Forum-Francophone-LinuxMint.fr

Bonjour à toutes et à tous,
Nouveau venu sur Linux, ma question vous paraîtra sans doute insipide.
Si j'ai bien compris, la cyberattaque consistait à crypter les fichiers.
On m'a installé un dualboot W10/LinuxMint (fin d'année dernière)
Losque je suis sous W, je vois :
C: NTFS
D: NTFS
F: NTFS (un disque dur externe)

Sous LM (nemo), je vois :
Acer (=C:)
Data (=D:)
Data Linux : ext4
WD2 (=F)


1/-lorsque je suis sous W, je ne vois pas Data et Data Linux
2/- lorsque je suis sous Linux, je vois Acer et Data, je peux les monter et voir les différents dossiers.
3/- Lorsque je suis sous W et sous Linux, je vois WD2 = F = mon disque dur externe de sauvegarde.

D'où mes questions :
1/-
Les fichiers (partitions, dossiers) accessibles sous Linux sont-ils inattaquables, par exemple par le virus de la cyberattaque ?
Comme à partir de Linux, je peux voir C: et D: qui me dit qu'un virus windosien ne peut pas accéder à mes partitions Linux (sans me le dire) ?
2/-
Mon disque dur externe étant visible par les 2 OS, lors de l'attaque, il aurait été crypté, non ?
Faudrait-t-il brancher le disque dur uniquement pour faire les sauvegardes et le débrancher après ?
Faudrait-t-il avoir un disque de sauvegarde pour W (NTFS) et un autre disque (ext4) pour Linux ?
N.B. Je ne conserve W que pour ce qui ne fonctionne pas sous Linux (ma webcam pour l'astronomie par exemple) et je ne fais pas de sauvegarde W (sauf vraie nécessité), mais quand même, là, si mon disque dur externe avait été crypté, je perdais toutes mes sauvegardes Linux ?

Et une 3e pour la route
Je viens de voir que le parefeu sous Linux est à OFF, faut-il le passer à ON, est-ce que c'est simple à faire (paramétrage) ?
Plus généralement, faut-il un parefeu, un antivirus sous Linux ?
D'après ce que j'ai lu dans les discussions, il semble que parefeu et antivirus ne semblent pas trop avoir la faveur des linuxiens, mais je n'arrive pas à déterminer s'il y a 50/50, 80/20...

Je n'ai bien sûr pas vu tous les liens sur le sujet, vous pouvez m'en indiquer qui ont "pignon sur rue".
Merci par avance de vos préconisations en matière de sécurité.

bonjour,
d'une manière générale, les virus sont en très grande majorité pour W$, et ne sont pas actifs sous linux
Si tu ne prends que les logs qui sont dans les dépôts, tu ne risque pas grand chose, sinon rien
le pare feu si tu veux, tu peux l'activer c'est très simple sinon tu passe par son interface "gufw" (à installer)
Autrement comme antivirus il y a "clamav", mais bon ... utile surtout pour éviter d'infecter d'autre pc via des usb au cas où tu en aurais choper un (qui ne sera pas actif, mais présent)
Perso je n'ai ni AR, ni pare feu d'activé et tout tourne sans soucis
Il faut toujours avoir à l'esprit que le plus virulent des virus c'est l'ICC (interface chaise clavier) c à d l'utilisateur, et ce quel que soit le système d'exploitation

Bonjour Yngyang.

yinyang a écrit : Les fichiers (partitions, dossiers) accessibles sous Linux sont-ils inattaquables, par exemple par le virus de la cyberattaque ?

Je répondrais, non si tu y accèdes uniquement par linux. Et oui si tu y accède par windows. La cyberattaque uilise une faille windows.
Cette faille est impossible sur linux (d'autres peut être mais pas celle la qui est spécifique à windows).

Donc si tu crains pour tes fichiers, le mieux c'est de ne pas utiliser windows (entre nous le risque est faible, car je suppose que le correctif a été appliqué chez toi).

Pour ajouter à ce qu'a dit Alain (avec qui je suis entièrement d'accord), il me semble que la récente attaque ciblait principalement les w7, w8 et xp (pas à jour) utilisés par des entreprises. ça veut pas dire que de nouvelles versions du virus ne cibleront pas w10... (il me semble que le groupe à l'origine de l'attaque a annoncé qu'il préparait un nouveau truc sur w10 ... mais pas sur ).

Sinon, le gros problème de cette attaque est que la plupart des postes affectés étaient des pc pas à jour. Microsoft avait sorti un patch après la fuite des codes sources des logiciels en mars je crois (réutilisés lors de l'attaque) sauf que les gens l'ont pas fait...
Et il me semble qu'en plus, le ramsomware s'attrapait lors d'attaques de type phishing... en gros quand on te dis que tu as gagné 10 millions de dollars... ben c'est du phishing...

Voilà tout est à prendre au conditionnel, mais bon faut faire attention à ce qu'on fait (qu'on soit sous Linux ou W$). Vérifie que ton w$ est bien à jour et ça devrait aller... croisons les doigts

Bonjour Yinyang,

Excusez-moi de réagir sur ce message datant un peu, mais je crois que les questions n'ont pas toutes trouvé réponse.

