Home Search Contact New
[ Up | Back | Next | Home | Search | Contact | New | EdelWeb ]

OutLook: Se protéger contre les virus


Quelques conseils simples pour en finir avec les VBS hostiles ...

Nicolas RUFF présente des options de configuration et correctifs à appliquer pour élever le niveau de protection contre les virus se propageant par e-mail (scripts VBS en particulier).

1. Protéger les associations de fichiers
2. Configurer Outlook
3. Techniques de protection avancées
4. Liste des correctifs disponibles
1. Protéger les associations de fichiers

Parmi tous les usages possibles ou attendus du réseau Internet (e-commerce, vidéo à la demande, etc.), la messagerie reste le plus populaire et le plus largement répandu. D'après une étude Internet Trak de juin 1998, sur les 6,1 millions d'internautes français, 2,4 millions utilisent Internet exclusivement pour la messagerie.

Pour beaucoup d'entreprises la stratégie de déploiement Internet commence par l'ouverture de leurs systèmes de messagerie interne vers l'extérieur. La messagerie devient alors de fait l'un des deux enjeux de sécurité majeurs liés à l'ouverture des réseaux d'entreprise sur Internet (avec les risques d'intrusion). Cet état de fait fût malheureusement illustré au plus haut niveau par la pénétration du réseau de développement de Microsoft Corp. par un Cheval de Troie dissimulé dans une pièce jointe.

Tout d'abord relais passif pour des données infectées (documents Word) au même titre que les disquettes, la messagerie a été progressivement intégrée à la stratégie de propagation des virus qui exploitent pour la plupart les fonctions particulièrement puissantes offertes par les clients de messagerie récents comme Outlook : interface standard d'accès aux données et au carnet d'adresses (MAPI) accessible depuis un langage de programmation simple (VBScript), intégration de composants actifs (ActiveX), généralisation de la messagerie HTML.

C'est ainsi que sont successivement apparus Melissa, Kak et ses variantes (BubbleBoy), puis enfin ILoveYou et AnnaKournikova dont les variantes déjouent sans cesse les signatures utilisées par les outils antivirus.

Face à cette explosion du risque qui déborde les outils antivirus traditionnels, la mise en place d'une réelle politique de sécurité des échanges devient une nécessité, voire même une urgence pour beaucoup. Cette politique se doit d'agir sur les points suivants :

  • Prévenir les infections virales par la mise en place d'outils de filtrage et la responsabilisation des utilisateurs ;
  • Détecter rapidement toute forme d'activité anormale (explosion du trafic de messagerie) ;
  • Réagir efficacement en cas d'alerte par le biais de cellules de crise déjà constituées ;
  • Protéger les données contre la destruction mais aussi la divulgation et l'altération ;
  • Responsabiliser les utilisateurs vis-à-vis de l'usage de la messagerie (charte de bon usage) ;
  • Suivre l'évolution de la menace (ex. apparition des virus Palm) et adapter sa stratégie de protection.

En matière de protection antivirale, les solutions purement techniques trouvent rapidement leurs limites si elles ne s'accompagnent pas d'une réelle politique de suivi garantissant la continuité et l'homogénéïté des mesures de prévention et de réaction. La meilleure protection contre les virus reste toutefois l'éducation des utilisateurs : il est préférable de ne JAMAIS ouvrir de pièce jointe inconnue ou suspecte, même si celle-ci présente un caractère ludique ...

En attendant cette prise de conscience obtenue parfois dans la douleur, voici quelques conseils simples qui permettent de tirer le meilleur parti des fonctions de sécurité antivirus offertes par le client Outlook.

2. Configurer Outlook

Principe

Les types de fichiers suivants sont des vecteurs infectieux privilégiés tout en étant rarement utilisés par ailleurs :

Extension Type
VBS Fichier script WScript
VBE Fichier script crypté VBScript
JS Fichier script JScript
JSE Fichier script crypté JScript
WSF Fichier script Windows
WSH Fichier de configuration de l'environnement d'exécution de script
SHS Objet Bribes

Les virus récents ayant causé le plus de dégâts exploitent la technique de la "double extension". Par défaut, Windows masque l'extension pour les types de fichiers connus. Ainsi, si le type "VBS" est connu du système, le fichier VIRUS.JPG.VBS apparaitra à l'écran sous le nom VIRUS.JPG trompant ainsi la majorité des utilisateurs.

Il existe deux méthodes permettant de changer ce comportement par défaut de Windows.

Réalisation (méthode 1)

Supprimer l'extension de la liste des extensions connues.

Contrainte(s)

Cette méthode n'est pas fiable à 100% sur le long terme. L'extension supprimée peut être réinstallée par un correctif ou une mise a jour.

 

Réalisation (méthode 2)

  • Toujours afficher les extensions de fichiers "à risque".
  • Ouvrir les fichiers "à risque" avec une application ne provoquant pas leur exécution (par exemple le bloc-notes).

