Autorun : notre vieil ennemi de toujours

Dans le monde merveilleux de Microsoft où tout est si automatisé à grands coups de clickodrome, il est un ennemi sournois qu'il faut régulièrement rappeler à l'esprit de tous car il permet de nuire considérablement à celui qui ne s'en méfie pas : autorun.

Grâce à autorun, le moindre périphérique amovible inséré dans un PC en fonctionnement se voit automatiquement et immédiatement examiné à la recherche du célèbre fichier autorun.inf, lequel sera ensuite 'exécuté' pour lancer l'installation du logiciel présent sur le média.

Si dans la plupart des cas, cette fonction est utile, il en est d'autres où elle est clairement utilisée à l'encontre de l'utilisateur.

Ainsi, lorsque vous partez manger et verrouillez votre écran, avez-vous penser qu'une clé USB ou un CD-ROM inséré pendant votre absence sera exécuté avec vos privilèges ?

Ce média, préparé avec amour par une personne clairement malveillante, pourra alors à loisir infecter votre machine, récupérer la base SAM des comptes (si votre compte a suffisamment de privilèges) ou simplement archiver consciencieusement vos données personnelles sur un serveur réseau ou même sur lui-même si le média est inscriptible telle une clé USB. Le tout sans même que vous ne vous en aperceviez car la console n'aura même pas bougé (incluant l'économiseur d'écran).

Par chance, mais au prix de l'effort surhumain de devoir cliquer vous-même sur l'exécutable autorun.exe du média fraîchement inséré, il est possible de se débarrasser de ce mécanisme nuisible à la sécurité du poste de travail. Des graticiels tel le Microsoft Tweakui, parti des PowerToys [1] permettent de désactiver les innombrables versions de l'autorun, à savoir la gestion du format (vidéo, ...) la gestion du mécanisme global (autorun) ou celle des lecteurs logiques (C:, D: jusqu'à Z:).

En complément, une approche élégante consiste à changer la clé du registre :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionIniFileMappingAutorun.inf
en lui mettant pour valeur @="@SYS:DoesNotExist".

Ainsi, tout programme reposant sur l'autorun ou utilisant un suffixe .ini, provenant du monde Windows 95, ne sera pas non plus exécuté automatiquement.

[1] http://www.microsoft.com/windowsxp/Downloads/powertoys/Xppowertoys.mspx

Blogger Anonymous

-