Vue d'ensemble

Quand on parle de virus, de vers et de chevaux de Troie, on évoque généralement un aspect négatif de l'informatique. Le terme générique regroupant ces notions est "programmes malveillants" (ou malware en anglais). Les programmes malveillants sont des programmes qui, de façon nuisible, bloquent l'accès aux données électroniques, les modifient, les effacent ou les rendent accessibles à des personnes non autorisées. Ils possèdent toujours une charge de virus (payload en anglais) produisant différents effets. Ils vont des manifestations inoffensives de leur présence à la suppression du contenu du disque dur, en passant par l'espionnage des données personnelles. On classe les programmes malveillants en trois catégories : les chevaux de Troie, les vers et les virus. Les logiciels espions et les logiciels de numérotation sont considérés comme des chevaux de Troie. Les canulars font également partie de cette catégorie dans un sens plus large.

Chevaux de Troie

Les chevaux de Troie, également appelés à tort des Troyens, se distinguent des vers et des virus par le fait qu'ils ne se reproduisent pas de façon autonome. L'expression "cheval de Troie", référence historique, décrit un programme qui fait croire à l'utilisateur qu'il possède une fonction particulière normale. Mais les chevaux de Troie contiennent en plus un segment caché, qui leur permet de pénétrer dans les ordinateurs infectés et leur donne un accès presque total au système, sans que l'utilisateur le remarque.
Dans ce cas de figure, les méthodes de camouflage des chevaux de Troie sont quasiment illimitées. Ils peuvent s'infiltrer dans les lignes de commandes des administrateurs des systèmes UNIX, comme passwd, ps, netstat (Rootkits simples), ou se présenter sous la forme de Remote Access Trojans (RAT, également appelés des portes dérobées). Ces programmes insidieux sont également envoyés par courrier électronique sous la forme d'économiseurs d'écran ou de jeux. Un seul démarrage suffit pour contaminer le système.

Points communs entre les virus et les vers

Les virus et les vers sont constitués des éléments suivants :

Reproduction	Cette section du programme permet de multiplier le virus. Cette phase est obligatoire pour tous les virus et les vers. La contamination peut se faire par le biais de disquettes (et d'autres supports de données amovibles), de dossiers partagés, des analyses réseau, des réseaux poste à poste, des courriers électroniques ou de la messagerie instantanée. Les parasites utilisent de nombreux points d'accès différents, qui fonctionnent uniquement avec des associations définies de matériel, de logiciels et de systèmes d'exploitation.
Détection	La fonction de détection permet de vérifier s'il y a déjà une infection avec ce virus. Chaque programme n'est infecté qu'une seule fois afin d'accélérer la propagation et de préserver le camouflage.
Charge virale	Les charges (payload) qui accompagnent les virus et les vers peuvent être classées dans les groupes suivants : Les portes dérobées permettent aux pirates d'accéder aux ordinateurs et aux données qu'ils contiennent. Ils peuvent ainsi manipuler les données ou déclencher des attaques par déni de service (DoS). Les données peuvent également être manipulées. Cela va des messages, des annonces et des bruits (plus ou moins drôles) jusqu'à la suppression de fichiers et de lecteurs. L'accès aux données peut être bloqué par le biais du chiffrement, par exemple. Il arrive aussi que des informations soient espionnées et divulguées. Les objectifs de ces attaques sont les mots de passe, les numéros des cartes de crédit, les noms d'utilisateur et autres données personnelles et secrets industriels. Souvent, les ordinateurs contaminés sont utilisés pour des attaques de déni de service. Les attaques de déni de service ont pour but de perturber un service ou un site à travers des questions envoyées fréquemment et en grand nombre. Si l'attaque ne provient que d'une seule source, alors il est très facile de la repousser. Dans le cadre des attaques par déni de service distribué (DDoS), les ordinateurs contaminés sont utilisés pour soutenir les attaques. Les attaques DoS et DDoS peuvent avoir pour but de redémarrer le système cible, de surcharger la bande passante et la capacité de mémoire ou de bloquer l'accès à un service du réseau. Une partie défaillante explicite peut aussi être absente. Mais le temps de calcul sollicité, la largeur de bande réseau requise et l'espace disque occupé représentent de toute façon une nuisance.
Conditions	La propagation des virus et des programmes malintentionnés peut prendre effet selon certaines conditions. Dans le plus simple des cas, un programme nuisible est automatiquement lancé sans que la victime s'en aperçoive. Dans certains cas, le payload doit être lancé par la victime. Il peut s'agir de l'activation d'un programme contaminé, de l'ouverture d'une pièce jointe ou de l'hameçonnage de données personnelles. Le lancement d'un programme malintentionné peut également être soumis à certaines conditions. Par exemple, un virus peut prendre effet à une certaine date ou après un certain nombre d'alertes. L'exécution peut également dépendre de la présence de certains programmes sur l'ordinateur.
Camouflage	Les vers, les chevaux de Troie et les virus s'efforcent de ne pas être détectés par les utilisateurs et les outils de reconnaissance des virus. Pour ce faire, ils utilisent toute une série de mécanismes. Ils savent, par exemple, repérer les débogueurs ou se protègent au moyen de lignes de codes superflues dépourvues de sens. Ils cachent les traces d'infection. Pour ce faire, ils falsifient les messages d'état ou les entrées des journaux. Un virus se trouvant dans la mémoire peut ainsi faire croire au système que la mémoire qui l'héberge est celle d'un programme précédemment supprimé. Cette procédure est notamment appliquée par les Rootkits. Pour ne pas être découverts, les virus sont souvent chiffrés et/ou chiffrent leur code nuisible. Pour le déchiffrement, soit ce sont toujours les mêmes clés qui sont utilisées, soit les clés sont tirées d'une liste (oligomorphes), soit elles sont recréées à l'infini (polymorphes). Les packers à durée de validité permettent de déstructurer les fichiers exécutables de telle manière qu'ils ne peuvent être détectés que par les dernières signatures antivirus.