Sous Windows 2000

Sous Windows 98
  • Icône Poste de travail
  • Menu Outils/Options des dossiers
  • Onglet Types de fichier
  • Bouton Modifier
  • Icône Poste de travail
  • Menu Affichage/Options des dossiers
  • Onglet Types de fichier
  • Bouton Modifier

Sous Windows 2000 Sous Windows 98
  • Associer les actions "open" et "open2" à NOTEPAD.EXE
  • Cocher l'option "Confirmer l'ouverture après le téléchargement"
  • Cocher l'option "Toujours afficher l'extension"
  • Associer les actions "open" et "open2" à NOTEPAD.EXE
  • Cocher l'option "Confirmer l'ouverture"
  • Cocher l'option "Toujours afficher l'extension"

Contrainte(s)

Cette opération doit être effectuée sur tous les postes pour toutes les extensions "à risque". Toutefois le déploiement des modifications peut être réalisé directement dans la base de registre.

3. Techniques de protection avancées

3.1 Ne pas cacher les extensions des fichiers dont le type est connu

Principe

Au lieu de forcer l'affichage de l'extension pour chaque type de fichier, il est possible d'activer ou de désactiver cet affichage globalement au niveau du système d'exploitation.

Réalisation

Sous Windows 2000 Sous Windows 98
  • Icône Poste de travail
  • Menu Outils/Options des dossiers
  • Onglet Affichage
  • Option "Cacher les extensions des fichiers dont le type est connu"
  • Choisir "non"
  • Icône Poste de travail
  • Menu Outils/Options des dossiers
  • Onglet "Affichage"
  • Option "Masquer les extensions des fichiers dont le type est connu"
  • Choisir "non"

Contrainte(s)

Aucune.

3.2 Modifier le chemin de recherche des exécutables

(Windows NT/2000 uniquement)

Principe

Empêcher le système d'exploitation de reconnaitre les scripts comme des commandes intégrées et de les exécuter en ligne de commande.

Réalisation

Par défaut la variable d'environnement PATHEXT vaut :
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

Changer dans Panneau de configuration/Système/Avancé/Variables d'environnement :
PATHEXT=.COM;.EXE;.BAT;.CMD

Contrainte(s)

Les fichiers script ne sont plus directement interprétables en ligne de commande.
Les lignes de commande de type "SCRIPT" doivent être remplacées par une ligne de commande explicite de type "WSCRIPT SCRIPT.VBS". Ceci peut perturber le fonctionnement des outils qui utilisent beaucoup de scripts d'administration en VBScript, comme IIS.

3.3 Supprimer les interpréteurs de script

Principe

Supprimer les interpréteurs de script WSCRIPT.EXE et CSCRIPT.EXE.

Réalisation

Ces fichiers se trouvent dans le sous-répertoire %SYSTEM32%.

Sous Windows 2000 ces fichiers sont réparés automatiquement par WFP, il faut donc soit les supprimer du répertoire DLLCACHE, soit changer les permissions d'accès pour en interdire l'accès aux utilisateurs plutôt que de les supprimer, soit désactiver WFP.

Contrainte(s)

Cette solution n'est pas fiable à 100%, car l'interpréteur peut être réinstallé par un correctif, un Service Pack, une mise a jour ou une application.

De plus, sous Windows 2000, l'interpréteur de scripts est utilisé par de nombreux outils d'administration (IIS en particulier). Cette solution ne peut être déployée de manière opérationnelle que sur des postes de travail.

4. Liste des correctifs disponibles

Principe

Appliquer les correctifs publiés par l'éditeur (Microsoft Corp).

Réalisation

Site officiel :
http://search.officeupdate.microsoft.com/downloadCatalog/default.asp?Product=Outlook&SortBy=Date&SortOrder=d&Version=All&Type=U

Les correctifs liés à la sécurité antivirus sont :

  • Outlook 97 Email Attachment Security Update
  • Outlook 98 Update: E-mail Security
  • Outlook 98 Collaboration Data Objects (CDO) Update: Security
  • Outlook 2000 Collaboration Data Objects (CDO) Update: Security

Pour Outlook 2000, ces correctifs sont inclus dans le correctif Office SR-1a ou le Service Pack 2 pour Outlook 2000. Le site Slipstick Systems (en anglais) permet d'obtenir des informations complémentaires sur le sujet.

D'autre part les avis de sécurité Microsoft suivants concernent la sécurité d'Outlook vis-à-vis de menaces plus subtiles, comme le débordement de tampon, qui peuvent être exploitées par des virus (un correctif est disponible pour chaque avis de sécurité) :

  • MS00-043 (“Malformed E-mail Header” Vulnerability)
  • MS00-046 (“Cache Bypass” Vulnerability)
  • MS01-012 (VCard Handler Contains Unchecked Buffer)

Contrainte(s)

Ces correctifs bloquent les accès au carnet d'adresses - ils sont donc incompatibles avec les applications qui requierent un accès au carnet d'adresses, comme la synchronisation Palm Pilot (tm).
De plus, ils bloquent autoritairement tout accès aux pièces jointes de certains types (comme les .EXE).

Titre OutLook: Se protégercontre les virus
Date 27/02/2001
Version 1.01
Auteur Nicolas RUFF nicolas.ruff@edelweb.fr
Documents référencés  .
Sites référencés http://search.officeupdate.microsoft.com/
http://www.slipstick.com/

© Copyright EdelWeb 2001 all rights reserved

webmaster@edelweb.fr  Copyright EdelWeb (C) 1995, 1998