Les virus
Je suis infecter, comment faire ?
Selon la définition donnée par Fred Cohen, le virus est un programme informatique capable d'infecter d'autres programmes en les modifiant afin d'y intégrer une copie de lui-même qui pourra avoir légèrement évolué. A la manière de son frère biologique, il se reproduit rapidement à l'intérieur de l'environnement infecté à l'insu de l'utilisateur.
Il existe d'autres programmes aussi dangereux que l'on confond assez souvent avec les virus : il s'agit des chevaux de Troie, des vers et des bombes logiques. La différence réside dans le fait que ces programmes ne possèdent pas la capacité de se multiplier sur le système infecté.
Cependant un virus, ne peut se propager sans votre aide. En effet un programme infecté doit être exécuté pour que le virus soit actif. Tant qu'on y touche pas, le programme infecté est inoffensif. Par ailleurs, certains programmes sont parfois paramétrés pour effectuer automatiquement des actions potentiellement dangereuses sans véritable intervention de l'utilisateur. Ainsi, l'ouverture automatique d'un e-mail dans le volet de visualisation peut tout à fait ouvrir un fichier infecté si votre application n'a pas été patchée contre cette faille.
Les créateurs de virus font preuve d'une grande ingéniosité pour inciter l'utilisateur à exécuter leur "oeuvre", en exploitant par exemple une confiance excessive ou, au contraire, en suscitant une réaction de panique chez celui-ci.
Tels leurs cousins biologiques, les virus se répandent jusqu'à infecter la totalité du support où ils ont trouvé asile. Mais avant de les chasser, mieux vaut connaître leurs diverses formes et leurs modes opératoires
Les virus systèmes
On les appelle aussi virus de boot ou du secteur de démarrage. Ils infectent la zone amorce d'un disque dur ou d'une disquette, c'est-à-dire la première partie du disque lue par l'ordinateur. Le virus remplace le contenu de cette zone par son propre code, ce qui lui permet d'être exécuté en premier lors du démarrage du PC. Puis, il déplace le contenu original de la zone d'amorçage vers une autre partie du disque.
Le virus est chargé dans la mémoire vive à la mise sous tension de la machine et y demeure jusqu'à son arrêt. Pour infecter un ordinateur, il suffit de le démarrer avec une disquette ou un CD-Rom contenant le virus. Celui-ci contamine ensuite toutes les disquettes ou supports amovibles insérés dans l'ordinateur. Mais, l'échange de disquettes étant de moins en moins fréquent, la propagation des virus système diminue en proportion.
Le plus célèbre d'entre eux est le virus Michelangelo. Un chercheur lui a attribué le nom de Michel-Ange car la date de son déclenchement correspond à l'anniversaire de l'artiste de la Rennaissance (6 mars 1475). La même année, le virus Jack Ripper cause de nombreux dégâts : il modifie certains fichiers et il contient les textes "C 1992 Jack Ripper" et "Fuck 'em up !". Le fichier Parity Boot présente lui, la particularité d'afficher un vrai message d'erreur système indiquant que la mémoire de l'ordinateur a un problème avant de planter le système d'exploitation.
Les virus infectant des programmes
Appelés aussi virus de fichiers ou virus parasites, ils infectent les programmes. Ils parasitent les fichiers exécutables ou les fichiers système et modifient l'ordre des opérations habituellement effectuées afin d'être exécutés en premier. Le virus s'active dès que le fichier infecté est lancé, mais on ne se rend compte de rien car le programme infecté fonctionne normalement.
Ces virus sont de deux types : ceux qui peuvent s'installer dans la mémoire vive et ceux qui ne peuvent pas. Ils sont écrits en fonction du système d'exploitation sous lequel tourne le programme visé.
Ainsi sous Dos, ce sont les fichiers exécutables qui portent l'extension .exe ou .com et les fichiers systèmes .sys qui sont attaqués. Très nombreux, ces virus ont été largement diffusés par l'intermédiaire de jeux et d'utilitaires téléchargés sur Internet. Aujourd'hui les virus Dos causent de moins en moins d'infections car ils ont du mal à se reproduire lorsqu'ils sont exécutés par Windows. Par contre, le nombre de virus s'attaquant aux applications Windows 32 bits ne cesse de croître.
