Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Comment déjouer jusqu’à 94% des vulnérabilités critiques découvertes dans Windows et les outils Microsoft ?

La société Avecto qui fournit des solutions de sécurité, a analysé l’intégralité des patchs fournis par Microsoft en 2016 et a pondu un petit rapport que vous pouvez télécharger ici.

Et la conclusion est sans appel : 94% des vulnérabilités critiques découvertes et publiées lors des fameux « Patch Tuesday » peuvent être déjouées en utilisant un compte qui n’a pas de droits administrateurs.

De plus, ils ont noté une augmentation de vulnérabilités made in Microsot de 62% depuis 2013 et bizarrement ou pas, Windows 10 qui est quand même l’OS le plus récent est celui qui a le plus de vulnérabilités. Bien plus que n’importe quel OS concurrent et 46% de plus que Windows 8 ou 8.1.

Je me demande si c’est parce que les failles sont découvertes plus fréquemment grâce à des audits ou du bug bounty ou si c’est parce que les process de dev agile de Microsoft ont réduit la part réservée aux tests sécu.

En tout cas, 100% des failles dans le navigateur Edge et 99% des failles dans Office, trouvées en 2016 sont déjouables en limitant les droits admin sur les comptes utilisateurs.

Bon, vous avez compris ce qu’il vous reste à faire si vous êtes sous Windows ?

Arrêter d’utiliser un compte admin chaque jour de votre vie et vous rendre dans le panneau de config, dans la partie concernant la gestion des comptes utilisateurs pour créer de nouveaux comptes standards sans droits admin (ou basculer vos comptes admin en standards). Et conserver un compte admin que vous utiliserez uniquement pour installer des trucs ou pour des opérations de maintenance.

Tu parles d’un scoop ;-))))

Source


Salcar Disque Dur SSD Boîtier 2,5 Pouces USB 3.0

46% de réduction

Convient pour tous disques durs ou SSD 2,5 pouces SATA I / II / III
Super Speed USB 3.0 taux de jusqu’à 5 GPS de transfert 70 % plus rapide que l’USB 3.0 classique pour SSD
Voyant diode indique le différent mode de transmission: lumière blanche: USB 2.0 ; lumière bleue : USB 3.0
Plug & play hot-swap pas besoin d’installation du pilote Faible consommation d’énergie Auto-dormance outil libre
Systèmes d’exploitation compatibles: Windows XP / Vista / 7/8 / 8.1 / 10, Mac OS 9.0 et supérieur

Voir la promo



Réponses notables

  1. Nathan says:

    C’est un scoop pour beaucoup ! Je me fais moquer, étant sous Windows, d’utiliser un compte “normal” alors que je suis informaticien. Surtout le côté “c’est chiant de taper son MDP tout le temps”… Bon, ça s’est calmé depuis les lecteurs d’empreinte tout de même.

  2. Ben oui… n’utiliser ni Edge, ni Office (ni flash ni silverlight ni java)…

    J’ai bon, dites ? j’ai bon ?

  3. Nan mais Windows 10 aussi … :facepalm:
    Cet OS est une déchèterie et je le dit depuis plusieurs années …
    M’enfin, après les gens ils font ce qu’ils veulent de leur PC, mais bon la c’est quand même grave d’aimer un OS comme ça …
    Perso moi je reste sur mon 8.1 entièrement custom.
    Sinon pour les autres : Cliquez ici

  4. est-ce que c’est équivalent d’avoir UAC d’activé ? Possible d’élever ses privilèges en contournant l’UAC ?

  5. Même question.

    N’importe qui comprenant un peu les principes de base de la sécurité informatique sait que tout faire tourner avec des droits d’admin est une très mauvaise idée, hélas on ne compte pas les tutos sur internet conseillant de désactiver l’UAC pour x ou y raisons… Oui, l’UAC était une plaie sous Vista (principalement parce que les programmes tiers ont mit du temps à s’adapter) mais ça s’est quand même pas mal arrangé depuis.

