Page d'accueil	encyclopedie-enligne.com en page d'accueil
Liste Articles: [0-A] [A-C] [C-F] [F-J] [J-M] [M-P] [P-S] [S-Z] | Liste Catégories | Une page au hasard | Pages liées

Virus informatique

Cet article fait partie de la série Vers et virus informatiques

Virus

Tchernobyl

Vers

Bagle - Code Red I love you - Nimda Sasser - NetSky Slammer

Canulars

Alerte au virus Personne disparue Lettre nigériane

Voir aussi

Sécurité informatique Programmation

Un virus informatique est un petit programme écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'Internet, mais aussi les disquettes, les cédéroms, les clefs USB etc.

Son appellation provient d'une analogie avec le virus biologique puisqu'il présente des similitudes dans sa manière de se propager et de se reproduire.

Le nombre total de virus couverts par Sophos s’élève à 93 875 (tous types confondus, en aout 2004) d'après Mag-securs ([1] ). Ce chiffre n'est qu'une approximation grossière du nombre réel de virus en circulation, chaque éditeur d'antivirus ayant intérêt à "gonfler" la réalité, d'autant plus que sur tous les virus identifiés, très peu atteignent le stade de la diffusion massive sur les réseaux. La très grande majorité concerne la plate-forme Windows. Le reste est essentiellement destiné à des systèmes d'exploitation qui ne sont plus distribués depuis quelques années (comme Mac OS 9 et ses prédécesseurs).

Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments de système d'exploitation totalement sains.

Le Virus informatique est aussi une revue de l'informatique alternative des geeks.

Les différents types de virus

• Le virus classique est un morceau de programme, souvent écrit en assembleur, qui s'intègre dans un programme normal, le plus souvent à la fin, mais aussi au début ou même au milieu. À chaque fois que l'utilisateur exécute ce programme « infecté » il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus, lorsqu'il contient une charge virale, il peut après un certain laps de temps (qui peut être très long) ou un évènement particulier, corrompre des fonctions du système de l'ordinateur ou des fichiers de l'utilisateur. Cela peut aller d'un simple message anodin à la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique ou de charge utile.
• Les vers, qui se répandent dans le courrier électronique en profitant des failles des différents logiciels de messagerie (notamment Microsoft Outlook). Dès qu'ils ont infecté un ordinateur, ils s'envoient eux-même dans tout le carnet d'adresses, ce qui fait que l'on reçoit ce virus de personnes connues. Certains d'entre eux ont connu une expansion fulgurante (I Love You). Les experts n'arrivent pas à se mettre d'accord sur l'appartenance ou non des vers à la classe des virus informatiques.
• Les macro-virus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme.

D'autres menaces peuvent être rapprochées des virus, ils s'en distinguent souvent par l'absence de système de reproduction caractéristique des virus :

• Les spywares, logiciels espions accompagnant certains graticiels (mais pas les logiciels libres), partagiciels et pilotes de périphériques, s'installant discretement sur l'ordinateur, sans prevenir l'utilisateur, et collectant et envoyant des informations personnelles à des organismes tierces.
• Les canulars (hoax en anglais) dont le contenu est souvent une alerte sur un faux-virus et qui ne visent qu'à saturer les serveurs de mails de messages inutiles.
• Les chevaux de Troie, ce nom vient de la célèbre ruse imaginée par Ulysse. Ces programmes prétendent être légitimes (souvent de petits jeux ou utilitaires), mais comportent des routines nuisibles exécutées sans l'autorisation de l'utilisateur. On confond souvent les chevaux de Troie avec les backdoors. Ces derniers sont en effet une catégorie de chevaux de Troie, mais pas la seule. Les backdoors prennent le contrôle de l'ordinateur et permettent à quelqu'un de l'extérieur de le contrôler par le biais d'Internet. Les chevaux de Troie ne sont pas des virus car il leur manque la fonction de reproduction, essentielle pour qu'un programme puisse être considéré comme un virus.

