Dossiers Sécurité: Les virus

   Les virus informatiques sont de plus en plus nombreux. L'éditeur de solutions de sécurité McAfee recense 53000 souches de virus et on estime qu'il s'en crée chaque mois entre 300 et 500. Avec le développement de l'Internet, leur champ d'action s'est considérablement accru. Il est quasiment impossible d'y échapper, et un jour ou l'autre, on se trouve face à l'un d'eux: les spécialistes ont calculé que chaque mois, 31 ordinateurs sur 1000 sont atteints par un virus.
Dans cette rubrique, nous allons vous expliquer comment fonctionnent les virus, les différents types, leur impact et nous vous donnerons les règles de base pour se protéger. nous attirerons aussi votre attention sur les faux virus ou canulars qui représente une véritable épidémie électronique de nos jours.

1- Qu'est ce qu'un Virus informatique ?

Un virus informatique est un programme autoreproducteur conçu pour se propager à d'autres ordinateurs. Ce sont des petits programmes qui modifient le système d'exploitation pour le rendre inopérant ou au moins mal fonctionnant.
Les virus infectent principalement les fichiers exécutables (*.EXE, *.COM, les s ?). Lorsque le programme ou le code infecté est lancé, il se répand dans d'autres programmes (ce qui rend la désinfection plus difficile). La plupart des virus se contentent de se multiplier, mais certains d'entre eux visent à causer des dommages tels que la suppression de données importantes ou le formatage du disque dur.
Les virus informatiques tiennent leur nom des virus biologiques. Cependant, on ne les trouve pas dans la nature. Ce sont des programmeurs ayant de mauvaises intentions qui les conçoivent et les répandent.

2- Comment fonctionne un Virus ?

Avant tout, rappelons qu'un virus est un programme comme tous les autres, mais il a le pouvoir de manipuler le système d'exploitation en rendant ce dernier totalement inopérant ou simplement en rendant son comportement inhabituel.

Par exemple :
Quand vous double-cliquez sur un fichier, le système d'exploitation exécute les taches suivantes :

Il vérifie le type du fichier.

  • Il cherche le programme adéquat pour ouvrir le fichier (dans une table, ou il y a les types des fichiers et leurs programmes correspondants).
  • Il exécute le programme.

Le virus peut changer les informations dans la table pour se lancer à la place du programme par défaut et faire des opérations spécifiques dont la plupart sont gênantes (par exemple l'impossibilité d'ouvrir le fichier) et parfois dangereuses (la destruction des fichiers).

Ceci n'est qu'un simple exemple, les concepteurs de virus, bien que malintentionnés sont en général très intelligents, et profitent de n'importe quelle faille dans le système d'exploitation pour faire marcher leurs virus.

3- Cycle de vie d'un Virus :

Les virus informatiques, tout comme les virus biologiques, possèdent un cycle de vie :

Création : c'est la période durant laquelle un programmeur développe un virus. La programmation se fait généralement en code assembleur.

Gestation : Il s'agit du procédé par lequel le virus est copié en un endroit stratégique afin que sa diffusion soit la plus rapide possible.

Reproduction (infection) : Les virus, de par leur nature, cherchent à se reproduire. Un virus correctement conçu se reproduira un nombre de fois important avant de s'activer.

Activation: Les virus possédant une routine de destruction ne s'activent que lorsque certaines conditions sont réunies. Certains s'activent à certaines dates, d'autres possèdent un système de compte à rebours interne. Même les virus ne possédant pas de telles routines et ne nécessitant pas de procédure d'activation spécifique peuvent causer des dommages à votre système en s'appropriant petit à petit l'ensemble de vos ressources.

Découverte: Cette phase de l'existence d'un virus n'est pas forcément consécutive à son activation, mais c'est généralement à ce moment là qu'elle a lieu. La découverte d'un virus est le moment où quelqu'un se rend compte de sa présence et parvient à l'isoler. Une fois cette opération réalisée, le nouveau virus est généralement transmis au NCSA (National Computer Security Association) à Washington DC où il est documenté puis distribué aux développeurs de logiciels antivirus.

Assimilation: Une fois la découverte faite, les développeurs de logiciels modifient leurs programmes pour qu'ils puissent détecter la présence du virus.

