Vous êtes sur le site public du Cert-IST
Les utilisations malicieuses du fichier Autorun.inf sous Windows

Date :11 Juillet 2005

Publication: Article

Le fichier Autorun.inf est un fichier de démarrage automatique qui se trouve le plus souvent sur les CD-ROM. C'est grâce à ce fichier que, lorsqu'un CD-ROM est inséré dans un lecteur, une application est lancée de manière automatique par Windows.

Remarque : Les recommandations habituelles en matière de sécurité préconisent de désactiver cette fonctionnalité pour le lecteur de CD-Rom, afin de se prémunir contre l'exécution de programme malicieux au moment de l'insertion de CD-ROM "non sûrs".

Cependant, un tel mécanisme n'est pas exclusivement réservé aux lecteurs de CD-ROM. Ainsi, en plaçant un tel fichier à la racine de n'importe quel volume (disque) du système (par exemple à la racine du disque C:, D:, des partages réseaux, ...), un utilisateur peut faire déclencher n'importe quel type de programme et ce, à chaque fois que le volume sera sollicité.

Ce mécanisme peut donc être utilisé pour à la mise en place de chevaux de Troie sur les systèmes Microsoft. Cependant, si le système a été préalablement sécurisé, l'utilisateur malicieux devra déjà posséder certains privilèges sur le système afin de déposer un tel fichier à la racine des différents volumes.

Solutions :

1 - Restreindre l'utilisation du démarrage automatique (Autoplay) sur les différents volumes d'un système Windows :

Pour ce faire, il faut modifier la valeur de la clé de Registre NoDriveTypeAutoRun

Localisation : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer

Valeurs possibles :

Valeur

Description

0x1

Désactiver la fonctionnalité d'Autoplay sur les volumes de type inconnu

0x4

Désactiver la fonctionnalité d'Autoplay sur les volumes amovibles (lecteur de disquettes, ...)

0x8

Désactiver la fonctionnalité d'Autoplay sur les volumes fixes

0x10

Désactiver la fonctionnalité d'Autoplay sur les volumes réseaux (partagés)

0x20

Désactiver la fonctionnalité d'Autoplay sur les volumes de type CD-ROM

0x40

Désactiver la fonctionnalité d'Autoplay les volumes de type RAM

0x80

Désactiver la fonctionnalité d'Autoplay sur les volumes de type inconnu

0xFF

Désactiver la fonctionnalité d'Autoplay sur tous les types de volumes

Par défaut la fonctionnalité "Autoplay" est désactivée sur les disques amovibles comme le lecteur de disquettes (sauf pour le lecteur CD-ROM), et sur les volumes réseaux. La valeur par défaut 0x95 (149) est la somme de 0x1, 0x81 (types inconnues), 0x4 (lecteur de disquettes), et 0x10 (volumes réseaux).

Pour empêcher tout démarrage automatique (Autoplay) en dehors des CD-ROM positionner la valeur de NoDriveTypeAutoRun à 0xDF (sinon à 0x7F pour tous les volumes)

2 - Empêcher le démarrage automatique à partir du lecteur de CD-ROM :

Pour ce faire, il faut modifier la valeur de la clé de Registre Autorun

Localisation : HKLM\SYSTEM\CurrentControlSet\Services\Cdrom

Positionner la valeur 0 pour interdire le démarrage automatique.

Pour plus d'informations :