je vous propose ce petit texte qui explique certain virus et leur comportement a l égard de votre machine,
certaine personne se disent en sécurité avec un anti virus ou fond confiance a l entourage qui est le net en se disant "jamais chez moi ce truc la"
Et bien ce texte vous servira surement a mieux comprendre ce qui se passe dans votre pc et dans le monde du web
La cybercriminalité
La sécurité informatique (I)
Nul n'ignore qu'Internet est le terrain de chasse des pirates (hackers), des pervers et la proie des virus, des logiciel espions (spyware) et autre spam. Devant les conséquences parfois graves que peuvent provoquées leurs actions pour une entreprise, toutes ces formes d'activités sont considérées comme des crimes et punies comme tels. On y reviendra.
Tout utilisateur d'Internet ayant été ou pouvant un jour être victime des agissements de ces voyoux, nous insisterons dans cet article sur le fonctionnement et les méthodes de protection contre les virus, le phishing, le spam, les spywares et autre "social engineering". Pour ne pas alourdir cet article, nous détaillerons les risques et menaces qui planent sur nos biens informatiques, les vulnérabilités des systèmes et des logiciels ainsi que la manière de s'en protéger dans l'article consacré à la Prévention du piratage informatique.
Les virus
Parmi tous les risques qui menacent la sécurité de nos ordinateurs, le virus compte parmi les plus communs. Qu'est-ce qu'un virus informatique ? Il s'agit d'un programme indésirable qui s'installe à votre insu dans votre ordinateur. Ses lignes d'instructions lui disent comment agir, se multiplier et contaminer d'autres programmes et d'autres ordinateurs.
Ainsi que l'explique Microsoft, un virus informatique est un programme de quelques kilobytes. Les vers tel Slammer (alias Sapphire) font à peine 400 bytes.
Windows, un environnement fertile aux virus
Précisons immédiatement que les virus sont l'apanage de l'environnement Windows qui a toujours été la principale cible des créateurs de virus. En effet, vous ne trouverez pratiquement jamais de virus ou de spyware dans les environnements Unix et apparentés tels que Mac OS X ou Linux. Pourquoi ?
Ce sont les vulnérablités du système d'exploitation gérant l'ordinateur qui attirent les virus, et non pas le hardware, la plate-forme Intel ou Mac PPC par exemple. Ainsi, le fait d'installer un microprocesseur Intel dans un Mac ne va pas le rendre plus vulnérable aux virus et autres actions malveillantes.
Le modèle de sécurité Unix, adopté par Mac OS X, est conçu par défaut afin de protéger le système contre les menaces visant habituellement les autres plate-formes. On peut affirmer que Mac OS X a été, dès l’origine, développé avec la sécurité en tête, tout en sachant bien que le "risque zéro" n'existe pas.
Et de fait, il y a bien quelques virus qui s'attaquent aux Mac, tels que les "proof-of-concept", des virus d'essai comme "OSX.Macarena" mais ils ne sont pas vraiment là pour détruire (leur virulence est limitée à leur répertoire d'installation et ils s'effacent facilement), mais pour apporter la preuve aux concepteurs qu'il est possible de contaminer ces environnements.
Ceci dit, ainsi que l'a expliqué Kaspersky dans un rapport, Mac OS X n'est pas à l'abri des virus, il est seulement mieux protégé contre leurs attaques. Pour preuve, fin 2007, le premier Troyen (OSX.RSPlug.A) s'est attaqué aux Apple ainsi que l'explique cet article. Dorénavant, il faudra peut-être relativiser la sécurité du Mac OS X. Affaire à suivre.
En revanche, qu'il ne vous prenne pas l'idée d'installer une partition Windows sur votre Apple par exemple (via BootCamp), ce serait à nouveau ouvrir votre système aux virus et autres spywares.
