Microsoft vient de nous informer, via le blog de l'équipe de développement, d'une amélioration de l'AutoRun - proposé par l'AutoPlay - pour les médias autre qu'optiques (CD/DVD/Blu-ray). Ils ne bénéficieront plus de ce mode afin d'améliorer la sécurité de ces périphériques qui nous accompagnent au quotidien.

L'exemple du ver Conficker

Afin de montrer le problème, Microsoft prend l'exemple du ver Conficker. Celui-ci utilise les médias de type USB (disques dur externes, clés, cartes SD...) pour infecter les ordinateurs et se propager. Sur une clé USB contenant des photos, il s'intègre par exemple dans le menu AutoPlay qui apparait lorsque vous connectez votre clé USB.

windows-7-autoplay-infected

AutoPlay infecté

Sur cette capture, nous voyons que nous pouvons ouvrir le contenu de la clé USB dans l'explorateur Windows depuis deux liens. Celui encadré en rouge étant le ver Conficker tandis que celui encadré en vert correspond à celui proposé par Windows. La seule indication qui peut nous faire réfléchir étant la description « Publish not specified » qui signifie en gros que l'application qui va se lancer n'est pas signée et publiée correctement.Une information largement insuffisante pour la majorité des utilisateurs avec pour conséquence une hausse importante des infections. Dans le cas du ver Conficker, le logiciel malveillant va infecter l'ordinateur puis infecter par la suite chaque périphérique qui sera connecté.Une hausse importante des attaques

Le mode AutoRun est disponible depuis l'apparition de Windows XP en 2001. Toutefois, la courbe des logiciels malveillants qui utilisent l'AutoRun comme mode de propagation est exponentielle ces derniers mois. Conformément à la Security Intelligence Report, une étude fut entreprise par Forefront Client Security afin d'en mesurer l'impact réel. Il en résulte que 17,7% des infections dans la seconde moitié de l'année 2008 utilise l'AutoRun pour se propager. C'est la plus importante catégorie des logiciels malveillants.

forefront-security-etude-autorun-malware

Actuellement, pour éviter tout problème, seul le moyen de désactiver complètement la fonction AutoPlay règle le problème. Cette solution n'est cependant pas satisfaisante.Un comportement adapté aux différents types de médias

Afin de prendre le problème à sa source, Microsoft a perfectionné la technologie Autoplay. Cette dernière ne pourra plus afficher le menu AutoRun pour tous les médias autres que les supports optiques (CD/DVD/Blu-ray). Cette solution radicale s'impose du fait qu'aucune méthode ne peut permettre de déterminer de manière fiable la validité du logiciel qui essaie de se lancer via le module AutoRun.

Toutes les autres options disponibles comme le lancement du logiciel de lecture vidéo ou d'affichage des photos seront toujours proposées à l'utilisateur :

windows-7-autoplay-ok

AutoPlay pour une clé USB sans l'AutoRun

windows-7-autoplay-optique

AutoPlay avec l'AutoRun pour un DVD (média optique)

Cette modification est présente dans la version Release Candidate de Windows 7 qui sera disponible au grand public à partir du 5 mai prochain. Cette modification sera également répercutée sur Windows Vista et Windows XP à l'aide d'une mise à jour à venir.

Ce changement simple est très intéressant d'autant plus qu'il est expliqué à l'utilisateur. La sécurité semble belle et bien intégré à tous les échelons dans le cycle de développement de Windows. Cela ne dispense cependant pas pour autant de ne pas faire attention aux différents messages que vous pouvez rencontrer comme ceux de l'UAC. Le plus souvent, ils vous permettent d'enrayer l'infection... :)

Commentaires (16)

Avatar de l'auteur Art Art - Jeudi 30 avril 2009, 16:36
Une bonne chose la sécurité dans Seven.

J'aurai aimé que les alerte UAC s'accompagne de message plus spécifique à l'action qu'on va entreprendre. Là c'est un peu trop générique, c'est dommage.