Elimination : Si un nombre suffisant de développeurs d'antivirus sont capables de faire face au virus et si suffisamment de personnes se procurent l'antivirus adéquat, il est possible d'éliminer un virus. Dans les faits, aucun virus n'a réellement disparu, mais un grand nombre d'entre eux ont cessé de constituer une menace réelle.

4- Que peut faire un virus à mon ordinateur ? Ou est le vrai danger ?

La plupart des virus n'ont pas de visées destructrices, ils ne font que se reproduire (en infectant d'autres fichiers) sans causer de dégâts. Leur but principal est de voler l'espace de votre disque ou de rendre votre machine plus lourde que d'habitude. Mais certains virus ne se contentent pas de cela ; leur plaisir est dans la destruction de vos données importantes ou le formatage de votre disque dur. Ces virus sont bien les plus dangereux car leur présence n'est remarquée qu'après la suppression d'une quantité importante de données.

Une autre catégorie de virus peut afficher les documents personnels d'un utilisateur dans les groupes de discussion.

Des virus, comptés parmi les plus dangereux n'hésitent pas à détruire votre matériel. Causant ainsi des dégâts importants.

Voici certaines des actions dont sont capables les virus.

  • afficher simplement un message
  • surcharger jusqu'à l'engorgement le disque dur,
  • affecter la mémoire et ralentir l'ordinateur,
  • supprimer certains types de fichiers, graphiques par exemple,
  • effacer des fichiers plus fondamentaux comme les fichiers du système d'exploitation, empêchant alors la machine de redémarrer,
  • carrément reformater le disque dur, ce qui occasionnera la perte de toutes les données
  • de lire tous les fichiers, confidentiels ou non
  • subtiliser des données
  • altérer des données

5- Comment les ordinateurs sont-ils infectés ?

Comme dit plus haut, on ne trouve pas de virus dans la nature ; ce sont des personnes qui les développent et les répandent. Les sources communes de provenance des virus sont :

  • Les disquettes ou les Cdroms infectés.
  • Le courrier électronique, un fichier attaché infecté.
  • Un réseau qui contient un ordinateur infecté.
  • Internet, par un simple téléchargement.

6- Quels sont les symptômes d'infection ?

Si votre système est infecté par un virus vous verrez un ou plusieurs symptômes. Voici quelques uns :

  • Un chargement d'un programme plus long que d'habitude.
  • Un réseau anormalement chargé.
  • Mémoire centrale insuffisante.
  • Espace disque réduit.
  • Taille de fichiers qui s'accroît anormalement.
  • Système et/ou programmes qui se plantent.
  • Messages d'erreurs généralement curieux.
  • Un jeu de ping-pong apparaît.
  • Les caractères s'écroulent.
  • Mélodies bizarres au format midi.
  • Accès disque multipliés.
  • Perte de fichiers et de données.
  • Programmes refusant de s'exécuter ou s'exécutent mais de façon anormale.
  • Auto-formatage du disque dur.

7- Les différents types de Virus :

Tous les virus appartiennent à l'une des deux catégories suivantes :

  • Les virus programmes : ce sont les virus conçus pour infecter un type particulier d'exécutables (*.EXE, *.COM, *.BAT?). Ces virus ajoutent du code dans les fichiers exécutables et ainsi si vous exécutez ces exécutables le virus s'activera et se chargera en mémoire centrale afin de contaminer encore d'autre programmes. Et il rendra ces programmes inutilisables.
  • Les virus d'amorçage : Ces virus envahissent les secteurs du disque dur contenant les programmes essentiels pour le démarrage et le bon fonctionnement du système. Ainsi quand vous démarrez votre ordinateur ces virus se chargent en mémoire et leur action peut aller de la contamination d'autres disques jusqu'à rendre inutilisable votre disque dur.

Bien sûr il existe d'autres classements pour les virus, citons :

  • Virus furtifs : ils échappent à toute détection en se camouflant ; ce qui rend la détection plus difficile.
  • Virus polymorphes : ces virus ont un aspect intelligent car ils modifient leurs aspects à chaque contamination. Nous pouvons dire que ces virus sont parmi les plus dangereux.
  • Virus cryptés : ils cryptent leur code, ce qui complique leur détection.