Notons que votre système sera tout aussi vulnérable si vous utilisez une logiciel de virtualisation comme "Parallel Desktop" ou autre solution "Virtual PC for Mac" créant une machine Windows virtuelle sur Mac OS X. En revanche, la partition Mac OS X sera toujours protégée.
Notons qu'il existe quelques rares virus capables de s'attaquer à plusieurs systèmes d’exploitation malgré les différences inhérentes à chaque architecture logicielle. C'est notamment le cas du virus "Bi.a" écrit en assembleur qui peut être exécuté à la fois sous Windows et sous Linux. Mais ici également, il ne s’agit que d’un "proof of concept", pas d’un véritable virus malveillant. Toutefois, selon Kaspersky et SANS, dans le futur, de plus en plus de virus de cet acabit seront virulents. Cela a déjà commencé avec le virus Crossover, qui infecta les PC sous Windows et les PDA en février 2006. En conclusion, aucune plate-forme n’est invulnérable mais certaines le sont plus que d'autres...
Cette vulnérabilité congénitale de l'environnement Windows au sens large et le prix de certaines licences expliquent pourquoi en l'espace d'une génération (1981-2007), du monopole qu'il avait, Microsoft a vu ses parts de marchés se réduire à moins de 40% au profit de Unix, Linux et autre Mac OS X. A chacun d'en tirer la leçon.
Cette mise au point étant faite, décrivons en détail le mode de fonctionnement des virus informatiques et la manière de les éradiquer.
Evolution
Des dizaines de nouveaux virus sont disséminés chaque jour sur le web, la plupart provenant des nouvelles républiques de l’Est européen, dont la population est souvent sans emploi mais qualifiée, ainsi que d'Europe occidentale (France, Sud de l'Angleterre, Flandre, Pays-Bas), des Etats-Unis et d'Extrême Orient.
En 1990, on avait répertorié entre 200 et 500 virus sous DOS avec une augmentation moyenne de 0.6 virus/jour. Depuis, le nombre de virus a doublé chaque année avec une accélération à partir de 1992. En 1996, on franchit la barre des 10000 virus. En 2000, on dénombrait 50000 virus.
Aujourd'hui Kaspersky liste près de 550000 virus et dispose de 213193 signatures. Le "Nanoscan" de Panda Software est capable d'identifier plus d'un million de signatures !
On peut tout de suite se demander si les deux anti-virus sont aussi complets l'un que l'autre, sachant que l'un dispose de deux fois plus de signatures que son concurrent ? La réponse est "oui, probablement", car il faudrait effectuer un comparatif pour en être certain. Nous allons y revenir.
Les virus informatiques. Grâce à leur programme ils peuvent malgré tout se multiplier et contaminer votre ordinateur et vos programmes. Comme une infection, ils doivent être éradiqués au risque de provoquer des problèmes software et hardware.
En fait, certaines sociétés créent une seule signature par virus mais elle permet d'identifier plusieurs formes de virus. C'est ainsi que travaille Kaspersky notamment. En effet, certains vers (worms) mutent et existent sous plus de 400 variantes qui représentent autant de signatures supplémentaires ! Il s'agit des polymorphes tel "The Whales", un virus d'à peine 10 KB existant en 33 variantes. D'un autre côté, une société concurrente peut, pour des raisons de stratégiques commerciales ou pratiques, créer autant de signatures qu'il y a de virus et mutants, ce qui va donner au total un nombre impressionnant de signatures, qui peut effectivement être deux à cinq fois supérieur à son concurrent.
Notons également que les encyclopédies de virus telle la viruslist tenue à jour par Kaspersky n'a rien d'encyclopédique et ne liste qu'une petite fraction de tous les virus existants. Vos meilleures sources d'information sont encore les forums. On y reviendra.
L'éradication des virus et autre malware est un combat permanent qui durera aussi longtemps qu'il existera des informaticiens criminels. Ce n'est pas pour rien que McAffee a choisi ce nom : n'avez-vous jamais remarqué que cela signifie "make a fee" : souscrivez, autrement dit acheter notre logiciel anti-virus. En effet, les mises à jour sont quotidiennes...
