Comment déjouer jusqu'à 94% des vulnérabilités critiques découvertes dans Windows et les outils Microsoft ?

Originally published at: http://korben.info/dejouer-jusqua-94-vulnerabilites-critiques-decouvertes-windows-outils-microsoft.html

La société Avecto qui fournit des solutions de sécurité, a analysé l’intégralité des patchs fournis par Microsoft en 2016 et a pondu un petit rapport que vous pouvez télécharger ici. Et la conclusion est sans appel : 94% des vulnérabilités critiques découvertes et publiées lors des fameux “Patch Tuesday” peuvent être déjouées en utilisant un…

C’est un scoop pour beaucoup ! Je me fais moquer, étant sous Windows, d’utiliser un compte “normal” alors que je suis informaticien. Surtout le côté “c’est chiant de taper son MDP tout le temps”… Bon, ça s’est calmé depuis les lecteurs d’empreinte tout de même.

Ben oui… n’utiliser ni Edge, ni Office (ni flash ni silverlight ni java)…

J’ai bon, dites ? j’ai bon ?

est-ce que c’est équivalent d’avoir UAC d’activé ? Possible d’élever ses privilèges en contournant l’UAC ?

Oui, enfin, en pratique, Windows est juste inutilisable si on laisse l’UAC, je dirais, sur mon poste, environ 90% des softs demandent les droits admin a l’execution.
Sans parler des logiciel de VoIP, qui pour détecter la touche de détection audio (push to talk), si pas au premier plan, veulent aussi les droits admin.
Après, l’usage principal est le jeu vidéo.
Ah oui, et pour le restant (les 10%), c’est parce que ils sont installés dans le AppData, donc non droit admin, mais sur C: , donc sur mon petit SSD, alors que bon, j’ai de la place sur mon disque secondaire.

Même question.

N’importe qui comprenant un peu les principes de base de la sécurité informatique sait que tout faire tourner avec des droits d’admin est une très mauvaise idée, hélas on ne compte pas les tutos sur internet conseillant de désactiver l’UAC pour x ou y raisons… Oui, l’UAC était une plaie sous Vista (principalement parce que les programmes tiers ont mit du temps à s’adapter) mais ça s’est quand même pas mal arrangé depuis.

Sous Windows 10, en usage “power user” (un peu de dév, gestion d’un dédié, un système entretenu frénétiquement) et gaming intensif je peux passer des journées entières sans croiser un prompt UAC. Pour l’immense majorité des utilisateurs qui alternent entre bureautique légère et rézosociaux ça doit tourner à un prompt par mois.

Après, pour ceux qui utilisent un compte admin sans UAC et qui se plaignent du manque de sécurité… « Si je démonte toutes les portes et fenêtres de mon logement j’entre et sort beaucoup plus rapidement. Par contre c’est bizarre, on me cambriole souvent ? »

1 J'aime

Je ne pense pas que imposer des session ou un UAC aux utilisateurs soit la solution, ça peut aider certes, mais le problème n’est pas là.

Si @saymonz s’impose un UAC pour avoir l’esprit plus tranquille, tant mieux pour lui, mais je suis sur que s’il l’enlevait il ne choperait pas plus de virus. Perso je n’ai ni UAC ni antivirus, ni windows defender (je limite vachement mes processus pour l’opti jeux :p), bref 0 defense, et je chope rien du tout.

Pour en fréquenter tous les jours des personnes comme ça, dans nos mairies ! quand l’ordinateur leur demande leur mot de passe… bin ils rentrent leur mot de passe ! Ya pas plus simple !

Bref le point est que ce qui est critique c’est le comportement des utilisateurs. Session ou UAC, ce que vous voulez, tant que les utilisateurs ne seront pas aguerris, ils courront toujours le risque.

1 J'aime

On a un débat chez nous pour savoir si un antivirus tiers est utile suite : au com de Mr mozilla :

http://robert.ocallahan.org/2017/01/disable-your-antivirus-software-except.html

En théorie : un compte user + applocker + Emet + defender = pas de risque

qu’en pensez vous ?

Et comment tu le sais que tu ne chope rien puisque tu n’as ni AV ni defender? Tous les virus n’affichent pas une tête de mort en gros sur l’écran.

1 J'aime

Si tu ne développe pas un minimum, ton commentaire, en plus d’être inutile, de fait passer pour quelqu’un de prétentieux, voire même pédant.

Alors déjà ton pavé je l’ai lu. Il y avait 6 posts à lire au dessus du miens ce n’était pas facile mais j’ai tenu bon. Peut-être que dans ta tête ton histoire du couple Michu était claire mais moi perso je n’ai rien compris. Déjà parce que c’était un peu pénible à lire, j’avoue ne pas avoir fait trop d’efforts.

Après je te pose la même question qu’à la personne un peu plus haut, et à laquelle, sauf erreur de ma part, tu n’as pas répondu, comment tu sais que tu n’es pas infecté si tu n’as aucun logiciel qui t’en informe?

Sinon je te répondrais de façon un peu ironique en te retournant ton commentaire: “Des ressources systèmes… en 2017 … Lol”.

