Stockage de fichiers en ligne (Cloud)

Un article pour présenter et comprendre le stockage de fichiers en ligne (Cloud).
Ce système de stockage en ligne devrait, être de plus en plus connu, avec OneDrive présent par défaut sur Windows 10.
Nous verrons la présentation de quelques services en ligne.
A noter qu’il existe un précédent article sur le forum : Cloud : Stockage de fichiers en ligne

Table des matières [masquer]

• 1 Principe du stockage en ligne
  • 1.1 OneDrive sur Windows 10
  • 1.2 Les conditions d’utilisation
  • 1.3 Protection des données
• 2 Quelques services de stockage en ligne
  • 2.1 Dropbox
  • 2.2 Hubic
  • 2.3 Google Drive
    • 2.3.1 OneDrive
  • 2.4 Stockage Cloud libre

Principe du stockage en ligne

Le stockage en ligne, est un service WEB qui permet comme son nom l’indique d’avoir ses fichiers sur des serveurs distants.
Pour cela, vous installez un programme sur votre ordinateur et un compte au près de l’hébergeur.
Le programme va alors créé un espace de stockage sur votre ordinateur, sous la forme d’un dossier qui sera en lien avec celui de l’hébergeur.
Ce dossier est donc réalité, celui de l’espace de stockage.
Lorsque vous copiez un nouveau fichier, il sera envoyé directement à l’hébergeur.

Cloud signifie informatique en nuage, c’est le stockage en ligne de données accessible facilement à distance.
Dans cet article, on parle surtout du stockage de données en ligne comme vos documents personnelles. Par exemple les antivirus, eux, permettent, via le client antivirus d’accéder à des données de l’éditeur (comme des bases de données de fichiers/malwares volumineuses).
Le Cloud ouvre l’accès au Big Data, c’est à dire le stockage de données massif et son exploitation pour des données statistiques par exemple.

Certains services de stockage en ligne sont gratuits jusqu’à une limite d’espace disque.
Par exemple, Dropbox est gratuit pour 2 Go, OneDrive est gratuit pour 5 Go et Hubic sont gratuits pour 25 Go.
Par exemple, ci-dessous, un dossier Dropbox avec les fichiers s’y trouvant.

Cet espace de stockage est aussi accessible depuis le site de l’hébergeur depuis n’importe quel ordinateur, à partir de votre nom d’utilisateur et mot de passe.
Cela permet aussi de gérer vos fichiers, comme par exemple, la possibilité de partager un fichier ou dossier à des amis.
Ces derniers vont alors recevoir un mail avec le lien pour consulter ces fichiers en ligne.
En définitive, ces services de stockage sont assez pratique pour partager des photos et images facilement.

OneDrive sur Windows 10

OneDrive et les autres services de stockage en ligne fonctionnent de la même manière.
On retrouve ci-dessous, le dossier OneDrive sur l’ordinateur :

et le site qui permet aussi de consulter les documents en ligne :

Je rappelle à ce propos, que sur Windows 10, lorsque vous utilisez un compte Microsoft. La configuration par défaut, veut que les documents de votre espace utilisateur soit stockées sur OneDrive.
Les avantages :

• Partage facile entre internautes, surtout dans le cas de photos qui font 4 Mo. Beaucoup plus pratiques que les mails.
• Partage facile entre ordinateurs et tablettes pour accéder à vos documents. Il existe des solutions alternatives comme les NAS, ou le stockage sur votre Box.
• Si vous réinstallez Windows, vous récupérez rapidement vos documents.

Les limites :

• Vous êtes dépendant de la vitesse de votre connexion internaute. Si celle est faible, l’envoie des documents et la consultation peut prendre du temps.
• Oubliez la mise en ligne de documents volumineux (films etc). Notez que certains services de stockage en ligne amricains peuvent vous dénoncer.

