Dernière mise à jour de cette page : 14 août 2004
Page consultée 1678 fois

Virus : des bestioles pas sympas

     Qui n'a jamais entendu parler de virus ? Médicalement parlant, un virus n'est pas très bon pour la santé. Informatiquement parlant, c'est la même chose.

     Pour tout dire, les virus informatiques sont un vrai fléau auquel personne ne peut échapper (mais dont on peut se protéger). Il s'agit d'une réalité quotidienne de la vie des utilisateurs d'ordinateurs (toutes marques confondues, même si le PC est de loin la cible la plus visée car la machine la plus vendue). Le risque d'être infecté par un virus est d'autant plus grand que I'utilisateur manipule et récupère à droite à gauche (sur Internet ou via des tierces personnes) de grandes quantités de données (programmes ou autres).

    Comme si cela ne suffisait pas, citons une autre sorte d'attaque - bien plus dangereuse mais paradoxalement plus simple à parer - qui peut elle aussi toucher tout le monde : celle opérée par les pirates informatiques, les fameux hackers, prêts à contrôler à distance votre machine à la moindre occasion !

     Et jamais deux sans trois: votre machine peut aussi transmettre à votre insu, par le biais de spywares, des informations sur vos habitudes de surf à des sociétés dépuilleront les données et les exploiteront pour ensuite vous bombarder de mails publicitaires que vous n'aurez jamais sollicités et sortis d'on ne sait où - on appelle ça le SPAM (qui est d'ailleurs plus enquiquinant que vraiment dangereux)!

    Mais alors on est en sécurité nulle part dès qu'on branche un ordinateur ? Pas tout à fait. Les dangers d'être infectés par un virus, contrôlé par un pirate, ou moins méchamment être la cible du spam sont bien réels, mais la parade existe. Ouf ! D'où ce dossier qui présentera ces dangers qui nous guettent tous, et les moyens de se préserver.

    Précisons en passant, et j'y tiens en particulier, que la paranoïa informatique est tout à fait inutile: il est en effet facile de lutter contre un ennemi quand on sait ce qu'il est capable de faire et par où il entre. De plus, au pire des scénarios catastrophe, une destruction de données n'a jamais de conséquence réellement graves si lesdites données sont régulièrement sauvegardées sur des supports amovibles. Et puis on craint plus en prenant sa voiture qu'en allumant son PC !...

    Ce dossier a été écrit de telle façon que les termes utilisés soient compréhensibles par tous, pourvu qu'on se passionne un minimum pour l'informatique. La gravité du sujet n'empêche bien sûr pas les détails techniques indispensables au développement des sujets développés, mais en aucun cas cet aspect technique ne viendra occulter gratuitement des explications que j'espère limpides. Tous ceux qui souhaitent approfondir les différents sujets pourront se reporter à  la page des liens  où ils devraient trouver leur bonheur.

    Et c'est parti...

Virus: c'est quoi dit papa ?

    Un virus n'est ni plus ni moins qu'un programme (on dit aussi exécutable). Mais c'est quoi un programme ? C'est une suite d'instructions écrites en un ou plusieurs langages ayant pour but l'accomplissement d'une ou plusieurs taches. Par exemple, le navigateur que vous utilisez pour surfer sur Internet et qui vous a permis d'accéder au site Fredisland est un programme.

• Un programme peut être tout petit, comme la commande DIR sous MS-DOS, ou très gros, comme le système d'exploitation Windows XP.
• Un programme peut servir à tout (ou presque): calculer, transférer des données, manipuler textes, images et sons...
• Un programme peut aussi être sympa comme un bon jeu d'aventure, utile comme un traitement de texte ou un logiciel de dessin, ou tout simplement inutile mais joli comme un écran de veille en 3D.

    Puis il y a les programmes auxquels il faut prêter une attention plus soutenue, sous peine de dégâts irrémédiables, comme ceux dont la vocation est de formater ou restructurer votre disque dur ou gérer vos fichiers (la commande 'format' de Windows, Partition Magic, et même l'explorateur...). Sans cette attention, des données peuvent être perdues. Définitivement.

    Et parmi les programmes on compte aussi ces fameux virus, des petites applications sournoises qui vont s'exécuter sans vous prévenir et surtout - hélas - faire des choses qu'on ne leur a pas demandé. En général de bien vilaines choses d'ailleurs. Les virus les plus gentils afficheront simplement un petit "coucou" sur l'écran ou animeront une balle de pong-pong qui traversera votre bureau virtuel. Quant aux plus virulents, ils iront jusqu'à détruire tout ou partie des données présentes sur votre disque dur ou éparpiller dans la nature cybernétique des données confidentielles vous concernant (contacts, mots de passe...). Et tout cela bien sûr sans vous demander votre avis.

