outil n’indique pas le processus source à l’origine des modifications de fichiers sur le disque.

Si vous cherchez des fichiers ou clé en particulier, le bouton jumelle permet d’effectuer une recherche par mot clé.

Par défaut FRSSystemWatch traque toutes modifications sur le disque C mais vous pouvez restreindre la surveillance à un dossier, fichier ou clé du registre Windows depuis le menu Watch.
En effet l’outil n’affiche pas les modifications sur le registre Windows mais il est possible de surveiller des clés du registre.

Cette liste peut-être copier/coller en sélectionnant l’intégralité avec les touches CTRL+A ou clic droit puis select all.
Il est alors possible de coller le contenu dans le bloc-note.

Enfin, depuis le menu settings > Color Scheme, vous pouvez changer les couleurs de FRSSystemWatch

Alternative à FRSSystemWatch

Il existe beaucoup d’alternatives à FRSSystemWatch.
Le plus connu est Procmon qui est beaucoup plus complet mais aussi compliqué à utiliser.
Un aperçu de ce dernier est disponible sur la page : Procmon : surveiller l’activité Windows ou une d’application
D’autres outils de ce type sont aussi listés sur la page: Monitorer l’activité système ou d’un programme

REF.:

Virus : Attaque contre TSMC ,circulez, y’a rien à voir ?

Attaque contre TSMC : Circulez, y’a rien à voir ?

Libellés

cpu, WannaCry, virus, iPhone, TSMC, Hackers

Sécurité : Le fondeur TSMC a annoncé un retour à la normale de sa chaîne de production, affectée par une attaque informatique. Producteur de processeurs pour de nombreux acteurs et constructeurs, dont Apple, TSMC est aujourd’hui une cible de choix pour les cybercriminels

Par Louis Adam | Lundi 06 Août 2018

Mise à jour le 06/08 à 16h30 : Lors d'une conference de presse, les dirigeants de TSMC ont donné un peu plus de détails sur l'attaque. Comme le rapporte Zdnet.com, le virus en question était une variante de WannaCry, qui se serait activée suite à l'installation d'un logiciel n'ayant pas été vérifié. De nombreux postes opérationnels utilisés par la chaine de fabrication de TSMC utilisent encore Windows 7 comme système d'exploitation et ne disposent pas du correctif permettant de bloquer la propagation du virus.
TSMC, tiré d’affaire ? C’est ce que laisse entendre le dernier communiqué publié par le fondeur, qui annonce avoir repris le contrôle de sa chaîne de production affectée par « un virus » comme l’avait annoncé la société dans un communiqué publié hier. L’information avait été initialement publiée par l'agence Bloomberg, qui dans un article publié vendredi faisait savoir qu’un virus avait infecté plusieurs systèmes informatiques de TSMC et avait bloqué la chaîne de production de la société taïwanaise. Selon la directrice du groupe, c'est la première fois qu'une attaque informatique vient directement affecter les capacités de production de la société.

Dans un communiqué publié hier, TSMC confirme l’information de Bloomberg et explique que « 80% des outils de l’entreprise ont pu être rétablis » à la mi-journée, et que la société espère un retour à la normale complet dans la journée de lundi.
TSMC ne donne pas beaucoup de détails sur la nature exacte de l’attaque ayant affecté ses systèmes. La société se contente de designer « un virus » comme l’origine de l’attaque. TSMC blâme « une mauvaise manipulation ayant eu lieu pendant l’installation d’un nouvel outil logiciel, qui a permis à un outil de se répandre dans le système informatique une fois l’outil connecté au système. »
Pas de précision sur le type de virus en question ni sur les dégâts que celui-ci tentait de causer (vol, espionnage ou destruction de données) : TSMC préfère communiquer sur le fait que le problème est réglé et que le cours normal des opérations est en train de reprendre.
TSMC a pourtant des raisons de s’inquiéter. Les derniers mois ont montré une recrudescence des attaques informatiques visant la chaîne d’approvisionnement des constructeurs plutôt que les utilisateurs ou les terminaux.
On peut ainsi rappeler le cas de CCleaner, dont l’utilitaire de désinfection avait été victime d’une mise à jour malveillante modifiée par des cybercriminels afin de diffuser des malwares sur des systèmes informatiques appartenant à plusieurs acteurs du secteur informatique.
TSMC fournit également de nombreux acteurs en puces électroniques : Apple est souvent cité parmi ses clients, mais c’est aussi le cas d’ATI ou Nvidia qui se fournissent chez TSMC pour construire leurs produits. Le système informatique et la chaîne de production de TSMC sont donc une cible de choix pour les cybercriminels qui chercheraient à toucher ces différentes sociétés en visant le point commun entre ces entités.