Pour une présentation plus poussée de OneDrive, lire la page : OneDrive sur Windows 10

Les conditions d’utilisation

Les conditions d’utilisation des services de stockage en ligne ne sont pas les mêmes, notamment sur la propriété intellectuelle ou du côté des scans pour dresser un profil utilisateur.
Je vous conseille de bien lire les conditions avant d’utiliser ce type de service.
Pensez aussi que pour les sociétés américaines, celle-ci peuvent appliquer le Safe Harbor à vos documents (partage avec la NSA etc).
Sur la page Cloud : Stockage de fichiers en ligne, la première partie aborde cet espace avec quelques captures d’écran de conditions d’utilisation.

La plupart, si ce n’est pas l’intégralité, de ces services de partages de fichiers vont analyser de manière automatique les données.
Par exemple, pour détecter des doublons et ne stocker qu’une seule version du fichier, ceci afin de gagner de l’espace disque côté serveur.
Le fameux « afin d’améliorer la qualité du service » que l’on retrouve souvent dans les conditions d’utilisation.

Protection des données

Si vous ne souhaitez pas que vos données soient analysées, partagées à votre insu par ces services, deux solutions :

• Ne pas utiliser ces services
• Chiffrer les documents que vous y placez (Exemple : Comment Chiffrer / Crypter des données).

Les services de Cloud n’ayant pas votre clé, ils ne pourront pas déchiffrer le contenu et donc lire les données.

Quelques services de stockage en ligne

Si vous êtes sur Windows 10 et que vous optez pour un service de partage de fichiers autre que OneDrive.
Vous pouvez désactiver OneDrive.
Pensez aussi que certains services de stockage de fichiers, lors du partage oblige à avoir un compte sur le services Cloud.

Dropbox

Dropbox est gratuit jusqu’à une utilisation 2 Go.
Le site de Dropbox : https://www.dropbox.com
Dropbox fonctionne sur Linux (pas testé)
Il existe, bien entendu, des offres payantes :

Notez qu’avec Dropbox, lorsque vous partagez le contenu d’un dossier, la personne tiers a besoin d’un compte Dropbox pour consulter ce contenu.

• L’avantage : votre contenu est protégé d’une consultation publique.
• Le désavantage : il faut créer un énième compte en ligne.

Plus d’informations sur le fonctionnement de Dropbox : Dropbox : comment stocker en ligne ses documents

Hubic

Hubic est le service de stockage en ligne d’OVH. Pou rappel, OVH est une société française.
Hubic est gratuit avec un espace de 25 Go.
Le site : https://hubic.com/fr/
On retrouve le dossier Hubic sur votre ordinateur qui sera synchronisé avec les serveurs du Cloud.

Hubic fonctionne avec un programme qui place une icône dans le systray (icône en bas à droite à côté de l’horloge).

Hubic est compatible GNU/Linux :

Côté partage de fichiers (publication) :

On indique l’adresse email du destinataire :
Hubic créé une URL raccourcie et va envoyer un mail au destination.
Vous pouvez effectuer un partage (publication) temporaire.

Le mail reçu par le destination qui donne un lien pour consulter les données en ligne :

Le dossier est marqué comme partagé :

Remarque : Le contenu partagé depuis Hubic est donc public, aucun besoin d’un compte pour y accéder.
De plus, Hubic utilise des URLs courtes.
Il doit être possible d’effectuer un scan pour trouver des URLs courtes afin de trouver du contenu partagé.

Google Drive

Google Drive propose un espace gratuit de 15 Go à l’adresse suivante : https://www.google.com/intl/fr_fr/drive/
Pour fonctionner, vous devez avoir un compte Google afin de pouvoir vous authentifier sur ce service.
Le fonctionnement de Google Drive est identique à tous les autres services de partages de fichiers.
L’application Google Drive peut être installée sur l’ordinateur, un dossier Google Drive est alors créé.
Vous pouvez y placer vos documents.

La consultation des fichiers depuis l’interface Google Drive
Le partage de fichiers est possible, seulement si l’adresse email indiquée est liée à un compte Google.

OneDrive

Par défaut dans Windows 10, le service est gratuit jusqu’à 5 Go d’espace disque.
Pour plus d’informations, se reporter à la page : OneDrive sur Windows 10

  Autres services Cloud:

pCloud

Visitez pCloud

Voici un jeune service Cloud qui gagne à se faire connaitre. Basé en Suisse et créé en 2013, pCloud apporte ce qui se fait de mieux à ce jour dans le domaine du stockage dans le nuage. L'atout qui fera craquer les énervés du fichier ultra-volumineux : ce service n'appose aucune limitation sur la taille maximale des fichiers uploadés.

