Un article de Wikipedia.y-project.com.
Un virus informatique est un logiciel malveillant écrit dans le but de se dupliquer sur d'autres ordinateurs. Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'Internet, mais aussi les disquettes, les cédéroms, les clefs USB etc.
Son appellation provient d'une analogie avec le virus biologique puisqu'il présente des similitudes dans sa manière de se propager et de se reproduire. On attribue le terme de « virus informatique » à l'informaticien et spécialiste en biologie moléculaire Leonard Adleman (Fred Cohen, Experiments with Computer Viruses, 1984).
Le nombre total de virus couverts par Sophos s?élève à 93 875 (tous types confondus, en août 2004) d'après Mag-securs ([1]). Ce chiffre n'est qu'une approximation grossière du nombre réel de virus en circulation, chaque éditeur d'antivirus ayant intérêt à « gonfler » la réalité, d'autant plus que sur tous les virus identifiés, très peu atteignent le stade de la diffusion massive sur les réseaux. La très grande majorité concerne la plate-forme Windows. Le reste est essentiellement destiné à des systèmes d'exploitation qui ne sont plus distribués depuis quelques années, comme les 27 virus -aucun n'étant dangereux- frappant Mac OS 9 et ses prédécesseurs (recensés par John Norstad, auteur de l'antivirus Disinfectant).
Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments de système d'exploitation totalement sains.
[] Histoire
L'origine des virus informatique semble remonter au années 60 et au jeux Corewar inventé par des ingénieurs des laboratoires Bell. Le but est d'installer dans la mémoire vive d'un ordinateur deux programmes chargés de se retrouver. Le gagnant est celui qui aura réussi a détruire l'autre.
En 1984, le magazine Scientific american présente un guide pour fabriquer ses propres virus.
[] Les différents types de virus
- Le virus classique est un morceau de programme, souvent écrit en assembleur, qui s'intègre dans un programme normal (ou dans le Master Boot Record dans le cas d'un virus de boot), le plus souvent à la fin, mais aussi au début ou même au milieu. Chaque fois que l'utilisateur exécute ce programme « infecté » il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus, lorsqu'il contient une charge virale, il peut après un certain laps de temps (qui peut être très long) ou un évènement particulier, corrompre des fonctions du système de l'ordinateur ou des fichiers de l'utilisateur. Cela peut aller d'un simple message anodin à la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de bombe logique ou de charge utile.
- Les macro-virus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce programme.
- Les virus de boot, aujourd'hui obsolètes. Ils ont existé du temps des ordinateurs personnels sur lesquels l'OS résidait sur disquette (E.g. AppleII, AtariST, Amiga, AmstradCPC, IBM-PC XT et AT, etc.). Le virus se répliquait en se recopiant sur le premier secteur, de la première piste, de la disquette. Pendant le démarrage de la machine, ce secteur était lu par défaut par le lecteur, lors du premier accès à la disquette. Ainsi l'unité centrale déterminait l'adresse physique du code de l'OS à charger en mémoire. Comme ce secteur contenait beaucoup de place vide, il était aisé de le pour y ajouter du code nocif.
- Les virus-vers, apparus aux environs de l'année 2003 et ayant connu un développement fulgurant dans les années qui suivirent, sont des virus classiques car ils ont un programme hôte. Mais s'apparentent aux vers (en anglais "worm") car :
- Leur mode de propagation est lié au réseau, comme des vers, en général via l'exploitation de failles de sécurité.
- Comme des vers, leur action se veut discrète, et non-destructrice pour les utilisateurs de la machine infectée.
- Comme des vers, ils poursuivent des buts à visée large, tels que l'attaque par saturation (Denial Of Service) d'un serveur web par des milliers de machines infectées se connectant simultanément.
D'autres menaces existent en informatique, s'en distinguant souvent par l'absence de système de reproduction caractéristique des virus : le terme logiciel malveillant (en anglais spyware) est dans ce cas plus approprié.
[] Caractéristiques
- la résidence : dès son exécution, le virus s'extrait de son hôte et va se loger dans la mémoire vive où il prend le contrôle de la machine ;
- la cryptographie : à chaque réplication, le virus est chiffré (afin de dissimuler les instructions qui, si elles s'y trouvaient en clair, révéleraient la présence de ce virus ou pourraient indiquer la présence de code suspect);
- la furtivité : le virus « trompe » le système d'exploitation (et par conséquent les logiciels antivirus) sur l'état des fichiers infectés. Des rootkits permettent de créer de tels virus. Par exemple, l'exploitation d'une faille de sécurité au niveau des répertoires permet de masquer l'existence de certains fichiers exécutables ainsi que les processus qui leur sont associés ;
- le polymorphisme : le virus est chiffré et la routine de déchiffrement est capable de changer certaines de ses instructions au fil des réplications afin de rendre plus difficile la détection par les antivirus.
- le métamorphisme : contrairement au chiffrement simple et au polymorphisme, où le corps du virus ne change pas et est simplement chiffré, le métamorphisme permet au virus de sa structure même et les instructions qui le composent
[] Les logiciels antivirus
Les antivirus sont des logiciels capables de détecter des virus, détruire, mettre en quarantaine et parfois de réparer les fichiers infectés sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi lesquelles :
- la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ;
- la détection d'instructions suspectes dans le code d'un programme (analyse heuristique);
- la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles modifications ultérieures de ces fichiers par un virus ;
- la détection d'ordres suspects ;
- la surveillance des lecteurs de support amovible : disquettes, Zip, CD-ROM, ...