    Sous Windows 10, en usage “power user” (un peu de dév, gestion d’un dédié, un système entretenu frénétiquement) et gaming intensif je peux passer des journées entières sans croiser un prompt UAC. Pour l’immense majorité des utilisateurs qui alternent entre bureautique légère et rézosociaux ça doit tourner à un prompt par mois.

    Après, pour ceux qui utilisent un compte admin sans UAC et qui se plaignent du manque de sécurité… « Si je démonte toutes les portes et fenêtres de mon logement j’entre et sort beaucoup plus rapidement. Par contre c’est bizarre, on me cambriole souvent ? »

  6. Je ne pense pas que imposer des session ou un UAC aux utilisateurs soit la solution, ça peut aider certes, mais le problème n’est pas là.

    Si @saymonz s’impose un UAC pour avoir l’esprit plus tranquille, tant mieux pour lui, mais je suis sur que s’il l’enlevait il ne choperait pas plus de virus. Perso je n’ai ni UAC ni antivirus, ni windows defender (je limite vachement mes processus pour l’opti jeux :p), bref 0 defense, et je chope rien du tout.

    Pour en fréquenter tous les jours des personnes comme ça, dans nos mairies ! quand l’ordinateur leur demande leur mot de passe… bin ils rentrent leur mot de passe ! Ya pas plus simple !

    Bref le point est que ce qui est critique c’est le comportement des utilisateurs. Session ou UAC, ce que vous voulez, tant que les utilisateurs ne seront pas aguerris, ils courront toujours le risque.

  7. PostK7 says:

    Et comment tu le sais que tu ne chope rien puisque tu n’as ni AV ni defender? Tous les virus n’affichent pas une tête de mort en gros sur l’écran.

  8. Un AV (tiers parties)… un AV en 2017 … Lol

  9. PostK7 says:

    Si tu ne développe pas un minimum, ton commentaire, en plus d’être inutile, de fait passer pour quelqu’un de prétentieux, voire même pédant.

  10. En plus d’être assez inefficace contre les menaces (comme tous les AV quels qu’ils soient d’ailleurs) ça te bouffe des ressources système en plus avec le scan en arrière plan, les majs auto, la récolte de données, etc …

    Donc à la limite Defender seul (et encore, on pourrait s’en passer) avec MAPS désactivé, why not, mais un AV en plus est complètement useless.

    Comme dit indirectement plus haut, la majorité des problèmes de sécurité ne viens pas des solutions de sécurité … Le problème est entre la chaise et le clavier.

    NB: De plus, si tu lisait un peu le fil du topic, tu aurait déjà vu mon pavé un peu plus haut et donc éviter d’écrire un com aussi barbant :wink:

  11. PostK7 says:

    Alors déjà ton pavé je l’ai lu. Il y avait 6 posts à lire au dessus du miens ce n’était pas facile mais j’ai tenu bon. Peut-être que dans ta tête ton histoire du couple Michu était claire mais moi perso je n’ai rien compris. Déjà parce que c’était un peu pénible à lire, j’avoue ne pas avoir fait trop d’efforts.

    Après je te pose la même question qu’à la personne un peu plus haut, et à laquelle, sauf erreur de ma part, tu n’as pas répondu, comment tu sais que tu n’es pas infecté si tu n’as aucun logiciel qui t’en informe?

    Sinon je te répondrais de façon un peu ironique en te retournant ton commentaire: “Des ressources systèmes… en 2017 … Lol”.

  12. En vérifiant soit même si son système agis de manière anormale ?
    Je ne dit pas que tout se voit de manière évidente mais plutôt que rien est invisible.

    D’où mon histoire du couple Michu, pour montrer que un AV (et autres solutions de sécurité) n’est de loin pas “une/des solution(s) magique(s)”, si tous le monde avait un minimum d’hygiène en informatique, le taux de pc infectés serait minime.

