Virus informatique
| Image manquante Virus_ordinateur.jpg |
| Cet article fait partie de la série Programmes malveillants |
| Virus |
| Tchernobyl |
| Vers |
| Bagle - Code Red I love you - Nimda Sasser - NetSky Santy Slammer - Blaster |
| Canulars |
| Alerte au virus Personne disparue Lettre nigériane |
| Voir aussi |
| Sécurité informatique Programmation |
- Pour le magazine informatique de publication française, consulter l'article Le Virus informatique.
Un virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'Internet, mais aussi les disquettes, les cédéroms, les clefs USB etc.
Son appellation provient d'une analogie avec le virus biologique puisqu'il présente des similitudes dans sa manière de se propager et de se reproduire.
Le nombre total de virus couverts par Sophos s’élève à 93 875 (tous types confondus, en aout 2004) d'après Mag-securs ([1]). Ce chiffre n'est qu'une approximation grossière du nombre réel de virus en circulation, chaque éditeur d'antivirus ayant intérêt à « gonfler » la réalité, d'autant plus que sur tous les virus identifiés, très peu atteignent le stade de la diffusion massive sur les réseaux. La très grande majorité concerne la plate-forme Windows. Le reste est essentiellement destiné à des systèmes d'exploitation qui ne sont plus distribués depuis quelques années (comme Mac OS 9 et ses prédécesseurs).
Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments de système d'exploitation totalement sains.
| Sommaire |
Les différents types de virus
- Le virus classique est un morceau de programme, souvent écrit en assembleur, qui s'intègre dans un programme normal, le plus souvent à la fin, mais aussi au début ou même au milieu. À chaque fois que l'utilisateur exécute ce programme « infecté » il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus, lorsqu'il contient une charge virale, il peut après un certain laps de temps (qui peut être très long) ou un évènement particulier, corrompre des fonctions du système de l'ordinateur ou des fichiers de l'utilisateur. Cela peut aller d'un simple message anodin à la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique ou de charge utile.
- Les vers, qui se répandent dans le courrier électronique en profitant des failles des différents logiciels de messagerie (notamment Microsoft Outlook). Dès qu'ils ont infecté un ordinateur, ils s'envoient eux-même dans tout le carnet d'adresses, ce qui fait que l'on reçoit ce virus de personnes connues. Certains d'entre eux ont connu une expansion fulgurante (I Love You ou Welcome to the matrix). Les experts n'arrivent pas à se mettre d'accord sur l'appartenance ou non des vers à la classe des virus informatiques.
- Les macro-virus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme.
D'autres menaces peuvent être rapprochées des virus, ils s'en distinguent souvent par l'absence de système de reproduction caractéristique des virus. Le terme logiciel malveillant est dans ce cas plus approprié :
- Les spywares, logiciels espions accompagnant certains graticiels (mais pas les logiciels libres), partagiciels et pilotes de périphériques, s'installant discretement sur l'ordinateur, sans prevenir l'utilisateur, et collectant et envoyant des informations personnelles à des organismes tierces.
- Les canulars (hoax en anglais) dont le contenu est souvent une alerte sur un faux-virus et qui ne visent qu'à saturer les serveurs de mails de messages inutiles.
- Les chevaux de Troie, ce nom vient de la célèbre ruse imaginée par Ulysse. Ces programmes prétendent être légitimes (souvent de petits jeux ou utilitaires), mais comportent des routines nuisibles exécutées sans l'autorisation de l'utilisateur. On confond souvent les chevaux de Troie avec les backdoors. Ces derniers sont en effet une catégorie de chevaux de Troie, mais pas la seule. Les backdoors prennent le contrôle de l'ordinateur et permettent à quelqu'un de l'extérieur de le contrôler par le biais d'Internet. Les chevaux de Troie ne sont pas des virus car il leur manque la fonction de reproduction, essentielle pour qu'un programme puisse être considéré comme un virus.
Caractéristiques
- la résidence : dès son exécution, le virus s'extrait de son hôte et va se loger dans la mémoire vive où il prend le contrôle de la machine ;
- la cryptographie : à chaque réplication, le virus est chiffré (afin de dissimuler les instructions qui, si elles s'y trouvaient en clair, révéleraient la présence de ce virus ou pourraient indiquer la présence de code suspect);
- la furtivité : le virus « trompe » le système d'exploitation (et par conséquent les logiciels antivirus) sur l'état des fichiers infectés ;
- le polymorphisme : le virus est chiffré et la routine de déchiffrement est capable de changer certaines de ses instructions au fil des réplications afin de rendre plus difficile la détection par les antivirus.
- le métamorphisme : contrairement au chiffrement simple et au polymorphisme, où le corps du virus ne change pas et est simplement chiffré, le métamorphisme permet au virus de modifier sa structure même et les instructions qui le composent
Les logiciels antivirus
Les antivirus sont des logiciels capables de détecter des virus, détruire, mettre en quarantaine et parfois de réparer les fichiers infectés sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi lesquelles :
- la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ;
- la détection d'instructions suspectes dans le code d'un programme (analyse heuristique);
- la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ;
- la détection d'ordres suspects ;
- la surveillance des lecteurs de support amovible : disquettes, Zip, CD-ROM, ...
Virologie
Le terme virus informatique a été créé par analogie avec le virus en biologie : un virus informatique utilise son hôte (l'ordinateur qu'il infecte) pour se reproduire et se transmettre à d'autres ordinateurs.