A lire aussi :

iPhone : les puces de nouvelle génération 7 nm entrent en production

REF.:

mardi 28 août 2018

Nettoyer et supprimer les fichiers en doublon sur vos disques

Libellés

Fichier, doublon

Pour gagner en place disque, vous cherchez à supprimer les fichiers inutiles.
Dans ces fichiers inutiles, vous pouvez avoir des fichiers qui sont en doublons ou dupliqués.
Heureusement, il existe plusieurs utilitaires qui permettent d’analyser vos disques dur internes ou externes afin de détecter et supprimer les fichiers identiques.
Attention à son utilisation car vous pouvez supprimer des fichiers systèmes.
Cet article vous présente quelques utilitaires et vous donnent aussi tous les conseils pour nettoyer et supprimer les fichiers en doublon sur vos disques.

Table des matières [masquer]

Nettoyer et supprimer les fichiers en doublon sur vos disques

Pour ne pas endommager le système, vous devez prendre quelques précautions en utilisant ces utilitaires d’analyse et détections de fichiers en doublon.
En effet, certains peuvent analyser tout le disque C et proposer de supprimer des fichiers systèmes.
Nous vous conseillons donc dans la mesure du possible de pas analyser tout le disque C mais plutôt :

que vos disques dur externes, si vous cherchez à nettoyer et libérer de la place disque sur ces derniers
que vos dossiers documents ou à défaut celui de vos profils utilisateurs : C:\Utilisateurs

En clair donc, n’utilisez que ces utilitaires pour trouver des fichiers images, documents Word ou autres identiques et en doublon.
Évitez de tenter de nettoyer Windows, les fichiers systèmes, DLL ou autres avec ces utilitaires.

Les logiciels pour analyser les fichiers doublon

Voici une sélection de quelques utilitaires qui permettent de trouver des fichiers en doublon pour vous proposer ensuite de les supprimer.
La plupart des utilitaires se présentent avec les mêmes fonctions, à savoir :

vous choisissez le dossier ou disque à analyser
choisir la méthode de comparaison : nom de fichiers avec ou sans la taille, sur le hachage du fichier.
vous pouvez mettre des exceptions, par exemple, ne détecter que les fichiers au dessus d’une certaines tailles ou filtrer sur les extensions de fichiers.

Wise Duplicate Finder

Cet utilitaire est très simple d’utilisation et disponible en français.
Vous arrivez sur une interface à partir duquel vous choisissez le dossier à analyser puis la méthode de comparaison.
Cela peut aller du nom et taille de fichiers à une correspondance totale ou partielle.
En bas à droite, un bouton paramètres avancés permet aussi de filtrer sur la taille ou les extensions de fichiers.

puis les fichiers en doublon s’affichent avec leurs emplacements.

Vous pouvez alors supprimer ces derniers, à noter que Wise Duplicate Finder fait une copie de sauvegarde.

Le lien Officiel pour télécharger Wise Duplicate Finder : https://www.wisecleaner.com/wise-duplicate-finder.html

AllDump

Cet utilitaire pour trouver les fichiers en doublon est plutôt à destination des utilisateurs avancés.
Il s’agit probablement de l’application qui offre le plus de fonction dans une version freeware.
Dans un premier temps, vous pouvez choisir les emplacements à analyser et la méthode de comparaison de fichiers.

Alldump est aussi capable de détecter les images identiques mais avec des taux de compression différentes.
Il est aussi possible de trouver les fichiers strictement identiques à partir de leur hash.

On peut aussi examiner les fichiers archives, filtrer sur les dossiers.
Par défaut les dossiers systèmes ne sont pas analysés.

Selon le type de comparaison, le résultat sera différent.
Par exemple, le résultat peut se présenter sous la forme d’un tableau où les fichiers identiques sont regroupés par taille de fichiers.

mais on peut aussi regrouper les fichiers identiques par nom.

Télécharger Alldump : http://www.alldup.info/en_download_alldup.php

DupeGuru

DupeGuru est un logiciel gratuit et disponible en langue française.
C’est probablement le logiciel le plus lent au niveau de la vitesse de d’analyse des fichiers car il fait une comparaison stricte des fichiers.

Nettoyer et supprimer les fichiers en doublon sur vos disques avec DuGuru

Le résultat se présente avec les fichiers en doublon et le taux de comparaison.
Vous pouvez alors cocher les fichiers pour effectuer divers actions.

Cela peut aller de la copie et déplacement dans la corbeille de Windows ou autres dossiers, à la suppression totale.

Télécharger DupeGuru : https://dupeguru.voltaicideas.net/

Auslogics Duplicate File Finder

Auslogics Duplicate File Finder est un autre logiciel pour trouver les fichiers identiques assez simple d’utilisation.
Il est disponible en français et possède un assistant qui permet de guider dans la recherche.
De ce fait, c’set probablement un des logiciels de suppression de fichiers en doublon les plus simple d’utilisation.
Voici les captures d’écran de l’assistant où vous réglez alors les diverses options de l’analyse avant de lancer celle-ci.

