Après cette première vérification des endroits clés pour y détecter une activité de piratage, tournez-vous vers les ports ouverts de manière inattendue ou suspecte. Les root kits sont des programmes de détournement qui fonctionnent au niveau OS et ouvrent des ports sur une machine compromise, pour ouvrir un accès à
Ports ouverts et utilisateurs non autorisés
distance illicite. Les root kits sont monnaie courante dans le monde Unix, mais de plus en plus de pirates imaginatifs les écrivent pour sévir sur Windows. Pour connaître les connexions et vous mettre à l’écoute des ports d’un ordinateur Windows, ouvrez une ligne de commande et exécutez la commande
Netstat -a
Le tableau 1 donne la liste des ports généralement ouverts sur un ordinateur XP. Ne paniquez pas s’il y en a davantage sur votre station de travail ou serveur particulier. En effet, des ports peuvent être assignés dynamiquement selon le type de service. Par exemple, les RPC (remote procedure calls) utilisent des ports dynamiques quand on administre à distance DHCP et WINs. Pour plus d’informations à ce sujet, reportez-vous à l’article Microsoft « How to Configure RPC Dynamic Port Allocation to Work with Firewall » à http://support.microsoft.com/?kbid=15 459 . Exécutez Netstat et recherchez les éléments suivants :
- Un grand nombre (10 ou plus, selon votre environnement) de connexions établies, particulièrement vers des adresses IP en dehors de votre entreprise.
- Des ports ouverts de façon inattendue, particulièrement des ports d’ordre élevé (c’est-à-dire, des numéros de ports supérieurs à 1024). Les programmes de piratage et les root kits utilisent souvent des ports d’ordre élevé pour établir les connexions à distance.
- Beaucoup de tentatives de connexion en suspens, car c’est un signe d’une possible attaque SYN par submersion.
- Des fichiers batch non reconnus. Certains root kits créent des fichiers batch dans les dossiers suivants : C :, C:\winnt\, C :\windows, C :\winnt\system32 et C :\windows\ system32. Les root kits ou autres programmes non autorisés peuvent aussi créer des fichiers et des dossiers sous le Recycle Bin. C’est pourquoi vous devez aussi rechercher des fichiers cachés ou non autorisés dans le dossier Recycle Bin. Par défaut, les fichiers Recycle bin se trouvent dans le dossier C :\recycler. Méfiez-vous des fichiers et des dossiers qui subsistent après le vidage du Recycle Bin
Certains outils de piratage peuvent empêcher Netstat d’afficher les ports ouverts sur un ordinateur. Donc, si Netstat ne montre aucun port ouvert suspect mais que vous soupçonniez leur existence, appliquez un outil de balayage de ports comme l’utilitaire open-source Network Mapper (nmap) – que vous pouvez télécharger à http://www.insecure. org/nmap – à partir d’un autre ordinateur, pour voir quels ports sont ouverts sur l’ordinateur cible.
Utilisateurs malveillants dans l’AD. Quand un intrus compromet un système, il crée parfois un ou plusieurs utilisateurs malveillants dans l’AD (Active Directory). Souvent, les intrus créent ces comptes utilisateur avec une description vierge. Pour déjouer cette tactique, je vous conseille d’ajouter une description (respectant une convention de nommage spécifique) pour tous les utilisateurs autorisés dans l’AD. Ensuite, vous pourrez trier les utilisateurs par description et tous les utilisateurs sans description apparaîtront en début de liste.
Utilisateurs non autorisés dans des groupes privilégiés. L’un des principaux objectifs des pirates est de pratiquer l’escalade des privilèges. Analysez les groupes privilégiés dans l’AD (par exemple, Administrators, Domain Admins, Enterprise Admins, Server Operators) pour y détecter l’appartenance non autorisée à certains groupes. Dans cette optique, limitez les membres appartenant à ces groupes, afin de faciliter l’identification des utilisateurs non autorisés.
Téléchargez cette ressource
Les 10 tendances clés de l’Expérience Client (CX) pour 2025
Dans le contexte actuel, l'expérience client est un levier clé de réussite. Pour rester compétitives, les entreprises doivent adopter des stratégies CX audacieuses, en s'appuyant sur le cloud, le digital et l'IA. Alors quelles stratégies mettre en place pour garder une longueur d’avance ?
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- AI Speech double toutes vos vidéos !
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons
- Top 5 des technologies à suivre en 2025 et au-delà !