rapport d'essais d'autorun dans cd/dvd et dans clé usb€¦ · rapport d'essais...

5
Rapport d'essais d'autorun dans CD/DVD et dans clé USB Préambule : Pour des raisons de sécurité, depuis W7, par construction, (et par les patches de sécurité KB971029 du 24/08/2009 sur XP et Vista ), l'autorun ne fonctionne que pour les supports optiques CD et DVD. Initialement classée "Facultative" sur XP et Vista, cette KB971029 est passée "Prioritaire" lors des Windows Update à compter du mardi 8 février 2011. => C'est-à-dire que, depuis le 8 février 2011, s'ils sont bien à jour de Windows Update et sans "bricolages" de la base de registre , tous les utilisateurs de XP, Vista, W7, W8, W8.1 sont protégés des "autorun" infectieux pouvant exister dans des clés USB vérolées. A) La question de départ étant : Peut-on mettre un "autorun.inf" sur une clé USB, et avoir quand-même un démarrage automatique d'un exécutable joint (pouvant être malicieux) sur un Windows à jour et non-bricolé , en insérant simplement cette clé USB ? B) Une suggestion a été donnée sur un forum : "Il suffit de réduire la partition de la clé usb (FAT32) de quelques Mo , et mettre un fichier exécutable et son autorun de lancement sous une petite partition au format UDF , et voilà , on a une clé usb vue comme un lecteur CD par windows et ce dernier est trompé" Le but des essais décrits ci-dessous sera de vérifier si cette idée (bien séduisante au départ) de tromper Windows, est réalisable ou pas. C) Etude du comportement de Windows avec un CD ou DVD contenant un autorun. D'abord, étudions les réactions de Windows quand on insère un CD comportant un autorun. C-1) Soit un CD contenant un "autorun" composé de 2 fichiers : l'"autorun.inf" et l'exécutable associé (en l'occurrence un petit exécutable amusant, sans aucun danger) : On note que l'icône dans l'explorateur Windows représente bien un lecteur optique ( ), et que le format du système de fichiers du CD est CDFS. C-2) Quand on l'insère dans XP, ce CD, avec autorun, agit de suite sans rien dire et lance le petit programme de faux virus : Ces "yeux" se promènent en tous sens, en regardant le curseur de souris. Conclusion : Si ce programme sur CD avait été un virus non tué rapidement par un antivirus, il infectait de suite la machine en XP. Rapport d'essais d'autorun dans CD-DVD et dans clé USB.doc _ Page 1 sur 5 _ Rédigé par Georges News _ Le 17/12/2013

Upload: others

Post on 31-Aug-2020

4 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Rapport d'essais d'autorun dans CD/DVD et dans clé USB€¦ · Rapport d'essais d'autorun dans CD/DVD et dans clé USB . Préambule : Pour des raisons de sécurité, depuis W7, par

Rapport d'essais d'autorun dans CD/DVD et dans clé USB Préambule : Pour des raisons de sécurité, depuis W7, par construction, (et par les patches de sécurité KB971029 du 24/08/2009 sur XP et Vista ), l'autorun ne fonctionne que pour les supports optiques CD et DVD. Initialement classée "Facultative" sur XP et Vista, cette KB971029 est passée "Prioritaire" lors des Windows Update à compter du mardi 8 février 2011. => C'est-à-dire que, depuis le 8 février 2011, s'ils sont bien à jour de Windows Update et sans "bricolages" de la base de registre, tous les utilisateurs de XP, Vista, W7, W8, W8.1 sont protégés des "autorun" infectieux pouvant exister dans des clés USB vérolées. A) La question de départ étant : Peut-on mettre un "autorun.inf" sur une clé USB, et avoir quand-même un démarrage automatique d'un exécutable joint (pouvant être malicieux) sur un Windows à jour et non-bricolé, en insérant simplement cette clé USB ? B) Une suggestion a été donnée sur un forum : "Il suffit de réduire la partition de la clé usb (FAT32) de quelques Mo , et mettre un fichier exécutable et son autorun de lancement sous une petite partition au format UDF , et voilà , on a une clé usb vue comme un lecteur CD par windows et ce dernier est trompé" Le but des essais décrits ci-dessous sera de vérifier si cette idée (bien séduisante au départ) de tromper Windows, est réalisable ou pas. C) Etude du comportement de Windows avec un CD ou DVD contenant un autorun. D'abord, étudions les réactions de Windows quand on insère un CD comportant un autorun. C-1) Soit un CD contenant un "autorun" composé de 2 fichiers : l'"autorun.inf" et l'exécutable associé (en l'occurrence un petit exécutable amusant, sans aucun danger) :

On note que l'icône dans l'explorateur Windows représente bien un lecteur optique ( ), et que le format du système de fichiers du CD est CDFS. C-2) Quand on l'insère dans XP, ce CD, avec autorun, agit de suite sans rien dire et lance le petit programme de faux virus :

Ces "yeux" se promènent en tous sens, en regardant le curseur de souris. Conclusion : Si ce programme sur CD avait été un virus non tué rapidement par un antivirus, il infectait de suite la machine en XP.