Les fichiers identiques apparaissent alors et vous pouvez supprimer ces derniers.
Vous pouvez supprimer définitivement ces fichiers, les déplacer vers la corbeille de Windows ou encore vers le Rescue Center d’Auslogics.

Télécharger Auslogics Duplicate File Finder : https://www.auslogics.com/en/software/duplicate-file-finder/
Attention car durant l’installation, des logiciels additionnels du même éditeur vous seront proposés.

CCleaner

L’utilitaire de nettoyage bien connu de Windows possède aussi une fonction qui permet de trouver les fichiers identiques.
Il faut se rendre dans le menu Outils > recherche de fichiers en doublon.
Vous pouvez alors choisir le type de comparaison de fichiers : nom, taille, date de modifications et contenu.
Un filtrage pour ignorer certains contenus est mise à disposition.
Enfin vous pouvez choisir les dossiers à analyser.

Attention car par défaut CCleaner analyse tout le disque C (C:\*.* est coché dans inclure).
Le logiciel va alors détecter beaucoup de fichiers systèmes de Windows et liés à des applications en doublon.
Il ne faut pas supprimer ces fichiers, vous risquez de provoquer de graves dysfonctionnements de vos logiciels ou même de Windows.
Décochez bien l’analyse sur C:\*.* et ajoutez vos dossiers Documents.

Plus d’informations sur CCleaner : Tutoriel CCleaner : nettoyer Windows gratuitement

CloneSpy

Enfin CloneSpy est le dernier utilitaire avec une interface un peu vieillotte.
CloneSpy peut générer un journal d’analyse ou effectuer des actions comme supprimer les fichiers identiques ou les déplacer.
La comparaison peut se faire sur divers critères que vous pouvez mixer : le nom, la taille de fichiers, extensions de fichiers.

Beaucoup d’options sont disponibles avec des filtrages sur l’extension de fichiers, des filtres sur les dossiers.
CloneSpy permet aussi de générer des journaux qui sont paramétrables.

Télécharger CloneSpy : http://www.clonespy.com

Autres liens

Quelques autres liens pour nettoyer Windows, libérer et gagner de la place disque.

Pour ne pas ralentir Windows, vous pouvez suivre notre guide complet : Guide complet d’entretien Windows
Pour accélérer Windows, plusieurs guides sont disponibles sur le site

REF.:

Bluetooth : une faille pour accéder aux données, en théorie

Libellés

Bluetooth, failles

Sécurité : Des correctifs sont en cours pour un bug du Bluetooth qui pourrait affecter Apple, Intel, Broadcom et certains terminaux Android. L'attaque exploitant la vulnérabilité reste cependant complexe à mettre en oeuvre.

REF.: Par Liam Tung

Un bug cryptographique dans de nombreux firmwares Bluetooth et pilotes pour systèmes d'exploitation pourrait permettre à un attaquant dans un rayon d'environ 30 mètres de capturer et de déchiffrer les données partagées entre des terminaux associés en Bluetooth.
La faille a été découverte par Lior Neumann et Eli Biham, de l’Israël Institute of Technology, et signalée aujourd’hui par le CERT de l’Université Carnegie Mellon. La vulnérabilité, qui fait l'objet d'un suivi sous la référence CVE-2018-5383, a été confirmée pour affecter Apple, Broadcom, Intel et Qualcomm, ainsi que certains terminaux Android.
Cela affecte le couplage simple sécurisé (Secure Simple Pairing) et les connexions sécurisées à faible consommation d'énergie (Low Energy Secure Connections) du Bluetooth. Heureusement pour les utilisateurs de macOS, Apple a publié un correctif pour la faille en juillet.

Incertitude sur Android

Comme l'explique la note du CERT, la vulnérabilité est due aux implémentations Bluetooth de certains fournisseurs qui ne valident pas correctement l'échange de clés cryptographiques lorsque des périphériques Bluetooth sont associés. La faille s'est glissée dans l'implémentation d'échange de clés Bluetooth qui utilise l'échange de clés ECDH (Diffie-Hellman à courbe elliptique) pour établir une connexion sécurisée sur un canal non sécurisé.
Cela peut permettre à un attaquant proche, mais à distance, d'injecter une clé publique bidon afin de déterminer la clé de session lors de l'échange de clés public-privé. Il pourrait alors mener une attaque de type "man-in-the-middle" et "intercepter et déchiffrer passivement tous les messages du terminal, et/ou forger et injecter des messages malveillants."
Même si Microsoft a indiqué que Windows n'était pas directement concerné, Intel a répertorié de nombreux modules de puces sans fil pour Windows 7, 8.1 et 10 qui le sont, ainsi que des modules sans fil pour les machines Chrome OS et Linux.
Intel recommande aux utilisateurs d'effectuer la mise à niveau vers le dernier pilote et de vérifier auprès des fournisseurs s'ils fournissent un pilote corrigé dans leurs mises à jour respectives. Dell a publié un nouveau pilote pour le driver Qualcomm qu’il utilise, tandis que la mise à jour de Lenovo concerne la vulnérabilité du logiciel Intel.
LG et Huawei ont référencé des correctifs pour CVE-2018-5383 dans leurs mises à jour de juillet respectives pour les terminaux mobiles.
Le CERT précise qu'on ignore si Android, Google ou le noyau Linux sont affectés. Il n’en est pas fait mention dans le bulletin de sécurité Android de juillet de Google ni dans les bulletins antérieurs.
Comme l'explique le CERT, l'ECDH est constitué d'une clé privée et d'une clé publique, cette dernière étant échangée pour créer une clé d'appariement partagée.

