Introduction
Windows est dit peu sécurisé! et est méprisé par certaines personnes,(je
ne rentrerai pas dans ce débat) pourtant 95% des gens l'utilisent et
ça mérite quand même qu'on s'y intéresse.

Un des succès de windows est sa facilité d'installation (et ça vaut mieux, vu le
nombre de réinstallation qu'il faut faire ou qu'il vous faudra faire un jour où l'autre)
, mais linux commence à le rattraper (voir install de la mandrake 7.2)
Les logiciels sont également facile à installer (les rpms de linux ne sont pas encore,
à mon avis, vraiment au point : plantage, toujours un problèmes de dépendance,
enfin c'est le fouttoir, sauf si vous recompilez, mais là c'est un peu plus difficile, et
on est loin de l'aisance d'install de windows).

La sécurité de windows tient dans le fait que les sources des logiciels et de l'os sont
innaccessible, il est donc impossible de savoir ce qu'il y a à l'intérieur!
Vous ne serez donc jamais certains qu'il n'existe pas de mouchards ou de backdoor
dans l'os.
Si on fait confiance à l'honnèteté des programmeurs concernant la
non-introduction volontaire de mouchards (de façon à rentrer sur
le système ou récupérer des infos à l'insu de son propriétaire, je
considère que windows (s'il est bien configuré et dans le cadre de son
utilisation chez un particulier pour des connexions internet à durée limitée)
, n'est pas plus risqué qu'un système UNIX.
Le plus grand danger pour windows (mais c'est aussi le cas pour n'importe quel OS),
c'est l'utilisateur lui-même.

---

Sécurité sur internet
Ainsi, si vous êtes sous un système windows 98 (et peut être millenium), et que vous vous connectiez sur internet, vérifiez bien les composants que vous avez installé, et vérifiez notamment que vous n'avez pas installé le serveur web personnel (sinon possibilité de crash à distance). En résumé (sauf pour Windows NT) pour être tranquille :

• pas de partages de répertoires ou d'imprimantes sur le pc
  relié à l'internet à moins d'avoir obligatoirement un mot de
  passe (et non trivial svp), sinon le risque d'intrusion est élévé!
  
• Aucun serveur ftp, telnet ou autre ne doit être activé (cela
  concerne ceux qui auraient téléchargé de tels serveurs gratuits, ou
  qui les auraient trouvés sur le cdrom de windows), sinon c'est la
  possibilité de planter votre pc à distance par quelqu'un de mal intentionné!
  
• Pas de serveur web personnel pour les utilisateurs de windows 98,
  (ou millenium peut être) si vous vous connectez à l'internet.

Juste une remarque à propos des systèmes UNIX où, il est recommandé de désactiver
tous les ports pour la machine connectée à internet pour être à l'abris d'intrusion!
Il faudra alors qu'on m'explique ce en quoi UNIX est plus sécurisé que Windows dans ce cas!
Il est clair que si on désactive tous les protocoles, qu'on soit sur UNIX ou Windows, il
n'y a plus de différences, excepté le protocole SSH (equivalent de telnet, mais la
transaction est cryptée) et l'écran bleu.
Si tout est désactivé, il est clair qu'il n'y a plus de risques d'intrusions.
Eventuellement, ne vous connectez plus à internet et là vous êtes tranquille!

---

Sécurité en local
Il nous reste à voir la sécurité en local (cad hors connexion sur un réseau).
Quelque soit l'os, c'est comme ce que je disais dans la page d'introduction, on ne
peut que retarder le temps d'intrusion, mais en aucun l'empécher!
Que faire sous Windows pour empêcher quelqu'un d'accéder à votre ordinateur?