Donc si ton pc ne fais rien d’anormal c’est qu’il est sain? Je ne suis pas informaticien mais à mon avis tu vas en faire sourire quelques-uns.

Ça c’est un vœux pieu, c’est du même niveau que dire la guerre c’est mal.

Personne n’a dit qu’un AV était une solution miracle, mais c’est comme n’importe quel contraceptif, ça coute pas grand chose et ça protège toujours un peu.

Si les gens ne pensaient pas qu’un antivirus ne sert à rien, le taux de pc infectés serait minime…
Quant à ta blague de système qui n’agit pas ‘normalement’, lol…
Et les ressources utilisées, lol encore.
En fait t’es un lol à toi tout seul !!

Bonjour,

Sacré débat ! :grin:

Savoir si hier ou aujourd’hui ou demain Windows est un système plus sécurisé qu’un autre demande des facultés de “Devin”… Je dirai simplement qu’il est un choix parmi d’autres…

N’oublions pas ces fameux “virus” qui font tant parler d’eux !

Perso je teste souvent de nouveaux OS et j’évite de trop penser court terme, ce qui m’évite bien des maux de têtes…

Aujourd’hui je teste “Qubes Linux” qui me semble intéressant et relativement performant au niveau sécurité…

Non, vous n’avez pas bon. Des applications tierces peuvent utiliser des contrôles Active X qui font appel à des dépendances d’Internet Explorer ou autre. Le mieux reste de limiter les droits de l’utilisateur principal avec l’UAC d’activé.

Alors, critiquer Windows 10 en restant sous un Windows 8.1 modifié, donc pas adapté au depart, comment dire… Ou c’est du troll, ou c’est du kamoulox…

Pour ce qui est des anti-virus, c’est vrai que l’utilité reste très limitées car la première chose que font les dev de virus est de passer leur programmes sous virustotal… Donc oui, Les av traditionnels sont très limités pour ça. Cependant, une nouvelle génération d’av basé sur du prédictif semble assez prometteur… Au lieu de comparer la signature de programme en processus ou sur le disque avec une base de définition, l’antivirus surveille l’activité et les analyse à l’aide d’une ia décentralisée (c’est la le hick, nsa, tout ça…) qui établira si oui ou non le programme est suspect. Palo alto networks et Cisco ont des solutions de ce type, il me semble… Les joies du deep learning… Il paraît même que ces av bloquent des exploits 0 day.
Malheureusement pour les particuliers, ces solutions ciblent les pros… Pour l’instant…

Autrement dit, c’est effectivement vrai quand on dit que les problèmes de sécurités sont essentiellement entre le clavier et la chaise. Ça se vérifie en allant sur poneyy.fr ou server.poneyy.fr avec une page apache2 debian par défaut. A moins que ce ne soit tes serveurs, je t’invite grandement à paramétrer tes serveurs webs…

1 J'aime

Merci pour cette tranche de rire matinale.

C’est quoi qui régresse ? C’est ça la question que tout le monde se pose ! Depuis le début tu rabaches sans arrêt la même chose “w10 est nul parce qu’il est pas bien”. Ouah c’est super intéressant… C’est dommage, t’as l’air d’être en mesure d’avoir des arguments techniques mais tu n’en apportes aucun…

D’autre part si tu prétends pouvoir surveiller “à la main” tous les processus systèmes de ton ordi à l’instar d’un av, au mieux, tu ne sais pas de quoi tu parles, au pire, tu n’as pas de travail, d’activité, de vie sociale en outre, et tu as des troubles obsessionnels compulsifs qui sont de l’ordre d’inquiétant à très inquiétant. Franchement tu devrais faire une annonce, je suis sur que des thésards en psychologie seraient intéressés… Tu vois, tu parlais de santé mentale, je comprends… Quoi d’autres tant qu’on y est ? Tu décompiles tous tes exe pour les étudier et tu es en mesure de dire s’ils sont verolés ou non ?

Si tu y arrives t’as rien à faire là, va faire des conf, écris des bouquins, va dans un laboratoire de recherche parce que t’as de l’avenir…

Hé franchement, le jour où tu sors ça en entretien je veux être là. Filme, vas-y… Et si ils te prennent, j’ ai hâte de te voir appliquer ta méthode de sécurité révolutionnaire sur un cluster en prod…

Depuis le début tu tailles avec condescendance mais ton argumentation est plutôt légère et ton attitude assez désagréable avec les autres. Je peux faire autant et beaucoup d’autres aussi… Alors essaye d’avoir des arguments de fonds,que l’on soit d’accord ou non, c’est toujours intéressant d’en parler…

Ok, donc sur mes distributions Linux, je crée toujours un compte user, c’est un réflexe.

Sur le PC du bureau, notre compte est un compte user avec quelques droits administrateurs activés.

Mais alors sur sur mon Windows… C’est complétement aberrant, mais cela ne m’est jamais passé par la tête oO…

Moi je me suis toujours dis qu’il y a des trucs que je ne pourrais pas faire quand je bidouille, parce qu’il faut être administrateur. Mais du coup j’en sais rien puisque j’ai toujours utilisé le compte admin par défaut…