samedi 10 septembre 2011
banner

Vous craignez les infection par clé USB ? Rassurez-vous, il y a un moyen pour en empêcher la plupart. On parle de "vacciner" sa clé.

En effet, rares sont les infections qui n'utilisent pas le l'exécution automatique, communément appelée Autorun (wikipedia).
L'autorun est une fonctionnalité de Windows permettant d'exécuter une action automatiquement dès l'insertion d'un CDrom, d'un disque dur externe ou une clé USB. C'est grâce à lui que vous n'avez pas à parcourir le CD de votre jeu, pour exécuter le programme de lancement.
L'autorun permet aussi, par exemple : d'attribuer une icône particulière au CD ou à votre clé USB. Bref ! C'est une fonction de Windows qui reste utile et légitime, sinon il y aurait longtemps qu'elle n'existerait plus.

L'exécution automatique concerne tous les supports de stockage : votre clé USB, votre disque dur (qu'il soit externe ou interne), vos cartes mémoires (appareil photo, mobile, ...), certains baladeurs numériques...
Pour les CDrom, le risque est moins grand, nous y reviendrons.
Tout ça pour dire qu'il ne s'agit pas forcément de vacciner absolument tous vos supports, mais de choisir en priorité ceux qui ont le plus de risque d'être infectés.

L'Autorun

L'autorun n'est pas un virus ! C'est en réalité une amorce, un petit fichier contenant du texte sous forme de code. Il se trouve toujours à la racine du support (c.a.d à la base du lecteur, vous ne le trouverez pas dans un dossier). Il se nomme obligatoirement "autorun" et porte l'extension ".inf". Très souvent en attribut "caché" (parfois aussi "système"), il n'est pas forcément visible car le paramétrage par défaut de Windows cache les fichiers portant cet attribut.
Double-cliquer dessus n'aura pour effet que d'afficher le code dans le Bloc-notes.
Exemple d'Autorun dont le code est malicieux :
screenshot
Vous pouvez d'ailleurs en créer un facilement avec cet outil. Il suffit de connaître la syntaxe du code et ses commandes, et d'enregistrer le texte avec l'extension pré-citée.

En cas d'infection, l'autorun est donc ce qui lance le vrai virus. Virus qui peut se trouver sur votre clé (souvent dans la corbeille) ou sur votre ordinateur s'il est infecté aussi.
schéma
Le fait de remplacer l'autorun malicieux par un autre sain ou vide, permet non-pas d'éliminer l'éventuel virus, mais simplement de le rendre inactif (impossible pour lui de se lancer).
schéma
Pas d'amorce, pas de propagation de l'infection. Simple !

La vaccination

Sous Windows, tout le monde sait que deux fichiers ayant le même nom ne peuvent cohabiter dans le même dossier. Profitant de ce fait, la vaccination consiste à placer à la racine, un fichier ou un dossier nommé autorun.inf. Grâce à cela, la place est déjà prise : aucun autre Autorun ne pourra se placer sur votre support.
En réalité, c'est plus compliqué que cela : certains virus savent remplacer ou modifier les autorun déjà présents. Les programmes de vaccination usent donc de stratagèmes pour qu'il ne soit pas possible de toucher à l'autorun sain.

Deux façon permettent de rendre l'autorun de vaccination "intouchable". L'une consiste à bloquer le dossier nommé Autorun en créant à l'intérieur, un fichier au "nom réservé" sous Windows. L'autre consiste à modifier le code hexadécimal du fichier de vaccination.
Vous trouverez sur ce pdf explicatif, tous les renseignements à ce sujet (parties 4.b et 4.c) et plus généralement concernant les infections via autorun.

Vacciner

Voici deux manières de vacciner votre clé :

logo Panda SecUtiliser Panda USB Vaccine. Ce programme officiel est téléchargeable ici, utilise la méthode hexadécimale.
L'avantage de cette option, c'est que vous pouvez choisir quel répertoire vacciner. L'inconvénient, c'est lorsque vous connectez votre clé sur un poste sous Linux, la modification hexadécimale disparaît... C'est d'ailleur de cette manière que l'on peut effacer le vaccin ensuite.

avatar gofUtiliser VaccinUSB_autorun_only.bat de Gof. Ce batch (petit programme sous forme d'un fichier de commande) est officieux mais permet de vacciner tous les support de stockage branchés à l'ordinateur (et même les disques durs de l'ordinateur lui-même).
Au terme de la vaccination, un rapport textuel s'affichera.
Téléchargez-le à partir d'ici, puis connectez tous vos supports de stockage amovibles et double-cliquez que le fichier téléchargé. Une fois le rapport affiché, c'est fini. Fermez tout.

Effacer le vaccin

Si pour une raison quelconque, vous désirez effacer le vaccin, voilà la méthode :

Pour le vaccin de Gof, procurez-vous le batch de suppression, puis connectez vos supports amovibles à rétablir et enfin, exécutez le programme téléchargé.

Pour le vaccin de Panda, vous devez vous servir d'un Live-CD de Linux (voir comment s'en procurer). Démarrez dessus (voir comment faire) et branchez votre clé pour "monter le lecteur". Affichez le contenu de votre clé, c'est bon. De retour sous Windows, vous pourrez effacer le fichier Autorun (en affichant les fichiers cachés).

N'hésitez pas à me demander de l'aide en cas de problème ou d'incompréhension. L'outil pour commenter cet article est là pour ça (cliquez sur le titre de l'article et voyez dessous). Si c'est long ou compliqué à expliquer, vous pouvez le faire via le formulaire de contact par e-mail (lien à droite).

2 commentaires:

Anonyme a dit…

C'est aussi possible de le faire avec le tool USB Fix.

Anonyme a dit…

Merci pour ce complément d'infos !

Historique