Vers

Contrairement aux virus, les vers ne s'attachent pas aux fichiers exécutables. Ils se transmettent d'un ordinateur à l'autre par des connexions réseau ou entre ordinateurs.

Vers de réseau

Dans les réseaux, les ports d'ordinateurs choisis de manière aléatoire sont analysés. Dès qu'une attaque est possible, les vers exploitent les failles des protocoles (par exemple, IIS) ou de leur mise en application pour se propager. Lovsan/Blaser et CodeRed sont des représentants notoires de cette catégorie.
Sasser profite d'une erreur de dépassement de mémoire tampon dans le Local Security Authority Subsystem Service (LSASS) pour contaminer les ordinateurs connectés à Internet.

Vers de messagerie

Dans le cas de la propagation par courrier électronique, les vers peuvent utiliser les programmes de messagerie (par exemple, Outlook ou Outlook Express) ou posséder leur propre moteur de messagerie SMTP. En plus du trafic réseau qui en résulte et de l'augmentation des ressources système, les vers peuvent contenir d'autres fonctions nuisibles. Beagle et Sober sont des exemples célèbres de ce groupe.

Vers poste à poste

Les vers poste à poste sont copiés dans les zones de partage des bourses d'échange poste à poste, telles que Emule, Kazaa, etc. Là, ils attendent leurs victimes sous des noms de fichiers attrayants, comme ceux de logiciels à la mode ou de personnalités importantes.

Ver de messagerie instantanée

Les vers de messagerie instantanée utilisent les programmes de discussion pour se propager. Ils n'utilisent pas seulement les fonctions de transfert des fichiers. Ils envoient désormais souvent un lien vers un site Web nuisible. Certains vers de messagerie instantanée sont même en mesure de discuter avec les victimes.

Virus

Les virus cherchent, eux aussi, à se dupliquer et à se propager sur d'autres ordinateurs. Pour ce faire, ils s'accrochent à d'autres fichiers ou se nichent dans la section d'amorçage de supports de données. Ils s'introduisent souvent clandestinement sur les ordinateurs par le biais des supports de données amovibles (comme les disquettes), des réseaux (poste à poste inclus), des messages électroniques ou d'Internet.

Les virus peuvent s'implanter à de nombreux emplacements du système d'exploitation et agir via les canaux les plus divers. Il est possible de distinguer différents groupes :

Virus du secteur d'amorçage

Les virus de secteur d'amorçage ou virus MBR (Master Boot Record) s'installent avant le secteur d'amorçage d'un support de données et font en sorte que, lors d'une procédure de démarrage exécutée à partir de ce support de données, le code de virus soit lu avant le secteur d'amorçage original. Le virus peut ainsi se nicher en toute discrétion dans le système et est alors exécuté lorsque le disque dur est amorcé. Après infection, le code du virus reste souvent en mémoire. On appelle ces virus des virus résidant en mémoire. Le virus est transmis avec le formatage des disquettes et peut se propager sur d'autres ordinateurs. Les virus du secteur d'amorçage ne sont pas uniquement actifs lors du formatage. La commande DIR DOS peut ainsi déclencher la transmission du virus d'une disquette infectée. Selon les dommages, les virus du secteur d'amorçage peuvent être extrêmement dangereux ou seulement agaçants. Le plus ancien et le plus répandu de ces virus a été baptisé "Form".