• Solution : Mettre un mot de passe sûr pour le login sous Windows.
  Contournement 1 : à moins de bidouiller la base des registres, il suffit de faire
  annuler et on accède à Windows.
  Contournement 2 : (si on a interdit l'action du bouton annuler)
  pendant la séquence de boot appuyer sur F8, puis choisir démarrage sans échec
  ou invité DOS et le tour est joué
  
• Solution : désactiver l'action de la touche F8 pendant la séquence de boot
  Contournement : insérer une disquette de boot et lancer windows depuis cette
  dernière.
• Solution : Désactiver dans la séquence de boot la possibilité de booter sur le
  lecteur de disquette et le cdrom (sur lequel on pourrait également booter sur les pc
  actuels).
• Solution : Mettre un mot de passe BIOS pour l'accès au PC
  Contournement : shunter un cavalier sur la carte mère est une des possibilités!
  Remarque, vous pouvez toujours mettre un cadenas, mais des pinces coupantes
  y viendraient à bout.

Conclusion : si vous souhaitez protéger de façon efficace votre pc en local
OU si vous êtes complètement parano.

1. Mettre un mot de passe sûr pour le login sous Windows
2. Désactiver avec TweakUI (sur le CD de Win98), ou en éditant le fichier
   C:\MSDOS.SYS avec un très grande prudence l'activation de F8 pendant le boot
   (c'est un fichier caché).
3. Désactiver dans la séquence de boot le lecteur de disquette et le cdrom
4. Mettre un mot de passe sous le BIOS
5. Mettre un cadenas derrière votre PC

Problème :
Avec toutes ces conditions, votre PC n'est pas inaccessible, mais il faut plus
de temps. La parade est de faire sauter le cadenas, shunter le BIOS pour le remettre a 0,
ainsi plus de mot de passe, on peut alors réactiver la séquence de boot depuis une
disquette ou CDROM, et le tour est joué, au pire, il suffit de prendre le disque dur et
de le mettre sur un autre pc en tant que disque dur de donnée et d'accéder librement à ses
données.
Mais au moins, le cadenas fracassé ou la suppression du mot de passe vous indiqueront
la violation d evotre système, il ne vous restera plus à determiner qui?

---

Etre prudent sur Internet
- Navigation et mail : Méfiez vous des fichiers téléchargés, choisissez un antivirus et
scannez chaque fichier avec ce dernier.
Remarque : Soyez sûr d'avoir une base de données récentes pour votre antivirus, ce n'est
pas parce que l'antivirus dit que tout va bien, que ce sera le cas à 100%.
Fichiers dont il faut se méfier particulièrement : les .exe, lex .ocx, les .bat, les .com
les .doc, ...
Méfiez vous de certains mails, selon le logiciel de messagerie que vous utilisez, il faut
désactiver l'interprétation des active X, de java, de javascript et l'interprétation du
code HTML dans vos mails (pour les utilisateurs de Windows sauf NT et 2000).
- IRC
Refusez le download de tous fichiers envoyés, les messages vous proposant de télécharger
un fichier, peu de temps après vous être connecté, sont systématiquement des virus qui ont
infecté la personne qui vous les propose (ce n'est pas l'infecté qui le propose de son plein
gré, mais le virus lui-même qui essaye de se propager) => REFUSEZ SYSTEMATIQUEMENT!
Dès que vous vous connectez sur IRC, vous êtes certains d'être scanné par des crackers
cherchant à voir si vous avez un virus de troye (ou troyen) sur votre PC, qui leur
permettrait d'accéder à distance à vos fichiers (quelque soient la bonne application des
conseils mentionnés plus haut), et prendre ainsi le controle de votre ordinateur.
N'ayez confiance en personne sur IRC, même si c'est un copain, ou quelqu'un avec qui
vous parlez tous les soirs et en qui vous pensez avoir confiance
Conclusion : JAMAIS de d'acceptation de download de fichier (à part un wave, un txt,
ou une image à la limite : *.gif ou *.jpg
- AOL instant messenger : méfiez vous de ces bugs qui pourraient le transformer en un
potentiel virus de Troye.
- ICQ : JAMAIS en ce qui me concerne, trop de bugs et de trous de sécurité qui font de votre
PC un véritable moulin.
QUELQUES CONSEILS :
- Faire afficher toutes les extensions de fichier sous Windows et faire afficher tous les
fichiers me semble indispensable! Vous n'y êtes peut être pas habitué, mais cela vous apprend
à connaître les extensions et celles qui sont potentiellement dangereuses.
Ouvrez le poste de travail, allez dans le menu Affichage puis Options des dossiers, et
choisir l'onglet Affichage, cochez la case Afficher tous les fichiers (Fichiers cachés) et
désactivez Masquer les extensions des fichiers dont le type est connu.
Maintenant vous pouvez voir les extensions des fichiers, c'est avec ces extensions que
windows détermine quel icône de programme associer et quel programme lancer.