Comme pour les virus biologiques, où la diversité génétique ralentit les chances de croissance d'un virus, en informatique ce sont les systèmes les plus répandus qui sont le plus atteints par les virus : (Microsoft Windows, Microsoft Office, Microsoft Outlook, Microsoft Internet Explorer et Microsoft Internet Information Server).
Cependant, des systèmes moins répandus ne sont pas touchés proportionnellement. La majorité des autres systèmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une gestion des droits de chaque utilisateur, qui leur permet d'éviter les attaques les plus simples et les dégâts sont normalement circonscrits à l'utilisateur, laissant la base du système d'exploitation intacte. Les versions professionnelles de Windows (NT/2000/XP pro) permettent cependant de gérer les droits de la même manière.
Le facteur le plus important de la multiplication des virus sous Microsoft Windows est sa grande popularité, qui fait de lui une cible de choix pour les créateurs de virus. De plus, l'ouverture par défaut de ports réseau, non indispensables au fonctionnement standard, mais réclamés par le système de mise à jour automatique et d'autres fonctionnalités très peu documentées. La possibilité d'exécuter automatiquement des scripts dans les courriels est une autre source d'infection.
La démocratisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions).
De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles.
Dénomination des virus
Lors de leur découverte, les virus se voient attribuer un nom.
Celui-ci est en théorie conforme à la convention signée en 1991 par les membres de CARO (Computer Antivirus Research Organization).
Ce nom se détermine ainsi :
- en préfixe, le mode d'infection (macro virus, cheval de Troie, ver...) ou du système d'exploitation concerné ;
- un mot exprimant une de ses particularités ou la faille qu'il exploite (Swen est l'anagramme de News, Nimda l'anagramme de Admin, Sasser exploite une faille LSASS, ...) ;
- en suffixe un numéro de version (les virus sont souvent repris sous formes de variantes comportant des similitudes avec la version d'origine).
Malheureusement, les laboratoires d'analyse des différents éditeurs antiviraux affectent parfois leur propre appellation aux virus sur lesquels ils travaillent, ce qui rend difficile la recherche d'informations.
C'est ainsi que, par exemple, le virus Netsky dans sa variante Q sera appelé W32.Netsky.Q@mm chez Symantec, WORM_NETSKY.Q chez Trend Micro, W32/Netsky.Q.worm chez Panda ou I-Worm.NetSky.r chez Kaspersky.
Il est cependant possible d'effectuer des recherches génériques pour un nom donné grâce à des moteurs de recherche spécialisés, comme celui de Virus Bulletin ou de Kevin Spicer.
Bibliographie
- LUDWIG Mark Allen, Naissance d'un virus, Addison-Wesley France
- LUDWIG Mark Allen, Mutation d'un virus, Addison-Wesley France
Liens externes
Sites généralistes
- Abc de la sécurité informatique : site offrant de nombreuses ressources, documentations et logiciels libres ou gratuit pour se protéger des attaques, sécuriser son système.
- Guide du 'safe-hex' : ensemble de suggestions pour vous aider à vous défendre contre les virus.
- K-Otik : veille en sécurité informatique, suivi des vulnérabilités et des menaces et attaques Internet.
- Secuser : site d'alerte proposant une liste de diffusion afin d'être prévenu en temps réel, offrant des outils gratuits pour désinfecter et donnant la liste des canulars. Site en français.
- Vulnerabilite.com : Portail francophone dédié à la sécurité des systèmes d'information, diffuse notamment des articles et communiqués de presse des éditeurs d'antivirus.
- VirusTraQ.com : observatoire francophone sur les virus informatiques, le spam (pourriel) et les applications indésirables (spyware/adware).
Moteurs de recherche spécialisés
Logiciels antiviraux
Présentation :
- Site du logiciciel, nom de l'éditeur, produit (nom de l'antivirus)
Logiciels libres ou gratuits
- Avast, Version gratuite dans le cadre d'une utilisation personnelle [2]
- ClamAV, Clam AntiVirus [3]
- ClamAV, ClamWin (version graphique pour windows) [4]
- H+BEDV, AntiVir® Personal Edition [5]
- Mise en place d'anti-virus libres sur des serveurs mails Sendmail ou Postfix [6]
Logiciels commerciaux
- http://www.avgfrance.com/ Grisoft, AVG
- http://www.kaspersky-fr.com/ Kaspersky, Kaspersky antivirus
- http://www.mcafee.com/ McAfee (ancien nom : N.A.I. Network Associates), McAfee VirusScan
- http://www.norman.com/ Norman, Norman Virus Control
- http://www.pandasoftware.com/ Panda software, Panda Anti-Virus
- http://www.sophos.fr/ Sophos, Sophos Antivirus
- http://www.symantec.com/ Symantec, Norton Antivirus
- http://fr.trendmicro-europe.com/ Trend Micro ou http://www.absoft.fr/absoft/produits/pccillin/ (distribué par ABSoft), PC-Cillin
- http://www.viguard.com/en/intro_en.php Tegam International, Viguard
Sites sur les canulars
- http://www.hoaxbuster.com/ Site en français pour discerner les vrais des faux.
- http://urbanlegends.miningco.com/library/blhoax.htm UrbanLegends, site plus généraliste en anglais qui consacre une section aux canulars.