le SP2 et la sécurité
Face à face sécurité, le SP2 et la sécuritéA force de voir écrit tout et n'importe quoi sur le SP2 dans divers forums, j'ai fait une expérience personnelle, une vraie expérience qui montre que le SP2 n'a pas plus de sécurité face aux vers réseau que l'on connaît aujourd'hui (Blaster, Sasser, Natchy, etc..)
le SP2 : du flan sécuritaire en barre,
Ce test est fait en toute objectivité, je n'ai rien contre la société Microsoft, juste que je me pose des questions sur leurs politiques sécuritaires, moi, simple usager du net, j'ai des doutes sur leurs dires.
Objet du test :- Voir si la sécurité du SP2 est conforme aux dires de certains.
- Vérification des réalités de la sécurité grâce au SP2 (chaque étape du test a été effectuée d'abord avec le SP1 et ensuite avec le SP2 dans les mêmes conditions)
Test réalisé avec :
- Windows XP Pro
- AMD K6-2 : 450MH/z 346Mo de ram,
ce test a été réalisé sur ce pc, relié à un réseau local pour accéder au net par l'intermédiaire d'un routeur,
adresse IP : 192.168.0.20
routeur faisant office de passerelle : 191.168.0.1
Aucun logiciel antivirus installé ni parefeu sur le test, simplement une installation complète de Windows XP Pro avec toutes les options par défaut.
Aucun logiciel de protection ou de prévention installé, pas de fichier hosts, rien de rien, juste Windows XP (ni plus, ni moins)
Puisque XP SP2 crie Haut et Fort qu'il est sécurisé contre les attaques connues aujourd'hui, je vais vous prouver le contraire.
Pas besoin de faire 500 tests, quelques commandes permettent de savoir ce qui se passe en terme de connexion sur un réseau
4 images de Windows à des moments précis devraient nous donner une opinion objective sur le sujet.
pour ce test, j'ai choisi de prendre:
- le poids de Windows SP1 en Go et de SP2 en Go
- le nombre de processus dans le gestionnaire des tâches
- le nombre de processus dans une commande tasklist /svc (qui nous donne plus précisément le nombre de services démarrés .)
- les connexions réseau listées avec la commande : netstat -ano
- Je finirai le test avec le simple programme ZebProtect (réalisé par des membres de Zebulon) pour prouver que le SP2 aurait pu aller plus loin en terme de sécurité réseau.
Commençons par le poids du système :
sur C:\Windows\
installation du système plus ajout du patch SP1
total avec SP1 = 1.30Go
Installation du SP2
Total avec SP2 = 1.68 Go,
c'est à dire 380Mo supplémentaires pour optimiser la sécurité comme annoncé.
Continuons avec la liste des processus lancés au démarrage de la machine :
pour le SP1
Soit 18 processus par défaut
---------------------------------
Passons maintenant au SP2
soit 25 processus, soit 7 processus de plus améliorer la sécurité de votre système d'exploitation.
On s'apercoit qu'il existe déja 2 processus svchost en plus, wscntfy.exe, wmiadap.exe, 2 wmiprvse.exe, wuauclt.exe
-----------------------------
Regardons maintenant ce que donne la commande Tasklist /svc qui liste tous les services démarrés sur la machine
avec le SP1:
et maintenant, la même chose avec le SP2:
comme on peut le constater :
- en rouge les nouveaux services
(DcomLaunch, BITS, SharedAccess, wscswc, TrkWks, wscntfy, stisvc, wuauclt(2), HTTPFilter)
soit 10 services de plus que sur le SP1
- en jaune, ceux qui ne devraient plus être présents sur un système d'exploitation dit "sécurisé"
car ils n'ont aucune utilité et pourraient être porteurs d'une faille
LmHosts, RemoteRegistry, SSDPSRV, WebClient
Je ne parle pas des autres services, mais déjà ici, je me pose des questions sur le bien-fondé de leur sécurité,
En ouvrant 10 services en plus pour pratiquement le même résultat final, je commence à avoir de sérieux doutes
sur la sécurité de ce beau SP2 (j'en avais déja depuis sa sortie)
Je ne me suis pas encore penché sur les nouveaux services, maintenant que j'ai installé le SP2 pour faire des tests, j'aurai
l'occasion de voir à quoi ils servent, et je les rajouterai sur la liste des services ( que l'on désactivera d'office)
-------------------------------------------------------------
Voici maintenant le résultat de la commande Netstat qui nous permet de voir quels sont les ports ouverts ou en écoute sur votre machine
avec le SP1, sans aucun navigateur pour surfer ou autre logiciel de communication (pas de firewall - rien de rien, même pas peur
)
On le savait déja, les ports à risque sont présents :
135/137/138/139/445/500/1025/1900/5000
C'est pour cela que nous avons créé Zebprotect avec les membres de zebulon.
L'objectif annoncé du SP2 était de lutter pour la sécurité
Le SP2 a un firewall incorporé qui ne laisse rien entrer (firewall du SP2 activé)
en voici la preuve :
Effectivement, plusieurs ports ne sont plus présents , mais qu'en est -il des ports 135/445 toujours listés
et qui, je le rappelle, sont ceux qui ont fait l'objet de patch de sécurité pour lutter contre diverses malveillances (Blaster, Sasser, Nachy, Agobot, etc..)
sans compter ceux présents en attente : 500/1036/4500 qui ne demandent pas grand chose pour se connecter ?
Où est la sécurité annoncée ???
135/445 = les 2 ports les plus sollicités par les vers réseau depuis bientôt 2 ans
Donc, dommage que l'on soit toujours obligé de modifier des clés dans la base de registre afin de ne plus voir ces ports.
Zebprotect, simple programme qui modifie quelques clés de votre registre:
Plus aucun port en écoute ou listé en attente de connexion quand le réseau n'est pas sollicité
le même test avec ZebProtect et IE qui va faire un tour de surf (toujours pas de firewall)
1ère page de démarrage présente par défaut sur le site de msn quand on se connecte la 1ère fois
Comme vous pouvez le constater, aucun port ouvert ou listé en dehors de la connexion avec le navigateur
et tout cela sans aucun service ou processus d'activé.
Microsoft a amélioré sensiblement la sécurité, mais n'a pas été assez loin, dommage !
Pourquoi le firewall du SP2 laisse tout sortir ?
BILAN DU SP2
380Mo supplémentaires dans le système + 10 services, est-ce que cela vaut le coup de mettre le SP2 si votre système est déja bien protégé ?
Malheureusement : oui, car Microsoft a décidé de modifier sa politique et faire en sorte que le SP2 soit une obligation pour faire des mises à jour du système.
Accueil 