Ces derniers infectent surtout les fichiers PE (Portable Executable), un format de fichier exécutable propre aux OS de Microsoft depuis Windows95, ainsi que les fichiers VxD aussi appelés LE (Linear Executable). Ces virus sont bien plus complexes que leurs aînés fonctionnant sous Dos. Boza, le premier virus à infecter des fichiers exécutables sous Windows 95 saluait l'exploit technique par l'intermédiaire d'une boîte de dialogue. Il en existe aussi dans le monde Mac et Linux, moins que pour les systèmes de Microsoft.
Les virus polymorphes
Un virus polymorphe a la capacité de modifier son code en se reproduisant. Il peut ainsi modifier l'ordre d'exécution de ses instructions ou en ajouter des fausses. Chaque copie est donc différente, ce qui le rend difficile à détecter par les antivirus qui se réfèrent à une base de signatures identifiées. Certains sont mêmes cryptés.
Les virus furtifs
Ils tentent de se faire passer pour des fichiers sains, afin d'être invisibles aux yeux de l'utilisateur ou du logiciel antivirus. En fait, ils surveillent les appels aux fonctions de lecture des fichiers ou des clusters du disque et modifient les données renvoyées par ces fonctions.
Les virus multiformes
Ils utilisent les deux techniques précédentes. Ils sont capables d'infecter à la fois les secteurs d'amorçage des disques durs ou des disquettes et les fichiers exécutables. Ce qui facilite leur propagation.
Les macros virus
Ils se nichent dans les macro-commandes utilisées à l'intérieur des applications, notamment en bureautique, afin d'automatiser un certain nombre de tâches comme la sauvegarde d'un fichier. La grande majorité des macros virus vise les programmes de Microsoft : Word, Excel et dans une moindre mesure, Access, Powerpoint et Outlook. A l'ouverture d'un document contenant une macro infectée, le virus se réplique dans le document par défaut, contaminant ainsi chaque fichier créé ou ouvert avec ce programme. Ecrit en Word Basic puis en VBA (Visual Basic for Application), le macro virus est si facile à concevoir qu'il se répand comme une traînée de poudre. Bien qu'ils cèdent le pas aux virus s'attaquant aux applications Windows 32 bits, les macros virus sont de plus en plus sophistiqués. Ainsi Groovie, qui infecte les documents Word, est furtif car il n'est pas remarqué avant que l'éditeur Visual Basic ne soit sélectionné.
Les virus scripts
Ils utilisent les différents langages de scripts qui permettent de contrôler l'environnement d'un logiciel. Ils sont créés à partir des plus répandus : Javascript de Sun Microsystems et VB (Visual Basic) Script de Microsoft. Dérivé du VBA, ce dernier peut être utilisé dans les navigateurs (Internet Explorer), les formulaires mails (Outlook), Windows ou même dans les serveurs http Microsoft. Ils se propagent très vite grâce à Internet et se répliquent surtout par l'intermédiaire des messageries électroniques ou de scripts intégrés dans les pages HTML. On peut alors les assimiler à des vers.
Par ailleurs, les virus possèdent différentes caractéristiques :
Les virus résidents et non résidents
Les virus dits résidents ou TSR (Terminate and Stay Resident), s'installent en mémoire vive pour se propager rapidement.
Exemples, les virus système qui se logent immédiatement dans la RAM au démarrage, ainsi qu'une grande partie des virus programmes. Quand le fichier infecté est exécuté, le virus se charge dans la mémoire où il reste actif. de là, il peut contaminer tous les programmes exécutés qui ne sont pas déjà infectés.
Les virus non résidents, eux, cherchent d'autres programmes à contaminer dès que le fichier infecté est exécuté.
Les virus avec ou sans recouvrement
Un virus peut infecter les programmes de plusieurs manières. Certains, appelés virus avec recouvrement, écrasent le contenu du fichier cible avec leur code pour ne pas en modifier la taille. Le fichier infecté devient donc inutile et ne sert plus qu'à exécuter le virus. En général, les virus avec recouvrement sont non résidents en mémoire.
