Spam Pop Up et Service d'Alerte Windows

Certains utilisateurs ont certainement commencé depuis fin décembre 2002 à noter l'apparition de messages d'alerte sur leur écran. Ces messages qui se présentent sous la forme d'une boite de dialogue classique sont assortis d'un texte invitant le plus souvent à visiter tel ou tel site. Ce n'est rien d'autre que du spam. Il s'agit en l'occurrence d'une méthode qui utilise le service d'alerte de Windows. Et puisqu'en anglais ce service est appelé Windows Messenger Service, on a parfois confondu avec Windows Messenger ou MSN Messenger, qui sont tous deux des logiciels clients de discussion en ligne en mode "peer to peer" (Windows Messenger est automatiquement installé avec Windows XP tandis que MSN Messenger, qui ne se différencie guère du premier, doit être téléchargé depuis les sites Hotmail ou MSN). Retenons donc une bonne fois pour toutes que ces spams (appelé aussi WinPop Up Spams) n'ont rien à voir avec une faille éventuelle de Windows Messenger ou MSN Messenger (ou tout autre soft de même nature).

Quant au service "Windows Messenger", qui est désigné dans la console d'administration sous le terme "Affichage des Messages" (commande : x:\%windir%\System32\svchost.exe -k netsvcs), il est conçu afin de permettre aux administrateurs réseau d'informer les postes clients ou d'être informés sur l'état du réseau. Une simple commande permet d'envoyer le même message à tous les utilisateurs du réseau. C'est un service également utilisé par certains logiciels ou certaines fonctionnalités du système (typiquement le pilote d'impression d'une imprimante s'en servira pour informer sur l'état de l'impression).

Bref, ce machin là ouvre en grand les portes par lesquelles les nouveaux spammers viennent perturber votre activité et votre tranquillité. On peut penser que le phénomène est relativement récent (fin 2002) parce que jusqu'à présent il n'existait pas de logiciel (ou ceux-ci n'étaient pas connus) permettant très simplement d'envoyer ces alertes administratives à n'importe quelle machine connectée sur Internet. C'est désormais chose faite avec l'apparition d'au moins deux logiciels commerciaux qui avouent sans vergogne que non seulement leur utilitaire permet de toucher 85% des machines connectées mais que de surcroît la méthode utilisée n'est pas répréhensible en l'état actuel de la législation américaine notamment (les "spams" au sens commun du terme s'appuyant en effet sur les services de messagerie électronique). La simplicité d'utilisation de ces logiciels est évidente et ils sont agrémenter d'une fonction permettant d'envoyer les messages publicitaires via le service de messages d'alerte sur des plages d'adresses IP. De cette façon et de manière parfaitement aveugle on peut effectivement toucher des milliers de machines en quelques minutes.

Il n'est pas inutile de préciser que les messages qui s'affichent sur les écrans ne sont en eux-mêmes dangereux. Il ne cachent pas de scripts et ne permettent pas de déclencher des actions malicieuses ou néfastes sur les PC. Ils ne permettent pas non plus d'accéder directement à un site ben que le contenu du message publicitaire vous incite naturellement à le faire.

Il reste que cette méthode est particulièrement agaçante et constitue en outre un détournement du service de messages d'alerte. Il est en effet utilisé par des tiers à des fins autres que celles prévues qui sont d'informer l'utilisateur sur l'état du système. A ce titre les "spammers", que la législation leur soit spécifiquement applicable ou pas, méritent d'être sanctionnés. Accessoirement, on peut se demander pourquoi Microsoft livre des systèmes d'exploitation au grand public avec autant de portes ouvertes sur l'extérieur (Microsofttraite tout de même du sujet sur sa KB).

Pour ne plus être ennuyer pas ces messages intempestifs, deux méthodes sont envisageables. La première est citée pour le principe mais est fortement déconseillée : elle consiste à désactiver le service de messages d'alerte (via la console d'administration des services). Ce service étant utilisé par de multiples applications, on préfèrera ne pas recourir à cette extrêmité.

La première consiste à utiliser un pare-feu (firewall), qu'il s'agisse du firewall intégré de Windows XP (ICF : Internet Connection Firewall), d'un logiciel tiers ou d'une solution matérielle. En principe, la simple mise en place du firewall bloque l'accès externe au service de messages d'alerte (Windows Messenger Service). Si ce n'est pas suffisant, il faut paramétrer le firewall de telle manière que les ports suivants soient bloqués :

135 UDP/TCP
137 UDP
138 UDP
139 TCP
445 TCP

Bien évidemment, on ne configure pas un firewall exactement de la même façon selon que l'on est en présence d'un poste isolé ou intégré dans un réseau. Et s'agissant du firewall intégré de Windows XP, il convient d'utiliser celui qui a été mis à jour avec le Service Pack 1. Seule cette version bloque tout flux entrant.

Dans un réseau, c'est évidemment la machine qui communique sur l'extérieur qu'il convient de régler. Il ne s'agit pas d'empêcher l'utilisation du service sur le réseau, en tout cas pas sur des réseaux où un certains nombres de services importants sont susceptibles d'utiliser les ports en question :

• Les clients Outlook communiquent avec Exchange Server sur le port TCP 135;
• Exchange lui-même adresse les notifications de réception de message aux clients en utilisant le service d'alerte;
• Les fonctions de partage de fichier peuvent également utiliser l'un de ces ports;
• C'est bien évidemment le cas pour les réseau doté d'un domaine, d'Active Directory, etc.;
• En général, tout ce qui touche aux fonctions RPC (Remote Procedure Call), COM+ et DCOM requiert l'utilisation du port 135. 
• Les logiciels Microsoft sont également particulièrement communicants (souvent à notre insu) en particulier Windows Media et la suite Office.

Mis en ligne le 18 avril 2003 / Dernière modification : 18-04-2003