Rapport d'essais d'autorun dans CD-DVD et dans clé USB.doc _ Page 1 sur 5 _ Rédigé par Georges News _ Le 17/12/2013

Page 2: Rapport d'essais d'autorun dans CD/DVD et dans clé USB€¦ · Rapport d'essais d'autorun dans CD/DVD et dans clé USB . Préambule : Pour des raisons de sécurité, depuis W7, par

C-3) Par contre, sur Vista, W7 et W8, l'insertion du CD avec autorun déclenche, par défaut, un panneau d'alerte tel que ceux-ci :

ou sur W8. a) => La case "Toujours faire ceci …." n'est pas cochée par défaut, et on est donc averti de la présence d'un exécutable pouvant être dangereux. b) => De plus, ça laisse le temps à l'antivirus d'examiner l'exécutable. c) => En bas de la fenêtre de gauche, on notera le lien bleu vers le panneau de configuration des paramètres de l'Exécution automatique. Si on ouvre ce lien, on a ça sur W7 :

=> Attention, l'option ci-dessous est déconseillée et peut être dangereuse si on insère un CD ou DVD de "fabrication locale" virussé préalablement par un autorun malfaisant.

Car dans ce cas-là, les "Yeux" inoffensifs se promènent sur l'écran dès l'insertion du CD, (comme sur XP) et ça pourrait être un malveillant à la place !

Rapport d'essais d'autorun dans CD-DVD et dans clé USB.doc _ Page 2 sur 5 _ Rédigé par Georges News _ Le 17/12/2013

Page 3: Rapport d'essais d'autorun dans CD/DVD et dans clé USB€¦ · Rapport d'essais d'autorun dans CD/DVD et dans clé USB . Préambule : Pour des raisons de sécurité, depuis W7, par

D) Création d'une clé USB formatée complètement en UDF Selon les infos de cette page http://technet.microsoft.com/fr-fr/library/cc753770(v=ws.10).aspx , j'ai procédé au formatage en UDF d'une clé USB de 4 Go.

=> On peut noter que l'icône de l'explorateur représente toujours un disque amovible, et que ça ne trompe pas Windows. E) Création d'une clé USB formatée partiellement en UDF et en FAT32. - Cette opération assez compliquée a été faite en créant d'abord 2 partitions FAT32 dans une clé de 4 Go, à l'aide de "Partition Wizard Home Edition" du Mini-XP d'Hiren's Boot CD. - Puis les 2 fichiers de test "autorun" ont été mis dans la 1ère partition FAT32 d'1 Go et aussi dans la seconde partition FAT32 . - Puis la 1ère partition a été formatée en UDF comme au paragraphe (D) ci-dessus. Le mini XP d'Hiren's Boot CD voit bien 2 partitions distinctes (J: et K:) dans la clé :

La partition UDF :

Rapport d'essais d'autorun dans CD-DVD et dans clé USB.doc _ Page 3 sur 5 _ Rédigé par Georges News _ Le 17/12/2013

Page 4: Rapport d'essais d'autorun dans CD/DVD et dans clé USB€¦ · Rapport d'essais d'autorun dans CD/DVD et dans clé USB . Préambule : Pour des raisons de sécurité, depuis W7, par

Et la partition FAT32 : => Partition Wizard du mini-XP d'Hiren's Boot CD ne reconnaît plus la 1ère partition d'1 Go en UDF, mais reconnaît toujours la 2ème, en FAT32 :

Rapport d'essais d'autorun dans CD-DVD et dans clé USB.doc _ Page 4 sur 5 _ Rédigé par Georges News _ Le 17/12/2013

Page 5: Rapport d'essais d'autorun dans CD/DVD et dans clé USB€¦ · Rapport d'essais d'autorun dans CD/DVD et dans clé USB . Préambule : Pour des raisons de sécurité, depuis W7, par

=> Quand aux OS testés (de XP à W8), ils ne voient que la 1ère partition en UDF de la clé, et son contenu, sans que Windows ne soit trompé, et sans déclencher l'autorun des "Yeux" : Exemple sur XP :

F) Conclusions des essais : a) Le fait de créer totalement, ou partiellement, une partition en UDF dans une clé USB, ne trompe pas Windows, qui considère toujours qu'il s'agit bien d'une clé USB qui est branchée. b) L'autorun.inf mis dans les partitions UDF et FAT 32 d'une clé USB, ne déclenche pas l'exécution du programme associé, programme pouvant être malveillant. c) Par contre, il semble que certaines clés USB formatées en CDFS (notamment des clés appelées "U3" chez SanDisk) pourraient déclencher l'auto-exécution de programmes pouvant être malfaisants. Voir => http://fr.wikipedia.org/wiki/Cl%C3%A9_USB_U3 - Il est donc déconseillé de garder ce genre de formatage "U3" si on l'a dans des clés USB. Les constructeurs de clés proposent souvent un outil pour supprimer cette partition. (Exemple avec l'outil "LaunchPad Removal Tool" de Sandisk => http://u3.sandisk.com/ ) - Il vaut mieux utiliser des clés USB standards.

Rapport d'essais d'autorun dans CD-DVD et dans clé USB.doc _ Page 5 sur 5 _ Rédigé par Georges News _ Le 17/12/2013