- Pour ceux qui connaissent les conventions des ports et les noms des programmes lancés
au démarrage de Windows, comment essayer de dedéterminer la présence de troyens :

• Vérifier les ports à l'écoute (possibilité de découvrir un virus de Troye)
  Connectez vous sur votre provider et ne lancez aucun programme Internet
  Ouvrez une fenêtre DOS et taper : netstat -an
  Vous aurez la liste des connections actives => vérifiez tout port suspect à l'écoute
  
• Si vous avez un doute ou n 'en avez pas, il existe dans les outils windows 98
  des utilitaires pour regarder les programmes lancés au démarrage :
  msconfig est l'un d'entre eux, il vous permet de regarder chacun des fichiers qui
  permettent à Windows de lancer les programmes nécessaires à son fontionnement : souris,
  clavier,...
  L'autre façon est d'aller directement voir dans la base des registres!

---

l'anonymat sur internet

• Mouchard Hardware :
  Le cpuid est un numéro de série unique attribué à votre ordinateur (il s'active où
  se désactive dans le BIOS. Il permet, s'il est activé d'identifier votre PC de façon unique.
  Sur le cd de Windows 98, vous trouverez en fouillant dans les répertoires un logiciel fait par
  Microsoft pour l'activer ou le désactiver depuis Windows, enfin MS vous expliquera les bienfaits
  de ce mouchard pour payer vos transactions sur internet de façon sécurisée par exemple.
  Notez que ce mouchard ne se trouve que sur les pentium III (et certains pentium II), il est censé
  être désactivé par défaut sur les cartes mères (cela est même précisé dans la doc des cartes mères :
  "cette option est désactivé par défaut", c'était pas le cas de la mienne : il ne faut jamais croire
  ce qu'on vous dit). Pour en être sûr, si vous avez un PII ou un PIII, vérifiez dans le BIOS si CPUID
  est bien Disabled!).
  Mais ce mouchard peut être réactivé par un simple bout de code dans un logiciel, regardez donc le petit
  programme de Microsoft sur votre CD Windows 98, il fait cela très bien depuis Windows.
  Comment être sûr, lorsque vous vous connectez à internet, qu'il n'y a pas un bout de code exécuté par
  votre navigateur qui passe le CPUID en enabled puis le repasse en disabled, et ce juste le temps nécessaire
  pour associer votre IP à ce CPUID et vous tracer le temps de votre connexion?
  Je n'ai pas de réponses à cette question, si ce n'est qu'essayer de trouver de la doc sur la programmation
  et faire vous même un petit programme qui scanne à intervalle régulier l'état du CPUID, et qui vous préviendrez
  si l'état changeait soudainement.
  
• Mouchard Software :
  le GUID, (Global Unic Identifier) est un numéro associé à un logiciel, vous trouverez sa valeur dans la base des
  registres, mais aussi dans le format des fichiers correspondant à ces logiciels, donc on peut ainsi tracer
  l'appartenance ou la rédaction d'un document émis à partir du logiciel que vous avez installé sur votre PC.
  Exercice : si vous avez Microsoft Word, créez 2 documents test1.doc et test2.doc, enregistrez les sur
  votre disque. Lancez 2 notepad et faites du drag & drop sur ces dernier avec nos 2 fichiers .doc respectifs.
  recherchez la chaine PID_GUID pour chacun des 2 fichiers et comparez les numéros qui suivent dans les accolades :
  test1.doc => 0 5 3 5 9 4 1 C - F C C 2 - 8 8 A 9 - C 2 F C - 0 0 1 2 C 3 5 8 2 C F E
  test2.doc => 2 E 3 B C E 5 8 - F C C 1 - 8 8 A 9 - C 2 F C - 0 0 1 2 C 3 5 8 2 C F E
  (ces numéros là sont bidonnés, ce n'est qu'un exemple)
  c'est la dernière séquence qui nous intéresse : 0 0 1 2 C 3 5 8 2 C F E, et que nous retrouverons partout dans la
  base des registres.
  En conséquence, dès que vous utilisez un fichier où le GUID a eté programmé dans le logiciel le manipulant, ce
  dernier porte avec lui le numéro unique qui lui est associé.
  