Caractéristiques

• la résidence : dès son exécution, le virus s'extrait de son hôte et va se loger dans la mémoire vive où il prend le contrôle de la machine ;
• la cryptographie : à chaque réplication, le virus est crypté (afin de dissimuler les instructions qui, si elles s'y trouvaient en clair, révéleraient la présence de ce virus ou pourraient indiquer la présence de code suspect);
• la furtivité : le virus « trompe » le système d'exploitation (et par conséquent les logiciels antivirus) sur l'état des fichiers infectés ;
• le polymorphisme : le virus est crypté et la routine de décryptage est capable de changer certaines de ses instructions au fil des réplications afin de rendre plus difficile la détection par les antivirus.
• le métamorphisme : contrairement au cryptage simple et au polymorphisme, où le corps du virus ne change pas et est simplement crypté, le métamorphisme permet au virus de modifier sa structure même et les instructions qui le composent

Les logiciels antivirus

Les antivirus sont des logiciels capables de détecter des virus, détruire, mettre en quarantaine et parfois de réparer les fichiers infectés sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi lesquelles :

• la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ;
• la détection d'instructions suspectes dans le code d'un programme (analyse heuristique);
• la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ;
• la détection d'ordres suspects ;
• la surveillance des lecteurs de support amovible : disquettes, Zip, CD-ROM, ...

Virologie

Le terme virus informatique a été créé par analogie avec le virus en biologie : un virus informatique utilise son hôte (l'ordinateur qu'il infecte) pour se reproduire et se transmettre à d'autres ordinateurs.

Comme pour les virus biologiques, où la diversité génétique ralentit les chances de croissance d'un virus, en informatique ce sont les systèmes les plus répandus qui sont le plus atteints par les virus : (Microsoft Windows, Microsoft Office, Microsoft Outlook, Microsoft Internet Explorer et Microsoft Internet Information Server).
Cependant, des systèmes moins répandus ne sont pas touchés proportionnellement. La majorité des autres systèmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une gestion des droits de chaque utilisateur, qui leur permet d'éviter les attaques les plus simples et les dégâts sont normalement circonscrits à l'utilisateur, laissant la base du système d'exploitation intacte. Les versions professionnelles de Windows (NT/2000/XP pro) permettent cependant de gérer les droits de la même manière.

Le facteur le plus important de la multiplication des virus sous Microsoft Windows est sa grande popularité, qui fait de lui une cible de choix pour les créateurs de virus. De plus, l'ouverture par défaut de ports réseau, non indispensables au fonctionnement standard, mais réclamés par le système de mise à jour automatique et d'autres fonctionnalités très peu documentées. La possibilité d'exécuter automatiquement des scripts dans les courriels est une autre source d'infection.

La démocratisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions).
De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles.

Dénomination des virus

Lors de leur découverte, les virus se voient attribuer un nom.
Celui-ci est en théorie conforme à la convention signée en 1991 par les membres de CARO (Computer Antivirus Research Organization).
Ce nom se détermine ainsi :

• en préfixe, le mode d'infection (macro virus, cheval de Troie, ver,...) ou du système d'exploitation concerné ;
• un mot exprimant une de ses particularités ou la faille qu'il exploite (Swen est l'anagramme de News, Nimda l'anagramme de Admin, Sasser exploite une faille LSASS, ...) ;
• en suffixe un numéro de version (les virus sont souvent repris sous formes de variantes comportant des similitudes avec la version d'origine).

Malheureusement, les laboratoires d'analyse des différents éditeurs antiviraux affectent parfois leur propre appellation aux virus sur lesquels ils travaillent, ce qui rend difficile la recherche d'informations.
C'est ainsi que, par exemple, le virus Netsky dans sa variante Q sera appelé W32.Netsky.Q@mm chez Symantec, WORM_NETSKY.Q chez Trend Micro, W32/Netsky.Q.worm chez Panda ou I-Worm.NetSky.r chez Kaspersky.

Il est cependant possible d'effectuer des recherches génériques pour un nom donné grâce à des moteurs de recherche spécialisés, comme celui de Virus Bulletin ou de Kevin Spicer.

Techniques de lutte contre les virus et les spywares et anti-intrusions.

• Utilisation d'un antivirus
• Utilisation d'un Firewall (verrouillage des ports et des protocoles dont l'utilisation n'est pas requise).
• Utilisation d'un Anti-spy

• L'utilisation des outils plus sécurisés mais surtout moins monopolistes de navigation, de mails etc. tels que Mozilla Firefox, Opera, Thunderbird ou Foxmail augmentent l'efficacité des moyens antivirus.

