J'ai mis à jour Zone Alarm Pro récemment et il me sort un nouveau type d'alertes, relatives à des "loopback" et à des connexions VPN.

Ces alertes proviennent à chaque fois de l'adresse IP 127.0.0.1, qui est une adresse locale, si je ne m'abuse. Or je n'ai pas de réseau mais un poste unique.

Dans le doute, je demande à bloquer ces tentatives de connexion et demande à ne pas configurer ZA pour les accepter.

Questions :
- à quoi correspondent ces alertes ?
- une idée pour demander à ZA de refuser systématiquement ces connexions ? Dans l'onglet Firewall/Main/Advanced, j'ai bien décoché "Allow VPN protocols", mais il n'a pas l'air d'en tenir compte puisque ces alertes contiuent à apparaître.

Merci d'avance

Une précision : Active Ports me dit que certains logiciels sont à l'écoute ("listening") depuis l'adresse 127.0.0.1 et d'autres depuis mon adresse IP correcte.
Dans le premier cas, il s'agit de : Outlook Express, Avant Browser, Svchost.exe (4 fois, c'est normal ?) et Alg.exe (connais pas ...).

Le loopback c'est une interface virtuelle représentant ton ordinateur. Elle existe que tu sois connectée ou non à un réseau car elle peut être nécessaire au fonctionnement de certains programmes

Le fait que tu ais des alerte sur cette adresse IP pourrait signaler une tentative d'IP Spoofing (une adresse IP externe qui tente de se faire passer pour une interne). Il faudrait que tu nous donnes le message complet contenu dans le fichier log de ton firewall.

Mais à mon avis ce n'est pas une tentative de piratage, je crois me souvenir avoir lu qq part que celà vient de Free...

Il y a aussi plein de softs (en particulier chez MS) qui ont "besoin" d'une interface réseau en loopback pour fonctionner. Je trouve toujorus ça bizarre mais il doit y avoir une bonne raison.

A priori, il n'y a pas de raison de s'inquiéter : c'est une connexion du PC sur lui-même (comme l'indique le terme loopback). Si c'était un programme "malicieux" il n'aurait pas besoin de passer par le pseudo-réseau...

Merci pour vos réponses.

Le log me dit :
- Rating : Medium
- Type : firewall
- Protocol : TCP (Flags : AR)
- Source IP : 127.1.0.1:80
- Destination IP : mon IP:80
- Direction : incoming
- Action taken : Blocked
- Count : 1
- Source DNS : loopback

Je suis pas un expert, mais si c'est un program à toi qui fait ça, tu devrais le voir apparaitre dans la partie Component de ZA ou la parti Program, et il devrait y avoir des croix rouge signifiant qu'il n'a pas le droit de communiquer à travers le réseau, enfin je crois.

As tu fait un petit coup d'Antivirus, Antiver, AntiCheval, AntiTrucQuiFachent ?

Je connais les noms de ceux qui font les %#!§@ ... euh ... pardon ... des logiciels en question : il s'agit de "Outlook Express, Avant Browser, Svchost.exe (4 fois, c'est normal ?) et Alg.exe (connais pas ...)."
Bien sûr, antivirus à jour, XP à jour, Ad-Aware récent, ...

Les logiciels en question n' m'inquiètent pas trop. Ce qui m'inquiète c'est que je n'ai pas de réseau alors que ZA détecte une connection réseau, et ce qui m'ennuie c'est de devoir lui dire à chaque fois de ne pas se configurer automatiquement pour gérer cette connection.

tu as une carte réseau ? activée ?

Oui :
- 1 réseau local activé non branché. Jamais touché à ca depuis 1.5 an
- 1 faux réseau local via le modem ADSL USB
- 1 dernière via une carte 1394 pour connection miniDV.

désactive la carte réseau non branchée si elle te sert à rien (Selon Windows, bouton droit sur poste de travail propriété, gestionnaire de périph, puis dans carte réseau tu as une case à coher). Puis observe voir si tu as tjs les alertes réseau. (Cependant, je garantis pas ma manip Ya marqué Expert près de mon avatar mais c'est un truc automatique, c'est basé sur la nombre de post je crois )

Y veut pas, le bougre ... J'ai bien testé, tu penses ... Il me dit "cette connexion utilise peut-être un ou plusieurs protocoles qui ne prennent pas en charge Plug-and-Play, ou elle a peut-être été initiée par un autre utilisateur ou par le compte du système". Une idée ?

Est ce que tu t'es pas trompé 127.0.0.1 eu lieu de 127.1.0.1 ?