Les virus sans recouvrement, eux, recopient leurs codes à la fin du fichier et placent une routine au début du programme afin d'être actifs dès que le fichier est exécuté. les fichiers infectés sont donc plus lourds que les fichiers sains, et se détectent plus facilement.
Il existe aussi des virus qui ne touchent pas au fichier cible mais créent un autre fichier portant le même nom avec une extension différente afin d'être exécuté en priorité. Ils profitent du fait que sous Dos, les fichiers avec une extension .com sont exécutés avant les fichiers .exe quand ils portent les mêmes noms. Ce sont des virus compagnons.
On a souvent tendance à confondre vers, chevaux de Troie et bombes logiques avec des virus. Si ces programmes diffèrent des virus par certains aspects, ils sont aussi dangereux pour votre système.
Les vers
Créés pour réguler le contrôle aérien et les problèmes réseaux, les vers ont été détournés de leur utilisation première. Avec le développement d'Internet, ils sont devenus le meilleur moyens pour les auteurs de virus de propager très rapidement leur création et d'infecter en un temps record des millions de machines
D'après la définition donnée par le scientifique américain Peter J. Denning, un ver est un programme capable de fonctionner de manière indépendante. Il peut propager une version fonctionnelle et complète de lui-même vers d'autres machines.
Contrairement au virus, le vers n'a pas besoin d'infecter et de parasiter un programme ou un support physique et il est incapable de se reproduire sur le système infecté. Il n'existe donc sur celui-ci qu'une seule copie du ver. Le ver peut agir tout seul et se sert des connexions réseaux, Intranet ou Internet, pour se propager. La plupart des vers sont intégralement présents dans la machine sur laquelle ils se sont copiés à travers le réseau. Mais il existe aussi des vers constitués de plusieurs segments qui fonctionnent sur des ordinateurs différents et communiquent entre eux via les réseaux.
L'idée qu'on se fait des vers et leur utilisation ont évolué avec le temps. A l'origine, le premier programme apparenté à un ver répondait au besoin des contrôleurs aériens qui souhaitaient être avertis quand un avion passait de la zone de contrôle d'un ordinateur à un autre. Puis, dans les années 80, les vers furent utilisés par des administrateurs réseaux pour résoudre certains problèmes. Les quelques vers nuisibles ont, à l'époque, pour principal effet de saturer la bande passante à cause de leur vitesse de reproduction. Mais avec le développement d'Internet, le mode de propagation des vers est utilisé par les auteurs de virus pour diffuser rapidement leurs création à travers le monde. Au point d'aujourd'hui, le ver est considéré comme un sous-ensemble de la famille des virus.
Les vers actuels se servent généralement des connexions sur les IRC (Internet Relay Chat) avec les logiciels clients mIRC ou pIRCH ou des messageries électroniques pour se propager . Dans ce dernier cas, les vers récupèrent l'ensemble des adresses de courriers contenues dans le carnet d'adresses et les fichiers internet temporaires pour s'autodistribuer aux correspondants, ce qui garantit une diffusion massive. Très répandu, ce type de ver est désigné par le terme "mass-mailer". On en trouve désormais dans toutes les familles de virus à l'exception des virus système.
En 2000, les virus de scripts de type ver, généralement écrits en Visual Basic Script, ou VBS, connaissent une croissance exponentielle. Ainsi, le virus "I Love You" qui a fait de nombreuses victimes se présentait sous la forme d'un script attaché en pièce jointe à un courrier électronique. Le virus macro de type ver appelé Melissa illustre également les capacités de ces nouveaux virus. Il envoie un message signalé comme important aux 50 premières adresses des répertoires présents dans OutLook avec une pièce jointe contenant le fichier infecté. Un fois le document ouvert, le virus va infecter tous les fichiers Word stockés dans l'ordinateur. En deux jours, Melissa fait le tour du monde.
Depuis quelques temps, les vers s'attaquent aux programmes comme Sircam ou Magistr, sont devenus prédominants. Ils se propagent sur Internet et infectent les fichiers exécutables en local. Certains vers n'utilisent pas les ordinateurs de particuliers pour se propager, ils se reproduisent directement par l'intermédiaire des serveurs Web. C'est le cas de CodeRed qui utilise une faille du logiciel IIS (Internet Information Server) de Microsoft pour infecter un maximum de machines.