Pour son offre gratuite, pCloud propose 10 Go de stockage en ligne. Cette taille peut augmenter jusqu'au double via un système de parrainage, devenant de fait la meilleure offre gratuite de notre comparatif.

Les offres payantes commencent à partir de 4,99€/mois (Premium) pour 500 Go de stockage. Pour 2 To (Premium Plus), comptez 9,99€/mois, soit deux fois plus d'espace de stockage que la concurrence au même prix. Autre service surprenant : la possibilité de régler en une seule fois 125€ pour souscrire à vie (définie à 99 ans maximum) au Premium et 250€ pour le Premium Plus.

Pour assurer la sécurité de ses utilisateurs, pCloud utilise non seulement le chiffrage SSL dans les communications, mais aussi un cryptage en local via son service pCloud Crypto (abonnement mensuel de 4,99€). Vos fichiers deviennent ainsi inviolables. Et pour ne rien gâcher, pCloud est capable de générer des sauvegardes de vos comptes Dropbox, Facebook, Instagram, OneDrive et Google Drive.

Notons également que pCloud supporte tous les systèmes d'exploitation (Windows, macOS, GNU/Linux, Android et iOS), et qu'un nombre illimité d'appareils peut se connecter à un même compte.

 

 

 

Stockage Cloud libre

Voici quelques stockage Cloub libre ou utilisant des logiciels libres, faisant attention à la vie privée.
Non testé.

• OwnCloud : Plateforme de service et de stockage en ligne libre qui se veut être une alternative à Dropbox.
• NexCloud : il s’agit d’un fork d’OwnCloud fondé en 2016.
• Sparkleshare : Un stockage libre et gratuit.
• SpiderOak : Un hébergement basés sur des logiciels Open Source et faisant très attention à la vie privée.
• Ubuntu one : C’est le service de Canonical Ltd, la société à l’origine de la distribution Linux Ubuntu. Un client Windows et MacOS existe.
• syncany : une solutions complètement libre, mais encore en développement

REF.:

Les anti-Keylogger pour se protéger des keyloggers

Les anti-Keylogger sont des programmes destinés à protéger contre les keyloggers (enregistreurs de frappes claviers).
Les keyloggers sont des logiciels malveillants qui enregistrent les frappes claviers
Voici une présentation rapide et explique autour des anti-keyloggers.

Table des matières [masquer]

• 1 Les Anti-Keyloggers
  • 1.1 KeyScrambler
  • 1.2 Zemana AntiLogger
  • 1.3 SpyShelter Anti-Keylogger
• 2 Les anti-keylogger en vidéo
• 3 Conclusion autour des anti-keylogger

Les Anti-Keyloggers

Les Anti-Keyloggers protègent de l’enregistrement des frappes claviers qui peuvent être récupérés par des cybercriminels.
Voici quelques anti-keyloggers gratuits.

KeyScrambler

KeyScrambler est un anti-keylogger gratuit de la société QFX Software.
Cet anti-keylogger agit comme un keylogger et intercepte les frappes claviers des applications afin de chiffrer le contenu.
D’après nos tests, KeyScrambler protège de l’enregistrement de frappe clavier sur les navigateurs internet.
Le chiffrement des claviers se fait au niveau kernel.
> Télécharger KeyScrambler

Ainsi, avec un keylogger de type userland, effectivement cela fonctionne, qui ne parvient pas à récupérer les frappes clavier.

ou encore cet autre Trojan RAT, qui ne parvient pas à récupérer les frappes clavier du navigateur internet.

Zemana AntiLogger

Zemana AntiLogger est un anti-keylogger gratuit qui protège de la récupération de frappes clavier et analyse l’ordinateur à la recherche de logiciels malveillants.
L’utilisation est très simple avec une gestion de la quarantaine.
D’après nos tests, Zemana AntiLogger réussi bien à protéger contre les keyloggers.