En ce qui concerne la carte, es tu admin du poste, si oui 8O , y a t'il d'autres utilisateurs sur cet ordi, si non, tente une désinstall matérielle de la carte réseau, si tu sais manier un tournevis c'est facile.

Exact : l'adresse IP que tu cites est la bonne. M'étais gourré.
Suis admin. Pas d'autre utilisateur.
Peut pas désinstaller la carte : intégré à la carte mère. tant pis ... Merci quand même.

Si tu peux la désinstaller à partir du Bios une option :

On Board Lan : Enable à mettre en disable.

Enfin je dit ça mais je connais pas ton pc....

Tiens, tiens, ça viendrait de Free ? Vous savez ce que c'est, donc, que svchost.exe, parce que, moi aussi, j'ai toujours une alerte avec lui...

Svchost.exe est un process générique, il fonctionne en tant qu'hôte pour d'autres process tournant à partir de DLL's. Il peut donc y avoir plusieurs entrées pour ce processus. Afin de voir les processus qui utilisent svchost.exe, il faut utiliser tlist.exe à partir du cd-rom de windows... (tlist -s).

Voir aussi: http://www.faqxp.com/f/33.asp

J'avoue que ça me dépasse un peu... Cela signifie-t-il que ça ne présente pas en soi un danger mais que ça peut être utilisé d'une façon dangereuse ? :?

Je ne m'y connais pas beaucoup plus que toi.
En fait, si c'est un processus générique, donc oui, à priori il peut être utilisé de façon dangereuse. La preuve, le virus Blaster qui foutait le boxon avec svchost.exe qui refusait de fonctionner... :?

quelques éléments de réponses sur ce p.tain de svchost

Cf. lien de MarieC 2 posts plus haut, aussi, patate !

quel %#!§@ j'avais pas tourné la page, j'mettais arrêter au bas de la précédente

Penduick: le pour les nouveaux qui vont s'immaginer des choses.....

ouais, par exemple que tu pourrais nous haîr

Je veux bien mais il apparaît pas sur mon pc, ce smiley. C'est p't'être à cause de Free.

Il a bon dos Free

Ben tiens ... Et moi, je suis chez Wanadoo ??

pareil !!!

J'essaie. Mais j'y arrive pô. C'est marrant parce qu'en plus, y'a que celui que Free refuse. T'as une freebox, toi, Az', non ? Alors, ça doit être dû au sagem !

Pen' ... Nous avons un Sagem tous les deux ...
Change ton câble, ca ira mieux ...

Ah merci, tu m'ôtes une épine du pied. Parce que ça m'embêtait, ce smiley qui n'apparaissait pas.

8O :o

Rhô lui je le crois pas !!!
Le coup du modem qui selectionne ce qu'il veut afficher on ne me l'avait pas encore fait !!

En plus, il fait méchamment dévier mon thread, le canard pas doué ... :!:

On dit "informatiquement débutant, en voie d'amélioration, des gros efforts, meilleur que 99% de la population, mais n'aura jamais le niveau de ce qui en font depuis 10 ans de plus que lui !"

Mais ta formule est plus courte !!
Pend' :

Calino : c'était amical évidemment ... Le smiley que Pen' ne peut afficher et bien, moi, tu me croiras ou non, je ne peux pas cliquer dessus : ma souris le fuit en permanence et dévie vers le haut ou vers le bas. (Vers le haut le matin, et vers le bas le soir ... Incroyable !)

Purée, j'ai eu le même problème. Tu serais pas sur Free avec un sagem, toi ?

Calino, je te remercie de veiller à ce que l'on me traite convenablement.

pour revenir sur le sujet (on va m'en vouloir mais bon...)

La loopback interface vient (si je ne m'abuse) du monde Unix, où on l'utilise pour la comunication inter-processus (par socket donc) ou tout simplement parce que sur un server d'application sous X, le plus souvent le 'client' et le 'serveur' sont en fait une seule et meme machine.

