Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
|
doc:systeme:securite:les-logiciels-malveillants-sous-linux [14/10/2015 14:12] milou [Titre de Votre Tuto] |
doc:systeme:securite:les-logiciels-malveillants-sous-linux [14/10/2015 18:34] milou [Conclusion] |
||
|---|---|---|---|
| Ligne 4: | Ligne 4: | ||
| * Suivi : {{tag>en-chantier}} | * Suivi : {{tag>en-chantier}} | ||
| * Création par [[user>milou]] 14/10/2015 | * Création par [[user>milou]] 14/10/2015 | ||
| - | * Commentaires sur le forum : [[:url-invalide | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) FIXME | + | * Commentaires sur le forum : [[https://debian-facile.org/viewtopic.php?id=12398 | Lien vers le forum concernant ce tuto]] ((N'hésitez pas à y faire part de vos remarques, succès, améliorations ou échecs !)) |
| - | **Nota :** | + | Voir aussi [[atelier:chantier:les-malwares | Les malwares]] |
| - | + | ||
| - | Contributeurs, les FIXME sont là pour vous aider, supprimez-les une fois le problème corrigé ou le champ rempli ! | + | |
| ===== Introduction ===== | ===== Introduction ===== | ||
| Ligne 30: | Ligne 28: | ||
| ===== Linux et Windows face aux virus : ===== | ===== Linux et Windows face aux virus : ===== | ||
| - | Les avantages de Linux par rapport à Windows : | + | ====Les avantages de Linux par rapport à Windows ==== |
| | | ||
| Pour maximiser leurs chances, les développeurs de malwares ont écrit leurs programmes pour infecter les postes de travail dont le système d'exploitation est le plus populaire, c'est à dire Microsoft Windows. | Pour maximiser leurs chances, les développeurs de malwares ont écrit leurs programmes pour infecter les postes de travail dont le système d'exploitation est le plus populaire, c'est à dire Microsoft Windows. | ||
| Ligne 52: | Ligne 50: | ||
| <note tip>Ne vous y trompez pas : un programme malveillant exécuté avec le compte root sous Linux pourrait occasionner des dégâts tout aussi importants que sous Windows !</note> | <note tip>Ne vous y trompez pas : un programme malveillant exécuté avec le compte root sous Linux pourrait occasionner des dégâts tout aussi importants que sous Windows !</note> | ||
| + | |||
| + | ===== Les principales menaces sous Linux ===== | ||
| + | |||
| + | ====Les scripts malicieux ==== | ||
| + | |||
| + | Ces programmes ne sont pas à proprement parler des virus, puisqu'ils n'ont pas pour objectif de porter atteinte à l'intégrité du système d'exploitation. | ||
| + | |||
| + | Ils se « contenteront » d'attaquer les fichiers utilisateurs (vos données personnelles, c'est-à-dire la plupart des fichiers du dossier /home/[utilisateur] ). | ||
| + | Voir le détail ici https://doc.ubuntu-fr.org/antivirus | ||
| + | |||
| + | ==== Les virus cachés dans les pièces jointes ==== | ||
| + | |||
| + | Vous avez peut-être déjà constaté qu'un fichier téléchargé sous /Linux n'est pas par défaut exécutable. | ||
| + | |||
| + | Pour des raisons évidentes de sécurité, Linux requiert que soit manuellement et volontairement donnée l'autorisation à un fichier de s'exécuter. | ||
| + | |||
| + | Attention, dans les archives compressées (du type .tar.gz, .tar.bz2, etc.) les fichiers conservent les droits qu'ils avaient au moment de l'archivage. Ainsi, vous pouvez très bien tomber sur un fichier exécutable après son désarchivage | ||
| + | |||
| + | |||
| + | ==== Les attaques par dépassement de tampon ==== | ||
| + | |||
| + | Le dépassement de tampon ou buffer overflow est un type d'attaque lié à l'utilisation mémoire. | ||
| + | |||
| + | À la différence d'un virus cherchant à s'exécuter avec les privilèges de l'administrateur, un virus du type buffer overflow sera typiquement orienté vers la prise de contrôle d'un programme utilisateur habituellement sécurisé et possédant des accès ponctuels à des parties du système d'exploitation. | ||
| + | |||
| + | |||
| + | ===== Un anti-virus sous Linux ? ===== | ||
| + | |||
| + | L'existence d'antivirus dédiés à /Linux amène à s'intéresser aux possibilités d'existence et de propagation des virus sous /Linux. | ||
| + | |||
| + | Malgré tout, cet impact est limité car ces antivirus contrôlent pour la quasi totalité de leur base de données l'existence de virus Windows sur votre système Linux. Ce qui n'a que peu d'intérêt ! En effet gardez à l'esprit qu'un virus Windows n'affectera quasiment jamais un système Linux. | ||
| + | |||
| + | |||
| + | Le second problème des antivirus sous Linux est que si un nouveau virus est détecté sous Linux, il le sera bien moins rapidement que sous Windows. Linux n'étant pas leur domaine de prédilection ni leur marché numéro 1, il est quasiment certain que le virus ne sera déjà plus efficace quand la mise à jour permettant de s'en débarrasser sortira. | ||