En novembre 1991, David M. Chess du High Integrity Computing Laboratory d'IBM rapportait dans le magazine "Virus Bulletin" que quelque 30 virus étaient responsables des attaques à travers le monde. Aujourd'hui elles sont l'oeuvre d'environ 180 virus tel que l'explique l'observatoire WildList qui surveille l'activité des virus sur le web.
Les types de virus
On regroupe les virus en 5 grandes familles. Les virus de boot se cachent dans le secteur d'amorce du disque qui est lu au démarrage de l'ordinateur. Ces virus remplacent le secteur de boot par une copie d'eux-mêmes, puis déplacent le secteur original vers une autre portion du disque. Il va sans dire que même après un formatage du disque, ils sont toujours là !
Puis vient la grande famille des virus applicatifs qui infectent les fichiers exécutables (.exe, .com, .sys, .inf, .dll, .vbs, etc). Ils remplacent l'amorce du fichier de manière à être lancé avant le programme infecté, puis ils lui rendent la main incognito, camouflant ainsi leur exécution en arrière-plan. C'est assez vicieux, mais c'est la façon d'agir des virus ! Actuellement les virus ne peuvent pas exploiter les images (.JPG, .GIF), les fichiers sons (.WAV, .MP3, etc) ni les fichiers vidéos (.MPEG, etc) mais c'est sans doute une question de temps.
Il y a également les virus de macro (macro virus) qui se logent dans les macros des logiciels bureautiques comme Word ou Excel et les virus email qui perturbent les messageries électroniques.
Enfin le ver (worm) est un virus se propageant à travers le réseau et les messageries et donc sans support physique ou logique (ni disque dur, ni fichier, etc). Son but vise avant tout à saturer la bande passante du réseau pour provoquer une panne des ordinateurs.
Citons à part deux formes de "programmes espions". Le Troyen (Trojan) qui est en fait un "cheval de Troie", c'est-à-dire un programme malveillant que tout utilisateur peut télécharger par inadvertance, généralement en cliquant sur les liens d'une page piratée (spoofing) ou sur une bannière dédiée à cette activité et qui permet à un pirate informatique de soit accéder à distance à votre ordinateur soit d'en extraire des données personnelles.
C'est dans cette catégorie qu'on trouve les fameux réseaux Botnet des PC zombies, sur lesquels nous reviendrons.
Enfin, il y a le mouchard (spyware), un programme qui, un peu à l'instar des Toyens et des "cookies" dont on reparlera, renvoie à son expéditeur des renseignements sur l'environnement installé sur l'ordinateur ou le profil de l'internaute.
Les Troyens et les mouchards
Si les Troyens et les mouchards (spyware) ne sont pas des virus, ils produisent des effets tout aussi agaçants et indésirables pour sa victime.
Parmi les mouchards citons "VirusProtect Pro", un soi-disant logiciel anti-spyware justement, qui s'installe grâce au troyen "Zlob.Trojan" et ses variantes. N'accédez pas au site (dont je ne vous indique pas l'URL) sans avoir installé au préalable un logiciel anti-spyware ou anti-virus sur votre PC, sinon la contamination est assurée !
Ne faites jamais totalement confiance à ce que vous lisez sur Internet ! Sous un aspect sérieux et anodin, cette page cache en réalité un mouchard qui s'installe grâce au Troyen "Zlob.Trojan"...
Consultez en revanche le site Remove Viruprotectpro pour plus de détails sur ce Troyen et comment l'éradiquer. En fait toute solution anti-spyware ou anti-virus en vient à bout.
Ce spyware s'installe généralement lorsque vous accédez à un site litigieux (pornographique, peer-to-peer, etc), qui vous propose d'installer un Codec vidéo/audio pour visualiser les vidéos du site. En fait, si vous acceptez, il va exploiter un Troyen téléchargé antérieurement sur votre PC ou va en installer une dizaine sur votre disque dur.
