[logiciel] Comptes de Sécurité sous XP et VISTA

jeudi, juillet 31, 2008

Sécurité des Comptes sous XP

Utilisé, entre autres, par Microsoft Internet Explorer, Outlook, Outlook Express et MSN, le Gestionnaire de Comptes de Sécurité (Protected Storage Service) permet un stockage sécurisé de données confidentielles. Il est par exemple utilisé pour enregistrer les mots de passe de connexion à la messagerie sous Outlook Express et ce, pour nous éviter de devoir le taper à chaque vérification de courriel. Sous Internet Explorer, ce processus enregistrera les champs des formulaires d’inscription ou de connexion que vous souhaitez sauvegarder pour les remplir rapidement ultérieurement. Le gestionnaire et le processus qui l’active ( %SystemRoot% \ system32 \ lsass.exe) sont donc utilisés dans de nombreux cas. Les informations sont contenues dans le Registre (HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider) et sont encryptées (HMAC). Le Service qui active le Gestionnaire de Compte de Sécurité est normalement mis en mode Automatique.

Sécurité des Comptes sous VISTA.

Tout ce qui précède est valide pour Windows XP (versions Familiale et Pro).  Sous VISTA, le Gestionnaire existe toujours, il est supporté par le même processus (lsass.exe) et il démarre automatiquement (même si mis en mode manuel) à la moindre utilisation des logiciels de messagerie, IE, etc.  Par contre, il ne semble plus stocker de l’information et seule la lecture des infos déjà stokées dans le Registre est faite [1]. Pour stocker les Comptes et autres informations confidentielles VISTA utilise des fonctions plus sécuritaires fournies par l’API, plus précisément le DPAPI (Data Protection API). Internet Explorer le fait aussi depuis la version 7. A noter que les fonctions du DPAPI existent depuis Windows NT.

[1] Au moins une exception: Windows Mail dans VISTA utilise toujours le Gestionnaire de Comptes de Sécurité pour y mettre les infos confidentielles.

[Logiciel] Voir les Comptes Sécurisés sous XP

Disponible ici, un utilitaire simple qui dévoile les comptes confidentiels inscrits au Registre par le Gestionnaire des Comptes de Sécurité sous XP.

exemple

Le Type est la Clé Registre unique associée à un logiciel ou compte (c’est ce qu’on appelle le GUID ou Global Unique Identifier dans le jargon informatique – il n’y a pas deux GUID identiques dans la base de registre – voir exemple de génération dans le logiciel). L’Item peut révéler (ou pas) une partie du nom de l’application, nom de compte usager ou identifiant quelconque. La chaîne sera habituellement le mot de passe crypté; le logiciel décode le mot si possible (c’est le nom mis au bout de ligne -> ne pas tenir compte de la dernière valeur si c’est un point {valeur = 00}.

Prendre le logiciel **ici**.

[Complément] Un mot à propos de Firefox. Ce navigateur ne place pas les données confidentielles dans le registre de l’ordinateur, non plus qu’il n’utilise le Gestionnaire des Comptes Sécurisés (Protected Storage Service). A ce propos voir Comptes Firefox Décryptés dans ce blogue.

Publicités

Objets du registre bien identifiés

vendredi, janvier 11, 2008

oleviewer.jpgA mon avis une petite perle, que l’on trouve dans le kit de développement Microsoft à l’intention des développeurs: OLE/COM Object Viewer. En gros, un petit utilitaire qui nous permet de fouiller la base de registre et d’y voir en clair tous les activex et autres connexions logicielles (interfaces). Je m’en sers entre autres pour connaitre ou modifier les permissions, et aussi pour enlever les items du registre périmés, oubliés par les ‘nettoyeurs’. La liste est bien organisée et très révélatrice. Connaissant leur emplacement exact et le contenu, on accède au registre pour les supprimer ou les modifier au besoin. Pour les amateurs avertis, mais l’outil comme tel est sans risque si on n’y fait aucune édition. D’ordinaire l’utilitaire fait partie d’un kit volumineux téléchargeable sur le site de Microsoft après autorisation. Le voici *ici* en un seul fichier prêt à l’usage.


[logiciel] RegNet – surveillance du registre

mardi, octobre 16, 2007

RegNet surveille et détecte tout changement survenant dans les clés  ‘RUN’ du registre. Ces clés sont utilisées par les antivirus et autres programmes résidents de Windows, mais *AUSSI* par les virus, trojans et autres processus non souhaités.

** Les clés surveillées **

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

et quelques autres.

Ces clés évoquent les différentes méthodes dont peut se servir un programme, légitime ou non, pour se lancer automatiquement au démarrage du système d’exploitation Windows XP et plus.

RegNet vous indique quels processus ou tâches sont lancés automatiquement au démarrage et quels processus ou tâches s’y ajoutent par la suite, lors de l’utilisation quotidienne de l’ordinateur. Tout ajout est signalé. Toute clé ajoutée reconnue malsaine est automatiquement supprimée si elle fait partie d’une liste de référence, autrement un avis est donné et vous aurez l’opportunité de supprimer la clé ou de l’accepter.

RegNet n’a pratiquement aucun impact sur le fonctionnement de l’ordinateur, son utilisation mémoire est minime et il ne ralentira pas la vitesse de traitement. De plus AUCUNE INCOMPATIBILITÉ n’est à prévoir, avec n’importe quel autre logiciel que se soit, antivirus, antispyware ou autre. Le logiciel se lance automatiquement au démarrage mais vous pouvez le fermer au besoin. Sa présence est signalée sur la barre de notification près de l’horloge.

Somme toute, RegNet est un très bon logiciel pour prévenir les attaques et prises de possession au démarrage de l’ordinateur.

[Téléchargement]- RegNet et ses quelques fichiers d’aide et références sont disponibles dans un format compressé *ici* ]. C’est un logiciel compact et léger, sans installation, il suffit d’extraire les fichiers tous ensembles dans un même dossier. Prêt à être utilisé immédiatement au lancement de l’exécutable. Il est conseiller de lire l’aide fournie.

Aperçu du logiciel à l’utilisation:

regnet1.jpg

On note: Un avertissement de clé ajoutée dans une zone de démarrage automatique (indication avec une icône). On sélectionne cette clé pour la supprimée ou avoir plus d’information sur celle-ci (aide d’après une interrogation programmée sur Google). On peut aussi ouvrir le registre à la position de cette clé. On aperçoit une partie des autres évènements de la journée. On peut consulter la liste complète dans un log. Tout au bas de la fenêtre on voit un décompte des clés habituelles, de celles ajoutées ou supprimées.