LES VIRUS
HISTORIQUE Début 1960, trois informaticiens de chez Bell ont inventé un jeu ésotérique : un programme de combat à envoyer dans la mémoire vive de l’adversaire pour détruire le sien et inversement ( Core war ). En 1983, le chercheur Fred Cohen, pour inventer un programme parasite, une sorte de vie artificielle autonome comme en biologie, créait le premier virus informatique; dans son principe, ce virus informatique n’avait aucune volonté de nuisance et l’auteur le définissait ainsi : « un programme qui peut contaminer un autre programme en le modifiant par inclusion d’une copie de lui-même » En 1986, les frères Amjad du Pakistan élaborèrent, pour se protéger des contre-façons, le premier virus informatique nuisible, un virus de secteur de démarrage appelé « Brain », inclus dans les logiciels pour empêcher les copies pirates.
CLASSES DES VIRUS Apportés par disquette, C-D, attachements E-mail ou matériels téléchargés à partir du Web, on entend parler, beaucoup trop simplement, de : Virus informatique ou virus parasite Ver ( worm ) Cheval de Troie ( Trojan horse ou Trojan ou troyen ) Virus macros ( virus trans-applicatif ) Faux-virus ( Hoax, Myths, Urban legends… ) Alors que le problème est beaucoup plus complexe et a tendance à se compliquer de plus en plus. Les frontières de catégorisation deviennent floues et il est donc actuellement très difficile de classer les virus +++.
Qu’est un virus informatique ? C'est un mini-programme informatique pirate situé et caché dans le corps d’un autre ( comme un parasite ) qui , à son insu, - exerce une action nuisible à son environnement par une séquence maligne dénaturant:ses programmes exécutables ou ses fichiers « système » vitaux - se réplique par lui-même au sein d'un même ordinateur en infectant d'autres fichiers, c'est-à-dire en se cachant dans leur code. Il s'exécute lorsqu'on va ouvrir ou exécuter le fichier. Les virus sont conçus pour s’auto-répliquer sans que l’utilisateur en ait connaissance Ils contiennent dans leur « infecteur » des charges, actions que le virus réalise séparément de son programme de duplication.
Les actions des virus Catégorisation des virus en fonction de leur rôle : - ceux qui s’attaquent aux logiciels d’utilisation: virus fichiers : .exe .com .bat .sys - ceux qui s’attaquent aux zones d’amorce même du l’ordinateur ( disque dur et disquettes ) virus système : Boot sector FAT : tables d’allocation des fichiers Propagation des virus : - les virus d’ajout qui s’ajoutent à un programme augmentant ainsi sa taille, donc repérable. - les virus de superposition qui se substituent à des instructions ( lignes de commandes ) contenues dans le programme, sans en augmenter la taille.
Les variétés de virus Virus des secteur d’amorçage : virus de boot ( Dos et Windows ) ( dits de démarrage ) virus de partition, de Bios Virus parasites ( dits de programme ) non résidents, contagieux et résidents ( dans la mémoire vive) Virus « web-bug » intégrés à java et ActivX dans les mails en HTML: c’est une sorte de code intégré sur une page Internet . Virus polymorphes ( caméléon ) qui modifient leur descendance et changent de forme chaque fois qu’ils sont activés Virus furtifs qui contrôle la table d’interruption ; ils sont dits « intercepteurs d’interruption » et très difficiles à détecter. Virus mutants ( réécrits par un autre hacker ): ce sont des variantes. Virus flibustiers « Bounty hunters » ( ils modifient les anti-virus et les rendent non-opérationnels) Bombe logique « mail bomb » à mode de déclenchement différé.
Le ver ou worm C’est un virus modifié, qui a la faculté de se déplacer au travers d’un réseau : le premier ver a été le virus de réseau Internet décrit par R. morris en 1988 Un ver se transmet par des fichiers joints à des E-mail et se propage à l'insu de l'internaute vers d'autres destinations, Internet ou Intranet, en se servant des adresses de courriel contenues dans le carnet d'adresses. Il se répand tel quel, sans infecter d'autres fichiers, contrairement aux virus qui infectent le code d'autres fichiers. Un ver n’a pas besoin d’un support physique ou logique; il ne se reproduit pas, mais se déplace de manière autonome, en exploitant des mécanismes système ou réseau. Les vers été les plus diffusés par la « messagerie Outlook »
Le cheval de Troie ( trojans ou troyens) C’est un mini-programme simulant de faire quelque chose et faisant tout autre chose à sa place. Il s'infiltre sur le disque dur pour y effectuer des actions néfastes une fois à l'intérieur, dès qu'on exécutera son fichier porteur. En tant que tel le Trojan ne se reproduit pas, sauf s’il est associé. c’est le plus dangereux des virus, le plus féroce Il ne détruit pas de fichiers +++. Il se présente le plus souvent sous la forme de programmes anodins à caractère utilitaire ou d’un jeu. Il peut créer une faille dans la sécurité d’un réseau en instruisant des vulnérabilités « cachées » et marquer les systèmes pour qu’ils soient détectés ce seront alors des programmes espions : spywares ou espiogiciels. Parmi toutes ces actions, une catégorie de Cheval de Troie, le Backdoor, peut ouvrir la porte à son concepteur en émettant un message à l'intention de celui-ci, lui permettant de prendre le contrôle à distance de l'ordinateur ou d'y placer d'autres modules aux tâches les plus diverses.