| + | |||
| + | Autant vous dire qu'il n'y a pas beaucoup de place à un Antivirus sur votre système Linux : le seul cas où il peut être intéressant d'avoir un antivirus sous Linux concerne le cas où vous auriez des fichiers à envoyer à des contacts fonctionnant sous Windows et que vous êtes concernés par leur sécurité. | ||
| + | . | ||
| =====Les serveurs face aux menaces ===== | =====Les serveurs face aux menaces ===== | ||
| + | |||
| + | Souvent appelés Rootkits. Un Rootkit n'est pas un Virus à proprement parler, mais un logiciel injecté par un pirate dans un serveur ayant une faille de sécurité permettant d'exécuter du code non sollicité. | ||
| + | |||
| + | Un Rootkit permet de sécuriser le chemin permettant à un pirate de faire plus ou moins n'importe quoi avec votre serveur. | ||
| + | |||
| + | Pour être infecté par un Rootkit il ne faut pas obligatoirement être un gros serveur, mais il faut attirer l'attention. De plus, il faut qu'on puisse y accéder de l'extérieur, ce qui n'est pas le cas si vous utilisez un Pare-feu et/ou n'avez aucun service réseau actif. | ||
| + | |||
| + | Bien entendu, si le but est de faire un serveur accessible de l'extérieur, il faudra ouvrir un port. Dans ce cas, il suffit simplement de n'ouvrir que le ou les ports qui vous intéressent et pas plus, et de suivre les mises à jour de sécurité avec attention. | ||
| + | |||
| + | Des Anti Rootkits existent pour vérifier leur présence. | ||
| + | * [[doc:systeme:rkhunter | rkhunter]] | ||
| + | * [[doc:autres:chkrootkit | chkrootkit]] | ||
| Les principaux objectifs des infections visant les serveurs sont en général : | Les principaux objectifs des infections visant les serveurs sont en général : | ||
| Ligne 60: | Ligne 107: | ||
| * Infecter des utilisateurs Windows | * Infecter des utilisateurs Windows | ||
| - | Pour les détails sur les principales menaces recensées sous Linux, voir ici http://forum.malekal.com/malwares-virus-linux-t52397.html, | + | Pour les détails sur les principales menaces recensées sous Linux, voir |
| + | * http://forum.malekal.com/malwares-virus-linux-t52397.html, | ||
| + | |||
| + | * Liens suivants fournis par Severian sur le forum (Merci à lui) | ||
| + | * http://www.silicon.fr/xor-ddos-attaque-massive-botnet-linux-127751.html | ||
| + | * http://www.undernews.fr/malwares-virus-antivirus/xor-ddos-un-nouveau-botnet-linux-qui-fait-des-ravages-150-gbps.html | ||
| + | * http://www.undernews.fr/reseau-securite/seclists/mumblehard-malware-targets-linux-and-freebsd-servers.html | ||
| + | * http://www.undernews.fr/malwares-virus-antivirus/turla-un-trojan-furtif-linux-ayant-fait-beaucoup-de-victimes.html | ||
| + | * Celui-là à prendre avec des pincettes comme tous les tests qu'il a dit Severian :-) https://www.av-test.org/fr/nouvelles/news-single-view/linux-test-de-16-suites-de-protection-contre-les-programmes-malveillants-specifiques-a-windows-e/ | ||
| ==== Antivirus et serveurs GNU/Linux ==== | ==== Antivirus et serveurs GNU/Linux ==== | ||
| Ligne 68: | Ligne 123: | ||
| ===== Conclusion ===== | ===== Conclusion ===== | ||
| - | Dans le cas d’une utilisation habituelle d’un ordinateur sous linux (c’est-à-dire connecté avec des droits utilisateur et non administrateur, avec un bon mot de passe pour chaque compte, et des logiciels à jour), le développement de virus infectant des programmes exécutables est fortement limité par le fait que les exécutables appartiennent à l’administrateur et qu’ils peuvent être lus ou exécutés par l’utilisateur mais jamais écrits (donc modifiés). | + | Dans le cas d’une utilisation habituelle d’un ordinateur sous linux (c’est-à-dire connecté avec des droits utilisateur et non administrateur, avec un bon mot de passe pour chaque compte, et des logiciels et un système à jour), le développement de virus infectant des programmes exécutables est fortement limité par le fait que les exécutables appartiennent à l’administrateur et qu’ils peuvent être lus ou exécutés par l’utilisateur mais jamais écrits (donc modifiés). |
| Résultat : il est très difficile, voire impossible, pour un virus, de se reproduire sous linux en infectant des exécutables... Ce type de virus très courant sous windows ne peut que rester rarissime sous linux. | Résultat : il est très difficile, voire impossible, pour un virus, de se reproduire sous linux en infectant des exécutables... Ce type de virus très courant sous windows ne peut que rester rarissime sous linux. | ||