2 questions:

- Je tourne actuellement sur la RC de 7 sans antivirus, mais je fais attention au fichiers que j'ouvre, et aux site que je visite et j'ai l'UAC au maximum. Est-ce qu'un virus, avant de se mettre en action déclenchera automatiquement une alerte UAC pour son installation ou bien une autre alerte OU est ce que je suis fou et bête et que je devrai courrir télécharger un antivirus ?

- En parlant d'autorun, est-il possible de configurer windows pour que lorsque je branche mon DD externe il me lance automatique mon logiciel de synchro pour sauvegarder mes données?

Merci :)
Avatar de l'auteur Christophe Lavalle Christophe Lavalle - Jeudi 30 avril 2009, 16:56
Je te conseil de mettre un antivirus :) :) - Tout dépend la nature du Virus et du logiciel malveillant. Si pour s'installer ils ont besoin d'une élévation de droits, dans ce cas tu devrais en principe voir un message apparaitre. Mais je ne peux pas être catégorique, cela dépend aussi de la configuration de ta session et des droits que tu lui as donnés. Par contre, si jamais tu te loupes quand tu exécute un fichier qu'il ne faut pas... Et bien... Je te conseil tout de même vivement de mettre un antivirus. Windows 7 n'est pas fait pour tourner sans antivirus. Du moins il existe tellement de menaces différentes que l'on ne peut pas faire autrement. Ne serait-ce que pour supprimer ce que nous pouvons lancer et qui est infecté. Aucune faille est en cause mis à part nous même :) - non, l'AutoRun ne fonctionnant plus avec les médias de type « clé USB » comme les disques externes... Après, il faut voir si ton logiciel de synchronisation possède un module qui permet dès le branchement de ton disque de lancer automatiquement la synchronisation. Mais Windows ne pourra pas automatiser la chose tout seul puisque justement, on ne veut plus que quelque chose s'exécute automatiquement lors du branchement d'un périphérique autre qu'optique. :)
Avatar de l'auteur jklé jklé - Jeudi 30 avril 2009, 16:57
jklé - Jeudi 30 avril 2009, 16:36
Une bonne chose la sécurité dans Seven.

J'aurai aimé que les alerte UAC s'accompagne de message plus spécifique à l'action qu'on va entreprendre. Là c'est un peu trop générique, c'est dommage.

2 questions:

- Je tourne actuellement sur la RC de 7 sans antivirus, mais je fais attention au fichiers que j'ouvre, et aux site que je visite et j'ai l'UAC au maximum. Est-ce qu'un virus, avant de se mettre en action déclenchera automatiquement une alerte UAC pour son installation ou bien une autre alerte OU est ce que je suis fou et bête et que je devrai courrir télécharger un antivirus ?

- En parlant d'autorun, est-il possible de configurer windows pour que lorsque je branche mon DD externe il me lance automatique mon logiciel de synchro pour sauvegarder mes données?

Merci :)
+1

j'ai pas d'antivirus mais je fais gaffe à tout, j'ai IE8, windows 7 (mais pas la RC, la 7057). Je suis pas idiot donc j'ouvre pas n'importe quoi.

Antivirus or not ? j'ai jamais aimé l'idée d'un truc qui se lance au démarrage de l'ordi, meme un antivirus « transparent ».
Avatar de l'auteur Christophe Lavalle Christophe Lavalle - Jeudi 30 avril 2009, 17:00
Par définition, tu n'es pas obligé de voir que tu es infecté dans le cadre d'un malware puisqu'il te soutire des informations qu'il envoi sur des serveurs distants. Le but du malware n'est pas faire du mal à un ordinateur. Pour ça il y a les virus... !

