Hello,

Bien sûr qu'un antivirus, aussi efficace soit-il n'est qu'un élément de protection et que nous avons (tous, du moins je l'espère) des restrictions sur les pièces jointes.

Or, dans le cas présent cela ne suffisait pas...

Je vais revenir donc sur ce pb en quelques lignes :

Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX.

Ce fichier comprend une macro qui appelle une URL, dans le cas présent de type hxxp://pastebin.com /download.php?i=X1234XX (j'ai modifié l'adresse ;)) et télécharge un fichier qui s'avère être un VBS.

((petit apparté : c'est un partenaire qui a été touché et pas nous car ce type d'accès vers des sites de partage n'est pas autorisé chez nous))

La macro lance ce script qui télécharge la charge virale à partir d'une URL d'un site hacké (nom par défaut crypted.120.exe dans le cas présent) ainsi que 2 images dont l'utilité n'est pas connue.

Enfin l'EXE est lancé.

Le problème est que la charge virale change et que la protection par signature montre ici ses limites...

La seule protection efficace est de former les utilisateurs et d'avoir un anti-virus qui réagit vite aux nouvelles menaces.

Evidemment on doit aussi bloquer les macros de Word et Excel mais c'est encore à l'utilisateur de n'autoriser que les macros de fichiers sûrs car les macros sont de nos jour très utilisées.

Reste que le niveau de la plupart des utilisateurs en faible en terme de bonnes pratiques et de sécurité.

Cordialement,   Bruno.

CSSI

-----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Xavier Beaudouin Envoyé : lundi 15 juin 2015 14:30 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

Hello Bruno

Hélas j’aimerais bien dire que ClamAv est un bon logiciel… ce n’est clairement pas le cas.

Clamav est un logiciel OpenSource, il faut pas non plus dire que c'est de la merde en boite, si personne ne fournis la signature d'un nouveau virus aux mainteneur de Clamav....

Une infection (arrivée par mail) a eu lieu massivement semaine dernière (à partir de lundi).

Certains d’entre vous en ont sans doute entendu parler (crypted120.exe).

J’ai moi-même soumis l’échantillon à ClamAv mardi dernier et il ne le détectait toujours pas samedi.

Bon autre point, vous autorisez des .exe dans les mails ? Déjà rien que cette partie prouve qu'il manque une certaine sécurité de base dans les emails (après qu'il y ait quelqu'un d'assez bête pour cliquer dessus... c'est autre chose).

Rien que des .exe, .dll, etc... en générals doivent être mis en quarantaine par défaut, puis éventuellement sortit de cette quarantaine si besoin.

D'autre part les antivirus sont pour les machines comme un vaccin pour les humains : rien n'empêche d'appliquer des règles d’hygiènes strictes dans une boite...

Xavier

Exact. :) C'est comme pour le choix de l'antivirus...

Les experts techniques avaient rendu un rapport en mettant Symantec bon dernier. Que croyez-vous qui fût choisi ? Eh oui...

Durs métiers que sysadmin et/ou dans la sécurité des SI ou tout autre devant transiger sur certains points car nous sommes limités par d'autres qui n'ont pas les même préoccupations que nous.

Alors on essaye de bouger les choses à notre niveau. Parfois on y arrive, parfois cela prend du temps et souvent on ne peut pas les faire bouger. Cela ne nous empêche de continuer à essayer ;)

Cordialement,   Bruno

CSSI -----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Xavier Beaudouin Envoyé : lundi 15 juin 2015 15:33 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

Hello,

Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX.

Ha ce zero day la ? (du 06/06/2015) :)

Le problème est que la charge virale change et que la protection par signature montre ici ses limites...

La seule protection efficace est de former les utilisateurs et d'avoir un anti-virus qui réagit vite aux nouvelles menaces.

Evidemment on doit aussi bloquer les macros de Word et Excel mais c'est encore à l'utilisateur de n'autoriser que les macros de fichiers sûrs car les macros sont de nos jour très utilisées.

Évidement, oui. Après on a toujours dit depuis 199x que les .doc(x) (ou autre MS Officeries) sont des dangers pour l'informatique. Mais "on" (pas nous les sysadmins hein), continue a vouloir utiliser ces choses qui connues depuis des années comme vecteurs d'infections.

Des fois passer sur d'autres choses (au hasard, Openoffice / Libreoffice / ...) seraient un bénéfice pour tout le monde... Mais comme d'habitude ces problèmatiques de pièces jointes restent de l'éducation des utilisateurs (exemple : mettre une capote quand on rencontre une personne qu'on ne connais pas de façon intime), qui reste toujours la partie la plus difficile.

On a beau dire, les antivirus (tous sans exceptions) ont des failles et les concepteurs de ces trojans, etc... sont des experts pour trouver une méthode pour y échapper.

Une protection antivirus ne constitue pas en soit la chose pour être tranquille, une bonne hygiène informatique sérieuse peux permettre en complément d'avoir moins de pb. Exemple: spécifier que les factures DOIVENT être en PDF signées par GPG (mais soyons terre à terre, ça n'arriveras peut-être jamais).

Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

Merci, je ne connaissais pas ;)

Je suppose au plus on ajoute de bases plus on ralentit ClamAV et que l'on multiplie les risques de faux positif...

Qui aurait des infos sur les bases incontournables qui permettraient de fiabiliser ClamAV ?

Cordialement,

Bruno

-----Message d'origine----- De : Pierre Schweitzer [mailto:pierre@reactos.org] Envoyé : lundi 15 juin 2015 15:49 À : CROCQUEVIEILLE Bruno ResgGtsRetDsoFrv; frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Bonjour,

Peut-être qu'utiliser des sources supplémentaires de signatures peut aider à détecter les nouvelles menaces avec une meilleure réactivité.

Exemple de sources supplémentaires déjà données sur frsag : http://sanesecurity.co.uk/usage/signatures/

Cordialement,

On 06/15/2015 03:43 PM, CROCQUEVIEILLE Bruno wrote:

Exact. :) C'est comme pour le choix de l'antivirus...

Les experts techniques avaient rendu un rapport en mettant Symantec bon dernier. Que croyez-vous qui fût choisi ? Eh oui...

Durs métiers que sysadmin et/ou dans la sécurité des SI ou tout autre devant transiger sur certains points car nous sommes limités par d'autres qui n'ont pas les même préoccupations que nous.

Alors on essaye de bouger les choses à notre niveau. Parfois on y arrive, parfois cela prend du temps et souvent on ne peut pas les faire bouger. Cela ne nous empêche de continuer à essayer ;)

Cordialement,

Bruno

CSSI -----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Xavier Beaudouin Envoyé : lundi 15 juin 2015 15:33 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

Hello,

...

Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX.

Ha ce zero day la ? (du 06/06/2015) :)

...

Le problème est que la charge virale change et que la protection par signature montre ici ses limites...

La seule protection efficace est de former les utilisateurs et d'avoir un anti-virus qui réagit vite aux nouvelles menaces.

Evidemment on doit aussi bloquer les macros de Word et Excel mais c'est encore à l'utilisateur de n'autoriser que les macros de fichiers sûrs car les macros sont de nos jour très utilisées.

Évidement, oui. Après on a toujours dit depuis 199x que les .doc(x) (ou autre MS Officeries) sont des dangers pour l'informatique. Mais "on" (pas nous les sysadmins hein), continue a vouloir utiliser ces choses qui connues depuis des années comme vecteurs d'infections.

Des fois passer sur d'autres choses (au hasard, Openoffice / Libreoffice / ...) seraient un bénéfice pour tout le monde... Mais comme d'habitude ces problèmatiques de pièces jointes restent de l'éducation des utilisateurs (exemple : mettre une capote quand on rencontre une personne qu'on ne connais pas de façon intime), qui reste toujours la partie la plus difficile.

On a beau dire, les antivirus (tous sans exceptions) ont des failles et les concepteurs de ces trojans, etc... sont des experts pour trouver une méthode pour y échapper.

Une protection antivirus ne constitue pas en soit la chose pour être tranquille, une bonne hygiène informatique sérieuse peux permettre en complément d'avoir moins de pb. Exemple: spécifier que les factures DOIVENT être en PDF signées par GPG (mais soyons terre à terre, ça n'arriveras peut-être jamais).

Xavier _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

- -- Pierre Schweitzer pierre@reactos.org System & Network Administrator Senior Kernel Developer ReactOS Deutschland e.V.

Oui mais les utilisateurs sont des... utilisateurs :'(

Cordialement,

Bruno

CSSI -----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Dominique Rousseau Envoyé : lundi 15 juin 2015 16:05 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

Le Mon, Jun 15, 2015 at 01:23:41PM +0000, CROCQUEVIEILLE Bruno [Bruno.Crocquevieille@socgen.com] a écrit: [...]

Je vais revenir donc sur ce pb en quelques lignes :

Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX.

Ça devrait s'arreter là. Si tes utilisateurs ouvrent un document qui prétend être une facture provenant de quelqu'un qu'ils ne connaissent pas (nom, adresse email, objet), ils ne devraient même pas envisager de l'ouvrir.

(oui, je sais, je vis au pays des bisounours)

Pierre, On a rien inventé depuis appArmor/SELinux/Grsec+rbac.

Mais le débat est plus profond. Le soucis de la sécurité informatique c'est que c'est quelque chose de contraignent pour l'utilisateur. Et toutes mesure visant à le protéger du monde extérieur seras contourné. (suffit de voir l'explosion du cannabis et le binge drinking dans un autre domaine pour en être convaincu).

Le soucis de la sécurité est d'autant plus problématique qu'il s'oppose à des biais de l'esprit fréquent tel que "Ca ne m'arriveras jamais" (pas besoin de préservatif) où alors "C'est trop cher mais qu'est ce que j'y gagne" (ho, il y a un traitement contre les MST va). Où alors, le principe de la poule de recèle (Ça fait 10 * que j'opère sans me laver les main et pas de maladie nosocomiale, donc pourquoi pas continuer !) Les seuls utilisateurs avertis sont ceux ayant réellement suivis une formation et encore, ceci n'est pas gagné. Donc, en général, hormis une contrainte réglementaire, il y a jamais de budget pour la sécurité.

Alexis

Le 15 juin 2015 16:11, Pierre Schweitzer pierre@reactos.org a écrit :

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Pour protéger l'utilisateur de lui-même dans ce genre de situation, sous Windows, il existe des solutions Microsoft telles que :

• • AppLocker : https://technet.microsoft.com/fr-fr/library/dd759117.aspx
• • EMET : https://support.microsoft.com/en-us/kb/2458544

Pour avoir eu des feedbacks d'entreprises l'ayant en production, c'est radical (et efficace). Et ça évite que l'utilisateur qui lance n'importe quoi sans réfléchir puisse compromettre son poste.

On 06/15/2015 04:06 PM, CROCQUEVIEILLE Bruno wrote:

...

Oui mais les utilisateurs sont des... utilisateurs :'(

Cordialement,

Bruno

CSSI -----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Dominique Rousseau Envoyé : lundi 15 juin 2015 16:05 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

Le Mon, Jun 15, 2015 at 01:23:41PM +0000, CROCQUEVIEILLE Bruno [Bruno.Crocquevieille@socgen.com] a écrit: [...]

...

Je vais revenir donc sur ce pb en quelques lignes :

Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX.

Ça devrait s'arreter là. Si tes utilisateurs ouvrent un document qui prétend être une facture provenant de quelqu'un qu'ils ne connaissent pas (nom, adresse email, objet), ils ne devraient même pas envisager de l'ouvrir.

(oui, je sais, je vis au pays des bisounours)

---

Pierre Schweitzer pierre@reactos.org System & Network Administrator Senior Kernel Developer ReactOS Deutschland e.V. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2

iQIcBAEBCAAGBQJVft0XAAoJEHVFVWw9WFsLXOUP/2LsyWLg2RQtYw3PwuJ6nBW3 6ogwrBrw95EPvNf5mmdjhu1VFTTfBB7sSNg4fQE47rEB4aqrtN9L+bz9KXGhq1lX 5LpWJ2SGuiCYt/IpfzPHr7qwqpSrwwduo2DxIGEp4qNQgimtBgOo43z9Ym2G9P+m WZTVbbkSC80sM48Daqs/eOkNe5JbUDyBc4lYXUx/Y3RZ2vhR7At8aJr/TOKH5c4W r2X+cxMnlY60uzfunv7/sfa74XGrHaNANMsYfOkzYWA4zk7SY8EqF6ndPtpYhyfb UQHC6fk9FaiJLenqTj24lw7NcUMcdg6YhUpVidO4p+7yBxVxMBtfsr5Eyei5I8K1 SfqvlT3Hzn2IesmaV/1YXsRE9ChumZ5AwVkbdPeTOET8IJsMf1HD1pCdQogJbM/J RBUwJgli58HnV5LQRcUKKxketBW6Q11ra+W9KfXfbKirdXtS+rxJ0nJIFoN243Wn 9KzHlc0nGlwq2wqbLnj+njjMFYA6MGx0X4yXK+4//1jiSpxBxgmuJEwLECP658EB 7F5Ar/von6Jb7kTneUUYGGcUil9hOzCgPnDX0hcHCLdVK6krlFEaQThBcQU9wwsc PZLQyGq1NVZHWPK/GtLLqaOe3UqDsKtou4uX7e1c5X0ObNekXW6PtMStJI8B8RgX NtYXJH8ZYdDdSzw4g4zm =8rBY -----END PGP SIGNATURE----- _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

Le Tue, Jun 16, 2015 at 03:15:53PM +0200, GROS Jerome a écrit:

Sanesecurity a été cité comme signatures complémentaires pour clamav, j'utilise https://www.securiteinfo.com/services/improve-detection-rate-of-zero-day-mal... pour compléter le bon clamav !

Je vais un peu voler le fil, mais ça reste dans la même veine... J'utilise toujours spamassassin pour l'antispam, mais il laisse passer de plus en plus de @#! . L'état de l'art au niveau des règles et de l'antispam à utiliser, c'est quoi, de nos jours ?

Arnaud.

On Sun Jun 21 12:11:18 2015, Xavier Claude wrote:

Le dimanche 21 juin 2015 11:48:33 Arnaud Launay a écrit :

...

Je vais un peu voler le fil, mais ça reste dans la même veine... J'utilise toujours spamassassin pour l'antispam, mais il laisse passer de plus en plus de @#! . L'état de l'art au niveau des règles et de l'antispam à utiliser, c'est quoi, de nos jours ?

Salut,

J'utilise spamassassin et peu de spam passe. Par contre, il faut bien penser à mettre les règles à jour (CRON=1 dans /etc/default/spamassassin) et je fait de l'apprentissage de spam avec dovecot-antispam.

Blinder sa configuration de postfix aide bien aussi. Pour ma part je bloque les HELO non FQDN, je fais du greylisting et j’utilise les RBL. Ça limite pas mal le nombre de messages qui arrivent jusqu’à spamassassin.

Le 21 juin 2015 13:36, Arnaud Launay asl@launay.org a écrit :

'est devenu plus facile de blinder clamav que de blinder spamassassin, apparemment :(

Les spams ont je crois aussi une meilleure qualité ^^

Ancien utilisateur de dspam, effectivement non maintenu et complètement dépassé par les techniques de spam actuelles, je teste https://rspamd.com/ https://rspamd.com/ depuis qqs semaines, développement actif et bonnes performances. Reste a le mettre a l'épreuve du feu, sur un serveur avec des utilisateurs qui aiment les bons de réduction et les super affaires, font des régimes et achètent des pilules bleues :) Qqn aurait'il un retour d'exp significatif avec rspamd ?

Le 22 juin 2015 à 08:36, adrien nayrat adrien.nayrat.axess@gmail.com a écrit :

Le 21 juin 2015 11:48, Arnaud Launay asl@launay.org a écrit :

...

Le Tue, Jun 16, 2015 at 03:15:53PM +0200, GROS Jerome a écrit:

...

Sanesecurity a été cité comme signatures complémentaires pour clamav, j'utilise https://www.securiteinfo.com/services/improve-detection-rate-of-zero-day-mal... pour compléter le bon clamav !

Je vais un peu voler le fil, mais ça reste dans la même veine... J'utilise toujours spamassassin pour l'antispam, mais il laisse passer de plus en plus de @#! . L'état de l'art au niveau des règles et de l'antispam à utiliser, c'est quoi, de nos jours ?

J'ai lu du bien de dspam : http://wiki.linuxwall.info/doku.php/fr:ressources:dossiers:dspam http://www.planet-libre.org/index.php?post_id=14683

Mais je crois qu'il n'est plus maintenu : http://linuxfr.org/users/glandos/journaux/antispam-sans-dspam _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/

Bonjour,

En effet Applocker peut être une solution mais sa mise en place serait pénible chez nous car nous avons pas mal de spécifique (et je peux mettre un nom sur chacun des profils que tu as cité :)).

Ma boite a décidé de passer de Sophos à Symantec et j'ai utilisé Sophos pendant des années... J'ai souvent pesté notamment sur les MaJs qui sont en échec sur les postes et c'est chiant à débugger avec Sophos.

Mais Symantec est à mon avis moins flexible que Sophos, mais, à ma grande surprise, pas si mal que ça à l'usage. Saufs les rapports qui sont merdiques et qui nous ont forcé à taper directement dans la base pour extraire nous-mêmes les données et les présenter.

Cordialement,

Bruno

-----Message d'origine----- De : Stephane Martin [mailto:stephane.martin@vesperal.eu] Envoyé : mardi 16 juin 2015 22:27 À : Pierre Schweitzer Cc : CROCQUEVIEILLE Bruno ResgGtsRetDsoFrv; frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

Clairement, Applocker est trop méconnu, ça flingue 95% des malwares.

Sur un poste Applocké, le malware d'Evgeny pourra toujours se brosser pour exécuter sa charge après avoir p0wné Adobe Reader.

Le Cryptolocker de Boris va aussi avoir beaucoup de mal.

Ca ne risque pas de gêner Josiane dans ses tâches de secrétariat (MS Office fonctionnera sans problème).

Par contre Jean-Luc le libriste revendicatif va s'énerver quand il ne pourra plus exécuter son Firefox portable sur clef USB (Jean-Luc n'a pas confiance dans Mordac le security officer et méprise le navigateur d'entreprise).

Plus gênant, Amandine la data-scientist ne pourra plus gérer sa distrib R ou Scipy toute seule. La DSI a intérêt à carburer pour télédéployer tout ce dont elle a besoin à la volée (Hint: SCCM ça marche bien, Novell Zenworks euhhhh).

Sans parler de Vincent le dev agile et les 429862968 outils qu'il cherche à tester chaque jour.

Exemples basés sur des cas réels ;) Le profil d'activités des utilisateurs est à regarder de près avant de déployer. Il faut aussi, de mémoire, un AD pas trop vieux (2008R2) et des licences Windows >= Enterprise (en Pro, pas d'Applocker, bienvenu dans le monde merveilleux de SRP).

Sinon, Clamwin, ça ne sert pas à grand chose. L'efficacité d'un antivirus ça ne tient pas tant à la qualité de son code, qu'à la capacité de l'entreprise qui l'édite à proposer des mises à jour fréquentes et à bâtir des heuristiques pertinentes. Il faut une grosse R&D et un gros support pour ça. Ca n'est guère le champ du logiciel libre.

J'ai une affection particulière et subjective pour les produits Sophos (parce que ça pète jamais en prod). L'AV Trend par contre, juste une lonnnnngue et pénible expérience de malwares non détectés.

Cordialement, Stéphane

Pierre Schweitzer a écrit :

Pour protéger l'utilisateur de lui-même dans ce genre de situation, sous Windows, il existe des solutions Microsoft telles que :

• AppLocker : https://technet.microsoft.com/fr-fr/library/dd759117.aspx
• EMET : https://support.microsoft.com/en-us/kb/2458544

Pour avoir eu des feedbacks d'entreprises l'ayant en production, c'est radical (et efficace). Et ça évite que l'utilisateur qui lance n'importe quoi sans réfléchir puisse compromettre son poste.

On 06/15/2015 04:06 PM, CROCQUEVIEILLE Bruno wrote:

...

Oui mais les utilisateurs sont des... utilisateurs :'(

...

Cordialement,

...

Bruno

...

CSSI -----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Dominique Rousseau Envoyé : lundi 15 juin 2015 16:05 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

...

Le Mon, Jun 15, 2015 at 01:23:41PM +0000, CROCQUEVIEILLE Bruno [Bruno.Crocquevieille@socgen.com] a écrit: [...]

...

Je vais revenir donc sur ce pb en quelques lignes :

Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX.

Ça devrait s'arreter là. Si tes utilisateurs ouvrent un document qui prétend être une facture provenant de quelqu'un qu'ils ne connaissent pas (nom, adresse email, objet), ils ne devraient même pas envisager de l'ouvrir.

...

(oui, je sais, je vis au pays des bisounours)

---

Liste de diffusion du FRsAG http://www.frsag.org/

Hello,

Ce qu'il faut pas oublier c'est que Vincent et Jean-luc peuvent avoir l'accès sur leur post vue qu'ils ont la compétence pour s'en sortir sans de tels outils ^^.

Pour le soucis vis à vis de R ou de LaTeX, il suffit d'installer la distribution complète, et d'avoir un user système qui lance la tache de mise a jour en temps utile ce qui reste compatible avec le reste du système.

Le vrais frein aux solutions de durcissement logiciel reste le fait qu'il faille une bonne équipe de qualif pour mener le projet à bien sans que ça pète partout sur les postes des users.

alexis

Le 17 juin 2015 10:07, CROCQUEVIEILLE Bruno <Bruno.Crocquevieille@socgen.com

a écrit :

Bonjour,

En effet Applocker peut être une solution mais sa mise en place serait pénible chez nous car nous avons pas mal de spécifique (et je peux mettre un nom sur chacun des profils que tu as cité :)).

Ma boite a décidé de passer de Sophos à Symantec et j'ai utilisé Sophos pendant des années... J'ai souvent pesté notamment sur les MaJs qui sont en échec sur les postes et c'est chiant à débugger avec Sophos.

Mais Symantec est à mon avis moins flexible que Sophos, mais, à ma grande surprise, pas si mal que ça à l'usage. Saufs les rapports qui sont merdiques et qui nous ont forcé à taper directement dans la base pour extraire nous-mêmes les données et les présenter.

Cordialement,

Bruno

-----Message d'origine----- De : Stephane Martin [mailto:stephane.martin@vesperal.eu] Envoyé : mardi 16 juin 2015 22:27 À : Pierre Schweitzer Cc : CROCQUEVIEILLE Bruno ResgGtsRetDsoFrv; frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

Clairement, Applocker est trop méconnu, ça flingue 95% des malwares.