  13. J’hésite entre pleurer de rire ou de désespoir pour vous, sérieusement.
    Entre l’un qui se sent crésus et l’autre qui fait du recyclage, jvais me pisser dessus à force ^^
    Enfin bref, faîtes ce que vous voulez, tant que ça ne regarde que vous :wink:

  14. Non, vous n’avez pas bon. Des applications tierces peuvent utiliser des contrôles Active X qui font appel à des dépendances d’Internet Explorer ou autre. Le mieux reste de limiter les droits de l’utilisateur principal avec l’UAC d’activé.

  15. Alors, critiquer Windows 10 en restant sous un Windows 8.1 modifié, donc pas adapté au depart, comment dire… Ou c’est du troll, ou c’est du kamoulox…

    Pour ce qui est des anti-virus, c’est vrai que l’utilité reste très limitées car la première chose que font les dev de virus est de passer leur programmes sous virustotal… Donc oui, Les av traditionnels sont très limités pour ça. Cependant, une nouvelle génération d’av basé sur du prédictif semble assez prometteur… Au lieu de comparer la signature de programme en processus ou sur le disque avec une base de définition, l’antivirus surveille l’activité et les analyse à l’aide d’une ia décentralisée (c’est la le hick, nsa, tout ça…) qui établira si oui ou non le programme est suspect. Palo alto networks et Cisco ont des solutions de ce type, il me semble… Les joies du deep learning… Il paraît même que ces av bloquent des exploits 0 day.
    Malheureusement pour les particuliers, ces solutions ciblent les pros… Pour l’instant…

    Autrement dit, c’est effectivement vrai quand on dit que les problèmes de sécurités sont essentiellement entre le clavier et la chaise. Ça se vérifie en allant sur poneyy.fr ou server.poneyy.fr avec une page apache2 debian par défaut. A moins que ce ne soit tes serveurs, je t’invite grandement à paramétrer tes serveurs webs…

  16. Nan mais moi c’est bon j’en ai eu ma dose de w10 … J’était insider avant la rtm de RS1 mais la vu comment ça régresse au fur et à mesure, j’ai préféré enterrer cet Os pour le bien de ma santé mentale.
    Du coup vu que 8.1 est le dernier Os (coté Windows) à être utilisable, je suis dessus en lui apportant des modifications personnelles régulièrement afin d’avoir un confort optimal.

    "If you have nothing to hide, you have nothing to fear."
    Jla sent bien le jour où la nsa va utiliser les av pour fouiller ton pc …
    Donc clairement, ça sera sans moi o/

    Je viens de report la chose à l’instant au proprio des servs (une conaissance) merci.

  17. PostK7 says:

    Merci pour cette tranche de rire matinale.

  18. C’est quoi qui régresse ? C’est ça la question que tout le monde se pose ! Depuis le début tu rabaches sans arrêt la même chose “w10 est nul parce qu’il est pas bien”. Ouah c’est super intéressant… C’est dommage, t’as l’air d’être en mesure d’avoir des arguments techniques mais tu n’en apportes aucun…

    D’autre part si tu prétends pouvoir surveiller “à la main” tous les processus systèmes de ton ordi à l’instar d’un av, au mieux, tu ne sais pas de quoi tu parles, au pire, tu n’as pas de travail, d’activité, de vie sociale en outre, et tu as des troubles obsessionnels compulsifs qui sont de l’ordre d’inquiétant à très inquiétant. Franchement tu devrais faire une annonce, je suis sur que des thésards en psychologie seraient intéressés… Tu vois, tu parlais de santé mentale, je comprends… Quoi d’autres tant qu’on y est ? Tu décompiles tous tes exe pour les étudier et tu es en mesure de dire s’ils sont verolés ou non ?