Télécharger Zemana AntiLogger

SpyShelter Anti-Keylogger

SpyShelter Anti-Keylogger fonctionne lui par des détections de comportements.
Le but est donc de détecter les menaces informatiques et trojans qui tentent d’enregistrer les frappes claviers, effectuer des captures d’écran etc.
> Télécharger SpyShelter Anti Keylogger

Sur le Trojan suivant, cela fonctionne bien.
Toutes les actions (keylogger, surveiller le presse papier, activer la webcam) sont détectés.

SpyShelter Anti-Keylogger va emétre des alertes sur la plupart de vos applications.
Ce sera à l’utilisateur de statuer sur celle-ci.

Les programmes peuvent alors être ajoutées dans une liste blanche.

Les anti-keylogger en vidéo

En démonstration, une vidéo qui montrent les anti-keylogger en action :

Conclusion autour des anti-keylogger

Faut-il nécessairement installer un anti-keylogger ?
Non… les keylogger sont très souvent des fonctions de cheval de troie, or si on suit la logique des éditeurs, il faudrait installer un antivirus, un pare-feu, un anti-ransomware, un anti-keylogger.
Bref, on en finit plus d’acheter des logiciels et pour les petites configurations, cumuler tous ces programmes peuvent conduire à de forts ralentissements.
Les keyloggers sont distribués comme des malwares classiques, ainsi, il faut simplement se protéger en amont et surtout avoir de bonnes habitudes pour ne pas infecter son ordinateur.
Connaître la manière dont sont distribués les malwares est donc la première chose à savoir.
Pour éviter les virus, il faut savoir comment les pirates s’y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués

REF.:

Dans la série des utilitaires simples et très utile, voici SysHardener.
Ce dernier permet de désactiver des fonctions de Windows, assez inutiles et qui sont généralement utilisées pour propager des logiciels malveillants.
L’utilitaire est gratuit et édité par NoVirusThank, dont nous avions déjà par le passé parlé d’OSArmor.

Table des matières [masquer]

• 1 SysHardener : sécuriser Windows facilement contre les virus
  • 1.1 Réglages généraux de Windows
  • 1.2 Restriction Powershell
  • 1.3 Désactiver les extensions dangereuses
  • 1.4 Désactiver des Services Windows
  • 1.5 Sécuriser Office et Adobe
  • 1.6 Réglages du pare-feu de Windows
• 2 Plus loin dans la sécurité Windows

SysHardener : sécuriser Windows facilement contre les virus

SysHardener est donc un utilitaire gratuite qui permet d’activer ou désactiver des fonctions de Windows afin de sécuriser Windows.
Son utilisation est donc simple, vous devez simplement cocher et décocher certains éléments pour activer ou non ces fonctions.
Cela peut permettre d’optimiser Windows puisqu’il permet de désactiver des services de Windows.
Télécharger SysHardener
SysHardener reprend une partie des tutoriels suivants qui permettent de limiter certains fonctions utilisés par les logiciels malveillants pour infecter Windows :

• Comment se protéger des scripts malicieux sur Windows et limiter PowerShell : Les virus Powershell
• Firewall Windows : les bon réglages
• ublock sur ton navigateur internet

Cet article va énumérer quelques une des possibilités de SysHardener.

Evitez de désactiver tout et n’importe quoi sans savoir.
Je vous conseille aussi de créer un point de restauration avant de changer les paramètres.

Réglages généraux de Windows

La première partie concerne l’UAC et le contrôle des comptes utilisateurs, notamment il est possible d’interdire l’élévation de privilège (passage en administrateur) pour des applications non signées.

Pour plus d’informations sur la signature numérique, lire : signature numérique de fichiers et virus/malwares 

• Turn/On Drive Signing/Intergry Check : active ou désactive la signature numérique des pilotes (drivers), plus d’informations : Comment désactiver la signature numérique des pilotes sur Windows 7, 8 ou 10
• Turn/On Autoplay for any Device : désactive l’exécution automatique des périphériques amovibles.
• Turn Off Windows Script Host : permet de désactiver Windows Script Host pour se protéger des scripts, plus d’informations : Comment se protéger des scripts malicieux sur Windows
• Enfin vous pouvez désactiver SmartScreen. Pour plus d’informations sur SmartScreen, lire notre article : SmartScreen : Protection avec filtrage URL et de fichiers

Smb, le serveur de partage de fichiers peut aussi être désactivé.