Personnellement, même si on n'est pas idiot, il vaut mieux avoir un antivirus... ne serait-ce que pour tout ce que nous ne voyons pas.
Avatar de l'auteur Art Art - Jeudi 30 avril 2009, 17:10
Art - Jeudi 30 avril 2009, 16:56
Je te conseil de mettre un antivirus :) :) - Tout dépend la nature du Virus et du logiciel malveillant. Si pour s'installer ils ont besoin d'une élévation de droits, dans ce cas tu devrais en principe voir un message apparaitre. Mais je ne peux pas être catégorique, cela dépend aussi de la configuration de ta session et des droits que tu lui as donnés. Par contre, si jamais tu te loupes quand tu exécute un fichier qu'il ne faut pas... Et bien... Je te conseil tout de même vivement de mettre un antivirus. Windows 7 n'est pas fait pour tourner sans antivirus. Du moins il existe tellement de menaces différentes que l'on ne peut pas faire autrement. Ne serait-ce que pour supprimer ce que nous pouvons lancer et qui est infecté. Aucune faille est en cause mis à part nous même :) - non, l'AutoRun ne fonctionnant plus avec les médias de type « clé USB » comme les disques externes... Après, il faut voir si ton logiciel de synchronisation possède un module qui permet dès le branchement de ton disque de lancer automatiquement la synchronisation. Mais Windows ne pourra pas automatiser la chose tout seul puisque justement, on ne veut plus que quelque chose s'exécute automatiquement lors du branchement d'un périphérique autre qu'optique. :)
oki, merci pour les réponses. Pour la sauvegarde, j'utilise depuis longtemps le logiciel Sync qqchose de microsoft (pas live sync, mais un logiciel pour synchroniser des pairs de dossier).
Je me suis rabattu depuis sur le lancement automatique périodique, mais j'aurai aimé lancer un le logiciel (qui ne se situe pas sur mon DD externe) suite à une action sur l'ordi (en l'occurrence branchement du DD externe). C'est donc pas vraiment de l'autorun puisque je ne veux pas exécuter un programme se trouvant le média « removable"

Sinon, ca n'a rien à voir, mais pourrai tu confirmer que les SHA-1 et MD5 que tu as publié l'autre jour pour la build 7100 (RC) sont les bon, je me suis fié aux tiens en prenant ma version, mais je viens de lire autre chose suite à la publication de la RC sur technet et donc jsuis un peu inquiet :( Merci :)
Avatar de l'auteur Christophe Lavalle Christophe Lavalle - Jeudi 30 avril 2009, 17:22
Les codes que j'ai publiés correspondent au fichier ISO qui fut leaké sur le web et contenant la RC. Ces codes sont uniquement valides pour le fichier ISO là. Microsoft a mis un fichier différent qui possède ces propres codes de vérification. C'est d'ailleurs le cas. Cela ne concerne que la vérification de la validité du fichier téléchargé et non de Windows 7. Bref, un code pour vérifier que le fichier n'est pas corrompu une fois téléchargé. Rien à voir avec Windows 7 RC ;) D'ailleurs, pour te rassurer, les ISO leakés émaneraient directement de Microsoft. Des employés pas content des méthodes Sinofsky. ;)
Avatar de l'auteur Christophe Lavalle Christophe Lavalle - Jeudi 30 avril 2009, 17:23
Christophe Lavalle - Jeudi 30 avril 2009, 17:10
oki, merci pour les réponses. Pour la sauvegarde, j'utilise depuis longtemps le logiciel Sync qqchose de microsoft (pas live sync, mais un logiciel pour synchroniser des pairs de dossier).
Je me suis rabattu depuis sur le lancement automatique périodique, mais j'aurai aimé lancer un le logiciel (qui ne se situe pas sur mon DD externe) suite à une action sur l'ordi (en l'occurrence branchement du DD externe). C'est donc pas vraiment de l'autorun puisque je ne veux pas exécuter un programme se trouvant le média « removable"

