Client Windows
Et les bons vieux Windows...
Revenons à une situation plus commune, celle de l'internaute privé, qui ne dispose pas d'un réseau de type entreprise chez lui. Tout au plus,
Il faut distinguer deux cas qui n'ont pas beaucoup de rapports :
Ceux qui utilisent les services d'un petit routeur NAT du commerce, on en trouve maintenant à moins de 100 €. En général, ce type d'équipement propose déjà pas mal de fonctions de filtrage de paquets,
ceux qui utilisent une machine connectée directement au Net et qui peut éventuellement partager la connexion avec un ou deux autres postes. Les dernières versions de Windows (Me, 2000 et XP) proposent un moyen simple de le faire, Mac
OS X également. Dans ces cas, il est clair que la machine exposée devra disposer d'un minimum de protections. Si Mac
OS X propose un filtre de paquets performant, hérité de ses origines BSD, les diverses version Windows ne sont pas très performantes dans ce domaine, bien qu'au moins 2000 et XP proposent un filtrage de paquets.
Windows NT, 2000, XP etc.
N'en déplaise aux détracteurs de ces produits, ce ne sont pas forcément des passoires, à la condition tout de même de faire attention à plusieurs choses. Suivant la version, la configuration par défaut peut être plus ou moins dangereuse. Microsoft a tout de même fait quelques progrès sur ce point, au fil des « Service-Packs » et des versions.
Ne laissez pas le compte d'administrateur par défaut avec un mot de passe vide
(C'est évident, mais combien l'ont fait?) ;
Windows 2000 et Windows XP permettent de changer le nom de l'administrateur. Dans leur version Française, l'administrateur s'appelle « Administrateur » (comme root sur Linux). Changez ce nom ;
adoptez pour ce compte (et ceux d'éventuels autres administrateurs) un mot de passe « fort »:
8 caractères minimum; 14, c'est mieux ;
utilisez une combinaison de caractères sans signification (pour éviter les recherches par dictionnaire), avec des majuscules, des minuscules, des caractères de ponctuation et même éventuellement des caractères non imprimables ;
désactivez NetBIOS sur TCP/IP sur l'interface connectée au Net ;
n'installez pas de serveur inutile. IIS est dangereux, l'agent SMTP de l'option pack aussi, le
DNS également.
proscrivez dans la mesure du possible tout logiciel de prise de contrôle à distance ;
bloquez les ports 135 à 139 aussi bien en UDP qu'en TCP, ça peut se faire sur NT, 2000 et XP sans logiciel supplémentaire, dans la configuration de la pile IP ou avec le firewall fourni sur XP depuis le SP1 ;
installez les derniers Service Packs ;
vérifiez régulièrement chez Microsoft l'apparition de nouveaux patchs de sécurité ;
vérifiez fréquemment que vous n'avez pas installé un « backorifice » ou un « netbus » par inadvertance. (Ctrl+Alt+Suppr permet de visualiser les tâches et processus en cours. C'est pas toujours très compréhensible, mais on y gagne beaucoup à analyser la liste des processus en cours) ;
installez un antivirus sérieux, même s'il ne faut pas en attendre de miracles.
Enfin, prenez l'habitude de travailler systématiquement avec un compte d'utilisateur sans pouvoirs d'administration. Cette pratique, naturelle sur les systèmes Unix ne l'est malheureusement pas sous Windows, au point que vous rencontrerez peut-être des problèmes avec certaines applications, même prétendues « professionnelles ».
Avec ces précautions, vous devriez déjà être relativement à l'abri, mais tout ceci ne vous évitera pas forcément l'installation malveillante d'un programme malicieux.
Les logiciels de surveillance
Il en existe un grand nombre, plus ou moins efficaces, plus ou moins simples à configurer, plus ou moins gratuits.
Actuellement, les « anti-virus » sont en réalité des logiciels plus larges, capables de faire plus que de la simple détection de virus. Ils sont souvent grands consommateurs de ressources, mais il s'agit d'un mal nécessaire sur certains systèmes d'exploitation, plus particulièrement ciblés par les malveillants.
Conclusions
Je tiens à m'excuser auprès des possesseurs de Mac. (Apple), je n'ai aucune compétence dans ce domaine. Mais des outils analogues doivent exister.
La protection d'une machine connectée à l'Internet sous Windows (comme sous n'importe quel OS d'ailleurs) passe d'abord par des principes de prudence et de sécurité de bon sens, encore faut-il être suffisamment averti des problèmes potentiels et des règles élémentaires d'hygiène en matière de réseaux et j'espère que cet exposé vous aura aidé à y voir un peu plus clair dans ce domaine.
En plus de cela, l'usage d'un outil de surveillance reste tout de même conseillé, mais afin de ne pas sombrer dans la paranoïa, il convient de se renseigner sur les risques, les mécanismes des réseaux pour pouvoir faire le tri dans les alertes, entre celles qui sont réellement dangereuses et celles qui ne le sont pas.