Restriction Powershell

Des restrictions PowerShell peuvent aussi être mis en place pour lutter contre les virus Powershell.

Désactiver les extensions dangereuses

En plus de désactiver Windows Script Host, il est aussi  possible de changer l’extension de fichiers qui peuvent être utilisées par des malwares.
On trouve les extensions liées aux scripts : VBS, VBE, JS, JSE, WSF, WHM, HTA
mais certains exécutables comme .SCR ou PIF.
Enfin les extensions de fichiers liées à Java avec JAR.

Désactiver des Services Windows

Et puis vous pouvez désactiver les services Windows inutiles.
Par exemple, vous pouvez désactiver le contrôle d’ordinateur à distance (Remote Desktop Services).
Une liste des services à désactiver est aussi abordée sur la page : Optimiser Windows 10 : les services Windows à désactiver

Sécuriser Office et Adobe

Ensuite SysHardener permet de sécuriser les applications Adobe et Office.
Il s’agit de désactiver le JavaScript dans Adobe Reader qui peut-être utilisés dans des PDF malveillants utilisés dans des campagnes de mails malveillants.
De même, cela permet de sécuriser Office en désactivant DDE (Lire Vulnérabilité (?) DDE sur Word et mails malveillants), OLE et ActiveX.

Réglages du pare-feu de Windows

Enfin la dernière partie concerne les réglages du pare-feu de Windows.
Le but ici est d’internet les connexions sortantes pour certains processus de Windows.
Par exemple, si vous utilisez le partage de fichiers de Windows, il ne faut pas filtrer les connexions sortantes pour explorer.exe.
Sinon vous pouvez cocher la liste complète.
Des réglages plus affinés sont disponibles sur la page : Firewall Windows : les bon réglages

Plus loin dans la sécurité Windows

Dans le même style, il existe Hardentools qui permet aussi de sécuriser Windows en désactivant des fonctions utilisés par les malwares.
Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?

REF.:

Firewall Windows : les bon réglages

Quelques réglages qui peuvent améliorer sensiblement la sécurité de Windows.
Le pare-feu de Windows peut être largement suffisant si vous suivez toutes les règles de sécurité élémentaires.
Par défaut, le pare-feu de Windows n’est pas forcément bien réglé.
Voici quelques règles à ajouter afin d’obtenir les réglages optimales du firewall de Windows.

Table des matières [masquer]

• 1 Introduction au réglage du pare-feu de Windows
• 2 Importer des règles du pare-feu de Windows
• 3 Créer les règles manuellement
  • 3.1 PowerShell
  • 3.2 Bloquer PowerShell
  • 3.3 Wscript
  • 3.4 Injection processus
  • 3.5 Autres processus à bloquer
• 4 Windows Firewall Control
• 5 Plus loin dans la sécurité Windows
  • 5.1 Liens autour du pare-feu de Windows

Introduction au réglage du pare-feu de Windows

Avant de commencer, il faut plutôt être à l’aise avec le pare-feu de Windows.
Dans le tuto suivant, j’avais expliqué comment ajouter des règles sur une application afin de la bloquer : Autoriser/Bloquer une application sur le pare-feu Windows
Vous pouvez suivre ce tuto.. ici nous utiliserons les options avancés. Il existe d’ailleurs aussi un tuto sur les options avancées du pare-feu de Windows : Autoriser/Bloquer une application sur le pare-feu Windows
En résumé, ce qu’il faut bloquer :