    Le but d'un virus est toujours le même:

• S'installer en cachette (donc sans se faire remarquer). Le plus triste est que dans tous les cas c'est vous-même qui aurez invité le virus car cette bestiole n'est pas douée d'intelligence
• Se multiplier (l'union fait la force)
• Se répandre de par le monde, et au passage causer quelques dégats chez ceux chez qui il s'installe (dégats qui peuvent ou non être réparables).

     C'est parce que ces petits programmes malins sont codés de telle façon qu'ils puissent s'auto-propager qu'on les appelle virus, par analogie avec les petits organismes vivants dont est friand le monde médical.

    Mais à quoi ça sert alors un virus si la plupart du temps ça ne fait que des dégats ? A rien, si ce n'est servir la cause de la méchanceté ! Et qui sont alors les auteurs de ces programmes débiles ? La réponse est dans la question. Originellement, les virus sont apparus durant la seconde guerre mondiale où un bon moyen de contrer l'ennemi était de véroler son système informatique. Depuis l'idée a fait son chemin et des milliers d'individus peu scrupuleux de par le monde cherchent encore et toujours des moyens de polluer le monde informatique. Techniquement, ces programmes sont des petites merveilles de programmation, mais il est simplement fort dommageable que les bonnes idées puissent aussi servir les mauvais desseins. Mais peu importe, c'est une réalité, et le plus important pour nous est d'en être conscient d'une part et se protéger d'autre part contre leurs effets.

Les bestioles et leur mode de propagation

    Les virus ne sont pas classés en fonction des dégâts qu'ils opèrent (qui sont légions) mais selon leurs modes de propagation et d'infection (déjà plus limités). De plus, certains virus ont des modèles comportementaux plus ou moins similaires pour se reproduire. Gardez bien à l'esprit qu'un virus ne surgit pas par génération spontanée. Un virus ne se créé pas lui-même. Un virus n'est qu'un programme - salace certes - mais un programme, c'est à dire une suite d'octets sans intelligence et sans vie. Par conséquent, un programme virus ne pourra être présent que si l'utilisateur lui a ouvert la porte de sa machine, par négligence, manque d'attention ou protection déficiente.

Les virus de boot

    Ces virus se logent dans le secteur de démarrage principal (ou MBR - Master Boot Record) des disques durs et disquettes en remplaçant le code qui s'y trouvait par le leur. Avoir un virus sur son secteur de démarrage est probablement le pire qui puisse arriver, car c'est l'accès aux données du disque dur et son intégrité qui sont directement touchés.

    Il faut alors bien comprendre ce qui se passe au démarrage d'un ordinateur au MBR infecté :

• Le secteur de démarrage (on dit aussi amorçage) est copié dans la mémoire
• Puis il est exécuté, parce que cette portion d'octets contient en fait des instructions minimales permettant de lancer la machine
• Le virus est tout logiquement chargé lui aussi en mémoire puisque faisant partie intégrante du secteur de démarrage
• Le virus s'exécute (et il peut faire ce qu'il veut, en fonction de la façon dont il a été programmé)
• Il donne la main à la partie non modifiée (ou si peu !) du secteur de démarrage afin de permettre le lancement de la machine, qui semblera tout à fait normal
• Le virus étant ainsi chargé en mémoire bien avant que l'utilisateur ou un logiciel ne prenne le contrôle de l'ordinateur, à lui de faire tous les dégats qui s'imposent.

    Pour les disquettes, le problème est le même, si ce n'est qu'on les utilise bien plus rarement pour démarrer. Une infection pourrait toutefois se présenter en laissant une disquette infectée dans le lecteur après avoir redémarré, et ceci sans avoir modifié le BIOS afin de shunter la reconnaissance de disquette. C'était d'ailleurs un énorme problème sur les machines Amiga (snif, larme de nostalgie), car sous workbench (le nom de l'interface graphique de l'Amiga), toute disquette insérée était automatiquement détectée, lue, et éventuellement 'lancée' si le boot prévoyait un menu de démarrage. Ultra pratique pour bien des choses... sauf si la disquette était vérolée !

