Portail officiel de la sécurité informatique - ANSSI - République française

• Je suis...
  • Particulier
  • Entreprise
  •  
• Je cherche...
  • Autoformation
  • Fiche technique
  • Guide de configuration
  • Mémento
  • Question/Réponse
  • Une solution pour me protéger
  • Passeport de conseils aux voyageurs
  • Lien
  •  
• Actualités
  • Alertes
  • Faits marquants
  • Technique
  •  

Actualités  >  Technique

Mesures techniques relatives au ver Conficker

Article technique complémentaire à l’article sur Conficker

Détecter et supprimer le code malveillant CONFICKER

Cette opération doit impérativement être menée avant l’application du correctif de sécurité.

Microsoft met à votre disposition un outil de détection et de suppression du code malveillant que vous pouvez télécharger librement à l’adresse suivante :

Si vous rencontrez une difficulté lors du téléchargement de ces logiciels, cela peut provenir de l’infection de votre ordinateur par le code malveillant. Il faut alors télécharger l’outil de suppression depuis un autre ordinateur.

Certaines versions récentes de Conficker empêchent l’outil de Microsoft de s’exécuter : dans ce cas, il suffit de le renommer avant de l’exécuter.

Une fois cette opération effectuée, vous pourrez alors appliquer le correctif (cf. étapes ci-dessous) et appliquer des mesures complémentaires.

Pour les particuliers

 Si votre ordinateur ne bénéficie pas des mises à jour automatiques ou si ce n’est déjà fait, appliquez le correctif de sécurité de Microsoft
Pour ceux qui voudraient aller plus loin :
 Changez le mot de passe par défaut de l’interface de configuration des "box" (ou modem ADSL) ;
 Vérifiez que les pare-feux personnels n’autorisent pas de connexion entrante sur le port 445 notamment ;
 Utiliser votre ordinateur avec un compte limité en droit ;
 Conficker utilisant les supports amovibles, pensez à ne pas connecter une clé USB d’origine inconnue sur votre machine ;
 Choisir de bons mot de passe.

Pour les PME

 Conficker, après avoir contaminé un ordinateur dans une entreprise, peut utiliser les partages réseau pour se propager aux autres ordinateurs, même non reliés à Internet. Pour nettoyer votre réseau, il est donc impératif de ne pas se connecter avec un compte d’Administrateur de domaine, mais d’utiliser un compte local avec un mot de passe complexe.
 Appliquez le correctif de sécurité de Microsoft ;
 Vérifiez la configuration des routeurs d’accès à l’Internet (ou modem ADSL) afin d’interdire des connexions entrantes sur le port 445 ;
 Changez, si ce n’est déjà fait, la configuration par défaut de ces équipements (en particulier le mot de passe administrateur).

Pour aller plus loin dans les mesures de protection
et notamment pour protéger un réseau local

 utiliser des mots de passe forts et renouvelés régulièrement ;
 n’ouvrir les partages de fichiers et d’imprimantes que s’ils sont strictement nécessaires ;
 désactiver l’exécution automatique au branchement d’un support amovible (clef USB ou autre) ;
 ne pas connecter un support amovible d’origine inconnue, non vérifié ;
 activer et configurer sans laxisme le pare-feu sur l’ordinateur.

D’autres mesures sont possibles, en particulier sur un réseau local. Elles ont plus complexes mais s’inscrivent dans le concept de défense en profondeur :

 bloquer le port 445 sur un pare-feu entre Internet et le réseau local. Si une application exige que ce port soit ouvert, limiter au possible les adresses vers lesquelles ce port est ouvert ;

 lire les journaux du pare-feu sortant et s’inquiéter de tentatives de connexions sortantes :
* sur le port 445 (sauf cas autorisés) ;
* en HTTP sur un port différent de 80, sauf cas connus et autorisés ;
* en HTTP si le passage par un relais HTTP est imposés.

 mettre en place un relais HTTP avec filtrage éventuel et journalisation, par lequel doivent passer toutes les navigations web. Ce relais offre généralement une fonction de cache pour améliorer les performances ;

 lire les journaux du filtre HTTP sortant et s’inquiéter de tentatives de connexions :
* vers des sites au nom généré de façon aléatoire et qui semble donc incohérent ;
* vers des sites désignés par leurs adresses IP (chiffres) et non par leurs noms ;

 installer un ordinateur non connecté et scrupuleusement mis à jour pour analyser tout support amovible avant connexion au réseau local (sas).

Ces attaques rappellent une nouvelle fois l’importance de procéder à l’application des correctifs de sécurité dès qu’ils sont disponibles. On observe en particulier des infections de réseaux via des postes nomades non corrigés : veillez à appliquer le correctif sur l’ensemble de votre parc, sans oublier les postes nomades.

Pour en savoir encore plus :

 Bulletins d’actualité CERTA-2009-ACT-013, CERTA-2008-ACT-043 et CERTA-2008-ACT-048 du CERTA

 Bulletin de sécurité Microsoft sur cette vulnérabilité critique
 Message d’alerte du 24 octobre, avec nos conseils
 Message d’alerte du 28 novembre, avec nos conseils
 Message d’alerte du 28 janvier, avec nos conseils
 Nos fiches relatives au fonctionnement et à la configuration d’un pare-feu

 Imprimer cet article