Les chevaux de troie
On les appelle souvent des Troyens ou Trojans, mais c'est une mauvaise transposition du terme anglais. Les chevaux de Troie sont des programmes simples. Tout comme les vers, ils sont incapables de se reproduire sur le système infecté. L'utilisateur d'un système infecté n'a donc en général qu'une seule copie à trouver et détruire pour s'en débarrasser. Ils sont également incapables de se propager par eux-mêmes. Pour autant, ils s'avèrent des armes redoutables. Tapis entre les lignes de code d'un programme, ils attendent que vous double-cliquez sur l'icône du programme qui les héberge pour devenir les maîtres de votre PC.
Pour gagner une machine, ces petits programmes doivent être installés à partir d'un support physique ou par téléchargement, A l'image de la légende homérique relatant comment les Grecs ont provoqué la destruction de la ville de Troie après s'être cachés dans un cheval en bois, ils se dissimulent avant d'agir. Les chevaux de Troie ou Trojans se nichent ainsi à l'intérieur de programmes gratuits ou commerciaux qui semblent anodins aux yeux de l'utilisateur : patchs ou mises à jour, utilitaires, logiciels de jeux, écrans de veille etc. La bombe logique est également soigneusement dissimulée au sein du système d'exploitation ou d'un logiciel quelconque. Une fois ledit programme exécuté, ils sont prêts à effectuer la tâche plus ou moins nuisibles pour laquelle ils ont été programmés.
L'action la plus pernicieuse reste la prise de contrôle à distance de l'ordinateur. En effet, un cheval de Troie peut ouvrir un port de l'ordinateur à la communication ou profiter d'une faille de sécurité sans que l'utilisateur s'en aperçoive. Une fois installé, le Trojan agit comme l'élément serveur d'un logiciel de prise en main à distance classique. Ensuite, tout est possible pour l'utilisateur distant : lire et écrire des données, transférer des fichiers, prendre le contrôle de la souris et du clavier, etc. Mais le pirate doit toutefois connaître l'adresse IP de la machine ciblée avant de pouvoir agir.
Le plus célèbre de ces Trojans est une application client/serveur développée en 1998 par le CdC (The Cult of the dead Cow), un groupe de hackers très actif. Baptisée "Back Orifice" en référence à la suite logicielle de Microsoft "Back Office", cette application a été développée pour mettre en évidence les failles de sécurité de Windows. Utilisé à bon escient, "Back Orifice" est un puissant outil d'administration à distance mais il peut également être utilisé par les pirates en étant intégré dans un autre logiciel ou en étant renommé pour laisser croire que c'est un programme inoffensif.
Les bombes logiques
Les bombes logiques présentent des caractéristiques similaires aux chevaux de Troie (incapacité de se reproduire et de se propager). Mais à la différence de ceux-ci qui sont immédiatement opérationnels au lancement du logiciel hôte, les bombes logiques sont programmées pour s'activer quand surviens un événement précis (comme les bombes traditionnelles). Cet événement, déterminé par le programmeur malveillant, peut être une date particulière, une combinaison de touches, une action spécifique ou un ensemble de conditions précises.
De manière générales, à l'instar des bombes réelles, les bombes logiques visent à faire le plus de dégâts possible sur le système en un minimum de temps.
Ainsi la fameuse bombe logique Tchernobyl s'est activée le 26 avril 1999, jour du 13ème anniversaire de la catastrophe nucléaire en reformatant le disque dur des malheureux utilisateurs qui étaient infectés...
Ce n'est pas par hasard si un virus arrive sur une machine. En informatique, il y a des comportements qui sont sources d'infection. Ces comportements sont donc à proscrire.
Vous trouverez sur cette page quelques règles à suivre pour limiter les risques d'infection :
L'antivirus
De nos jours, avec les possibilités de propagation qu'offre Internet, avoir un ordinateur connecté au réseau sans antivirus est presque suicidaire. Cependant, n'oublions pas qu'avoir un antivirus installé sur son ordinateur ne sert à rien si l'on n'effectue pas les mises à jour régulières des signatures virales. Il n'y a pas de règle absolue, mais il est impératif d'en effectuer au moins une par mois. Un check-up hebdomadaire est encore plus sécurisant.
Le pare feu (Firewall)
Si l'antivirus est indispensable, il est recommandé de l'associer à un pare-feu pour éviter ainsi toute tentative d'intrusion d'un cheval de Troie et autres spywares. Surtout pour les possesseurs d'une connexion permanente câble/ADSL. [voir le dossier Pare-Feu]
Les failles de sécurité
En matière de virus, les événements des derniers mois ont montré que Windows et Internet Explorer, mais aussi d'autres logiciels (logiciel de messagerie Outlook, suite MSOffice...), comportaient des failles de sécurité dont les virus profitent allègrement. Il est donc nécessaire d'effectuer toutes les mises à jour critiques des logiciels que vous utilisez, et plus particulièrement celles des produits Microsoft.
Paramétrer
Certains logiciels de messagerie et de navigation peuvent commettre à votre insu des actions dangereuses pour votre système (ouverture automatique des pièces jointes, exécution de code contenu dans des pages web...). Un peu de paramétrage de ces logiciels est donc nécessaire pour surfer l'esprit tranquille.
Dans le contexte actuel, il est indispensable entre autre d'empêcher l'exécution sans votre autorisation d'un contrôle ActiveX, cela peut vous préserver de pas mal de parasites comme des dialers.
Eviter les comportements à risques
Evitez de télécharger des programmes d'origines douteuses : les programmes piratés, les fichiers échangés via P2P ou par chat comportent de gros risques pour votre système.
Scannez systématiquement avec votre anti-virus les pièces jointes des mails que vous recevez. Même si l'expéditeur est une personne de confiance, de nombreux virus et vers s'envoient automatiquement aux adresses collectées dans le carnet d'adresses et les fichiers internet temporaires du système infecté. Ne pas avoir de contacts dans votre carnet d'adresses n'empêche donc pas la propagation d'un virus.
Les sites pornographiques et autres sites Internet underground sont souvent des nids à virus et à spywares. Alors, ne tentez pas le diable et évitez de visiter ce type de médias.
La disquette de démarrage
Si votre antivirus le permet, créer une disquette de démarrage peut vous sauver dans le cas d'une infection par un virus système par exemple. Elle ne vous servira peut-être jamais, mais au moins vous l'aurez sous la main en cas de besoin, et elle pourra vous épargner de reformater votre disque dur...
La sauvegarde
Pour parer à toute éventualité, n'oubliez pas de faire régulièrement une sauvegarde de vos fichiers et autres données sur un support amovible.
S'informer
Pour se protéger efficacement, il faut se tenir au courant des dernières alertes virus. Vous pouvez par exemple vous abonner à la newletter de votre antivirus ; elle vous informera, par ailleurs, des mises à jour de votre antivirus.
Quelques logiciels bien utiles
De nombreux logiciels de sécurité existent actuellement et il n'est pas toujours facile de choisir. En plus de votre antivirus et de votre firewall, quelques petits logiciels antispywares gratuits sont selon nous des indispensables à avoir sur sa machine.
Spybot S&D n'est peut-être pas le plus performant des antispywares mais il reste un des plus complets qui existent actuellement. Il propose, en plus de la simple désinfection, de nombreuses fonctionnalités de pure prévention (protection résidente, vaccination contre certains ActiveX, gestion des cookies...). Le développeur est de plus très réactif. Pour nous c'est un must !
Dans le domaine de la prévention, SpywareBlaster fait également partie des indispensables. Il n'a, lui, qu'un action purement préventive, mais très efficace contre les ActiveX illicites et contre les cookies à spywares.
Le navigateur Internet Explorer comporte pas mal de failles de sécurité. De par sa popularité, il est la cible de nombreuses attaques. Nous vous conseillons donc d'utiliser un autre logiciel de navigation tels que Firefox qui est actuellement un must en matière de navigation (suite à la disparition de Mozilla) ou Opera, un très bon navigateur gratuit avec une bannière publicitaire (il existe une version payante sans publicité).