Virus de fichiers

De nombreux virus se cachent dans les fichiers exécutables. Le fichier est alors supprimé/écrasé ou le virus s'accroche au fichier. Dans ce dernier cas, le code exécutable du fichier peut encore être utilisé. Lorsque vous activez le fichier exécutable, la plus grande partie du code du virus rédigé dans un assembleur est exécutée, puis le programme d'origine est lancé (s'il n'a pas été supprimé).

Virus multipartites

Ce groupe de virus est particulièrement dangereux car ses représentants s'en prennent aussi bien au secteur d'amorçage (ou aux tables de partitions) qu'aux fichiers exécutables.

Virus compagnons

Sous DOS, les fichiers COM sont exécutés pour les fichiers EXE du même nom. Lorsque les ordinateurs s'appuyaient uniquement ou fréquemment sur les lignes de commande, il s'agissait d'un mécanisme efficace pour exécuter en toute discrétion des codes nuisibles sur un ordinateur.

Macrovirus

Les macrovirus s'accrochent également aux fichiers. Ils ne sont cependant pas exécutables. Les macrovirus ne sont pas écrits dans un programme d'assemblage, mais dans un langage macro, comme Visual Basic. Pour être exécutés, ils ont besoin d'un interprète du langage macro, comme ceux intégrés à Word, Excel, Access et PowerPoint. Les macrovirus fonctionnent selon les mêmes principes que les virus de fichiers. Ils peuvent également se cacher, contaminer le secteur d'amorçage et créer des virus compagnons.

Virus furtifs et Rootkits

Les virus furtifs ou virus indétectables sont dotés de mécanismes de protection spéciaux leur permettant d'échapper à la détection par les programmes antivirus. Pour cela, ils prennent le contrôle de diverses fonctions du système. Une fois cet état établi, ces virus restent indétectables lors des accès normaux aux fichiers ou aux zones du système. Ils donnent l'illusion au programme antivirus que le fichier infecté n'est pas contaminé ou rendent les fichiers invisibles au programme de protection antivirus. Les mécanismes de camouflage des virus furtifs fonctionnent uniquement quand le virus réside déjà dans la mémoire de travail.

Virus polymorphes

Les virus polymorphes contiennent des mécanismes leur permettant de modifier leur aspect après chaque infection. Une partie du virus est ainsi chiffrée. La routine de chiffrement intégrée au virus génère à chaque copie une nouvelle clé, voire parfois de nouvelles routines. En outre, des séquences de commandes qui ne sont pas nécessaires au fonctionnement du virus peuvent être remplacées ou insérées accidentellement. Ainsi, on peut créer facilement des milliards de variantes d'un virus. Pour détecter et éliminer les virus chiffrés et polymorphes, les signatures de virus classiques ne sont souvent pas suffisantes. Le plus souvent, il faut écrire des programmes spécifiques. Les investissements nécessaires à l'analyse et la mise à disposition de moyens appropriés sont souvent très élevés. Le titre de champion des virus revient donc à n'en pas douter aux virus polymorphes.

Tentative de virus

La tentative de virus désigne un virus partiellement défectueux qui infecte un premier fichier mais n'est pas en mesure de se reproduire.

Virus de courriers électroniques

Les virus de courriers électroniques appartiennent au groupes des "blended threats" (menaces mixtes). Certains logiciels malveillants associent les propriétés des chevaux de Troie, des vers et des virus. Le virus Bubbleboy a montré qu'il était possible de contaminer un ordinateur dès l'affichage de l'aperçu d'un message HTML. Le code du virus se cache dans les courriers HTML et utilise une faille de sécurité de Microsoft Internet Explorer. Le risque présenté par ces "virus mixtes" ne doit pas être sous-estimé.

Chevaux de Troie

Les chevaux de Troie ne disposent pas de routines de propagation propres. Ils sont envoyés par courrier électronique ou sont cachés dans les bourses d'échange ou sur les sites Web. Leur classification dépend donc de leur fonction nuisible.