• C:\Windows\System32\WindowsPowerShell\v1.0\Powershell.exe (utilisé pour télécharger et installer des logiciels malveillants, ou utiliser comme logiciel malveillants, voirLes virus ou trojan Powershell)
• C:\Windows\system32\wscript.exe : lié au  Virus par clé USB ou virus raccourcis USB et  Malware par VBS / WSH, peut-être utilisé pour télécharger et installer des logiciels malveillants.
• C:\Windows\explorer.exe – autoriser que les connexions vers le port 443
• C:\Windows\system32\mshta.exe – permet d’exécuter des applications HTML (extension .hta), ces derniers peuvent télécharger et installer des cheval de troie.
• C:\Windows\rundll32.exe – en chargeant une DLL via rundll32.exe, un trojan peut télécharger d’autres malwares.
• Les processus de Word et Excel, ceci afin de vous protéger des macros malicieuses :
  • C:\Program Files (x86)\Microsoft Office\Office15\Winword.exe
  • C:\Program Files (x86)\Microsoft Office\Office15\Excel.exe

Importer des règles du pare-feu de Windows

Pour ceux qui ne veulent pas se prendre la tête à créer chaque règle de blocage sur le pare-feu de Windows.
Je fournis un fichier zip qui peut-être importé sur votre pare-feu.
Attention, cela va écraser toutes vos règles, donc si vous avez des règles d’acceptation pour certaines applications, elles seront perdues.
Le lien vers ces règles : http://www.malekal.com/download/firewall_Windows10_bon_reglage.zip
Ce zip est composé de :

• fw_windows10_bon_reglage.wfw : qui contient les règles à importer sur le pare-feu de Windows
• testconnexion.ps1 : qui vous permet de tester le blocage de PowerShell

Faites un clic droit puis « importer la stratégie »

Sur le message d’avertissement qui demande une confirmation pour importer les règles, faites oui.
Puis naviguez dans les dossiers pour sélectionner le fichier fw_windows10_bon_reglage.wfw.

Si l’import réussi, vous obtenez le message suivant.

Dans les règles sortantes, vous devez obtenir ceci.

Vous pouvez alors tester le blocage de connexion sur Powershell avec le script testconnexion.ps1 fourni.
Faites un clic droit dessus puis Exécuter avec PowerShell.

Faire Oui en appuyant sur O (O comme Oui) puis Entrée sur le message d’avertissement.
Un message rouge doit vous indiquer « Impossible de se connecter au serveur distant ».
Dans ce cas, les règles de pare-feu sont effectives.

Créer les règles manuellement

Si vous ne souhaitez pas importer les règles, vous pouvez créer les règles manuellement.

PowerShell

PowerShell est une invite de commandes qui intègre son propre langage.
PowerShell permet donc de créer des scripts, il est tout à fait possible à partir d’un script de télécharger un fichier distant et de l’exécuter sur l’ordinateur.
En clair, donc PowerShell peut servir de tremplin pour installer un virus sur l’ordinateur, comme Trojan-Downloader.
Exactement comme c’est le cas actuellement des scripts VBS ou JS utilisés dans des campagnes d’emails malicieux qui ont permis l’avènements des crypto-ransomware.
La vidéo suivante montre le cas d’un Trojan Downloader PowerShell qui installe le ransomware Locky :

PowerShell est déjà utilisé par des Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit… il est fort probable que 2017 soit l’année PowerShell… avec une utilisation beaucoup plus accru.
Pour tester le téléchargement, vous pouvez utiliser la commande suivante depuis une invite de commandes classiques :

PowerShell (New-Object System.Net.Webclient).DownloadFile

('http://www.malekal.com/download/FRST.zip', '%USERPROFILE%\Desktop\FRST.zip');

La commande ci-dessous, permet de télécharger le fichier FRST.zip et de le placer sur le bureau.
Un programme malveillant, peut donc facilement être sous la forme d’un script qui télécharge un exécutable dans le dossier TEMP pour l’exécuter.

Plus d’informations, lire : les Trojan ou virus PowerShell

Bloquer PowerShell

En suivant, le tuto Autoriser/Bloquer une application sur le pare-feu Windows
Vous devez bloquer l’application :
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe (version 32-bits)
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell.exe (version 64-bits)
%SystemRoot% = C:\Windows

En créant une règle avancée :
Par défaut donc, le pare-feu de Windows autorise PowerShell.
Il est tout à fait possible de bloquer ce dernier.