Pour éviter ce genre de mésaventure, vous devez donc toujours bien réfléchir *avant* de cliquer sur un lien que vous ne connaissez pas.
N'accédez donc jamais à ce genre de requête si d'une part vous avez déjà la possibilité de lire des fichiers multimédia sur votre PC et si la demande provient d'un site inconnu. En cas de doute, ouvrez une autre session Internet et passez quelques minutes à vous renseigner sur le site en question avec des mots clés comme "spyware" et "virus". Si cela répond positivement, méfiez-vous !
Si vous acceptez de télécharger l'application, ce mouchard va installer l'icône d'un bouclier ressemblant à celui du Windows Security Center dans la barre des tâches. Ensuite, le message d'avertissement suivant apparaîtra régulièrement en bas de votre écran "The system has detected a number of active spyware applications that may impact the performance of your computer. Click the icon to get rid of unwanted spyware by downloading an up-to-date anti-spyware solution." Il a l'air de vouloir vous aider, mais il vous ment, car c'est lui le mouchard !
Entre-temps il aura pris la peine de modifier la page d'accueil d'Internet Explorer et de modifier des dizaines d'entrées dans la registry. Il vous sera impossible de supprimer ce Troyen et tous les autres mouchards qu'il aura installé sans l'intervention d'un bon logiciel anti-spyware ou anti-virus.On y reviendra.
Les réseaux Botnet : des PC zombies
Plus vicieux sont les réseaux "Botnet". Un virus peut également en cacher un autre, à savoir qu'il peut télécharger un autre virus. Ainsi fonctionne certaines variantes du ver "Mydoom" qui transite par e-mail. Il vous salue par exemple d'un sympatique "Hi", "Remember me ?" ou vous envoie soi-disant des photos mais il tente en fait de télécharger le virus troyen backdoor Surila écrit en Visual C++.
Son "payload", sa charge ou sa fonction est de créer un proxy server sur votre PC, le rendant ainsi accessible au spammer par l'ouverture d'un canal sécurisé sous protocole IRC (Internet Relay Chat).
Installé dans un réseau, le virus agit comme un programme (un script automatique) et apparaît aux administrateurs système comme un utilisateur ordinaire. Bien sûr, installé sur un PC isolé, ses process apparaîtront en clair et pourront être identifiés.
En quelques jours, un pirate peut ainsi prendre discrètement le contrôle de milliers d'ordinateurs "zombies" distribués à travers le monde, formant ce qu'on appelle un "bottom network" ou "Botnet".
Les experts en cybercriminalité de l'Internet Security System d'IBM (Cf le blog de la X-Force Intelligence) ont ainsi découvert qu'il était possible de louer les service d'un réseau Botnet constitué de 150000 PC pour la modique somme de 350$ par semaine ! Ces PC servent de relais aux spammers. Ainsi des cybercriminels peuvent louer ce réseau Botnet et conduire en toute impunité une campagne de spam (flooding) à l'insu de tous. Leur but est de "couler" les serveurs de messagerie des grandes entreprises sous l'importance du trafic.
Symantec a dénombré 6 millions d'ordinateurs Botnet dans le monde durant le second semestre 2006, ce qui représente 29% d'augmentation par rapport au semestre précédent. Toutefois, le nombre de serveurs utilisés pour relayer ces commandes aux PC zombies (les "bots") a diminué de 25%, indiquant que les propriétaires de réseaux Botnet ont renforcé leurs réseaux et augmenté la taille des réseaux existants.
Ainsi que l'explique cet article de Panda Software, l'iPhone d'Apple était à peine commercialisé (juillet 2007) qu'il faisait déjà l'objet d'une attaque par l'un des 7500 ordinateurs zombies du Botnet à travers le virus Troyen "Aifone.a" qui effectuait un phishing (usurpation) de la page d'iPhone.com. Vous trouverez plus de détails dans l'article consacré à l'iPhone.