    Si tu y arrives t’as rien à faire là, va faire des conf, écris des bouquins, va dans un laboratoire de recherche parce que t’as de l’avenir…

    Hé franchement, le jour où tu sors ça en entretien je veux être là. Filme, vas-y… Et si ils te prennent, j’ ai hâte de te voir appliquer ta méthode de sécurité révolutionnaire sur un cluster en prod…

    Depuis le début tu tailles avec condescendance mais ton argumentation est plutôt légère et ton attitude assez désagréable avec les autres. Je peux faire autant et beaucoup d’autres aussi… Alors essaye d’avoir des arguments de fonds,que l’on soit d’accord ou non, c’est toujours intéressant d’en parler…

  19. Hatsum says:

    Ok, donc sur mes distributions Linux, je crée toujours un compte user, c’est un réflexe.

    Sur le PC du bureau, notre compte est un compte user avec quelques droits administrateurs activés.

    Mais alors sur sur mon Windows… C’est complétement aberrant, mais cela ne m’est jamais passé par la tête oO…

  20. Il paraît même qu’ils font le café. :wink:

    L’efficacité des AV doit clairement être remis en doute, comme pour les sois disant légende urbaine qui continue de persister, c’est avant tout un argument vendeur, pour que des gars se touche la nouille à dire que ton PC est protégé.

    En effet maintenant que la plupart des applications dangereuses (navigateur web, plugin) intègre une protection d’isolation de processus. Comme par exemple Chrome qui le fait très bien, mais bon chacun son choix.

    Après c’est sur une fonctionnalité de base depuis longtemps et c’est pour cela que les antivirus se sont toujours autant bien vendu, il faut tourner en compte non-admin. C’est disponible depuis longtemps donc aucune excuse de ce côté, combien de fois j’ai sauvé des PC avec cette astuce je ne compte pas.

    Après exactement comme je déconseille toute pseudo optimisation sans comprendre, je déconseille également de désactiver l’UAC pour des questions de sécurité, si une application fonctionne seulement sans UAC, jetez là, à la poubelle. Il y a déjà tellement d’application qui sont codées avec les pieds, si elle ne sont pas capable de suivre les règles crosoft (https://msdn.microsoft.com/fr-fr/library/windows/desktop/dd371767(v=vs.85).aspx), comme par exemple de mettre les clés de registre au bon endroit, de les supprimer totalement après la désinstallation, c’est de la merde.

    Sinon, il faut également prendre en compte que si Google Chrome permet d’isoler un processus et de faire en sorte que si une faille, ou un problème survient celui-ci est isolé, quel est donc le but d’un logiciel antivirus qui lui-même hook des appels et donc enlève au final la protection faite ? c’est un peu con non ? ben allez consulter la liste de bug de logiciel AV, vous allez peut-être un peu étonné ou pas… http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html

    Et puis on ne parle même pas des produits comme netcat qui ont été flagé à tord d’être des outils de hack, alors que c’est un outils réseau à la base.

    @Diki
    La solution de monitoring est très bien mais ne peut être valable que lorsque tu as une grosse infrastructure, pour un PC, quel est l’utilité ?

    Désolé mais Il faut aussi arrêter de parler “en temps réél” Windows et même Linux se sont pas en temps réel.

    La notion également d’économie à la fois de processus, mais également de consommation est un point à prendre en compte. C’est pourquoi pour les utilisateurs lambda une protection doit leur être fournis de base (Windows defender, Security Essential) sans pour autant à avoir a acheter un produit, l’installer etc. de toute façon le principe de confiance devrait être connu des gens et enseigné, c’est pourquoi l’open-source à sont avantage, combien d’utilisateur ne vont pas sur les sites constructeurs, ne paie pas mais accepte d’avoir des barres de recherches, c’est simplement parce qu’ils son trop à ne pas payer, et donc comme par exemple pour le soft CDBurnerXP après X version tu te retrouves à installer par erreur la barre parce que l’éditeur à décider de se faire payer de cette manière…

    Ces exemples il y en a plein, même Oracle à un moment à décider de faire ça.