• les cookies :
  ce sont de véritables petits mouchards de vos connexions sur Internet. Ils sontgérés par la plupart des navigateurs
  De plus si vous activez le refus automatique de ces derniers, certains sites vous refuseront l'accès à leurs pages
  . Un cookie, c'est un fichier enregistré en local sur votre PC pendant vos connexions Internet par l'intermédiaire de
  votre navigateur et le site qui le souhaite. A titre d'exemple le B.I.F. Tech utilise un cookie, mais ce n'est pas
  pour vous tracer : lorsque vous vous connectez, il vous est demandé un nom, ce nom est enregistré dans un cookie en
  local sur votre disque, ce qui permet la fois suivante, de ne plus vous redemandez votre nom et d'afficher vers le bas
  de la page d'accueil Bienvenue 'le_nom_que_vous_avez_entré', c'est votre 'nombre_de_visite' ème visite, et c'est tout
  ca s'arrête là.
  Pour le bif, voici le genre d'information écrite dans le fichier cookies.txt pour Netscape
  www.chez.com FALSE /bif FALSE 984057844 VisitorName Null
  www.chez.com FALSE /bif FALSE 984057996 WWHCount 2
  www.chez.com FALSE /bif FALSE 984057996 WWhenH 981465998544
  On y trouve le nom que vous avez rentré (ici j'ai fait annuler d'où la valeur Null)
  Ensuite le nombre de fois que je me suis connecté sur la page d'accueil, et ma dernière connexion.
  Le problème est l'utilisation de ces 'cookies', ça peut être pour des fins publicitaires, de façon à
  identifier pour une personne donnée, ses goûts et adapter les pages que vous consultez sur un site
  particulier pour vous proposer de la publicité ciblée. Les infos enregistrés dans ce fichier peuvent être
  diverses : votre adresse IP de connexion, la dernière fois que vous vous êtes connecté, un numéro généré
  unique pour vous identifier...
  A partir de ces infos, on peut mettre une base de données en place, qui en fonction d'un numéro unique
  attribué lors de votre connexion sur le site en question, va stocker vos habitudes, vos goûts et donc vous
  proposer des articles payants adaptés à vos habitudes.
  Emplacement des cookies : Cliquer sur le menu démarrer, rechercher fichiers ou dossier et entrez 'cookies'
  puis lancer la recherche => vous trouverez un répertoire cookies dans lequel sont stockés tous les cookies
  d'Internet Explorer, puis pour les utilisateurs de Netscape des fichiers cookies.txt.
  Regardez leurs contenus.
  Les cookies de Netscape contiennent une ligne de commentaire vous demandant de ne pas
  éditer ce fichier (il ne faudrait pas que vous modifiiez les informations qui permettent de vous pister), par contre
  les cookies d'Internet Explorer n'ont pas de commentaires de ce type et utilise un format d'enregistrement des cookies
  différent. Pour ceux de Netscape ou Internet Explorer, détruisez les, ils sont automatiquement recrées lors
  de vos futures navigations, mais les données vous ayant pistées auront disparus.
  Si vous êtes vicieux, modifiez certaines valeurs de façon aléatoire, c'est drôle pour mélanger les pinceaux des bases
  de données qui vous fichent (Attention pour Internet Explorer vous ne pourrez faire de telles modifications).
  Remarque 1 : pour Internet Explorer, si vous modifiez ne serait ce qu'un caractère dans un fichier du répertoire
  cookies, ce dernier s'en aperçoit et invalide votre fichier, car ce dernier n'est plus cohérent, il sera alors recrée à
  votre prochaine connexion. Notez que la copie du fichier de cookies correpondant se trouvera également dans le répertoire
  Temporary Internet Files. Si vous êtes curieux et faites quelques recherches sur les cookies de Internet Explorer, en utilisant une fenêtre DOS et les commandes associées, en recoupant avec certaines infos de la base des registres,
  ainsi que la navigation dans les mêmes répertoires avec l'explorateur windows, vous vous apercevrez de certaines
  choses étranges : des fichiers invisibles, impossible à éditer (car surement liées à la base des registres).
  Exemple de fichier ne portant pas de noms, mais affichés sur un critère 'rechercher' : faites démarrer puis rechercher
  'MM*.dat', vou devriez trouver des fichiers correspondants à votre demande, mais également 2 icônes ne portant
  aucun nom dans le répertoire Historique sous la racine de Windows.
  Maintenant si vous voulez vraiment pouvoir accéder à ces fichiers, il est temps de rebooter, de faire F8 et de démarrer
  en Invité DOS uniquement, vous pourrez alors éditer ces fichiers. Autre solution montez vos disques sous Linux et utilisez
  un éditeur hexa sur ces fichiers.
  Remarque 2 : Si vous détruisez un fichier cookie, faites le une fois votre navigateur définitivement fermé,
  en effet au lancement, et c'est le cas de Netscape, le navigateur charge en mémoire les cookies. Si vous détruisez le
  fichier cookies.txt pendant votre connexion, il sera automatiquement recrée avec les bonnes infos au moment ou vous
  fermerez votre navigateur. Donc pour détruire un cookies.txt faites le avant d'ouvrir Netscape ou après l'avoir fermé.
  