Dans les entreprises, la diversification des operating systems OS est une solution complémentaire et raisonnable à la lutte antivirus comme l'introduction de systèmes logiciels ou matériels Unix, Linux ou propriétaires non standards dans la gestion des réseaux.

On peut trouver des solutions logicielles professionnelles open sources performantes, stables et sécurisées telles que :

Pour les serveurs http/mails/proxy : OS Linux

• Firewall : standard Netbuilders (IPTABLES) et ses interfaces graphiques (shorewall)
• Messagerie : serveurs de mails Postfix ou Exim
• Web serveur http : Apache
• Proxy: Squid

avec en antivirus (Clamav ) et en antispam (Squidguard) couplés à du filtrage par analyse de forme et de contenu Regexp.

Même sans doute moins couteuses, ce qui ne veut pas dire sans coût, ces solutions professionnelles sont aussi efficaces et ergonomiques que leurs alteregos commerciaux. Bien construites, elles sont extremement performantes et puissantes.

Pour les postes clients d'un célébre constructeur: On peut construire et/ou compléter sa securité grace à des solutions Opensource relativement sures avec les excellents Mozilla, Firefox (navigateur), Thunderbird (client mail), Clamwin (antivirus ) et TDI (firewall ) et Spybot spyware.

De bonnes alternatives commerciales existent. Il y a également des solutions gratuites intéressantes pour une utilisation non commerciale. Elles sont mentionnées plus loin.

Bibliographie

• Naissance d'un virus et Mutation d'un virus de Mark Ludwig

Liens externes

Sites généralistes

• Abc de la sécurité informatique  : site offrant de nombreuses ressources, documentations et logiciels libres ou gratuit pour se protéger des attaques, sécuriser son système.
• Guide du 'safe-hex'  : ensemble de suggestions pour vous aider à vous défendre contre les virus.
• Secuser  : site d'alerte proposant une liste de diffusion afin d'être prévenu en temps réel, offrant des outils gratuits pour désinfecter et donnant la liste des canulars. Site en français.
• vulnerabilite.com  : site diffusant des articles et communiqués de presse des éditeurs d'antivirus.
• http://z-virus.fr.fm  : Foire aux questions sur les virus, les chevaux de Troie et les vers.
• K-Otik  : veille en sécurité informatique, suivi des vulnérabilités et des menaces et attaques Internet.

Moteurs de recherche spécialisés

• Virus Bulletin
• Kevin Spicer

Logiciels antiviraux

Présentation :

• Site du logiciciel, nom de l'éditeur, produit (nom de l'antivirus)

Logiciels libres ou gratuits

• http://www.clamav.net/ ClamAV, Clam AntiVirus
• http://www.clamwin.net/ ClamAV, ClamWin (version graphique pour windows)
• http://www.free-av.com/ H+BEDV, AntiVir® Personal Edition

Logiciels commerciaux

• http://www.avgfrance.com/ Grisoft, AVG
• http://www.kaspersky-fr.com/ Kaspersky, Kaspersky antivirus
• http://www.mcafee.com/ McAfee (ancien nom : N.A.I. Network Associates), McAfee VirusScan
• http://www.norman.com/ Norman, Norman Virus Control
• http://www.pandasoftware.com/ Panda software, Panda Anti-Virus
• http://www.sophos.fr/ Sophos, Sophos Antivirus
• http://www.symantec.com/ Symantec, Norton Antivirus
• http://fr.trendmicro-europe.com/ Trend Micro ou http://www.absoft.fr/absoft/produits/pccillin/ (distribué par ABSoft), PC-Cillin
• http://www.viguard.com/en/intro_en.php Tegam International, Viguard

Sites sur les canulars

• http://www.hoaxbuster.com/ Site en français pour discerner les vrais des faux.
• http://urbanlegends.miningco.com/library/blhoax.htm UrbanLegends, site plus généraliste en anglais qui consacre une section aux canulars.

Articles connexes

• Dictionnaire informatique
• Informatique