Le mot virus est souvent utilisé à tort pour designer d'autres types de programmes destructeurs. Il faut éclaircir ce point pour ne pas tomber dans l'erreur.

  • Cheval de Troie (en anglais : Trojan Horse) : c'est une bombe à retardement implantée dans un programme souvent envoyé comme fichier attaché dans un e-mail. Le cheval de Troie peut se déclencher à tout moment ou attendre un signal externe. Ce n'est donc pas un virus puisqu'il n'est pas conçu pour se reproduire et se propager. Quand vous l'exécutez, les fichiers essentiels de votre système peuvent être supprimés. Le cheval de Troie est utilisé aussi comme un programme de contrôle à distance qui permet aux pirates informatiques de contrôler votre ordinateur.
  • Vers (en anglais WORM) : Un ver est un programme autopropageable qui n'infecte pas d'autres programmes. Il a la capacité de se multiplier en se recopiant ; ses copies à leur tour se recopient et ainsi de suite. La croissance explosive du ver peut paralyser des réseaux entiers et peuvent servir de véhicules aux virus).

8- Impact et coût des incidents de Virus :

Avant les virus prenaient du temps pour causer un risque à une organisation. Mais avec la croissance d'Internet, la propagation des virus est devenue galopante et alarmante malgré les efforts de protection. En effet, les éditeurs d'antivirus affirment une croissance permanente dans le nombre de fichiers suspects d'infection virale détectés par leur clients.

Un seul virus est capable d'endommager un grand nombre d'organisations en quelques heures, les incidents qui en résultent sont coûteux et affectent les systèmes, les données et les services Internet.

Un incident de virus est définie comme étant un évènement ou au moins 25 PCs sont infectés en même temps avec le même virus. Cette situation nuisible est souvent considérée comme un désastre informatique vue les conséquences significatives encourues :

  • Interruption et crash des systèmes informatiques
  • Perte de la productivité
  • Perte de données et de ressources
  • Corruption de données
  • Impossibilité d'accès aux données

La perte de la productivité est considéré aussi comme étant le coût majeur associé à un incident de virus. Le recouvrement suite à ce type d' incident nécessite des efforts, des compétences, du temps et un coût financier.

Une étude récente menée par NCSA(National Computer Security Association) sur les incidents de virus estime que :

  • Un incident de virus infecte au moyenne 135 PCs
  • Le coût financier due à la perte de la productivité est au moyenne de 8106$
  • Le temps moyen d'interruption pour un serveur est de 5,8 heures
  • Le temps de recouvrement est en moyenne de 44.3 heures

9- Protection contre les Virus :

Actuellement, on compte 8500 virus connus avec une fréquence de découverte de 300 nouveaux virus par mois. Les menaces virales sont tellement envahissantes qu'aucun système n'est immunisé. La protection contre les virus est une obligation, la meilleure façon de se protéger est la prévention. Voici quelques recommandations :

Pour les utilisateurs

  • Installez une version récente d'un antivirus puissant et mettez la à jour régulièrement.
  • Mettez à jour le système d'exploitation pour éviter les failles de sécurité et appliquez les correctifs des vulnérabilités existantes.
  • Désactivez le démarrage à partir du lecteur de disquettes pour éviter toute intrusion de virus de boot.
  • Lancez régulièrement le scanner de votre antivirus pour vérifier le contenu de votre disque dur.
  • Désactiver l'emploi des macros inutiles dans les programmes.
  • Fixez le navigateur à une sécurité maximale afin d'éviter les programmes ActiveX malicieux contenus dans les pages Web et refuser les cookies.
  • Tout nouveau Cdrom, disquette et programme téléchargé doit être scanné avant d'être utilisé pour la première fois.
  • Tout fichier provenant d'Internet doit être soumis à l'antivirus avant d'être ouvert. les fichiers porteurs de virus sont :

>> Les fichiers exécutables (.exe, .com, .bat).

>> Les fichiers de librairies (.dll).

>> Les s exécutables visual basic (.vbs, .vbe, .vb).

>> Les s HTML (.hta) ou java (.js, .jse).

>> Les fichiers écran de veille (.scr).