Comment ça peut s'attrapper:

• Un collègue / ami / membre de la famille vous copie un fichier sur une une disquette infectée.
• Un contrôle ActiveX présent sur un site vérolé et dont vous avez autorisé l'installation, persuadé qu'il s'agissait d'un plugin innofensif.
• Un programme téléchargé sur un site peu sûr, via le P2P (Pee to Peer) ou une tierce personne et que de surcroit vous ne soumettez pas à l'antivirus.
• ...

Les virus d'applications

    Ils infectent les fichiers exécutables, c'est-à-dire les programmes (les fichiers possédant une extension .exe, .com ou .sys) et se lancent dès qu'on exécute lesdits programmes. Comme ils se greffent au début de l'exécutable, ces types de virus font d'abord leur sale boulot puis donne la main au programme 'normal' qui semble ainsi tourner sans problème. Un bon camouflage s'il en est. A noter qu'un seul fichier peut être infecté par plusieurs virus qui seront alors superposés et se lanceront à la chaine, en commençant par le premier, jusqu'à arriver au dernier virus qui lui finira par lancer le vrai programme. L'esprit d'équipe !

Comment ça peut s'attrapper:

• Un contrôle ActiveX présent sur un site vérolé et dont vous avez autorisé l'installation, persuadé qu'il s'agissait d'un plugin innofensif.
• Un programme téléchargé sur un site peu sûr, via le P2P (Pee to Peer) ou une tierce personne et que de surcroit vous ne soumettez pas à l'antivirus.
• Des copies peu sûres de programmes
• ...

Les virus macro

    Avec la multiplication des programmes utilisant des macros (qui sont en quelque sorte des mini programmes, mais écrits par l'utilisateur afin par exemple d'automatiser certaines taches répétitives au sein d'une application), Microsoft a mis au point un langage de script commun pouvant être inséré dans la plupart des documents capables de contenir des macros. Ce langage, c'est le  VBScript , un sous-ensemble de Visual Basic, très utilisé par les programmes de la gamme Microsoft Office (Word, Excel...).

    Les virus macros sont donc des portions de code écrites en VBScript et insérées à l'intérieur de vrais macros utiles. Lors du lancement d'un document Word par exemple, si ce document utilise des macros, il va automatiquement les charger et le virus avec si un des scripts est infecté ! A l'exécution de la macro, le virus va ainsi s'en donner à coeur joie.

    En résumé, un tel virus peut être donc situé à l'intérieur d'un banal document Word ou Excel, ou tout autre application utilisant VBScript et exécuter une portion de code à l'ouverture de celui-ci, lui permettant d'une part de se propager dans les fichiers, et d'autre part d'accéder au système d'exploitation. Ces virus se propagent actuellement dans de fortes proportions et peuvent malheureusement causer de grands dégâts (allant jusqu'au formatage du disque dur). Il faut aussi savoir que de nombreux sites intègrent le VBScript dans leurs pages HTML.

Comment ça peut s'attrapper:

• Exploitation des failles de sécurité
• Un email reçu par un(e) inconnu(e) et que vous affichez sur votre logiciel de messagerie.
• Une pièce jointe à un email alors que vous n'attendez rien (même si le mail vient d'une personne connue).
• Le surf sur un site vérolé
• Un document MSOffice non soumis à l'antivirus avant son chargement
• ...

Les vers ("worms" en anglais)

    Ils se transmettent par les fichiers joints à des courriers électroniques et se réexpédient à toutes les adresses présentes dans votre logiciel de messagerie. Les vers, comme les virus, ont pour but de se reproduire. Leur particularité est qu'ils se répandent d'eux-mêmes d'un ordinateur à un autre en utilisant divers moyens (messagerie, partages réseaux, IRC, etc.), sans recourir à l'infection de fichiers sains ou avoir besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...), ce qui fait que suivant la définition du terme virus adoptée, on peut considérer ou non que les vers sont une catégorie de virus.

    Certains vers profitent également de failles de sécurité dans les logiciels de messagerie (notamment du couple Microsoft Outlook Express / Internet Explorer) pour s'exécuter automatiquement dès la visualisation du message, avant même d'avoir ouvert la pièce jointe, et ce par le biais de scripts en VBS inclus dans le corps du message. Ils sont donc particulièrement redoutables, car le fait de recevoir un mail d'une personne connue dont on croit reconnaître l'adresse email diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé. Les antivirus empêchent la lecture même des messages infectés, à plus forte raison ne faut-il pas ouvrir les pièces jointes.