Des conditions pour une attaque réelle

"Les terminaux doivent également s’accorder sur les paramètres de la courbe elliptique utilisés. Des travaux antérieurs sur "Invalid Curve Attack" ont montré que les paramètres ECDH ne sont pas toujours validés avant d’être utilisés pour calculer la clé partagée résultante, ce qui réduit l'effort de l'attaquant pour obtenir la clé privée du périphérique attaqué si l'implémentation ne valide pas tous les paramètres avant de calculer la clé partagée" écrit Garret Wassermann du CERT.
Bluetooth SIG, l'organisation responsable de Bluetooth, relativise les chances de réussite d'une attaque réelle, en partie parce que cet exploit repose sur la nécessité de se trouver à portée des deux appareils vulnérables. Néanmoins, elle a mis à jour sa spécification pour exiger que les fournisseurs valident toute clé publique reçue pendant l'échange.
"Pour qu'une attaque réussisse, un terminal attaquant doit se trouver dans la portée sans fil de deux périphériques Bluetooth vulnérables qui subissent une procédure d'appairage" rappelle Bluetooth SIG.
"Le terminal attaquant devrait intercepter l’échange de clés publiques en bloquant chaque transmission, en envoyant un accusé de réception au terminal émetteur, puis en injectant le paquet malveillant dans le terminal de réception au cours d'une fenêtre de temps limitée. Si seul un terminal est vulnérable, l'attaque ne pourrait réussir" ajoute l'organisation.

REF.:

Certaines applications Android font des captures de votre écran sans autorisation

Libellés

Android, anonymat, vol d'identité

En se penchant sur la question des outils de tracking présents dans les smartphones, une équipe de chercheurs a remarqué que certaines applications Android ne se privaient pas d'effectuer des captures d'écran.
Depuis plus d'un an, des chercheurs de l'université Northeastern (États-Unis) cherchent à savoir si certains outils présents sur les mobiles permettent à des entités tierces d'observer les faits et gestes des utilisateurs. Si l'équipe cherchait initialement à prouver que certains smartphones nous écoutent, ils ont trouvé un tout autre résultat. Bien qu'ils n'aient pas trouvé d'éléments attestant du détournement du microphone, d'autres points sont apparus comme plutôt surprenants. Selon le rendu de leur étude, plusieurs applications Android se chargeraient effectivement d'effectuer des captures d'écran à l'insu de leur propriétaire.

Des captures d'écrans prises à n'importe quel moment

Les chercheurs se sont penchés sur le cas de l'application GoPuff, qui fait effectivement des captures d'écran des téléphones, mais qui les envoie également à la société AppSee. Pour ce qui est du rôle de cette dernière, elle se charge de fournir des outils de tracking puissants dont les données sont ensuite récupérées pour faire des analyses comportementales. L'un de ses outils permet ainsi de faire des captures d'écran et des courtes vidéos de l'écran d'un smartphone Android. Des mots de passe, des identifiants ou d'autres informations confidentielles ont très bien pu être enregistrés par ce biais. Après avoir fait cette découverte, les chercheurs ont contacté GoPuff qui aurait apparemment retiré l'API trop curieuse.

Compte tenu du fait que Google demande aux applications présentes sur le Play Store d'indiquer comment les données des utilisateurs sont utilisées, la firme se penche désormais sur le cas. Ce n'est pas la première fois que sa boutique d'application est sujette à des problématiques liées à la confidentialité et à la protection des données des utilisateurs. Il y a quelques mois, le New York Times se penchait sur l'existence d'Alphonsohttps://www.clubic.com/pro/legislation-loi-internet/donnees-personnelles/actualite-841038-android-centaines-apps-espionnent-regardez.html, un logiciel espion qui se serait retrouvé dans environ 200 applications Android, dont certaines sont destinées aux enfants.

REF.:

Blogue a Théodule !

Rechercher sur ce blogue

jeudi 30 août 2018