Enfin je dit ca, c'est de toute maniere une façon tres pratique pour la comunication inter-processus qui a le merite d'être standard posix ce qui est pas le cas de toutes les methodes (encore que je ne programme pas assez dans ce domaine pour me permettre de quelconques commentaires).

pour svchost MarieC l'a tres bien expliqué, c'est un processus qui englobe plusieurs 'services' (appelation microsoft, le vrai nom est plutot Demon), qui sont historiquement des processus qui 'ecoute' le réseau pour proposer des services aux autre machines (d'ou le nom). Seulement Microsoft a bien détourner le concept et les 'services' windows servent a faire tout et n'importe quoi - l'aide interractive est gerer par un service entre autre betises. De la a dire que tu te sert de la loopback interface a chaque foi que tu lance l'aide, il n'y a qu'un pas, mais en fait je n'en sais vraiment rien.
Donc une de tes instances de Svchost.exe contient surement un des nombreux services inutiles et potentiellement dangereux installer/demarrer par defaut sous windows, et est soliciter par un programme sur ta machine. Peut etre meme outlook utilise un MTA (mail transfer agent) custom installer en service sur la machine pour envoyer ces mails? ca serai une belle explication au message.

Voila encore un post brillement inutil, enfin vous noterez que je ne me contente pas de spammer inutilement mais j'ajoute une legere note informative ce qui est un moindre mal. J'envisage une traduction/vulgarisation avec schémas si ca vous interessent paske je me rend compte que c clair comme du jus de chique ce que je racompte.

Très bonne explication Merci Ghilou.

Il est aussi possible de voir les services gérés par svchost.exe, entre autres, avec Process Explorer disponible gratuitement chez Sysinternals. Premièrement, affichez tout les process, pas seulement ceux de votre utilisateur (View - Show Processes for All Users). Choisissez un des processus svchost.exe et cliquez dessus avec le bouton droit de la souris. Dans les Properties, il y a un onglet Services qui liste les services "hostés" par cette instance de svchost.exe

Non, non, c'est pas du spam, ton post, Ghilou. Va jeter un oeil à mes 4000 et quelques messages. ca, c'est du spam

En revanche, moi ce que je voudrais savoir, c'est le degré de dangerosité de svchost. Est-ce qu'il est utilisé à des fins malveillantes, susceptibles d'infecter mon PC ?

J'ai cru comprendre que c'est un process qui est parfois utilisé à des fins plutôt publicitaires...

En gros, je voudrais pouvoir donner à ZA une consigne applicable de façon assez systématique à svchost et non vérifier à chaque fois dans telle ou telle application pourquoi svchost est utilisé. Parce que ça , ça risque de me prendre du temps.

Aussi, est-ce qu'il est pour vous plus risqué de l'autoriser systématiquement (avec le risque d'utilisation détournée mais pas à des fins d'infection de la machine) ou de l'interdire (avec el risque d'empêcher certaines applications de tourner, si j'ai bien compris) ?

Finalement, tu l'aimes bien ZA, hein, le Canard ???

Ben, en fait, je pense que le PC de mon père devait avoir un problème. Chez lui, c'était vraiement toutes les deux secondes qu'il y avait une alerte. Et puis, je n'avais pas compris le processus de paramétrage, consistant à indiquer au fur et à mesure à ZA ce qu'il peut accepter ou non. Là, les alertes ne sont pas trop courantes. Donc, ça va.

ben la tu touche un probleme de forme.

Pour la securité informatique on gere des protocoles et des numeros de ports, et pas des noms de programmes comme dans ZA.

Et comme le programme appelé SVCHOST.exe peut (et s'en prive pas) gerer plusieurs port applicatif, interdire les connexions vers l'exterieur peut te priver de certaines fonctionnalités.

Pour schématiser, c'est un peut comme si tu voulais arreter de recevoir de la pub dans ta boite aux lettres et que, pour ce faire, tu interdisais purement et simplement au facteur de passer chez toi.

Pour repondre a ta question, le petit bidule fait tourner au moin 2 services 'nuisibles' comme la reception de messages (les petits popups de windows qui sortent d'on ne sait ou) et le fameux services RPC (qui avait une faille qu'exploitait le virus MSblast, si je me gourre pas sur le nom).

Il existe cependant une alternative, à savoir desactiver un certain nombre de services inutiles dans demarrer -> paramettre -> (outil d'administration puis services a verifier) et arreter et desactiver ceux qui semble louche. C'est ce que je fait 'a la grosse' et j'ai jamais eu de problemes ni besoin de me documenté sur 'qui fait quoi' mais ca reste une solution pour l'amateur eclairé (voir le proffessionel :P).

Sinon pour conclure je dirai que de toute maniere, dans l'utilisation du pekin lambda, autoriser uniquement les flux que tu sais que tu utilise (c francais ca?) te donne une protection efficace sans gener le fonctionnement de ta machine. Si un composant quelconque de windows se plaint de l'impossibilité de se connecter c'est plutot une bonne chose finelement.

ZA Pro permet de paramétrer port par port.