Vous utilisez un navigateur obsolète !

L'affichage de la page peut être incorrect.

La prévention des risques

Правила гигиены

D'autres publications de cette rubrique (76)
  • Ajouter aux favoris
    Ajouter aux favoris

Fichier Hosts mystérieux

Lu par: 9239 Commentaires: 0 Cote de popularité: 0

mercredi 15 mars 2023

Dans cette publication du projet Lumières sur la sécurité, nous abordons le sujet des fichiers hosts, qui est loin d'être nouveau, mais toujours d'actualité. Une petite enquête auprès de nos utilisateurs a confirmé qu'une menace très courante détectée par l'antivirus Dr.Web est un fichier Hosts infecté. Certes, beaucoup de nos lecteurs connaissent ou du moins ont entendu parler de ce fichier, qui est stocké dans les entrailles des répertoires système Windows. Certains savent même quels dangers sont dissimulés derrière ce fichier tout à fait légitime et pourquoi c'est un morceau savoureux pour les pirates. Mais très souvent, les utilisateurs ne connaissent ni l'un ni l'autre. Et si l'antivirus signale soudainement une menace de type DFH.HOSTS.corrupted ou bien Trojan.Hosts (Différents éditeurs antivirus utilisent des noms différents pour la même chose) - il est préférable de savoir et de comprendre à quoi nous avons affaire.

Le fichier Hosts est présent non seulement dans Windows, mais également dans d'autres systèmes d'exploitation, et remplit les mêmes fonctions partout. Il y a longtemps, à l'aube des réseaux informatiques, son contenu assurait le bon fonctionnement du réseau. Cependant, dans les systèmes d'exploitation modernes, les utilisateurs interagissent rarement directement avec ce fichier. Le fichier lui-même et ses fonctionnalités demeurent, mais son utilisation est depuis longtemps devenue facultative. Par conséquent, le fichier Hosts est souvent situé à l'intérieur du système d'exploitation et toute la période allant de son installation à sa suppression " vit " sans connaitre aucune modification.

Cependant, le fichier Hosts peut être utilisé par des logiciels malveillants et des cybercriminels pour mener des attaques réseau assez efficaces. Dans nos publications, nous avons déjà mentionné des concepts tels que l'usurpation de DNS, l'attaque de "l'homme du milieu", on a parlé des infections des routeurs domestiques. Tous ces moyens sont essentiellement différents pour obtenir la même chose - envoyer l'utilisateur à une fausse adresse, où des intrus l'attendront. Mais il existe un autre moyen de faire presque la même chose - à l'aide d'une modification malveillante du fichier Hosts.

Dans les réseaux informatiques fonctionnant sur le protocole TCP/IP, les adresses IP sont utilisées comme adresses pour l'envoi de blocs d'informations (paquets). Chaque objet du réseau, qu'il s'agisse d'un serveur ou d'un client, a une adresse IP attribuée. Par exemple, le site drweb.fr est disponible à l'adresse 213.79.65.58. Imaginez maintenant que vous deviez mémoriser et saisir cette adresse pour visiter le site. Pas très pratique, n'est-ce pas ? Surtout compte tenu du nombre de sites que nous visitons chaque jour. Par conséquent, afin de convertir les adresses réseau que l'ordinateur comprend en noms pratiques à utiliser par l'internaute, le système de noms de domaine, également connu sous le nom de DNS (Domain Name System), a été inventé. DNS permet à l'ordinateur d'obtenir une adresse IP à partir d'un nom de domaine et de déterminer à quel hôte transmettre une demande réseau. Ainsi, il existe une correspondance entre les adresses IP et les noms de domaine.

Avant la mise en place du DNS, le fichier Hosts était la seule base de données contenant des informations permettant de transformer les noms d'hôte en adresses réseau et vice versa. Désormais, cette tâche est effectuée par les serveurs DNS et le service correspondant fonctionnant sur un ordinateur local. Par exemple, lorsque vous saisissez le nom habituel d'un site dans la barre d'adresse du navigateur et que vous appuyez sur Entrée, le navigateur ne sait pas à quel objet envoyer votre demande. Pour obtenir l'adresse, le navigateur accède à un service spécial - le client DNS, qui tourne sur votre ordinateur. Et c’est là que la partie la plus intéressante commence.

Pour obtenir une adresse réseau, le service parcourt les sources dans l'ordre suivant :

  1. Fichier Hosts
  2. Son propre cache
  3. Serveur DNS dont l'adresse est indiquée dans les paramètres de la carte réseau.

Comme nous pouvons le voir, le fichier Hosts est conçu pour mapper les noms de domaine aux adresses IP (les faire correspondre). Mais plus important encore, le fichier vient en premier dans la liste, c'est-à-dire qu'il a priorité sur le cache de service et l'accès aux serveurs DNS. S'il n'y a pas d'entrée appropriée dans le fichier Hosts, tout fonctionne sans ce fichier - le service DNS recevra une adresse IP d'autres sources. C'est pourquoi de nombreux utilisateurs ignorent l'existence d'un tel fichier. Un autre point est la présence d’enregistrements dans le fichier.