Backdoors

Les Backdoors ouvrent une porte dérobée au niveau de l'ordinateur infecté. L'ordinateur peut ansi être commandé à distance par le pirate. La plupart du temps, d'autres logiciels peuvent être installés et l'ordinateur peut être intégré à un réseau de robots, avec d'autres ordinateurs PC zombies. Il n'existe cependant également des possibilités d'utilisation légitimes. De nombreux administrateurs système utilisent des programmes de maintenance à distance pour administrer les ordinateurs à distance. Cette fonction est particulièrement utile dans les grandes entreprises. L'accès de l'administrateur système s'effectue habituellement ouvertement, avec le consentement des utilisateurs d'ordinateurs PC. Le programme devient un logiciel malveillant lorsque les fonctions de porte dérobée sont utilisées à l'insu des utilisateurs d'ordinateurs PC et que des actions nuisibles sont effectuées.

Logiciels publicitaires

Les logiciels publicitaires enregistrent les activités et les processus d'un ordinateur (habitudes de navigation, par exemple). Lorsque l'occasion s'y prête, des messages publicitaires sont alors affichés. Ou les résultats des recherches sont manipulés.

Logiciels espions

Les logiciels espions permettent de voler des données : des mots de passe, des documents et des données, les numéros d'enregistrement de logiciels, des adresses électroniques, etc. Les données sont recherchées sur les supports de données ou sont filtrées à partir du trafic réseau. Les données saisies au niveau des formulaires Web (des banques en ligne, notamment) sont également collectées. Dans le pire des cas, les pirates ont alors accès à tous les comptes de messagerie, forums et boutiques en ligne utilisés par la victime. Les délinquants en ligne aiment utiliser ce processus de camouflage.

Outils de téléchargement et injecteurs

De nombreux chevaux de Troie disposent d'une mission spécifique. Les outils de chargement et les injecteurs ont pour mission de charger ou de copier un fichier sur l'ordinateur infecté. Pour ce faire, ils essaient souvent d'amoindrir les paramètres de sécurité du système.

Logiciels de numérotation

Les logiciels de numérotation sont souvent installés sur l'ordinateur à l'insu de l'utilisateur. Lorsqu'une connexion de transmission des données est établie via un modem, lors de la connexion suivante, un numéro de téléphone coûteux (en 0900, par exemple) est utilisé. Depuis la mise en application de la loi de lutte contre l'utilisation abusive des numéros de prestataires à valeur ajoutée ((0)190/(0)900) du 15 août 2003, certaines conditions (délimitation des prix, inscription) ont été mises en place. Les composeurs restent cependant une véritable plaie, qui peut occasionner des dommages financiers importants. Les programmes anti-logiciels de numérotation, comme Dialer Control, protègent les ordinateurs des composeurs. Pour plus d'informations au sujet de la protection contre les logiciels de numérotation, reportez-vous au site www.dialerschutz.de.

Programmes malveillants au sens large

Pour être complets, nous évoquons également ici d'autres catégories de logiciels agaçants et partiellement nuisibles, qui n'appartiennent pas au groupe des logiciels malveillants.

Canulars

Les canulars sont des messages erronés, qui circulent souvent par courrier électronique. Le courrier électronique demande aux destinataires de retransmettre l'alerte à leurs amis et connaissances. L'objectif est généralement uniquement de créer un mouvement de panique. Pour en savoir plus…

Spam

L'envoi de courriers électroniques publicitaires ou de propagande indésirables est également un phénomène pénible et coûteux. Les programmes antispam récents associent des fonctions statiques (analyse de textes, listes de serveurs de messagerie) et statistiques (reposant sur le théorème de Bayes) pour filtrer les messages.

Hameçonnage

Le terme hameçonnage regroupe les tentatives qui consistent à obtenir des données personnelles, telles que les noms d'utilisateur, les mots de passe, les numéros de carte de crédit, les données d'accès bancaire, etc. par le biais de faux courriers électroniques ou sites Web. Pour ce faire, l'utilisateur est souvent attiré vers de faux sites Web. Ce phénomène s'est beaucoup intensifié au cours des dernières années. Des chevaux de Troie spécialisés occasionnent désormais des milliards de dommages. Pour de plus amples informations à ce sujet, consultez le site www.antiphishing.org (anglais).