  21. Diki says:

    Hum… l’utilité dépend du besoin à satisfaire. Visiblement tu n’es pas le seul à croire que la solution du “monitoring” est exclusivement dédiée à de grosses infrastructures, elle est à la portée de tout utilisateur passionné et motivé en voici u exemple ici: http://www.leblogduhacker.fr/centralisateur-de-logs-quartet-gagnant-graylog-nxlog-elasticsearch-mongodb/

    Quelle est ta définition du temps réel ?

    Lorsqu’un OS est en mesure de contrôler ou superviser un dispositif matériel ou logiciel à une cadence adaptée à l’évolution du dispositif contrôlé, on peut dire qu’il “travaille en temps réel”.

  22. Oh je peut t’en donner pleins des exemples et avec grand plaisir : Un post qui explique une grande partie de ce que je lui reproche.

    à ce niveau la je jugerais ton comportement inapproprié, ça ne mérite même pas de réponse, mais vu que je suis malheureusement un peu trop gentil, en voilà une :
    Autant que tu te fiche de moi car t’est pas d’accord sur ma vision des choses, ok, on est sur Internet, tu est libre de faire part de ta vision.
    Tu peut trouver que ma méthode est débile, insensée voir même inutile, comme dit c’est pas un soucis.
    Cependant cela n’exclue pas le fait qu’il faudrait aussi savoir se remettre en question sur ce qu’on dit.

    Perso ton histoire comme quoi dans le pire des cas je suis un ermite sans vie qui à besoin d’un psy ne m’atteint pas.
    Et si c’était pas moi ? As tu peut-être pensé à ça ? Tu sait que il y a des gens qui se suicide tous les jours parce que on les traites comme “à part” de cette façon là ?

    Si déjà tu me demande de la manière la plus originale du monde de me remettre en question je te propose de faire de même, personnellement je n’ai strictement rien contre toi (pour preuve, quand tu m’a report le la page apache qui a pas été désactivée je t’ai remercié), mais la tu dépasse les bornes.

    Bah alors ? On assume même pas ce qu’on dit ?

    Le prend pas mal, mais la le niveau de ridicule est à son maximum.

  23. Salut,

    Je n’ai d’autres définition que celle qui existent… https://fr.wikipedia.org/wiki/Système_temps_réel

    Windows ou même Linux de base n’est pas en temps réel désolé. Après certaine version comme Windows Embedded l’est. https://fr.wikipedia.org/wiki/Windows_Embedded

    Ce n’est pas contre toi mais c’est important de savoir faire la différence.

    J’ai regardé ton tuto sur nxlog, graylog, etc. c’est quand même dommage de pourrir la sécurité de la machine en désactivant SElinux. Si c’est pour surveiller tes machines mais dans l’autre sens avoir un vecteur d’attaque…

    On parlai de machine Windows, de monsieur tout le monde … pas d’un parc. Dès le moment ou tu as une machine pourquoi en avoir une autre qui contrôle les logs de ta machine?? https://learntemail.sam.today/blog/stop-disabling-selinux:-a-real-world-guide/ entre faire des tests pour bricoler, ou pour apprendre ben ouai clairement c’est bien mais pour l’utiliser pour de vrai il y a une différence. Un utilisateur final ne devrait pas à avoir à reproduire l’ensemble de ton tutoriel, c’est beaucoup trop compliqué pour lui. D’ailleurs j’ai pas contrôlé mais tu dois donner surement pas mal d’accès à la machine Windows pour pouvoir lire les logs et donc il y a également un vecteur d’attaque de ce côté.