Rendez-vous dans le Panneau de configuration de Windows puis Pare-feu.
A gauche, cliquez sur Paramètres avancés.

Dans la nouvelle fenêtre, cliquez sur Règles de trafic sortant
Nouvelle règle.
Laissez sur Programme puis cliquez sur Suivant.

Ensuite, il faut aller chercher le fichier PowerShell.
Pour cela, choisissez la seconde option puis cliquez sur Parcourir.
Naviguez dans les dossiers pour ouvrir Windows > system32 > WindowsPowerShell > v1.0> powershell.exe


Laisser sur « Bloquer la connexion » afin de pouvoir bloquer la connexion provenant de powershell.exe

Laissez tout coché puis cliquez sur Suivant.
Nommez la règle, par exemple Blocage PowerShell ou Blocage PowerShell (32-bits).

La règle est alors visible dans la liste.

Si on relance notre commande, on obtient une erreur. Le téléchargement de fichiers à partir de PowerShell est alors bloqué :

Exception lors de l'appel de « DownloadFile » avec « 2 » argument(s) :

 « Impossible de se connecter au serveur distant »

Pensez à bloquer les deux versions 32-bits et 64-bits, si votre Windows est en version 64-bits.

Wscript

Wscript.exe est le processus système lié à Windows Script Hosting qui donne la possibilité d’exécuter des scripts de type JavaScript (sisi!) et VBS.
Des scripts malicieux existent depuis longtemps. Une recrudescence depuis Décembre 2015 a lieu, via des campagnes d’emails malicieux pour pousser des crypto-ransomware.
Pour obtenir plus d’informations sur les malwares basés sur ces scripts malicieux, lire la page : Malware par VBS / WSH ( Windows Scripting Host )

Voici un exemple de script qui permet de télécharger un fichier sur Windows.
Ensuite, on peut le faire exécuter sans problème.

HTTPDownload "http://www.malekal.com/download/FRST.zip",

 "C:\Users\VincentPC\AppData\Local\Temp"

Sub HTTPDownload( myURL, myPath )

' Standard housekeeping
Dim i, objFile, objFSO, objHTTP, strFile, strMsg
Const ForReading = 1, ForWriting = 2, ForAppending = 8

' Create a File System Object
Set objFSO = CreateObject( "Scripting.FileSystemObject" )

' Check if the specified target file or folder exists,
' and build the fully qualified path of the target file
If objFSO.FolderExists( myPath ) Then
strFile = objFSO.BuildPath( myPath, Mid( myURL, InStrRev( myURL, "/" ) + 1 ) )
ElseIf objFSO.FolderExists( Left( myPath, InStrRev( myPath, "\" ) - 1 ) ) Then
strFile = myPath
Else
WScript.Echo "ERROR: Target folder not found."
Exit Sub
End If

' Create or open the target file
Set objFile = objFSO.OpenTextFile( strFile, ForWriting, True )

' Create an HTTP object
Set objHTTP = CreateObject( "WinHttp.WinHttpRequest.5.1" )

' Download the specified URL
objHTTP.Open "GET", myURL, False
objHTTP.Send

' Write the downloaded byte stream to the target file
For i = 1 To LenB( objHTTP.ResponseBody )
objFile.Write Chr( AscB( MidB( objHTTP.ResponseBody, i, 1 ) ) )
Next

' Close the target file
objFile.Close( )
End Sub

On peut alors créer une règle sortante filtrante, exactement dans le même principe que précédemment.

Avec le script ci-desous, on obtient une Erreur WinHTTP.WinHTTPRequest
Le fichier FRST.zip est créé mais il fait 0 octet.