Sinon, ca n'a rien à voir, mais pourrai tu confirmer que les SHA-1 et MD5 que tu as publié l'autre jour pour la build 7100 (RC) sont les bon, je me suis fié aux tiens en prenant ma version, mais je viens de lire autre chose suite à la publication de la RC sur technet et donc jsuis un peu inquiet :( Merci :)
Il faut que ce soit le logiciel de synchronisation qui détecte le branchement de ton périphérique et non Windows qui lance le logiciel associé ;)
Avatar de l'auteur Art Art - Jeudi 30 avril 2009, 17:26
Art - Jeudi 30 avril 2009, 17:22
Les codes que j'ai publiés correspondent au fichier ISO qui fut leaké sur le web et contenant la RC. Ces codes sont uniquement valides pour le fichier ISO là. Microsoft a mis un fichier différent qui possède ces propres codes de vérification. C'est d'ailleurs le cas. Cela ne concerne que la vérification de la validité du fichier téléchargé et non de Windows 7. Bref, un code pour vérifier que le fichier n'est pas corrompu une fois téléchargé. Rien à voir avec Windows 7 RC ;) D'ailleurs, pour te rassurer, les ISO leakés émaneraient directement de Microsoft. Des employés pas content des méthodes Sinofsky. ;)
Bon, donc en théorie, j'ai bien le bon W7 RC. Me voila rassuré ^^
Pas encore de bug rencontré, c'est réactif, agréable à utiliser. Les seuls critique formulable serait sur des fonctionnalités non implémentées, ou mal implémentées"à mon gout » :D Donc excellent OS !!
Avatar de l'auteur Art Art - Jeudi 30 avril 2009, 17:27
Art - Jeudi 30 avril 2009, 17:23
Il faut que ce soit le logiciel de synchronisation qui détecte le branchement de ton périphérique et non Windows qui lance le logiciel associé ;)
Etant donné que le logiciel ne tourne pas en arrière plan, y a peu de chance que ce soit possible. :biggrin:

Au passage, très joli les nouvelles bannières en haut du site, ca met en valeur certaines actualités, c'est très réussi B)
Avatar de l'auteur Christophe Lavalle Christophe Lavalle - Jeudi 30 avril 2009, 17:30
Merci ! Content de voir que cela plait ! :)
Avatar de l'auteur Le Blanco Le Blanco - Jeudi 30 avril 2009, 17:47
Le Blanco - Jeudi 30 avril 2009, 17:27
Etant donné que le logiciel ne tourne pas en arrière plan, y a peu de chance que ce soit possible. :biggrin:

Au passage, très joli les nouvelles bannières en haut du site, ca met en valeur certaines actualités, c'est très réussi B)
D'accord avec Art, c'est assez joli de voir la nouvelle banière :thumbup:
Avatar de l'auteur Matthieu Matthieu - Vendredi 01 mai 2009, 21:20
Matthieu - Jeudi 30 avril 2009, 16:57
+1

j'ai pas d'antivirus mais je fais gaffe à tout, j'ai IE8, windows 7 (mais pas la RC, la 7057). Je suis pas idiot donc j'ouvre pas n'importe quoi.

Antivirus or not ? j'ai jamais aimé l'idée d'un truc qui se lance au démarrage de l'ordi, meme un antivirus « transparent ».
Idem pas d'anti-virus, pas de problème. Sur 7, la bêta (bientôt la RC), je n'en éprouve pas l'utilité simplement parce que je vais sur des sites de confiance (je pense que Christophe est d'accord avec moi :) ). Je ne télécharge que sur des sites comme Clubic ou des sites officiels connus. Après je pense qu'en suivant ces quelques règles, on arrive à rester en sécurité. Aussi je change souvent d'OS, enfin j'ai installé 8 ou 9 fois 7 (la bêta).
Avatar de l'auteur Christophe Lavalle Christophe Lavalle - Samedi 02 mai 2009, 12:08
On n'est jamais à l'abris d'une attaque. Elle peut par exemple être dissimulé dans un courriel qu'un de vos contact vous envois par exemple.

Donc même si on fait attention, rien ne vaut un petit antivirus d'installé. Par simple mesure de sécurité. ;)
Avatar de l'auteur Someone Someone - Vendredi 01 mai 2009, 11:49
J'ai une question qui est complètement HS : comment faites-vous pour réaliser des captures d'écran de fenêtres sans avoir les autres fenêtres ou fond en semi-transparence dans la bordure et l'ombre de la fenêtre capturée ?
Avatar de l'auteur Christophe Lavalle Christophe Lavalle - Samedi 02 mai 2009, 12:06
Il suffit d'ouvrir une image blanche ou un programme qui affiche une surface blanche tel que Notepad. ;)
Avatar de l'auteur Someone Someone - Samedi 02 mai 2009, 19:40
Ah bah oui en effet ! J'aurais pensé à un logiciel de capture qui aurait conservé juste le premier plan...

C'est aussi simple comme ça. B) Merci !