Lumières sur la sécurité

jeudi 29 septembre 2016

Le fichier hosts joue un rôle important lorsque les pirates tentent de nous pousser à visiter des pages Web dans leur intérêt. Des manipulations de ce fichier permettent notamment de bloquer l'accès aux sites des éditeurs d'antivirus.

A quoi sert le fichier hosts ? C'est un fichier dans lequel sont enregistrées des entrées établissant le rapport entre les noms de ressources Web et leurs adresses réseau. Il permet notamment d’accéder aux diverses ressources sans utiliser de services externes ainsi que d’accélérer le téléchargement des sites Web.

Le contrôle de la modification du contenu du fichier hosts est effectué à l’aide de la Protection préventive au sein de Dr.Web Security Space.

Mais le fichier hosts est une "épée à double tranchant" qui peut se retourner contre les cybercriminels, car dans les mains d’un utilisateur expérimenté, il vous permet de bloquer l’accès aux sites pirates. Pour bloquer l’accès à une ressource indésirable, il suffit d'ajouter à la fin de ce fichier une chaîne comme suit "127.0.0.1 URL_de_la_ressource_à_bloquer". Le résultat est que lors de la tentative de télécharger une ressource bloquée, le système va essayer de la charger depuis l'ordinateur local (dont l'adresse prédéfinie est 127.0.0.1) où, bien évidemment, la ressource n'est pas présente. Par conséquent, le site web indésirable ne sera pas téléchargé.

Mais la modification du fichier hosts ne sert pas uniquement la lutte contre des ressources non désirables. Comme chacun le sait, les virus modernes sont souvent gérés de l'extérieur.

Le fichier hosts est un simple fichier texte dont chaque ligne correspond à un enregistrement. Le format classique d'enregistrement se présente comme suit :

Adresse IP Nom de domaineéventuel commentaire

Dans presque tous les systèmes d’exploitation (sauf Windows 7 et 8, où il n'y a que des commentaires), la première entrée est :

127.0.0.1 localhost

Cela signifie que l'adresse IP 127.0.0.1 correspond au nom de domaine localhost, c'est l'adresse locale du système.

Attention ! Par défaut, sous Windows, il se trouve dans is%windir%\system32\drivers\etc\hosts. Les pirates peuvent modifier ce chemin. Toutefois, vous êtes en mesure de le rétablir vers la valeur par défaut. Dans cet exemple, pour simplifier, nous supposons que le chemin du fichier correspond à la valeur par défaut.

Vous pouvez ouvrir le fichier en cliquant sur Démarrer-Exécuter (la même fenêtre peut être appelée par la combinaison de touches Win+R), dans la fenêtre qui apparaît Exécutez le programme, dans le champ Ouvrir, entrez notepad % SystemRoot %\ system32 \ drivers \ etc \ hosts et cliquez sur ОК. Vous pouvez également ouvrir le fichier dans n’importe quel éditeur de texte.

Si vous ouvrez le fichier manuellement, veuillez noter que l'attribut "Caché" peut lui être assigné. Pour afficher ce type de fichiers, il faut, dans Les propriétés du dossier, activer l’option Afficher les fichiers et dossiers cachés).

Attention ! Souvent les malfaiteurs ajoutent des enregistrements hors des limites de la fenêtre affichée du bloc-notes Windows en utilisant les lignes vides. Après avoir ouvert le fichier, veuillez toujours vérifier s'il y a une barre de défilement (ascenceur) et faites défiler la fenêtre de sorte que vous puissiez afficher tout.

Règles de l’édition du fichier hosts

1. Chaque élément doit être sur une ligne distincte.
2. L’adresse IP doit commencer avec la première position de la ligne (dans la même rangée) et devrait être suivie par le nom d’hôte correspondant.
3. L’adresse IP et le nom d’hôte doivent être séparés par au moins un espace.
4. Les commentaires doivent être précédés du symbole #.

Si les commentaires sont utilisés dans les lignes de correspondance entre adresses IP et noms de domaine, ils doivent suivre le nom du nœud et être séparés du nom du nœud par un caractère #.

Si vous n'arrivez pas à enregistrer le fichier, vous devez vous logger dans le système en tant qu’administrateur ou lancer le bloc-notes au nom de l’administrateur puis modifier le fichier.

Il existe deux façons de le faire.

1. Via la ligne de commande (sous Windows 10), en cliquant droit sur l'icône .

   

   Choisissez Ligne de commande (administrateur) et dans la fenêtre qui s’ouvre, tapez (ou copiez) la ligne :

   notepad C:\Windows\System32\drivers\etc\hosts

   Dans ce cas, le bloc-notes Windows sera lancé avec les privilèges administrateur et vous permettra d’apporter des modifications au fichier hosts.

   

   Apportez les modifications et enregistrez le fichier (Fichier → Enregistrer).

2. Ouvrez un éditeur de texte en tant qu’administrateur manuellement.

   Allez dans le dossier qui contient le fichier exécutable de l’éditeur de texte, par exemple bloc-notes (cette partie de l’instruction peut également être appliquée aux autres éditeurs de texte comme Notepad ++). Admettons que le fichier exécutable de Bloc-notes se trouve dans C:\Windows\system32. Cherchez le fichier notepad.exe.

   Cliquez droit sur le fichier et sélectionnez Exécuter en tant qu’administrateur.

   

   Sélectionnez Fichier → Ouvrir. Dans la fenêtre qui apparaît, allez dans le dossier C:\Windows\System32\drivers\etc. Sélectionnez dans le coin inférieur droit Tous les fichiers et ouvrez hosts.

   

   Apportez les modifications nécessaires et enregistrez le fichier.

Attention ! Si après avoir enregistré le fichier et/ou après le redémarrage, vous n'arrivez pas à ouvrir certains sites ou que certains sites vous affichent le contenu que vous ne souhaitiez pas afficher, il se peut qu'un programme malveillant fonctionne sur le système et qu’il vérifie périodiquement et modifie le contenu du fichier hosts.

Pour consulter les statistiques d’accès aux différentes ressources et choisir celles qui méritent d'être enregistrées dans le fichier hosts, cliquez sur l'icône et sélectionnez le nom de l'utilisateur dans le menu de l'Agent Dr.Web.