Dans le cas de ces scripts, le mieux est de désactiver WSH, c’est tout à fait possible.
A lire : Comment se protéger des scripts malicieux sur Windows
Le programme Marmiton a été conçu dans ce sens : Télécharger Marmiton

Injection processus

L’injection de processus consiste à charger une DLL dans un processus afin de pouvoir contrôler ce dernier.
Ainsi des virus/malwares peuvent utiliser des processus système explorer.exe, svchost.exe, spoolsv.exe afin de se connecter à des serveurs distants pour recevoir les informations de contrôle.
Le pare-feu de Windows peut éventuellement aider à bloquer certaines de ces connexions.
Contrairement, au paragraphe précédent où il s’agit de bloquer un Trojan Downloader afin de bloquer le téléchargement et l’installation del a charge utile… ici la charge utile est déjà installée… De ce fait, il est plus difficile de bloquer le fonctionnement du Trojan.
Voici un exemple d’injection de processus Windows avec le malware Bedep :
Ainsi si on bloque explorer.exe, le Trojan Bedep devient inactif :

Comprenez aussi, qu’il est impossible de bloquer tout l’accès réseau aux processus Windows.
Par exemple :

• explorer.exe doit pouvoir se connecter aux ordinateurs du réseau LAN pour accéder aux ressources partages (fichiers/dossiers etc)
• svchost.exe est utilisé, par divers services Windows et notamment Windows Update pour se connecter au service et télécharger les mises à jour de Windows.

Toutefois, vous pouvez bloquer certains ports. Par exemple, il est tout à fait inutile qu’explorer.exe puisse se connecter à des sites WEB (port distant 80 et 443).
Par contre, explorer.exe doit pouvoir se connecter aux partages réseaux, cela se fait sur le port 445 (SMB).
Pour mettre en place un filtrage, nous allons créer deux règles sur explorer.exe

• La première règle autorise les connexions sur le port 445.
• La seconde règle interdit toutes les connexions sortantes.

Ainsi, si la première règle est vrai, on s’arrête là.
Si elle est fausse, on continue, la seconde règle qui bloque toutes les connexions sortantes pour explorer.exe est alors appliquée.
Créez la règle sur explorer.exe qui autorise les connexions puis faites un clic droit / Propriétés sur celle-ci.
Dans l’onglet Protocoles et ports, vous pouvez régler ces derniers, comme ceci.
A savoir :

• Protocole TCP
• Port, mettre 445

Puis créer la seconde règle qui interdit toutes les connexions explorer.exe

Ci-dessous, les deux règles explorer.exe sur le pare-feu Windows.
Il est tout à fait possible de lister les partages et accéder aux fichiers distants.

Autres processus à bloquer

Vous pouvez aussi bloquer d’autres processus, comme :

• C:\Windows\rundll32.exe – en chargeant une DLL via rundll32.exe, un trojan peut télécharger d’autres malwares.
• Les processus de Word et Excel, ceci afin de vous protéger des macros malicieuses :
  • C:\Program Files (x86)\Microsoft Office\Office15\Winword.exe
  • C:\Program Files (x86)\Microsoft Office\Office15\Excel.exe

Par exemple, le pare-feu ZoneAlarm par défaut, autorise les connexions provenant de Word et rundll32.
Une macro Word peut donc télécharger une DLL et la lancer depuis rundll32… c’est notamment le fonctionnement du ransomware Locky.

Winword.exe est autorisé :

Windows Firewall Control

Windows Firewall Control est un programme qui permet de gérer simplement les règles et autorisations de processus sur le pare-feu de Windows.
En outre, il permet de lire le journal de connexion ou blocage.
Je vous conseille vivement de l’installer, plus d’informations, se reporter au tuto : Tutoriel Windows Firewall Control
GlassWire est aussi une bonne alternative, voir aussi son tuto : Tutoriel Glasswire
Présentation et tuto de Windows Firewall Control en vidéo :

Plus loin dans la sécurité Windows

Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?
OSArmor est un complément idéal à ces règles de blocages du pare-feu de Windows, plus d’informations sur la page : OSArmor : Bloquer l’exécution de processus et connexions malveillantes

SysHardener permet de sécuriser Windows facilement en désactivant certaines fonctions de Windows qui peuvent être utilisées par des logiciels malveillants.
Pour toutes les explications de SysHardener, lire notre article dédié : SysHardener : sécuriser Windows facilement contre les virus

Liens autour du pare-feu de Windows

• Fonctionnement des pare-feu
• Autoriser/Bloquer une application sur le pare-feu Windows
• La notion de port ouvert et la sécurité

REF.: