Sécurité Poste de Travail

Sécurité
d’un
poste de travail Windows
Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 1

1. INTRODUCTION

But de la sécurité
• Maintenir l'accès à des données intègres.
– "Intègres" signifie que des données disponibles
restent disponibles, des données confidentielles
restent confidentielles, des données correctes
restent correctes.
– Maintenir signifie que les temps d'interruption de
cet accès aux données intègres est le plus court
possible, voire inexistant.

CIA de la sécurité informatique
• Confidentiality
• Integrity
• Availability

Domaines relevants de la
sécurité informatique
• Authentification : Reconnaissance de l’identité de
l’interlocuteur.
• Intégrité : l’information stockée ou transmise n’est pas
altérée.
• Confidentialité : connaissance de l'information par un
groupe restreint de personnes ou de systèmes.
• Autorisation : la permission de faire ou d’accéder à quelque
chose
• Disponibilité : Accès tout le temps prévu à l’information
• Traçabilité : garder un historique des événements
• Intrusion : accès non autorisé
• Protection physique : contre les accidents ou les sabotages

Sécurité! Pour qui? Pourquoi?
• Données confidentielles d’une société
– Maintenir la communication
– Données des employés
– Comptabilité
– Projets en cours
• Commerce en ligne
– Numéro de cartes de crédits
– Fichier clients
• Vie privée

La sécurité: comment ?
• Une solution de sécurité comprend plusieurs
éléments : mots de passe, encryptage,
firewall, …
• Il est important que la solution choisie soit
complète, car une chaîne est aussi résistante
que le plus faible de ses maillons

La sécurité: comment ? (suite)
• La sécurité doit être assurée vis à vis de l’extérieur de
l’entreprise mais également de l’intérieur car c’est là que la
majorité des problèmes trouve son origine.
• Le système de sécurité d’une entreprise se compose de
nombreux outils complémentaires, un seul ne suffit
généralement pas pour satisfaire l’objectif de sécurité fixé.

La sécurité: comment ? (suite)
• Exemples de mises en œuvre:
– Encryptage (cf.: PGP)
– Signature électronique / Certificats
– Authentification, Autorisation
– Antivirus
– Firewalls et proxys
– Fichier d’historique
– Copie de sauvegarde
– VPN (Virtual Private Network)
– Procédures et Logbooks
– …

Coûts de la sécurité
• Ne rien protéger ne coûte rien : il faut alors évaluer le
risque d’un incident, de la récupération des données
perdues ou de la perte éventuelle de clientèle
• Se protéger de tout est impossible et exigerait un coût
extrêmement élevé : le coût d’une protection à 99,.. %
(100% est impossible) dépasserait probablement le coût
des éléments à protéger.

Coûts de la sécurité (suite)
• Il est indispensable de définir les solutions à adopter en
fonction :
– Des éléments à protéger et contre qui.
– De la valeur de ces éléments ou de leurs reconstructions.
– De la probabilité d’occurrence.
– De la perte potentielle.
– Des coûts de protection ou de non-protection associés.
– Du coût du chômage technique par indisponibilité de l'outil
informatique.

Coûts de la sécurité (suite)

Stratégies de sécurité
• Moindre privilège
• Multiplicité des moyens
– Défense en profondeur
– Diversité des systèmes
• Unicité des services
• Single point of entry
• Tolérance aux pannes

Stratégies de sécurité
(suite)
• Règle par défaut
– Interdiction (pas autorisation)
• Universalité de la stratégie
– Au niveau des systèmes
– Au niveau des utilisateurs (éducation)
• Simplicité

Types de risques
• Risques  et ƒ de la couche réseau
• Certains tendent à supprimer l’accès à vos
services
• Certains tendent à nuire à votre image
• Certains tendent à profiter de votre
infrastructure
• Certains tendent à s’approprier vos
informations.

Type de risques en Entreprise
• Vols d’informations
• Corruption des données
• Corruption de l’outil de travail
• Utilisation abusives des ressources IT

• Menaces Externes VS Menaces Internes
• Social Engineering
– Usurpation
– Hameçonnage (Phishing)

LES DIFFÉRENTES ATTAQUES
INFORMATIQUES

Backdoor
Méthode pour bypasser l’authentification
classique ou l’encryption d’un système.
Exemple : BackOrifice permet l’administration à

distance de la suite Microsoft BackOffice (NT4.0)

Rootkit
• Ensemble de technique permettant d’avoir
accès à un computer de manière permanante
et la plus furtive possible.

Botnet
Au départ, réseaux de robots IRC (Chat).
Maintenant c’est devenu péjoratif, utilisé pour
usage malveillants (Réseaux de machines
Zombies),
• Spam
• Hameçonnage
• Virus
• DDoS
• ….

Cycle de vie
• Infection
• Activation
• Mise à jour et protection
• Propagation
=> Prêt pour recevoir des ordres et attaquer

Zombie
Tout matériel connecté à Internet !!!!
PC Windows, Linux, Mac

Console de Jeu
Smartphone
Routeur

Exemples
Date Nom Nombre de bots estimé
2004 Marina Botnet 6.215.000
2008 Mariposa 12.000.000
2008 Conficker 10.500.000
2010 TDL4 4.500.000
2016 Mirai 380.000
On estimé suivant une étude que les réseaux

ci-dessus sont 6 fois plus grand.
Les ip changent plusieurs fois par jour
Exemple TDL-4
Trojan est qui installe un rootkit pour construire
un botnet. Il s’installe sur la MBR du disque dur
ce qui le rend difficile à détecter et à enlever.

WireX
Août 2017, sur Android (+ de 300 applications du
Play Store)
C’est en fait un botnet servant à lancer des attaques
de déni de service distribué (DDoS). Plusieurs
grands sites Web, dans l’industrie hôtelière
notamment, ont été touchés et rendus
inaccessibles via des attaques jusqu’à 20 000
requêtes HTTP par seconde.
WireX a contrôlé plus de 120,000 IPs dans plus de

100 pays.
Type d’attaques
systèmes/applications
Fork Bomb: Créer un très grand nombre de processus très

rapidement afin de saturer le système.
Ecran bleu: Réussir à afficher un écran bleu sur Windows

pour render le système inutilisable.

Type d’attaques
systèmes/applications
Buffer overflow: Avec cette attaque on obtiendra alors le

moyen d'exécuter à distance des commandes sur la
machine cible avec les droits de l'application attaquée.
Elévation de privilèges – root kits

Buffer Overflow: Code Red
(2001)
• Exploite un faille dans les extensions ISAPI et modifie la base
de registre.
• Affecte les systèmes Microsoft IIS 5.0
• Sature les serveurs avec plus de 300 processus

Buffer Overflow: SQL Slammer
(2003)
• Exploite un faille dans Microsoft SQL Resolution Service
(UDP/1433) via une attaque par overflow.
• Affecte tout les systèmes Microsoft SQL Server 2000
• La faille à été publié en juillet 2002; et le patch est disponible

chez Microsoft depuis cette date.
• Réseau saturé par un nombre important de requêtes.

Buffer Overflow: SQL Slammer
(2003)

Buffer Overflow: Blaster (2003)
• Exploite un faille dans Microsoft DCOM RPC (TCP/135) via une
attaque par overflow.
• Affecte tout les systèmes Microsoft Windows 2000 et XP dans

une moindre mesure les sytèmes Windows 2003.
• La faille à été publié en juillet 2003; et le patch est disponible

chez Microsoft depuis cette date.
• Système instable voir qui reboot.

Greyware
• Classification général des applications qui se
comporte de manière non voulue.
• Différents types :
– Spyware
– Adware
– Dialers
– Hacking tools
– Etc…

Spyware
• logiciel espion qui infecte un ordinateur dans
le but de collecter et de transmettre à des
tiers des informations de l'environnement sur
lequel il est installé, sans que l'utilisateur n'en
ait connaissance.

Adware
• advertising-supported software
• Logiciel qui automatiquement affiche, ou
télécharge des publicités une fois installé.

Définition
• Virus : il se réplique tout seul et est conçu
pour altéré le bon fonctionnement d’un PC.
• Worm : Partie de logiciel qui utilise des failles
afin de se répliquer sur d’autres ordinateurs.
• Trojan : Programme que l’on installe mais qui
n’a pas le fonctionnement désiré.

Virus / Worm / Trojan:
Love Bug Worm (2000)
• Reçu une pièce jointe par email.
• Télécharge un script et modifie la base de registre.
• Envoi aléatoirement à la liste des contacts.

Sircam (2002)
• Créé un script (scam.exe) et modifie la base de registre.
• Envoi aléatoirement le fichier à la liste des contacts.

MyDoom (2004)
• Créé un script (taskmon.exe & explorer.exe) et modifie la base

de registre.
• Envoi aléatoirement le fichier à la liste des contacts.

Netbus (1998)
• Fichier télécharger
• Modifie la base de registre.
• Ouvre des ports pour permettre l’accès à distance

Gator / Claria (2002)
• Fichier télécharger, attaché à un programme légitime
• Modifie la base de registre, télécharge d’autres composants.
• Ouvre des ports pour permettre l’accès à distance

Hotbar (2003)
• Fichier télécharger attaché aux composants ActiveX
• Modifie la base de registre, télécharge d’autres composants.
• Permettre au réseau si besoin.

Ransomware
Le logiciel rançon est un logiciel qui prend en
otage les données personnels en les encryptant.
Ensuite un lien est envoyé au propriétaire afin
de payer pour récupérer les données.

Ransomware
Les Ransomware existent depuis les années
1980, mais l’année 2016 est considéré comme
l’année du Ransomware.
La plus importante en 2016 a été contre

Hollywood Presbyterian Medical Center (LA) en
mars. Celui-ci a payé la rançon de 17,000 $

Ransomware
Selon le FBI, les entreprises américaines ont
payé plus de 209,000,000 $ sur le 1er trimestre
de 2016.
On estime que SamSa Ransomware a extorqué

plus 450,000 $ en ciblé principalement le
secteur des soins de santé (décembre 2016)

Cryptowall
Diffusé via des campagnes d’émails et des
WebExploit

CryptoLocker
Diffusé via des campagnes d’émails et via un
botnet préexistant.

Locky
Diffusé via des campagnes d’émails dans plus de
114 pays. (Fausses factures, fausses livraisons…)

TeslaCrypt
Diffusé via des campagnes d’émails et des
WebExploit (ici piratage de site Joomla et
Wordpress)
Abandonné en 2016 par le développeur.

Ransomware RSA-4096
Nouvelle version de TeslaCrypt
1er version : extension *.crypt

Maintenant : extension aléatoire

WannaCry
Utilise une faille de Windows (correctif en mars,
attaque en mai de la même année (2017))

WannaCry
Considéré comme la plus grande attaque par
RansonWare de l’histoire d’internet.
Sociétés touchées : Vodafone, FedEx, Renault,

Nissan, Services de santé en Angleterre &
Ecosse, Ministère Russe de l’intérieur…
Perte estimé : 4 milliards de dollars

No More Ransomware
https://www.nomoreransom.org/fr/index.html

Cryptojacking
• L’objectif est simple, profiter autant que faire se peut de cette
nouvelle manne financière pour engranger le plus d’argent possible
en minant de la cryptomonnaie à l’insu des entreprises. Cette
nouvelle menace est apparue en 2017 peu après le lancement de
CoinHive, un script permettant aux éditeurs de sites web de miner
de la cryptomonnaie Monero directement d’un navigateur web en
exploitant les ressources de l’ordinateur des visiteurs. Présenté
comme une alternative à la publicité pour monétiser les sites
internet, le concept fait mouche et CoinHive se retrouve très vite
sur des dizaines de milliers de sites web. Utilisé à l’insu des
utilisateurs par certains éditeurs peu scrupuleux, et de plus en plus
intégré de manière illégale par des hackers, ce type de scripts a fait
augmenter le cryptojacking de façon spectaculaire.

Cryptojacking
• The Pirate Bay, Los Angeles Times, BlackBerry, Politifact,
Salon.com ou encore Showtime, voici quelques exemples
de sites célèbres ayant été victimes (consentantes ou non)
de cryptomineurs ces derniers mois. Selon le spécialiste de
sécurité Symantec, les détections de services de minage a
augmenté de 34 000 % entre les mois de septembre et
décembre 2017 ! Une tendance qui s’amplifie à mesure que
la valeur des cryptomonnaies augmente.
• Avec pas moins de 1 564 cryptomonnaies disponibles sur
plus de 10000 market places, représentant une
capitalisation d’environ 300 milliards de dollars, le potentiel
est tellement énorme que le cryptomining est devenu en
seulement quelques mois la principale forme de
cybercriminalité à travers le monde.

Type d’attaques sur les password
Dictionnaire: trouver un mot de passe en utilisant une série

de mot potential pouvant faire office de mot de passe.
(date de naissance, prénom des enfants,…..)
Force Brute: Tester toutes les combinaisons possibles.

Password par défaut
• http://routerpasswords.com/
• https://en.wikipedia.org/wiki/List_of_the_mo
st_common_passwords
• https://www.telegraph.co.uk/technology/201
6/01/26/most-common-passwords-revealed---
and-theyre-ridiculously-easy-to/

Vulnérabilité Zero Day
C’est un faille informatique n’ayant fait l’objet
d’aucune publication et d’aucun correctif.
 Aucune protection n’existe
Une vulnérabilité Zero day est en général employée

par des groupes restreints d'utilisateurs pour des
objectifs à fort enjeu. Si l'attaque est discrète et si
ses utilisateurs en font un usage optimal, elle peut
conserver ce statut durant une longue période de
temps.
Spam
• Début 2000, cela semble inoffensif. Or celui-ci
depuis ne cesse d’augmenter pour atteindre
90% du trafic mail dans le monde.
• Le coût d'un mail est pratiquement nul et un

faible, même très faible, taux de retour suffit à
assurer la rentabilité du projet.

Exemples

Exemples

Exemples

Exemples

Exemples

Adresse mail pirater ??
https://haveibeenpwned.com/
https://howsecureismypassword.net/

2. DÉMARRAGE SÉCURISÉ

Avant le démarrage sécurisé
Quand un PC démarre, il recherche d’abord le
chargeur de démarrage du système
d’exploitation. Les PC sans démarrage sécurisé
exécutent simplement le chargeur de démarrage
qui se trouve sur le disque dur de l’ordinateur ou
sur une clé USB. Il n’existe aucun moyen pour le
PC de savoir s’il s’agit d’un système
d’exploitation approuvé ou d'un rootkit.

Procédure de démarrage
Windows 10

Avant le démarrage sécurisé
Quand un PC équipé d’UEFI démarre, le PC
vérifie d’abord que le microprogramme est signé
numériquement, réduisant ainsi le risque qu'il
s'agisse d'un rootkit de microprogramme. Si le
démarrage sécurisé est activé, le
microprogramme examine la signature
numérique du chargeur de démarrage pour
vérifier qu’elle n’a pas été modifiée.

Démarrage Approuvé
Le démarrage approuvé prend le relais lorsque le
démarrage sécurisé lui laisse la main. Le chargeur de
démarrage vérifie la signature numérique du noyau
Windows 10 avant de le charger. Le noyau de Windows
10, examine ensuite tous les autres composants du
processus de démarrage Windows, y compris les pilotes
de démarrage, les fichiers de démarrage et ELAM.
Si un fichier a été modifié, le chargeur de démarrage
détecte le problème et refuse de charger le composant
endommagé. Souvent, Windows 10 peut
automatiquement réparer le composant endommagé, la
restauration de l’intégrité de Windows et autoriser le PC à
démarrer normalement.
ELAM
Le Logiciel anti-programme malveillant à lancement
anticipé (ELAM) peut charger un pilote anti-programme
malveillant, Microsoft ou non, avant tous les pilotes de
démarrage et applications non Microsoft; la chaîne de
confiance commencée par le démarrage sécurisé et le
démarrage approuvé est ainsi poursuivie. Étant donné
que le système d’exploitation n’a pas encore démarré, et
dans la mesure où Windows doit démarrer aussi
rapidement que possible, l'ELAM a une tâche simple:
examiner chaque pilote de démarrage et de déterminer
s’il figure sur la liste des pilotes approuvés. S’il n’est pas
approuvé, Windows ne le charge pas. (inclus dans
Windows Defender)

Puce TPM
• Le Trusted Platform Module est un standard
cryptographique pour cryptoprocesseurs. Après
la version 1.2 (2006), les spécifications TPM 2.0
ont été publiées en mars 2014.
• Il s'agit d'un composant électronique passif. Cela
signifie qu'il ne peut pas donner d'ordre à
l'ordinateur tel que bloquer le système, ou
surveiller l'exécution d'une application. Toutefois,
il permet de facilement stocker des secrets (tels
que des clés de chiffrement), de manière
sécurisée.

Intégration avec Windows 10
• Fournisseur de chiffrement de plateforme
– Protection de clé
– Protection contre les attaques par dictionnaire
• Carte à puce virtuelle
• WindowsHello Entreprise
• Chiffrement de lecteur BitLocker
• Attestation d’intégrité de l’appareil
• CredentialGuard

Avantages des puces TPM &
Windows 10
Fonctionnalité Avantages en cas d’utilisation sur un système disposant d’un module de plateforme sécurisée
Si l’ordinateur est compromis, la clé privée associée au certificat ne peut pas être copiée hors de l’appareil.
Fournisseur de chiffrement
Le mécanisme de prévention des attaques par dictionnaire du module de plateforme sécurisée protège les valeurs de code confidentiel
de plateforme
pour l’utilisation d’un certificat.
Permet d’obtenir un niveau de sécurité similaire à celui des cartes à puce physiques sans avoir à utiliser des cartes à puce physiques ou
Carte à puce virtuelle
des lecteurs de cartes.
Les informations d’identification configurées sur un appareil ne peuvent pas être copiées ailleurs.
WindowsHello Entreprise
Permet de confirmer le module de plateforme sécurisée d’un appareil avant de configurer les informations d’identification.
Chiffrement de lecteur Les entreprises ont à leur disposition plusieurs options pour protéger les données au repos tout en équilibrant les exigences de sécurité
BitLocker avec divers composants matériels.
Avec un compte Microsoft et le matériel adéquat, les appareils des clients bénéficient en toute transparence de la protection des données
Chiffrement de l’appareil
au repos.
Une racine de confiance matérielle contient les mesures de démarrage qui permettent de détecter les programmes malveillants lors de
Démarrage mesuré
l’attestation distante.
Les solutions de gestion des périphériques mobiles peuvent facilement effectuer une attestation à distance et évaluer l’intégrité du client
Attestation d’intégrité
avant de lui accorder l’accès aux ressources ou aux services cloud tels qu’Office365.
La défense en profondeur augmente afin que, même si les programmes malveillants disposent des droits d’administration sur un ordinateur,
CredentialGuard
il leur soit beaucoup plus difficile de compromettre d’autres ordinateurs de l’entreprise.

3. OUVERTURE DE SESSION

Windows Sign-In

Windows Hello
Windows Hello vous permet de vous connecter
à vos appareils Windows 10 de façon plus
personnelle, par simple reconnaissance d’iris ou
d’empreintes digitales. Vous bénéficiez ainsi
d’une sécurité de niveau professionnel sans
avoir à taper de mot de passe.

Windows Hello - Compatibilité
Une fois Windows Hello configuré, on peut
l’utiliser pour s’authentifié dans d’autres
d’applications comme OneDrive, CloudDrive…

Picture Password
Au meme titre que sur un smartphone, on va
pouvoir utiliser une image de son choix pour
s’authentifier.
Il faut choisir 3 mouvements sur l’image afin de
valider l’authentification.

Authentification à 2 facteurs
Si on lie l’ordinateur à un compte Microsoft, on
peut bénéficié d’une authentification à 2
facteurs.
Cela signifie qu’un fois le login et mot de passe
valider, il faut ajouter un code reçu sur son
smartphone pour valider l’authentification.

4. PROTECTION CONTRE CODES
MALVEILLANTS

Antivirus
Les antivirus sont des logiciels conçus pour
identifier, neutraliser et éliminer des logiciels
malveillants.

Fonctionnement
Dictionnaire :
Les virus sont identifié et enregistré, et l’antivirus
compare. Ne fonctionne que pour les virus
connus.
Comportements suspects :
Détecter les comportements suspect d’un
programme. Permets de trouver des virus non
référencés
Fonctionnement
Heuristique :
Par exemple, l’antivirus peut analyser le début de chaque
code de toutes les nouvelles applications avant de
transférer le contrôle à l’usager. Si le programme semble
être un virus, alors l’usager en sera averti. Toutefois, cette
méthode peut également mener à de fausses alertes. La
méthode heuristique permet de détecter des variantes de
virus et, en communiquant automatiquement les résultats
de l'analyse à l'éditeur, celui-ci peut en vérifier la justesse et
mettre à jour sa base de définitions virales.

Fonctionnement
Bac à sable :
Cette méthode consiste à émuler le système d’exploitation
et à exécuter le fichier lors de cette simulation. Une fois
que le programme prend fin, les logiciels analysent le
résultat du bac à sable afin de détecter les changements
qui pourraient contenir des virus. En raison des problèmes
de performance, ce type de détection a lieu
habituellement pendant le balayage sur demande. Cette
méthode peut échouer puisque les virus peuvent s’avérer
non déterministes et résulter de différentes actions ou
même peut-être d’aucune action lorsque exécuté. Il est
impossible de le détecter à partir d’une seule exécution.

Gratuit vs Payant
Windows Defender dispose de bon résultat
dans les tests comparatifs et est suffisant pour
un utilisateur prudent.
Avast Free Antivirus ne se démarquent
véritablement plus que par les déclinaisons
multiplateformes et quelques options
additionnelles telles que des modules de
surveillance du réseau Wi-Fi, de protection de la
webcam, un gestionnaire de mots de passe.

Gratuit vs Payant
Ceux-ci restent néanmoins en deça par rapport
aux solutions payantes disposant de protection
supplémentaire notamment anti-phising.

Si vous avez été infecté ?
Scan en ligne :
https://support.kaspersky.com/fr/8528
Création d’un disque de secours :

https://www.bitdefender.com/support/how-to-
create-a-bitdefender-rescue-cd-627.html

Test Antivirus
www.geckoandfky.com/24644/test-antivirus-
security
metal.fortiguard.com
www.raymond.cc

Windows Defender

Windows Defender Smart Screen
WindowsDefenderSmartScreen contribue à
protéger votre ordinateur en cas de tentative de
consultation de sites préalablement signalés
comme étant des sites Web d’hameçonnage ou
contenant des programmes malveillants, ou en
cas de tentative de téléchargement de fichiers
potentiellement malveillants.

• SmartScreen détermine si un site est
potentiellement dangereux par:
– Analyse des pages Web visitées, par la recherche de
signes indiquant un comportement suspect. En cas de
détection de pages suspectes, SmartScreen affiche
une page d’avertissement demandant l’attention de
l’utilisateur.
– Comparaison des sites que vous visitez à une liste
dynamique de signalement des sites d’hameçonnage
et des logiciels malveillants. En cas de
correspondance, SmartScreen affiche un
avertissement informant l’utilisateur que le site
pourrait être malveillant.
• SmartScreen détermine si une application téléchargée
ou son programme d’installation est potentiellement
malveillant par:
– Vérification des fichiers téléchargés par rapport à une liste
de sites et de programmes malveillants réputés dangereux.
En cas de correspondance, SmartScreen affiche un
avertissement informant l’utilisateur que le site pourrait
être malveillant.
– Vérification des fichiers téléchargés par rapport à une liste
de fichiers bien connus et téléchargés par de nombreux
utilisateurs de Windows. Si le fichier ne figure pas dans la
liste, SmartScreen affiche un avertissement demandant
l’attention.

• https://demo.wd.microsoft.com/Page/UrlRep
• https://demo.wd.microsoft.com/Page/AppRep

Apps & Browser Control

Exploit Protection

System Center
Configuration Manager
System Center Configuration Manager est un
outil complexe et puissant qui permet de gérer
vos utilisateurs, logiciels et appareils.

Endpoint Protection
• Détection des logiciels malveillants et des logiciels espions et
mesures.
• Détection des rootkits et mesures correctives.
• Évaluation des vulnérabilités critiques et mises à jour automatiques
des définitions et du moteur.
• Détection des vulnérabilités réseau via le système NIS (Network
Inspection System).
• Intégration à Cloud Protection Service pour signaler les logiciels
malveillants à Microsoft. Quand vous rejoignez ces services, le
client Endpoint Protection ou Windows Defender télécharge les
dernières définitions à partir du Centre de protection contre les
programmes malveillants quand un programme malveillant non
identifié est détecté sur un ordinateur.

Windows Defender
Advanced Threat Protection
Windows Defender - Protection avancée contre les menaces est une plate-forme de sécurité qui aide les
réseaux d'entreprise à empêcher, détecter, examiner les menaces avancées et à y répondre.
Ce service utilise la combinaison suivante de technologies intégrées à Windows10 et de service cloud
robuste Microsoft:
• Capteurs du comportement du point de terminaison: intégrés à Windows 10, ces capteurs
collecter et traitent les signaux de comportement du système d’exploitation et envoie ces données
de capteur à votre instance de cloud privée isolée de Windows Defender ATP.
• Analytique de sécurité cloud: en exploitant les analyses de big data, l’apprentissage et unique
optique Microsoft sur l’écosystème Windows, produits de cloud d’entreprise (par exemple, Office
365) et des ressources en ligne, signaux de comportement sont traduits en informations pratiques,
détections et réponses recommandées aux menaces avancées.
• Renseignements sur les menaces: ils sont générés par les chasseurs de Microsoft, nos équipes de
sécurité, et complétés par les informations sur les menaces fournies par nos partenaires. Ils
permettent à WindowsDefenderATP d’identifier les outils, techniques et procédures employés par
les personnes malveillantes, et de générer des alertes lorsque ceux-ci sont détectés dans les
données de capteur collectées.

Windows Defender
Advanced Threat Protection

5. CONTRÔLE DES APPLICATIONS

Windows Defender Application
Control
• Déployer via
– Microsoft Intune
– GPO

Microsoft Intune
Intune est un service cloud dans l’espace de
gestion de la mobilité en entreprise qui permet
à votre force de travail de rester productive tout
en protégeant vos données d’entreprise.

Microsoft Intune - Buts
• Gérer les appareils mobiles et les PC que votre
personnel utilise pour accéder aux données de
• Gérer les applications mobiles que votre
personnel utilise.
• Protéger vos informations d’entreprise en
contrôlant la façon dont votre personnel y accède
et les partage.
• Vérifier que les appareils et les applications sont
conformes aux exigences de sécurité de
l’entreprise.
Windows Defender
Application Guard
Application Guard est conçu pour empêcher les
attaques anciennes et les nouvelles pour
maintenir la productivité des employés. À l’aide
de son approche d’isolation matérielle unique,
son objectif est détruire les procédures qui sont
utilisées par les personnes malveillantes en
faisant en sorte que les méthodes d’attaque en
cours devienne obsolète.

Windows Defender
Application Guard

Mode autonome
Les employés peuvent utiliser des sessions de
navigation isolées du matériel sans
administrateur ou configuration de stratégie de
gestion. Dans ce mode, vous devez installer
Application Guard et puis l’employé doit
démarrer manuellement Microsoft Edge dans
Application Guard lors de la recherche de sites
non approuvés.

Installation
Prérequis :
Ajout de la virtualization au niveau
du BIOS

Windows SandBox
Nouveau fonctionnalité encore en test.
Moitié VM et moitié Application, elle permet de
tester les programmes et applications sans
risque pour la machine hôte (Rien n’est sauvé).

6. PROTECTIONS DES DONNEES

BitLocker
• BitLocker est une technique de chiffrement de
lecteur qui est utilisée pour sécuriser vos
données par mot de passe. Les données sont
cryptées à l’aide d’un algorithme de chiffrement
fort ce qui vous confère une sécurité maximale.
Bitlocker Drive Encryption encrypte vos données
de sorte que même si votre système
d’exploitation n’est pas démarré les données sont
cryptées, c’est-à-dire que si vous vous faites voler
votre DD les données contenues par celui-ci sont
illisibles ou inaccessibles.

BitLocker – Mode de Chiffrement
• Plusieurs modes de chiffrages sont possibles.
– Dans un premier cas (Transparent Operation mode), la clé
utilisée pour chiffrer le disque est stockée dans la puce
TPM et est communiquée au lanceur du système
seulement si les principaux fichiers de démarrage ne
semblent pas avoir été modifiés.
– Dans un deuxième cas (User authentication mode),
l’utilisateur doit en plus s’authentifier pour démarrer le
système. Deux modes d’authentifications sont possibles :
par code PIN ou par une clé USB contenant une clé valide,
ce mode ne nécessite donc pas nécessairement de puce
TPM mais une simple clé USB qui sera nécessaire pour le
boot de la machine.(Attention au BIOS)

BitLocker - commandes
• Bdehdcfg
• Manage-bde
• Enable-BitLocker (Powershell)

Backup
Il convient d’avoir au moins un backup.
• Minimum sur disque USB mais non connecté
en permanence (Ransomware)
• Ou mieux backup en ligne (Eurobackup,
Acronis Cloud,…)
NB : Dropbox ou Google Drive ne sont pas des

backup en ligne
7. ACCES NOMADES AUX RESEAUX

Introduction
En plus des réseaux filaires, il existe différentes
technologies qui permettent la transmission
sans fil de données entre plusieurs hôtes.
• Infrarouge
• Radiofréquence
– Bluethtooth (2.4 GHz)
– IEEE 802.11 (2.4 GHz & 5 GHz)

Avantages
• Connectivité permanente
• Installation simple et peu onéreuse
• Extension rapide du réseau

Inconvénients
• Interférences (Micro-ondes, GSM,…)
• Sécurité

3 Catégories
• WPAN (Bluethooth)
– < 3Mbits/s
• WLAN (IEEE802.11a/b/g/n)
– 1–540 Mbits/s
• WWAN (GSM, GPRS)
– 10-384KBits/s

Normes du WLAN
• 802.11a
• 802.11b
• 802.11g
• 802.11n
• 802.11ac

802.11a
• Utilisant le spectre des radiofréquences 5 GHz
• Incompatible avec le spectre 2,4 GHz (c’est-à-
dire les périphériques 802.11 b/g/n)
• Plage correspondant à environ 33 % de celle
des périphériques 802.11 b/g
• Relativement onéreuse à mettre en oeuvre
par rapport aux autres technologies
• Rareté des équipements conformes à la
norme 802.11a
802.11b
• Première des technologies 2,4 GHz
• Débit de données maximum de 11 Mbits/s
• Plage d’environ 46 m en intérieur et de 96 m
en extérieur

802.11g
• Technologies 2,4 GHz
• Débit de données maximum amélioré à
54 Mbits/s
• Même plage que la technologie 802.11b
• Rétrocompatible avec la technologie 802.11b

802.11n
• Technologies 2,4 GHz (projet de norme
spécifiant la prise en charge 5 GHz)
• Plage et débit de données améliorés (150
Mbits/s et 250m)
• Rétrocompatible avec les équipements
802.11g et 802.11b existants (projet de norme
spécifiant la prise en charge 802.11a

802.11ac
• Norme la plus récente
• Technologies 5 GHz
• Plage et débit de données améliorés (866
Mbits/s et 35m)
• Rétrocompatible avec les équipements
802.11n utilisant la bande 5 GHz.

SSID
Le SSID est une chaîne alphanumérique sensible
à la casse qui peut contenir jusqu’à
32 caractères. Il est utilisé pour indiquer aux
périphériques sans fil à quel réseau local sans fil
ils appartiennent et avec quels autres
périphériques ils peuvent communiquer.

Sécurité WIFI
• Limite du signal flou
• Diffusion du SSID
• Paramètre par défaut
• Filtrage par MAC Adresse

Sécurité WIFI
• Authentification
– Ouverte
– PSK
– EAP (Radius)
• Encryption
– WEP
– WPA

Faille KRACK
• Découvert en 2016 par des chercheurs de la KUL,
publié en 2017; des correctifs pour Microsoft
existe depuis le 10 octobre 2017.
En réinitialisant plusieurs fois le nonce de la

troisième étape du protocole WPA2, un attaquant
parvient à découvrir la clé de chiffrement du trafic,
et ainsi espionner le trafic circulant en Wi-Fi et
récupérer des données confidentielles.
Attaques basées sur les réseaux
Bluetooth
Le Bluetooth est devenu un des principaux
standards de communication sans fil.
Cependant, cette technologie de par sa nature
ouverte présente de nombreuses menaces sur
ses divers périphériques.

Bluetooth
Bluejacking : Permet d’envoyer un message
visible non désiré
Bluesnarfing : Extraire des données personnels
Bluetracking : Technique qui consiste à placer un
appareil qui écoute et enregistre le passage de
tous les autres appareils à sa portée

Bluetooth
BlueBorne (14/09/2017)
Huit vulnérabilités zero-day ont été découvertes au sein
du très populaire protocole Bluetooth.
Les appareils n’ont pas besoin d’être appairés à celui de
l’attaquant, ni même d’être dans un mode qui permet
d’être visible sur un réseau. Toutes les failles découvertes
sont « pleinement opérationnelles » et peuvent être
exploitées dans le cadre d’une attaque à distance ou dans
celui d’une attaque de type Man in the Middle.
https://www.linformaticien.com/actualites/id/45031/blu
eborne-des-failles-dans-le-protocole-bluetooth-
menacent-des-milliards-d-appareils.aspx

Bibliographie
• https://tpesecuriteinformatique.wordpress.com/les-differentes-attaques-informatiques/
• http://www.commentcamarche.net/contents/47-piratage-et-attaques-informatiques
• https://www.globalsign.fr
• https://www.titanhq.com
• https://www.cnetfrance.fr/produits/moteurs-alternatifs-a-google-plus-respectueux-de-votre-
vie-privee-39802091.htm
• https://secludit.com/blog/top-10-des-plus-grandes-cyberattaques/
• https://www.av-test.org/fr/
• https://www.clubic.com/article-77079-1-guide-comparatif-meilleur-antivirus.html
• https://docs.microsoft.com/fr-fr/windows/security/threat-protection/windows-defender-
application-guard/test-scenarios-wd-app-guard

Sécurité Poste de Travail

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sécurité Poste de Travail

Transféré par

Droits d'auteur :

Formats disponibles

Sécurité

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 1

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 3

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 4

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 5

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 6

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 7

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 8

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 9

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 10

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 11

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 12

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 13

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 14

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 15

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 16

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 17

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 18

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 19

Exemple : BackOrifice permet l’administration à

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 20

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 21

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 22

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 23

PC Windows, Linux, Mac

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 24

On estimé suivant une étude que les réseaux

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 26

WireX a contrôlé plus de 120,000 IPs dans plus de

Fork Bomb: Créer un très grand nombre de processus très

Ecran bleu: Réussir à afficher un écran bleu sur Windows

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 28

Buffer overflow: Avec cette attaque on obtiendra alors le

Elévation de privilèges – root kits

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 29

• Affecte les systèmes Microsoft IIS 5.0

• Sature les serveurs avec plus de 300 processus

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 30

• Affecte tout les systèmes Microsoft SQL Server 2000

• La faille à été publié en juillet 2002; et le patch est disponible

• Réseau saturé par un nombre important de requêtes.

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 31

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 32

• Affecte tout les systèmes Microsoft Windows 2000 et XP dans

• La faille à été publié en juillet 2003; et le patch est disponible

• Système instable voir qui reboot.

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 33

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 34

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 35

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 36

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 37

• Télécharge un script et modifie la base de registre.

• Envoi aléatoirement à la liste des contacts.

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 38

• Créé un script (scam.exe) et modifie la base de registre.

• Envoi aléatoirement le fichier à la liste des contacts.

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 39

• Créé un script (taskmon.exe & explorer.exe) et modifie la base

• Envoi aléatoirement le fichier à la liste des contacts.

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 40

• Modifie la base de registre.

• Ouvre des ports pour permettre l’accès à distance

Copyright 2019 – Business IT Supports SPRL – www.businessitsupports.com 41