Conclusion :
On pourrait très bien imaginer, que sous windows, lorsque vous vous connectez à internet et si vous avez un PIII,
que le logiciel de connexion active le CPUID, récupere son numéro, le désactive, et envoie cette information avec les
GUID des logiciels trouvés dans votre base de registre.
Etant donné que les codes source des logiciels sont innaccesibles, il est quasiment impossible de savoir si ce genre
de choses est implémenté, mais ca pourrait très bien l'être. Il s'agit d'un problème de FOI, c'est comme dans la religion,
vous y croyez, comme vous croyez que les concepteurs de logiciels n'insèreront jamais dans leur code ce genre de
fonctionnalités, ou vous doutez, ou n'y croyez pas!
Vous verrez peut être, à partir de maintenant, l'intérêt des OS libres, tels que Linux ou FreeBSD ou les sources sont
accessibles!

---

Surveiller votre PC

• Local : Les fichiers qui parlent
  
  • Les navigateurs :
    - nous avons déjà vu le rôle des cookies, si vous n'en voulez pas, ne les désactivez pas systématiquement dans les
    options de votre navigateur, cela vous interdirait l'accès à certains sites, choisissez alors la solution de les
    détruire, comme expliqué ci-dessus. - le fichier cache, en regardant dans un fichier cache, vous pouvez savoir ce que la personne a consulté comme site.
    les images et les différents fichiers chargés par le navigateur y sont enregistrés et ce pour la taille que vous avez
    définie dans les options de votre navigateur.
    ces fichiers sont enregistrés, non pas pour vous espionner, mais pour optimiser la vitesse de navigation, au lieu de
    recharger à chaque fois le contenu de la page que vous avez déjà consultée, il regarde d'abord s'il n'a pas dejà ces
    fichiers dans le cache, auquel cas le navigateur n'a pas besoin de le retélécharger, et vous y gagnez en vitesse.
    Pour Internet Explorer, les fichiers sont enregistrés dans le répertoire "Temporary Internet Files" sous le répertoire
    Windows.
    Pour Netscape, faites une recherche sur le mot 'cache' et vous y trouverez les fichiers relatifs à votre connexion, mais
    avec des noms ésotériques.
    Astuce : sous Netscape taper comme adresse (URL) about:cache
    vous aurez la liste de tous les fichiers présents dans votre cache (vous n'avez pas besoin d'être connecté à Internet pour
    faire ça.
    