Pour les mêmes raisons de sécurité, si vous utilisez un logiciel de messagerie, préférez Thunderbird (toujours de chez Mozilla et gratuit lui aussi).
Je suis infecté, comment faire ?
Au secours ! Je suis contaminé par un virus ! Que dois-je faire ?
Si malgré toutes vos précautions un virus a quand même réussi à passer vous trouverez sur cette pages quelques conseils pour vous aider dans votre désinfection. La règle d'or étant de garder son calme car, comme dans de nombreux domaines, la panique est mauvaise conseillère...
Se déconnecter
Si vous soupçonnez que votre système est contaminé, essayez autant que possible de rester déconnecté du réseau (sauf pour faire un scan en ligne ;) ). Ainsi, vous évitez au virus de se propager et à un éventuel pirate d'aggraver votre cas.
D'autre part, la visite de certaines pages web peut avoir généré à votre insu l'installation d'un numérateur (ou dialer) dont le rôle est de composer des numéros de téléphone surtaxés et qui peuvent donc faire exploser votre facture téléphonique, pour peu que vous n'ayez pas une connexion ADSL...
Eviter de redémarrer
Certains virus sont conçus pour se lancer et se reproduire sur votre système à chaque redémarrage (quand ils n'empêchent pas de redémarrer). Autant que faire se peut, il vaut mieux donc éviter de redémarrer votre PC afin de ne pas aggraver la situation.
Identifier l'ennemi
Essayez de savoir à la suite de quelle action de votre part ou de quel événement les problèmes ont commencés (ouverture d'une pièce jointe, téléchargement d'un programme d'origine douteuse, visite d'une page web...). Cela pourra toujours vous aider à identifier la menace en parcourant des sites de référence sur la sécurité informatique et autres forums spécialisés, de préférence depuis un autre poste.
Faites un scan en ligne (voir aussi les web-antivirus) afin d'identifier définitivement le responsable de vos soucis.
Désinfection
En fonction de la réponse du scan et du résultat de vos investigations, chargez l'utilitaire de désinfection adapté et au minimum les deux antispywares Spybot S&D et Ad-Aware, ils vous débarrasseront d'éventuels spywares et de certains chevaux de Troie. Les antivirus ne suffisent bien souvent pas à couvrir tous les types de parasites existants (notamment les spywares), ils ne peuvent pas tout faire non plus !
Si vous êtes victime d'un hijacker, par mesure de précaution chargez également le logiciel CWShredder qui cible plus spécifiquement les multiples hijackers particulièrement tenaces regroupés sous le nom de CoolWebSearch.
Au passage, soyez surtout très prudents dans le choix de logiciels antispywares car de nombreux logiciels prétendument antispywares sont en fait des escroqueries.
Scannez ensuite notre PC avec votre antivirus, l'antipyware et les utilitaires de désinfection en suivant les étapes suivantes :
- vider les fichiers temporaires internet, ils se trouvent dans le dossier Temporary Internet Files,
- désactiver la restauration du système (si vous êtes sous Windows XP ou Me),
- redémarrer en mode sans échec : appuyez sur la touche F8 pendant la séquence de démarrage jusqu'à ce qu'une liste apparaisse en mode texte, sélectionnez alors "Mode sans échec". Windows va mettre un peu de temps à s'ouvrir et l'affichage sera assez moche, pas d'inquiétude, c'est normal! Ce mode ne fait tourner que les programmes absolument nécessaires au bon fonctionnement de Windows.
- faire le scan du PC,
- redémarrer, en mode normal cette fois-ci,
- réactiver la restauration du système.
Une fois la désinfection terminée, mettez à jour votre antivirus (si vous n'en avez pas, allez jeter un oeil ici), votre version de Windows (Windows Update) ainsi que d'Internet Explorer et Outlook (si vous utilisez ces logiciels). Profitez en également pour vous munir d'un bon pare-feu.
Sachez enfin que Mozilla peut remplacer avantageusement Internet Explorer ainsi que Outlook car il n'en a pas les nombreuses failles et possède des fonctionnalités bien pratiques à l'usage (facilités de navigation, antipopup...)