Comment ça peut s'attrapper:

• Exploitation des failles de sécurité
• Un email reçu par un(e) inconnu(e) et que vous affichez sur votre logiciel de messagerie.
• Une pièce jointe à un email alors que vous n'attendez rien (même si le mail vient d'une personne connue).
• ...

Les chevaux de Troie

    Le nom "Cheval de Troie"  ("Trojan horse" en anglais) provient d'une légende du poète Homère (narrée dans l'Iliade) à propos du siège de la ville de Troie par les Grecs. Cette légende veut que les Grecs qui n'arrivaient pas à pénétrer dans les fortifications de la ville eurent l'idée de donner en cadeau un énorme cheval de bois en offrande à la ville en abandonnant le siège. Les troyens (naïfs) apprécièrent cette offrande qui leur semblait inoffensive et la ramenèrent dans les murs de la ville. Cependant le cheval était rempli de soldats cachés qui s'empressèrent d'en sortir durant la nuit, alors que les habitants dormaient, pour ouvrir les portes de la cité et en donner l'accès au reste de l'armée ...

    Le principe du cheval de Troie est habituellement d'ouvrir un port (voir l'encadré ci-dessous) de l'ordinateur pour permettre à un pirate d'en prendre le contrôle et avoir ainsi accès à vos données. Le but est donc tout d'abord d'infecter votre machine en vous faisant ouvrir un fichier infecté contenant ce fameux cheval de Troie et par la suite d'accèder à votre machine depuis l'exterieur par le port qu'il a ouvert. Toutefois pour pouvoir s'infiltrer sur votre ordinateur, le pirate doit généralement connaître votre adresse IP (série de numéros qui permet l'identification des ordinateurs sur le réseau). Si vous avez une adresse fixe (connexion par câble ou pour une entreprise), cette dernière peut facilement être trouvée. Si votre adresse est dynamique (elle change à chaque connexion), elle pourra être scannée au hasard.

    Le mode opératoire des chevaux de Troie est donc souvent le même:

• S'introduire dans le système cible le plus discrètement possible. C'est pour cela qu'on les appelle aussi des "back doors", car ils passent par "les portes de derrière". Les moyens utilisés pour entrer sont variés et exploitent le vaste éventail des failles de sécurité, du simple économiseur d'écran piégé (envoyé par mail ou autre, du type cadeau.exe, snow.exe, etc, etc...) jusqu'à l'exploitation plus complexe de failles logicielles.
• Après leur introduction dans le système, ils se cachent dans des répertoires système ou se lient à des exécutables et modifient le système d'exploitation (sous Windows, la base des registres) pour pouvoir démarrer en même temps que la machine. De plus, ils sont actifs en permanence, car un cheval de Troie est un véritable serveur, il reste à l'écoute des connections provenant de l'attaquant pour recevoir des instructions, mais ils restent furtifs et sont rarement détectables par l'utilisateur. Ainsi, un listing des tâches courantes ne fournira pas d'indication suffisante : soit le cheval de Troie y sera invisible, soit son nom sera tout ce qu'il y a de plus banal ("Patch.exe", ".exe", "winamp34.exe", "winrar.exe", "setup.exe", "rundlls").

    Voici quelques symptomes qui peuvent signifier - mais pas forcément - la présence d'un cheval de Troie sur votre machine:

• activité anormale du modem: des données sont chargées alors que vous ne faites rien
• des réactions curieuses de la souris: le curseur bouge tout seul !
• des ouvertures impromptues de programmes
• des plantages à répétition

    Et voici un petit panel de ce dont est capable un cheval de Troie (séquence frisson) :

• Récuperer tous les mots de passe
• Dialoguer avec l'utilisateur
• Accéder au système de fichiers dans sa totalité (Télécharger / Envoyer / Supprimer / Créer des fichiers)
• Ouvrir et fermer des fenêtres actives
• Accéder à la base de registre
• Contrôler le volume sonore
• Ajouter des plugins
• Démarrer des applications, jouer des fichiers .wav, afficher des images
• Ouvrir des documents, les imprimer
• Fonction keylogger en temps-réel : affichage des frappes clavier en direct chez l'attaquant.
• Capturer des images si l'ordinateur est équipé d'une webcam, et ce de façon complètement indétectable pour l'utilisateur.
• Capturer du son si l'ordinateur est équipé d'un microphone
  
• Eteindre et / ou redémarrer l'ordinateur
• Déconnecter l'ordinateur du réseau
• Ouvrir et fermer le CD-ROM
• Inverser les boutons de la souris
• Envoyer l'utilisateur a une URL choisie
• Modifier la page de démarrage d'Internet Explorer
• Bloquer le clavier
• ...