1/ C'est normal de ne pas voir Data Linux depuis W. Le formattage de la partition (manière d'organiser l'information sur le disque) est ext4 qui n'est pas supporté par W en standard.
Donc à moins qu'un virus ne s'attaque au disque au plus bas niveau, la partition Linux lui sera invisible.
Un virus est un programme s'exécutant sous OS donné; il utilise des services (sous programmes) de ce dernier pour certaines actions (s'il fallait tout recoder le virus serait trop gros pour passer inaperçu .
De fait, un virus fait pour W, ne peut pas s'exécuter sous Linux (il trouve pas les sous programme de l'OS dont il a besoin); on pourrait imaginer un virus multi-platteforme mais ça devient trop technique pour moi.

2/ Oui, le virus aurait probablement aussi crypté le disque externe; mais rien à voir avec le fait qu'il soit vu par les 2 OS.
- Si le disque externe est dévoué à de la sauvegarde (i.e. copie), oui il vaut mieux ne le branché que quand on en a besoin; pas de risque d'écrasement involontaire et moins d'électricité consommée...
- Pour faire simple, tant que la sauvegarde est pour des données (images, documents, vidéo, etc) je dirais qu'un seul disque suffit puisque vu par les 2 OS. Pour une image de l'OS, c'est plus délicat (et trop long à expliquer dans ce message) tant il y a de possibilité (image disque, programme de "backup", copie des réglages, etc); je suggère de regarder des sujets de "sauvegarde d'un système".

3/ Pour compléter la réponse, basiquement le parefeu protège des intrusions/extrusions par le réseau (i.e. internet) et l'anti-virus protège contre des programmes s'exécutant localement. Si on considère qu'aujourd'hui les anti-virus intègrent généralement une forme de pare-feu, les choses se compliquent. J'aurais juste envie de dire que si je considère l'anti-virus comme non fondamental sous Linux, je conseillerais tout de même d'activer le pare-feu pour se protéger des attaques venant de l'extérieur.

Voilà, j'espère que ma contribution aura amené quelques éclaircissements.

sympa le petit up du topik très intéressant hihi

apalou21 a écrit : je conseillerais tout de même d'activer le pare-feu pour se protéger des attaques venant de l'extérieur.

WannaCrypt infecte les PC Windows avec un ver qui se propage à travers les réseaux en exploitant une faille du protocole SMB (Service Message Block) qui utilisé pour partager des fichiers et des imprimantes sous Windows. Il utilise un bug que Microsoft a corrigé en mars 2017, mais ce correctif est uniquement valable pour les versions modernes de Windows. Les ordinateurs sous Windows XP sont la principal cible et le parc information des grandes organisations continuent toujours de tourner sous Windows XP à cause du cout colossal pour renouveler l’infrastructure.
on peu se demander également pourquoi le Ransomware intégrait un Kill Switch que les chercheurs ont utilisé pour stopper la propagation sinon on peut dire que des millions de PC dans le monde auraient été infecté.
Dans les autres Ransomwares, pour que vous soyez infecté , il fallait que vous cliquiez sur une pièce jointe dans un mail ou que vous téléchargiez une saloperie d’un site malveillant. Ce n’est plus nécessaire avec Wannacry qui se propage automatiquement. On ignore encore le premier vecteur du Ransomware, mais des chercheurs ont pu suspendre un nom de domaine qui a aidé dans la propagation virale.(vu la virulence et l’architecture de dispersion sur les resaux ça reste tres étonnant a mon gout)
le rôle des media est également en cause
Quand Shadow Brokers a publié les outils de la NSA, les médias de masse ont systématiquement minimisé leur importance en estimant que pff, les failles ont été corrigé depuis longtemps. Voilà une phrase que seuls des débiles profonds pourraient sortir en ayant une mentalité tellement étroite en pensant que le monde entier peut s’acheter des machines de guerre en mettant à jour leur système.Cette minimisation systématique a été manifeste lorsqu’on a eu les fuites des outils de piratage de la CIA. Et maintenant, ces mêmes médias nient totalement leur responsabilité. S’il avait bien couvert le piratage des Shadow Brokers, alors peut-être qu’on aurait pu réduire les dégats.

plus serieusement et simplement pour se proteger simplement (de wanacry) il faut absolument désactiver la norme SMB1 qui est obsolète. On peut le faire facilement à partir de Windows 8.1 et Windows Server 2012 R2
Pour une sécurité supplémentaire, vous pouvez aussi bloquer les ports SMB 139 et 445 pour les connexions entrantes. Si votre système est vraiment ancien (genre Windows 7 ou Windows XP), alors vous devez vous déconnecter du réseau local si votre machine est dans un parc informatique, car c’est via le réseau que Wannacry se propage ou simplement passez a Linux hihi

@ultra
et aussi linux smb attaqué ? cas j'ai bien entendu

roromint a écrit :@ultra
et aussi linux smb attaqué ? cas j'ai bien entendu

non non juste les smb win#

@ultra
ah peute etre un faux journal alors ?