Comment un cybercriminel pénètre une machine
Sans pare-feu, vous avez 4 minutes pour survivre.
Le temps de télécharger un premier pare-feu (firewall en anglais) d'un grand éditeur de pare-feu est trop long par rapport au temps moyen que les cybercriminels mettent à :
- Découvrir la présence de votre ordinateur sur l'Internet en balayant en permanence toutes les adresses IP du Web, par paquets ciblant une région...
- En balayant ensuite tous les ports de votre ordinateur (sous Windows il y a 65.536 ports de communication par machine) avec un scanner de ports, à la recherche d'une application ou d'un service se trouvant à l'écoute derrière un port (port ouvert).
- En identifiant l'application ou le service derrière ce port
- En balayant son code avec un scanner de failles à la recherche d'une faille de sécurité de cette application ou ce service pas corrigée par le propriétaire de la machine. Les scanner de failles (beaucoup sont de puissants travaux open source gratuits) embarquent la base de données de toutes les failles connues dans chacune des applications. Ils sont utilisés :
- de manières licites (par les responsables sécurité des services informatiques d'administrations ou entreprises)
- de manières illicites (par les cybercriminels)
- En s'engouffrant enfin dans la faille pour l'exploiter. L'ordinateur est compromis, quelle que soit la compromission implantée par le cybercriminel.
Il faut fermer tous les ports de communication avant de se connecter.
Pourquoi un cybercriminel pénètre une machine
Oh, ce n'est pas pour vos photos de première communion ni même vos films en dessous de la ceinture (sauf si c'est vous-même l'acteur/actrice afin de vous menacer de publier cela et de vous faire chanter). C'est plutôt pour des gros sous :
- Voler vos identifiants bancaires
- Voler vos scans de vos documents officiels (carte d'identité, passeport, permi de conduire, carte grise, etc.)
- Voler vos codes de connexion (identifiants, mots de passe, etc.) afin d'usurper votre identité sur tous les sites sur lesquels vous vous identifiez, y compris les administrations, hôpitaux, médecins, assurances, banques, etc. Cela va beaucoup plus loin que voler votre compte Facebook ou Twiter pour déblatérer à votre sujet.
- Installer un logiciel dans votre machine et le faire tourner à votre insu (par exemple du minage de cryptomonaie comme le BitCoin) - Il s'agit d'exploiter votre puissance de calcul et la bande passante de votre abonnement à l'Internet
- Chiffrer (crypter) tous vos fichiers (cryptowares, ransom-cryptowares) et vous demander une rançon pour vous donner la clé de déchiffrement
- Voler des dossiers confidentiels en recherches scientifiques ou industrielle
- Voler les dossiers d'un avocat
- Voler les dosssiers d'un médecin
- Voler les dossiers d'un journaliste d'investigation
- Voler des données confidentielles, secrètes, etc.
- Utiliser votre machine pour lancer des requêtes vers une machine cible, dans le cadre d'un réseau de machines pénétrée (un BotNet lançant une attaque en DDoS) afin de faire tomber un serveur pour des raisons politiques, économique, de cyberguerre entre états, ou, simplement, pour demander une rançon à l'entreprise pour qu'elle retrouve l'usage de son serveur.
- Etc.
Tous les Windows, depuis Windows XP SP2, possèdent un pare-feu
Toutes les versions de Windows, depuis Windows XP SP2, comportent un pare-feu natif, fourni gratuitement par Microsoft dans le cadre d'une petite suite de sécurité pare-feu et pare-feu appelée Windows Defender, mais qui va « faire le job » le temps de rapatrier un premier pare-feu entrant/sortant et un premier antivirus d'un grand éditeur.
Windows Defender est plus ou moins bon mais il fait le minimum du job, principalement en pare-feu entrant et aussi en pare-feu sortant.
Selon les paramètres que vous avez définis (ou les paramètres par défaut de Microsoft) :
- Il empêche ou autorise d'accéder à votre ordinateur, depuis l'extérieur
- Il empêche ou autorise vos applications et services à sortir vers l'extérieur
Si aucun pare-feu d'une tierce partie n'est installé, il faut que celui de Windows, qui est minimaliste, soit actif. Le « Centre de Sécurité » de Windows surveille cela et active systématiquement le pare-feu de Windows Defender.
Une fois votre pare-feu choisi, téléchargé et installé, il faudra désactiver celui de Windows car on ne peut avoir deux pare-feu simultanés.
Activer - Désactiver les pare-feu de Windows sous Windows XP, Vista, 7, 8, 8.1
Demander l'affichage en liste (petites icônes).
Sélectionner " Pare-feu Windows " (les illustrations suivantes sont faites sous Windows 7 - adaptez-vous à votre version de Windows).
Comment accéder à l'activation du pare-feu de Windows
Panneau de configuration > Pare-feu Windows
La page d'accueil du pare-feu de Windows 7 s’affiche et vous informe de l’état de protection du système.
Clic, dans la colonne de gauche, sur "Activer ou désactiver le Pare-feu Windows".
Pour les deux types de réseau, sélectionner "Activer le pare-feu Windows"
Comment accéder à l'activation du pare-feu de Windows
Panneau de configuration > Pare-feu Windows
Dans la colonne de gauche, clic sur « Paramètres par défaut » (Reconfigure les paramètres d'origine du pare-feu - tous vos paramètres personnalisés seront supprimés.).
Comment accéder à l'activation du pare-feu de Windows
Panneau de configuration > Pare-feu Windows
Le pare-feu de Windows est désormais actif. Tant qu'il n'est pas remplacé par un autre pare-feu, nous vous déconseillons vivement de le désactiver et de laisser votre ordinateur ouvert aux quatre vents.
Si vous souhaitez que le pare-feu bloque tout, y compris tous les programmes sélectionnés sous l’onglet Exceptions, activez la case à cocher Bloquer toutes les connexions entrantes .
Activer - Désactiver les pare-feu de Windows sous Windows 10
Entrez dans la console de gestion Microsoft (Microsoft Management Console) comme ceci :
Démarrer Rechercher Pare-feu Windows Defender Dans le volet de gauche, clic sur Paramètres avancés Propriétés du pare-feu Windows Defender Dans « État du pare-feu », sélectionnez « Désactivé » (ou « Activé ») Appliquer Ok
Avoir un pare-feu activé (et un seul), mais...
Microsoft déclare, sur cette page :
« Le Pare-feu Windows Defender doit toujours être activé même si un autre pare-feu est activé. La désactivation du Pare-feu Windows Defender peut rendre votre appareil (et votre réseau, le cas échéant) plus vulnérable aux accès non autorisés. »
Soit c'est totalement faux et mensonger, soit il y a une astuce technologique et je pense alors à une implémentation en SaaS - Logiciel à la demande (« Software as a service ») (dans un cloud - le pare-feu ne tourne pas localement, seule une API l'appelle alors qu'il est à distance).
L'insistance de Microsoft à vouloir que son pare-feu soit actif, malgré la présence d'un pare-feu tiers, interpelle. Un pare-feu (tous les pare-feu) est un outil de surveillance, comme les filtres du Web, les DNS, etc.