>> D'autres fichiers d'extensions diverses (.pif, .lnk, .shs, .shb).

  • Évitez les partages de fichiers sans mot de passe
  • Sauvegardez régulièrement vos données, les fichiers systèmes et les fichiers de configuration pour un recouvrement en cas d'infection virale.
  • Abonnez vous à un service d’alertes virales par mail

Pour les organisations en réseau

  1. Définir et mettre en vigueur une politique antivirale adéquate en prenant en considération les facteurs suivants :
  • L'étendue et l'architecture du réseau
  • Le nombre des utilisateurs y compris les utilisateurs distants et nomades
  • Le degré d'interconnexion entre les PCs
  • Les points sensibles dans le réseau tels que : les passerelles Internet( passerelles WEB et passerelles FTP), les serveurs de messagerie internes et externes et les serveurs de fichiers.
  • La vitesse d'échange des données avec l'extérieur.
  1. Mettre à jour la politique antivirale.
  2. Éducation des utilisateurs qui consiste à :
  • Les sensibiliser aux problèmes des virus et les informer des modes de propagation des virus
  • Leur indiquer les actions à entreprendre pour se protéger et comment réagir en cas d'infection virale
  1. Pratiquer la veille permanente dans le domaine des virus

10- Les technologies antivirales :

Il existe trois principales méthodologies antivirales :

1. Les scanners

C'est la technique la plus ancienne et la plus utilisée, elle est basée sur les données d'empreintes ou signature pour identifier les virus présents dans un système. Une signature est une caractéristique particulière à un virus, ça peut être son nom, sa taille, ou d'une chaîne de caractères présente dans son code. Comme chaque virus a sa propre signature, les scanners intègrent une base de données de signatures. Le scanner surveille l'activité d'un système depuis son démarrage, il analyse de façon tout fichier ouvert ou en exécution résident dans le disque dur ou provenant de disquette, courrier électronique et téléchargement.

L'inconvénient de cette technique est qu'elle détecte uniquement les virus connus. Elle ne peut pas détecter les nouveaux virus inconnus. De plus la base de données des signatures nécessite une mise à jour régulière pour augmenter le champs de la détection.

2. Les contrôleurs d'intégrité des fichiers (Checksummers)

Cette technique s'appuie sur les caractéristiques des fichiers présents sur le disque dur telles que le nom, la taille, la date et l'heure de la dernière modification ou la somme de contrôle(checksum). Elle permet de détecter tout changement dans le contenu ou la structure des fichiers existants. Elle fait une comparaison des caractéristiques, s'il y a différence, il s'agit donc d'un virus.

L'avantage des contrôleurs d'intégrité est qu'ils n'ont pas besoin de connaître les caractéristiques d'un virus pour le détecter de même ils ne demandent pas de mise à jour régulière. Mais ils ont un inconvénient majeur, ils sont incapables de distinguer entre un virus et une modification normale de fichier. Ainsi ils sont souvent une source de fausses alertes virales. Sans oublier de mentionner que les alertes virales sont signalées après leur occurrence.

3. Les heuristiques

C'est une technique qui vise à analyser les fonctions et les instructions les plus souvent rencontrées dans la plus part des virus. Elle consiste à chercher des codes suspects correspondants à des fonctions virales comme des instructions de lecture suivies par des instructions d'écritures.

La méthode des heuristiques est plus intelligente que les deux précédentes, elle peut détecter et les virus connus et les virus inconnus sans autant avoir besoin de mises à jour fréquentes. Cependant, Les heuristiques sont limitées devant un nouveau type de virus(nouvelles fonctions virales) et déclenchent souvent de fausses alertes virales.

11- Les Antivirus :

Un anti-virus est un logiciel servant à détecter et éliminer les virus connus dont la mise à jour fréquente est indispensable vu l'apparition constante de nouveaux virus. Il existe un éventail de solutions antivirus pour toutes les plate-formes parmi les quelles il y a des antivirus spécialisés dédiés réseau, messagerie, passerelles Internet... et même des solutions complètes intégrants tous les composants pour la protection antivirale d'un réseau entier. Le choix d'une solution antivirus dépend de la politique antivirale ainsi définie, de la fiabilité et de la performance de l'antivirus.