    Ca fait peur non ?

    Les Chevaux de Troie ne sont pas des virus à proprement parler, dans la mesure où leur but n'est pas de se reproduire pour infecter d'autres machines. En revanche, certains virus peuvent se révéler être des chevaux de Troie, c'est-à-dire se propager comme un virus et ouvrir un un port sur votre machine !

    Par leurs actions, ces chevaux de Troie tentent de vulnérabiliser des systèmes, et les "marquer" de telle façon à ce qu'ils puissent être repérés par leurs créateurs, à dessein de dévoiler l'ensemble des systèmes d'informations d'une machine et briser ainsi la confidentialité des documents qu'elle renferme. Mais contrairement aux virus, ils ne se reproduisent pas. Ce ne sont pas des "parasites" qui infectent des fichiers sains, mais des applications à part entière qui doivent donc être installées sur l'ordinateur de leur victime.

    Les chevaux de Troie représentent donc aujourd'hui un phénomène inquiétant car contrairement aux virus, ils sont faciles à utiliser, accessibles à tous (sans pré-requis en programmation) et très efficaces. En témoigne leur utilisation croisante à des fins professionnelles : prise en main à distance, administration centralisée, gestion de parcs informatiques... Bien sûr, la majorité des produits utilisés dans ce secteur restent des produits commerciaux, mais les choses peuvent changer. Ces outils sont conçus pour espionner et infiltrer les systèmes. Ils sont furtifs et très difficiles à détecter, surtout tant que l'attaquant ne cherche pas à se manisfester.

Comment ça peut s'attrapper:

• Exploitation de failles de sécurité
• Installation d'un plugin ou contrôle ActiveX non signé
• Une pièce jointe à un email alors que vous n'attendez rien (même si le mail vient d'une personne connue).
• Le surf sur un site vérolé
• Un document MSOffice non soumis à l'antivirus avant son chargement
• ...

Les bombes logiques

Ce sont des virus capables de se déclencher suite à un événement particulier. A la différence du cheval de Troie qui est immédiatement opérationnel au lancement du logiciel hôte, la bombe logique attend le moment opportun pour se déclencher. Cet évènement, déterminé par le programmeur malveillant, peut être une date particulière, une combinaison de touches, une action spécifique ou un ensemble de conditions précises. Ainsi, un employé mal intentionné peut implanter une bombe logique chargée de vérifier si son nom disparaît sur les listes, puis le cas échéant la bombe logique se déclenche et détruit les données de la société.

Les hoax (mot anglais signifiant 'canulars')

Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax), c'est-à-dire des annonces reçues par email (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement,...) accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a pour but l'engorgement des réseaux ainsi que la désinformation. Le but des hoax est simple : provoquer la satisfaction de son concepteur d'avoir berné une masse énorme de personnes. Les conséquences de ces canulars sont multiples :

• ils contribuent à engorger inutilement les réseaux en faisant circuler une masse de données superflues.
• ils tendent à provoquer de la désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs
• ils encombrent inutilement nos boîte aux lettres déjà chargées
• ils nous font perdre un temps certain
• ils peuvent contribuer à la dégradation de l'image d'une personne ou bien d'une entreprise
• ils provoquent un effet d'incrédulité, c'est-à-dire qu'à force de recevoir de fausses informations on finit par ne plus croire aux vraies

    Un seul site pour dévoiler tous ces canulars:  hoaxbuster.com  ( 49 internautes y sont allés )

Les rumeurs

    Il est courant d'entendre dire que les fichiers GIF ou JPG peuvent contenir des virus. En fait, tous les fichiers peuvent contenir un morceau de code informatique véhiculant un virus; pour autant le système devra préalablement avoir été modifié par un autre virus pour être capable d'interpréter le code contenu dans ces fichiers ! Par exemple, un afficheur d'image n'exécute pas une image mais lit simplement la suite d'octets afin de l'afficher à l'écran. Si une image contenait un code exécutable, il faudrait que l'afficheur lui-même soit modifié afin en premier lieu d'exécuter la portion de code, puis ensuite seulement afficher l'image. On imagine donc mal la chose.

    D'une manière générale, pour tous les fichiers dont l'extension peut supposer que le fichier soit infecté (ou pour les extensions que vous ne connaissez pas) n'hésitez pas à installer un antivirus et à scanner systématiquement le fichier attaché avant de l'ouvrir.