Virus informatique

Have you considered sponsoring a child

Cet article fait partie de la série
Vers et virus informatiques
Virus
Tchernobyl

Vers
Bagle - Code Red - I love you
Nimda - Sasser - NetSky
Slammer

Canulars
Alerte au virus
Personne disparue
Lettre nigériane

Voir aussi
Sécurité informatique
Programmation

Un virus informatique est un petit programme écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'Internet, mais aussi les disquettes, les cédéroms, etc.

Son appellation provient d'une analogie avec le virus biologique puisqu'il présente des similitudes dans sa manière de se propager et de se reproduire.

Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments de système d'exploitation totalement sains.

Le Virus informatique est aussi une revue de l'informatique alternative des geeks.

Table of contents

1 Les différents types de virus
2 Caractéristiques
3 Les logiciels antivirus
4 Virologie
5 Dénomination des virus
6 Bibliographie
7 Liens externes

7.1 Sites généralistes
7.2 Éditeurs d'antivirus
7.3 Sites sur les canulars

8 Articles connexes

Les différents types de virus

Le virus classique est un morceau de programme, souvent écrit en assembleur, qui s'intègre au début d'un programme normal. A chaque fois que l'utilisateur exécute ce programme « infecté » il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus, lorsqu'il contient une charge virale, il peut après un certain laps de temps (qui peut être très long) ou un évènement particulier, corrompre des fonctions du système de l'ordinateur ou des fichiers de l'utilisateur. Cela peut aller d'un simple message anodin à la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique ou de charge utile.
Les vers, qui se répandent dans le courrier électronique en profitant des failles des différents logiciels de messagerie (notamment Microsoft Outlook). Dès qu'ils ont infecté un ordinateur, ils s'envoient eux-même dans tout le carnet d'adresses, ce qui fait que l'on reçoit ce virus de personnes connues. Certains d'entre eux ont connu une expansion fulgurante (I Love You)
Les macro-virus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme.
Les chevaux de Troie, ce nom vient de la célèbre ruse imaginée par Ulysse. Ces programmes sont souvent de petits jeux ou utilitaires, mais qui comportent une partie prenant le contrôle de l'ordinateur et permettant à quelqu'un d'extérieur de le contrôler par le biais d'Internet.

D'autres menaces peuvent être rapprochées des virus, ils s'en distinguent souvent par l'absence de système de reproduction caractéristique des virus :

Les spywares, logiciels espions accompagnant certains graticiels (mais pas les logiciels libres), partagiciels et pilotes de périphériques, s'installant discretement sur l'ordinateur, sans prevenir l'utilisateur, et collectant et envoyant des informations personnelles à des organismes tierces.
Les canulars (hoax en anglais) dont le contenu est souvent une alerte sur un faux-virus et qui ne visent qu'à saturer les serveurs de mails de messages inutiles.

Caractéristiques

la résidence : dès son exécution, le virus s'extrait de son hôte et va se loger dans la mémoire vive où il prend le contrôle de la machine ;

la cryptographie : à chaque réplication, le virus est crypté (afin de ne pas attirer l'attention d'un antivirus qui serait capable de reconnaître des instructions suspectes) ;
la furtivité : le virus « trompe » le système d'exploitation (et par conséquent les logiciels antivirus) sur l'état des fichiers infectés ;
le polymorphisme : le virus est capable de changer certaines de ses instructions au fil des réplications afin de rendre plus difficile la détection par les antivirus.

Les logiciels antivirus

Les antivirus sont des logiciels capables de détecter des virus et parfois de réparer les fichiers infectés sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi lesquelles :

la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ;
la détection d'instructions suspectes dans le code d'un programme ;
la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ;
la détection d'ordres suspects ;
la surveillance du lecteur de disquettes.

Virologie

Le terme virus informatique a été créé par analogie avec le virus en biologie : un virus informatique utilise son hôte (l'ordinateur qu'il infecte) pour se reproduire et se transmettre à d'autres ordinateurs.