    Bonne journée

  24. Bon, vu que vous parlez entre spécialistes, je vais vous dire que, du point de vue du dépanneur des PC des familles Michu et autre; l’antivirus est INDISPENSABLE. (et un bon, pas avast et consort)
    N’oubliez pas que windows est le système qui se veut le plus populaire et donc se retrouve sur la quasi totalité des ordinateurs de supermarché, et donc chez tous les débutants en informatique.
    Soit ils installent ça eux-même sans trop savoir ce qu’ils font, soit c’est le voisin/cousin/gendre/… qui s’y connaît soit-disant mieux et qui installe avec juste un compte admin, etc.
    De plus, les menaces sont très nombreuses ainsi que les façons de se faire avoir pour un débutant.
    Maintenant, le bête virus n’existe plus vraiment. Ce sont des malware, qui arrivent par mail, déguisés, ou sous la forme d’une extension pour le navigateur, ou simplement sur une page web piégée.
    Peut-être que les spécialistes en informatique peuvent se passer d’antivirus, mais pas les novices !
    Vous me direz, ça nous donne du boulot les machines mal protégées, mais ce n’est ni rentable ni passionnant.
    Alors s’il vous plais, lorsque vous conseillez de ne pas mettre d’antivirus, précisez bien qu’il faut une très bonne maîtrise de l’outil, sinon, PROTECTION OBLIGATOIRE.

  25. Diki says:

    Salut @madshiva,

    Je ne vois toujours pas la différence que tu évoques…, pourrais-tu préciser stp ?

    Dis-moi si je me trompe, mais l’OS Windows met notamment à la disposition des utilisateurs des applications temps réel du genre “Gestionnaire de tâches” ou encore Microsoft Office 2016 qui permet à plusieurs utilisateurs d’éditer en même temps un même document et d’observer les modifications en temps réel…

    Tu n’as pas du bien lire mon tutoriel car “SeLinux” n’est pas désactivé, il est configuré en “permissif” pour des raisons de simplification, ce n’est pas du tout pareil… :grin:

    A nouveau, il semblerait que tu n’aies pas pris le temps de lire mon tutoriel car la réponse à ta question ci-dessus y est mentionnée… :wink:

    Excellente journée à toi,
    Diki

  26. Diki says:

    @papy88140,
    Bonjour,

    Un grand merci pour avoir pris le temps de partager votre témoignage.

    Je suis tout à fait d’accord avec votre position, d’ailleurs je conseille très souvent aux utilisateurs de s’équiper d’un logiciel “antivirus/pare feu” et d’un “Client VPN” payant pour plus de sécurité et d’anonymat…:wink:

    Malheureusement, un logiciel antivirus a ses limites il faut en être conscient. Le paradoxe de cette prise de conscience est qu’elle est en contradiction avec la “nature humaine”. Un “danger” (attaque) peut être anticipé ou jugulé dans la mesure où l’usager a les moyens de le détecter… Aujourd’hui de nombreuses variantes de virus informatiques sont capables de se “jouer” des logiciels antivirus en se propageant notamment à travers la mémoire vive de la machine et en transitant par des ports qui n’ont aucune raison de refuser leur passage car certains “vers” profitent des failles sans solliciter l’antivirus.

    C’est notamment pour cette raison que l’analyse comportementale du réseau est nécessaire aujourd’hui. Plus haut m’a été posé la question suivante : "Dès le moment ou tu as une machine pourquoi en avoir une autre qui contrôle les logs de ta machine?? ". La réponse semble évidente, non ? :grin:

    Bien à toi,
    Diki

Continuer la discussion sur Korben Communauté

14 commentaires supplémentaires dans les réponses

Participants


Vous connaissez sans doute VMware pour ses solutions de virtualisation notamment en mantière de serveurs. A l’heure où de plus en plus de données sont créées et traitées à l’extérieur de tout datacenter centralisé, grâce à une stratégie multi-cloud, le spécialiste de la virtualisation est devenu un acteur impossible à manquer.


Vous connaissez sans doute VMware pour ses solutions de virtualisation notamment en mantière de serveurs. A l’heure où de plus en plus de données sont créées et traitées à l’extérieur de tout datacenter centralisé, grâce à une stratégie multi-cloud, le spécialiste de la virtualisation est devenu un acteur impossible à manquer.