    Pour effacer le cache manuellement faites le par le menu d'options de votre navigateur qui vous permet d'effacer ce dernier.
    - le fichier des historiques garde en mémoire l'adresse des sites que vous avez consultés, et ce pour une période que vous
    aurez fixé.
    * Pour Netscape cela se trouve dans le menu Communicator, puis outils, puis historique. Vous pouvez tous les sélectionner et les
    effacer.
    Pour la liste qui apparait avec le menu déroulant à coté de l'url sous Netscape, elle est sockée dans le fichier prefs.js
    à manipuler avec précaution comme toujours, si vous souhaitez effacer ces lignes (il y a également les préférences de config de
    votre navigateur).
    * Pour Internet Explorer, vous les trouverez dans le repertoire historique dans le répertoire Windows, mais également dans la base
    des registres HKEY_CURRENT_USERS\SOFTWARE\Microsoft\Internet Explorer\TypedURLs
    il s'agit en fait de la liste qui est accessible avec le menu déroulant de la liste où vous tapez directement vos URLS.
    A moins d'avoir quelques notions de la base des registres , faites attention en manipulant cette dernière, la suppresion d'une
    clé est définitive (pas de UNDO). Ne faites pas n'importe quoi sans savoir comment sauvegarder la base des registres, et comment
    revenir en arrière si Windows ne démarre plus suite à une bétise de votre part.
  • Windows lui-même
    Dans le menu démarrer, vous avec Documents qui stockent la liste des derniers fichiers consultés (normalement les 10 à 15 derniers)
    pour la supprimer, inutile de passer par la base des registres, vous faites cliquer bouton droit sur la barre des tâches (à un endroit
    vierge de cette dernière, cad pas sur des applications ou sur des répertoires ouverts ou iconifiés) puis vous cliquez sur propriétés
    là, vous choisissez Programme du menu Démarrer, puis effacer sur la section du menu Documents.
    Remarque : avec Tweak UI sur le cd de win 98, ou en modifiant la valeur d'une clé de la base des registres, on peut faire en sorte
    que cette liste soit automatiquement effacée au prochain redémarrage (utile si vous ne souhaitez pas avoir à faire manuellement
    cette suppresion)
  • Les dates de modification des fichiers : comment savoir si par exemple quelqu'un a utilisé votre ordinateur?
    Petit scénario suivant : vous éteignez votre ordinateur, vous partez pendant un certain temps, puis à votre retour, votre
    ordinateur est éteint ce qui est normal (il est dans l'état ou vous l'avez laissé en partant).
    Pour savoir si quelqu'un s'en est servi et ce qu'il a fait, vous pouvez utiliser les astuces ci-dessus, mais aussi faire un
    menu démarrer, puis rechercher et jouer avec l'option des recherche des fichiers en sélectionnant comme critère la date (par
    exemple pour la journée en cours, sélectionner 'Au cours des derniers 1 jours'), si vous voyez apparaitre des fichiers avec une
    heure correspondante à un moment où votre pc aurait dû être éteint, c'est que obligatoirement quelqu'un s'est servi de votre PC
    soit de façon justifiée ou soit à votre insu (il est normal que vous voyez apparaître des fichiers, car vous venez d'allumer votre
    PC et certains fichiers systèmes sont normalement modifiés par l'allumage de votre PC : alors avant de paniquer, vérifier les heures
    d'accès à ces fichiers). Vous aurez donc connaissance des fichies accédés et modifiés pendant votre absence en vous basant sue le
    détail du champ date/heure
  Conclusion : nous avons vu une infime partie de tous ses fichiers, qui pour diverses raisons, gardent une trace de vos actions
  sur le système. Sachez que ces derniers peuvent être utiles pour tirer des informations sur ce qu'ont fait des gens sur votre pc
  par exemple, mais également pour surveiller ce que vous avez fait, si c'est quelqu'un d'autre qui les consulte.
  
• Réseau :
  • les logiciels
  • méfiance des proxy en intranet