! J’ai un virus dans ma machine ! ! Sous quelle forme est-il stocké dans ma machine ? Comment est-il arrivé ? Comment a-t-il infecté ma machine ? Comment s’active-t-il ? ! Quelle peut être son activité ? ? Qu’est-ce qu’un virus ? Comment se protéger ?
Définition d’un virus a priori : ! C’est un programme malicieux s’exécutant à mon insu sur ma machine.
Internet Comment est-il arrivé ? En tant que pièce jointe d’un courriel... bonjour
Internet Fichier téléchargé Fichiers à télécharger Comment est-il arrivé ? …dissimulé dans un fichier téléchargé...
Internet Comment est-il arrivé ? …via un support externe (disquette, CD, clé USB…)
Comment a-t-il infecté ma machine ? Parce que, d’une façon ou d’une autre, j’ai provoqué l’exécution du programme du virus : …en ouvrant la pièce jointe du courriel qui s’avère être un programme exécutable ; …en lançant l’exécution du fichier- programme téléchargé ; …en exécutant un programme résidant sur le support externe introduit dans ma machine ; …mais aussi, et surtout, en autorisant que certains programmes (macros, ActiveX, applets…) s’exécutent automatiquement lors de l’ouverture de fichiers non exécutables. !
Comment a-t-il infecté ma machine ? Lorsque l’exécution de ce programme malicieux a été provoquée, les actions qu’il est sensé faire vont pouvoir se réaliser. En général elles comportent toutes ou certaines des opérations suivantes : ! se dissimuler dans ma machine ; attendre qu’un événement survienne pour s’exécuter automatiquement ; réaliser à partir de ma machine une action que je ne contrôle pas.
Sous quelle forme est-il stocké dans ma machine ? ! Sous la forme d’un programme exécutable au nom alléchant ; Sous la forme d’un programme qui s’exécute au démarrage de ma machine ; Sous la forme de code greffé sur un programme exécutable ordinaire; Sous la forme d’un programme qui attend un certain événement pour être exécuté.
Comment s’active-t-il ? ! Sous la forme d’un programme exécutable au nom alléchant : Sous la forme d’un programme qui s’exécute au démarrage de ma machine : Sous la forme de code greffé sur un programme exécutable ordinaire : Sous la forme d’un programme qui attend un certain événement pour être exécuté : Je suis trop curieux… et je lance l’exécution du programme En exécutant un programme connu je provoque du même coup involontairement l’exécution du virus Chaque fois que ma machine démarre, le virus s’exécute Le programme-virus attend, tapi dans ma machine, une date, un ordre arrivant par Internet...
Quelle est son activité ? !!! Généralement, deux activités distinctes : * Se reproduire * Réaliser une action : amusante : une image qui apparaît... malveillante : effacer des données, voler des informations, permettre d’accéder à mes données...
Quelle est son activité ? !!! C’est en fonction de leur mode de fonctionnement qu’on classifie les virus : virus ordinaire ou bombe logique : un événement les déclenche, ils s’activent sur ma machine ; vers : ils se propagent par le réseau, Internet ou intranet ; chevaux de Troie : non détectables facilement, ils ouvrent des accès à ma machine.
Quelle est son activité ? !!! Virus ordinaire ou bombe logique : un événement les déclenche, ils s’activent sur ma machine. Une action au clavier, une date système particulière… vont en déclencher l’exécution. Plus tard se fait l’exécution, plus elle sera efficace. Ils font apparaître des images amusantes, effacent des fichiers sélectivement, altèrent des données d’une base, se reproduisent… Plus lente et imperceptible est l’action plus grande est son efficacité. Déclenchement : Action :
Quelle est son activité ? !!! Vers : ils se propagent par le réseau, Internet ou intranet. Ils s’auto-expédient par courriel et infectent les destinataires imprudents. Ils saturent les réseaux et/ou lancent des attaques simultanées par déni de service (dos). Reproduction : Action :
Quelle est son activité ? !!! Action : Chevaux de Troie : non détectables facilement, ils ouvrent des accès à ma machine Reproduction : Ils infectent les utilisateurs imprudents. Ils autorisent l’accès à ma machine à un internaute malveillant qui pourra y lire des données ou exécuter des actions : ils nécessitent une connexion Internet.
Comment se protéger ? !!!!!! Internet Un anti-virus qui détecte les virus et les éradique éventuellement Un pare-feu qui contrôle les accès Internet
! Définition d’un virus a posteriori : C’est un programme exécutable capable de se dupliquer intelligemment et susceptible de réaliser une action à partir de ma machine.
Comment savoir que ma machine est infectée ? mon écran affiche des données surprenantes et inhabituelles ; des fichiers disparaissent, des données sont modifiées ; ma liaison Internet est activée sans raison apparente ; il ne se passe rien de particulier et d’étonnant sur ma machine (parce que le virus est en attente) Beaucoup de « chance » que je ne me rende compte de rien, je suis infecté ! mon anti-virus me signale une infection certaine ou possible Le virus est vraisemblablement mis en quarantaine ou supprimé ; le risque est minimisé. Forcément, j’ai été imprudent
Comment l’anti-virus sait-il que ma machine est susceptible d’être infectée ? parce qu’il connaît déjà ce virus et qu’il le repère par sa signature ; parce qu’il repère un programme au comportement anormal ; parce qu’il détecte la modification anormale d’un programme exécutable. Un anti-virus n’est pas efficace à 100%
Comment le pare-feu fonctionne-t-il ? il ne laisse passer que des paquets de données destinés ou émanant de destinataires sûrs (connus par leur URL ou leur adresse IP) il bloque les paquets dont le comportement est estimé dangereux. Un pare-feu n’est pas efficace à 100% : il peut laisser passer des paquets dangereux ou bloquer des paquets utiles.
Qu’est-ce qu’un hoax ? C’est un canular, une fausse information : le hoax annonce un virus redoutable, recommande de supprimer des fichiers : au mieux il sature les réseaux et encombre les BAL ; au pire il amène certains utilisateurs à supprimer des fichiers sains, rendant ainsi leur machine inutilisable.