Comme pour les virus biologiques, où la diversité génétique ralentit les chances de croissance d'un virus, en informatique ce sont les systèmes les plus répandus qui sont le plus atteints par les virus : (Microsoft Windows, Microsoft Office, Microsoft Outlook, Microsoft Internet Explorer et Microsoft Internet Information Server).
Cependant, des systèmes moins répandus ne sont pas touchés proportionnellement. La majorité des autres systèmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une gestion des droits de chaque utilisateur, qui leur permet d'éviter les attaques les plus simples et les dégâts sont normalement circonscrits à l'utilisateur, laissant la base du système d'exploitation intacte. Les versions professionnelles de Windows (NT/2000/XP pro) permettent cependant de gérer les droits de la même manière.

Le facteur le plus important de la multiplication des virus sous Microsoft Windows est sa grande popularité, qui fait de lui une cible de choix pour les créateurs de virus. De plus, l'ouverture par défaut de ports réseau, non indispensables au fonctionnement standard, mais réclamés par le système de mise à jour automatique et d'autres fonctionnalités très peu documentées. La possibilité d'exécuter automatiquement des scripts dans les courriels est une autre source d'infection.

La démocratisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions).
De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles.

Dénomination des virus

Lors de leur découverte, les virus se voient attribuer un nom.
Celui-ci est en théorie conforme à la convention signée en 1991 par les membres de CARO (Computer Antivirus Research Organization).
Ce nom se détermine ainsi :

en préfixe, le mode d'infection (macro virus, cheval de Troie, ver,...) ou du système d'exploitation concerné ;
un mot exprimant une de ses particularités ou la faille qu'il exploite (Swen est l'anagramme de News, Nimda l'anagramme de Admin, Sasser exploite une faille LSASS, ...) ;
en suffixe un numéro de version (les virus sont souvent repris sous formes de variantes comportant des similitudes avec la version d'origine).

Malheureusement, les laboratoires d'analyse des différents éditeurs antiviraux affectent parfois leur propre appellation aux virus sur lesquels ils travaillent, ce qui rend difficile la recherche d'informations.
C'est ainsi que, par exemple, le virus Netsky dans sa variante Q sera appelé W32.Netsky.Q@mm chez Symantec, WORM_NETSKY.Q chez Trend Micro, W32/Netsky.Q.worm chez Panda ou I-Worm.NetSky.r chez Kaspersky.

Il est cependant possible d'effectuer des recherches génériques pour un nom donné grâce à des moteurs de recherche spécialisés, comme celui de [Bulletin] ou de [Spicer].

Bibliographie

Naissance d'un virus et Mutation d'un virus de Mark Ludwig

Liens externes

Sites généralistes

Secuser : site d'alerte proposant une liste de diffusion afin d'être prévenu en temps réel, offrant des outils gratuits pour désinfecter et donnant la liste des canulars. Site en français.
Guide du 'safe-hex' : ensemble de suggestions pour vous aider à vous défendre contre les virus.

Éditeurs d'antivirus

Adresse de l'éditeur, nom de l'éditeur, produit (nom de l'antivirus)

http://www.free-av.com/ H+BEDV, AntiVir® Personal Edition
http://www.kaspersky-fr.com/ Kaspersky, Kaspersky antivirus
http://www.mcafee.com/ McAfee, McAfee VirusScan, N.A.I. Network Associates
http://www.pandasoftware.com/ Panda software, Panda Anti-Virus
http://www.symantec.com/ Symantec, Norton Antivirus
http://www.absoft.fr/absoft/produits/pccillin/ Trend Micro (distribué par ABSoft), PC-Cillin
http://www.sophos.fr/ Sophos Antivirus, Sophos
http://fr.trendmicro-europe.com/ Trend Micro
http://www.viguard.com/en/intro_en.php Tegam International, Viguard
http://www.avgfrance.com/ Grisoft, AVG
http://www.clamav.net/ ClamAV, Clam AntiVirus

Sites sur les canulars

http://www.hoaxbuster.com/ Site en français pour discerner les vrais des faux.
http://urbanlegends.miningco.com/library/blhoax.htm UrbanLegends, site plus généraliste en anglais qui consacre une section aux canulars.