En raison de sa priorité élevée, la modification non autorisée du fichier Hosts constitue une menace sérieuse. Après tout, une certaine entrée faite dans le fichier forcera tout programme, y compris le navigateur, à envoyer des requêtes aux adresses réseau spécifiées, qui pourraient bien être les serveurs des attaquants. Par exemple, pour mener une attaque de phishing, les cybercriminels peuvent créer un enregistrement qui fait correspondre le nom légitime du site avec l'adresse IP du site de phishing. Les chevaux de Troie dont le but est de modifier le fichier Hosts peuvent également agir de la même manière. En plus des dangers du phishing, de telles actions sont un outil important pour les attaquants pour mener des attaques de type man-in-the-middle (« l’homme du milieu »). Comme nous l'avons déjà dit, l'essentiel est d'orienter l'utilisateur sur le mauvais chemin, et il peut y avoir un grand nombre d'options pour le développement d'un scénario d'attaque.

En utilisant le fichier Hosts, il est également possible de bloquer l'accès à n'importe quel site ou nœud de réseau. Pour ce faire, le soi-disant localhost est mappé à un nom de domaine spécifique en tant qu'adresse réseau - l'adresse locale de l'ordinateur - 127.*.*.*. (généralement 127.0.0.1). Dans ce cas, lorsque vous essayez de vous connecter à l'hôte spécifié à l'aide du nom de domaine, l'ordinateur, pour ainsi dire, se réfère à lui-même. C'est ainsi que les activateurs illégaux empêchent les programmes d'accéder aux serveurs d'activation.

Bien sûr, le fichier Hosts a toujours une importance pratique. A l'aide de ce fichier, vous pouvez configurer la résolution des noms Internet au sein du réseau informatique local. Cette configuration est généralement gérée par les administrateurs réseau et ce sujet dépasse le cadre de cette publication.

Nous avons venons de voir que la modification du fichier Hosts peut nuire à la sécurité.

Comment l'antivirus protège-t-il l'utilisateur de cette menace ? Envisageons les mécanismes de protection dans le contexte des systèmes d'exploitation de la famille Windows, qui sont utilisés dans Dr.Web Security Space. Pour protéger le fichier Hosts, le contrôle d'accès est utilisé au niveau de la protection préventive, ainsi que la détection des modifications et la désinfection du fichier par Dr.Web Scanner. Ces niveaux de protection fonctionnent indépendamment les uns des autres. Par défaut, la protection préventive bloque l'accès au fichier Hosts, le protégeant des changements, y compris la modification par l'utilisateur. Si le fichier a été modifié avant l'installation ou pendant la période d'inactivité de l'antivirus, Dr.Web Scanner détectera le fichier Hosts infecté lors du scan et le désinfectera. Il est important de noter que ce sont les soi-disant " enregistrements de blocage " qui font l'objet d'un traitement - ceux qui bloquent l'accès à un site ou à un nœud de réseau particulier sur Internet en dirigeant les demandes vers localhost.

Le haut niveau de contrôle fourni par la protection préventive réduit à presque zéro la possibilité de modifier le fichier, même par un cheval de Troie inconnu. Dans le même temps, si l'utilisateur exclut le fichier de l'analyse par le composant de protection préventive ou ajoute l'application pour considérer le fichier comme un fichier de confiance, Dr.Web Scanner analysera et traitera toujours les entrées bloquantes dans le fichier. Cette approche est mise en œuvre pour une protection complète des fichiers et la sécurité des utilisateurs. Comme indiqué ci-dessus, l'a modification du fichier Hosts par un utilisateur ordinaire est extrêmement rare. Mais les tentatives de modifier le fichier illégalement sont une pratique beaucoup plus courante. C'est pourquoi la priorité est donnée à une protection fiable, plutôt qu'à la liberté d'action avec ce mystérieux fichier Hosts.

Le projet Lumières sur la sécurité recommande

  1. Hosts est un fichier discret mais suffisamment important, donc si vous n'êtes pas sûr de vos actions, vous ne devriez pas y apporter des entrées vous-même. Y compris selon les instructions trouvées sur Internet.
  2. Pour protéger le fichier contre tout accès non autorisé, utilisez un logiciel antivirus complet. Dr.Web Security Space pour Windows protège de manière fiable tous les composants du système contre les logiciels malveillants et les attaques réseau.
  3. Si l'antivirus a détecté une menace associée au fichier Hosts, cela veut dire que l'un des programmes a tenté de modifier le fichier. Effectuez une désinfection du fichier par un antivirus et le fichier sera renvoyé à son état d'origine.
  4. Si vous devez apporter des modifications au fichier Hosts et que vous avec l'antivirus Dr.Web installé sur l'ordinateur, utilisez cette consigne pour ajouter le fichier aux exclusions. Dans le même temps, nous déconseillons catégoriquement de laisser le fichier sans le niveau de protection approprié.

#Hosts #adresse_du_site #Internet #remplacement_de_pages #terminologie

[Twitter]

Nous apprécions vos commentaires

Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.