Sur un poste Applocké, le malware d'Evgeny pourra toujours se brosser pour exécuter sa charge après avoir p0wné Adobe Reader.

Le Cryptolocker de Boris va aussi avoir beaucoup de mal.

Ca ne risque pas de gêner Josiane dans ses tâches de secrétariat (MS Office fonctionnera sans problème).

Par contre Jean-Luc le libriste revendicatif va s'énerver quand il ne pourra plus exécuter son Firefox portable sur clef USB (Jean-Luc n'a pas confiance dans Mordac le security officer et méprise le navigateur d'entreprise).

Plus gênant, Amandine la data-scientist ne pourra plus gérer sa distrib R ou Scipy toute seule. La DSI a intérêt à carburer pour télédéployer tout ce dont elle a besoin à la volée (Hint: SCCM ça marche bien, Novell Zenworks euhhhh).

Sans parler de Vincent le dev agile et les 429862968 outils qu'il cherche à tester chaque jour.

Exemples basés sur des cas réels ;) Le profil d'activités des utilisateurs est à regarder de près avant de déployer. Il faut aussi, de mémoire, un AD pas trop vieux (2008R2) et des licences Windows >= Enterprise (en Pro, pas d'Applocker, bienvenu dans le monde merveilleux de SRP).

Sinon, Clamwin, ça ne sert pas à grand chose. L'efficacité d'un antivirus ça ne tient pas tant à la qualité de son code, qu'à la capacité de l'entreprise qui l'édite à proposer des mises à jour fréquentes et à bâtir des heuristiques pertinentes. Il faut une grosse R&D et un gros support pour ça. Ca n'est guère le champ du logiciel libre.

J'ai une affection particulière et subjective pour les produits Sophos (parce que ça pète jamais en prod). L'AV Trend par contre, juste une lonnnnngue et pénible expérience de malwares non détectés.

Cordialement, Stéphane

Pierre Schweitzer a écrit :

...

Pour protéger l'utilisateur de lui-même dans ce genre de situation, sous Windows, il existe des solutions Microsoft telles que :

• AppLocker : https://technet.microsoft.com/fr-fr/library/dd759117.aspx
• EMET : https://support.microsoft.com/en-us/kb/2458544

Pour avoir eu des feedbacks d'entreprises l'ayant en production, c'est radical (et efficace). Et ça évite que l'utilisateur qui lance n'importe quoi sans réfléchir puisse compromettre son poste.

On 06/15/2015 04:06 PM, CROCQUEVIEILLE Bruno wrote:

...

Oui mais les utilisateurs sont des... utilisateurs :'(

...

Cordialement,

...

Bruno

...

CSSI -----Message d'origine----- De : FRsAG [mailto:frsag-bounces@frsag.org] De la part de Dominique Rousseau Envoyé : lundi 15 juin 2015 16:05 À : frsag@frsag.org Objet : Re: [FRsAG] ClamWin + ClamSentinel

...

Le Mon, Jun 15, 2015 at 01:23:41PM +0000, CROCQUEVIEILLE Bruno [Bruno.Crocquevieille@socgen.com] a écrit: [...]

...

Je vais revenir donc sur ce pb en quelques lignes :

Cela commence par la réception d'un mail prétextant une facture ou un autre document placé en pièce jointe. Il s'agit d'un .DOC ou .DOCX.

Ça devrait s'arreter là. Si tes utilisateurs ouvrent un document qui prétend être une facture provenant de quelqu'un qu'ils ne connaissent pas (nom, adresse email, objet), ils ne devraient même pas envisager de l'ouvrir.

...

(oui, je sais, je vis au pays des bisounours)

---

Liste de diffusion du FRsAG http://www.frsag.org/

---

Liste de diffusion du FRsAG http://www.frsag.org/