Macro-virus dit trans-applicatifs Les virus de « macro instructions » sont très courants, car faciles à écrire avec peu de connaissances. Ils infectent les fichiers de logiciels qui possèdent un langage de macrocommandes ( en Visual Basic VB5 : VBScript ) et quand le logiciel ouvre un fichier infecté, le virus peut exécuter une série de commandes à la place du logiciel. Les macro-virus sont des macro qui se répliquent toutes seules et se copient dans le fichier de démarrage de l’application. Les programmes les plus vulnérables sont apparus avec Office 1997 : Word, Excel et PowerPoint. en effet les extensions .doc .xls .ppt contiennent à la fois les textes, les données et les macros associées.
Statistique de classification des virus Prépondérance des macro-virus en 1999 64 %
LES NOUVEAUX VIRUS Ces nouveaux virus tentent d’échapper aux détections : = soit en se masquant : fichier à double extension. = soit en utilisant des méthodes d’encryptage. = soit en effectuant de légères mutations chaque fois qu’ils se reproduisent. = soit en créant des associations de mini-programmes. Ces derniers virus sont dits virus multi-cibles. Ils attaquent à la fois les systèmes d’exploitation et les fichiers de données. L’exemple le plus caractéristique est le QAZ : ver + cheval de Troie + backdoor + virus
Les faux virus ou Hoaxes, Myths, Urban Legends Ce sont des annonces reçues par mail, des « canulars » Le Hoax de base sert à diffuser n’importe quoi sur le Web du moment qu’il soit diffusé.Il est conçu par un « Nerd » qui est un jeune féru d’informatique, qui voudrait être un Hacker, mais n’en n’a pas suffisamment les connaissances. Ils encombrent seulement les messageries et peuvent les bloquer. Le Hoax nouveau diffuse des informations sérieuses : - soit des instructions dangereuses, par méconnaissance, pour les novices. - soit une véritable désinformation des entreprises qui n‘est ni plus ni moins qu’une nouvelle forme de manœuvre d‘intelligence économique. NB : les Cookies ne peuvent absolument pas véhiculer de virus. Ce sont de petits fichiers stockés dans le disque dur à l’issue de la consultation d’une page Web. C’est votre navigateur qui mémorise les cookies et non le site Web ; ils permettront de vous identifier lors de votre prochaine visite. C’est l’utilisation qui en est faite par d’autres qui peut constituer une menace; certains programmes sont capables de lire ceux qui ne les concernent pas +++
MODE D’ACTION DES ANTI-VIRUS 1 = Les scanners ou détecteur de virus : chaque virus a une signature, c’est-à-dire une chaîne de caractères spécifiques ( chaîne d‘octets ou bits ) qui lui est propre et que l’on peut détecter par balayage en scannant le POP3 à intervalles réguliers. C’est valable pour les virus les plus simples, mais cela nécessite une mise à jour permanente. Mais ils sont inefficaces pour les virus polymorphes. 2 = Les algorithmes heuristiques soupçonnent dans certaines successions d’instructions la possibilité de virus ( rithme sans Y). Leur efficacité est permanente mais il y a possibilité de fausses alarmes, des faux positifs. 3 = Contrôleurs d’intégrité des fichiers I 4 = Moniteurs de comportements I pour virus multi-cibles 5 = Analyse spectrale I
LA PROTECTION CONTRE LES INTRUS 1 = avoir une disquette de démarrage ( voir www. cnrs.fr ) 2 = faire systématiquement des sauvegardes de tous les fichiers, des logiciels et des systèmes d’exploitation. 3 = partitionner son disque dur primaire. 4 = installer un deuxième disque dur avec, « en miroir », la copie des systèmes d’exploitation et des drivers. 5 = avoir un bon antivirus quotidiennement à jour. Norton, MacAfee, Pandora, Sophos etc… NOD 32 spécial pour I.E. +++ 6 = être cependant toujours sur ses gardes et très méfiant à l’égard tous les fichiers extérieurs ( .doc ) ( même « Klez » s’exécutait dès l’ouverture de l’E-mail !..)
et maintenant que vous savez tout… ALLEZ-Y...