[] Virologie
Le terme virus informatique a été créé par analogie avec le virus en biologie : un virus informatique utilise son hôte (l'ordinateur qu'il infecte) pour se reproduire et se transmettre à d'autres ordinateurs.
Comme pour les virus biologiques, où la diversité génétique ralentit les chances de croissance d'un virus, en informatique ce sont les systèmes les plus répandus qui sont le plus atteints par les virus : (Microsoft Windows, Microsoft Office, Microsoft Outlook, Microsoft Internet Explorer et Microsoft Internet Information Server). Les versions professionnelles de Windows (NT/2000/XP pro) permettant de gérer les droits de manière professionnelle ne sont pas malheureusement immunisés contre ces envahisseurs furtifs.
Le facteur le plus important de la multiplication des virus sous Microsoft Windows est sa grande popularité, ce qui en fait une cible de choix pour les créateurs de virus. De plus, l'ouverture par défaut de ports réseau, non indispensables au fonctionnement standard, mais réclamés par le système de mise à jour automatique et d'autres fonctionnalités très peu documentées. La possibilité d'exécuter automatiquement des scripts dans les courriels sans contrôle est une autre source d'infection.
La démocratisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virus les plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur la machine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages web visitées ou de messages de groupes de discussions).
De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus qui trouvent de cette manière plus de cibles potentielles.
Cependant, des systèmes à diffusion plus restreinte ne sont pas touchés proportionnellement. La majorité de ses systèmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une gestion des droits de chaque utilisateur leur permettant d'éviter les attaques les plus simples, les dégâts sont donc normalement circonscrits à zones accessibles au seul utilisateur, épargnant la base du système d'exploitation.
Dans un autre genre, un OS comme MacOS 9 (et ses prédécesseurs) s'appuyant sur une couche logicielle en ROM était grandement protégé par l'impossibilité, pour un virus, d'altérer les instructions de celle-ci pour y placer du code malveillant.
Les concepteurs de virus et de logiciels malveillants, préférant la facilité ou poursuivant d'autres buts, s'abstiennent généralement de développer leur instruments pour les plateformes autres que Microsoft Windows. Néanmoins, Linux a vu apparaître fin 2005 ses premiers virus de type Rootkit.
[] Dénomination des virus
Lors de leur découverte, les virus se voient attribuer un nom.
Celui-ci est en théorie conforme à la convention signée en 1991 par les membres de CARO (Computer Antivirus Research Organization).
Ce nom se détermine ainsi :
- en préfixe, le mode d'infection (macro virus, cheval de Troie, ver...) ou du système d'exploitation concerné ;
- un mot exprimant une de ses particularités ou la faille qu'il exploite (Swen est l'anagramme de News, Nimda l'anagramme de Admin, Sasser exploite une faille LSASS, ...) ;
- en suffixe un numéro de version (les virus sont souvent repris sous formes de variantes comportant des similitudes avec la version d'origine).
Malheureusement, les laboratoires d'analyse des différents éditeurs antiviraux affectent parfois leur propre appellation aux virus sur lesquels ils travaillent, ce qui rend difficile la recherche d'informations.
C'est ainsi que, par exemple, le virus Netsky dans sa variante Q sera appelé W32.Netsky.Q@mm chez Symantec, WORM_NETSKY.Q chez Trend Micro, W32/Netsky.Q.worm chez Panda ou I-Worm.NetSky.r chez Kaspersky.
Il est cependant possible d'effectuer des recherches génériques pour un nom donné grâce à des moteurs de recherche spécialisés, comme celui de Virus Bulletin ou de Kevin Spicer.
[] Bibliographie
- LUDWIG Mark Allen, Naissance d'un virus, Addison-Wesley France
- LUDWIG Mark Allen, Mutation d'un virus, Addison-Wesley France
- FILIOL Eric, Les virus informatiques: théorie, pratique et applications, Collection IRIS, [2]
[] Liens externes
[] Sites généralistes
- Abc de la sécurité informatique : site offrant de nombreuses ressources, documentations et logiciels libres ou gratuits pour se protéger des attaques, sécuriser son système.
- Guide du 'safe-hex' : ensemble de suggestions pour vous aider à vous défendre contre les virus.
- FrSIRT : Centre de Recherche et de Veille en Sécurité Informatique.
- Secuser : site d'alerte proposant une liste de diffusion afin d'être prévenu en temps réel, offrant des outils gratuits pour désinfecter et donnant la liste des canulars. Site en français.
- Vulnerabilite.com : Portail francophone dédié à la sécurité des systèmes d'information, diffuse notamment des articles et communiqués de presse des éditeurs d'antivirus.
- VirusTraQ.com : observatoire francophone sur les virus informatiques, le spam (pourriel) et les applications indésirables (Logiciel espion/adware).
- [3] : Les virus sur IRC
[] Moteurs de recherche spécialisés
[] Logiciels antiviraux
Présentation :
- Site du logiciciel, nom de l'éditeur, produit (nom de l'antivirus)
[] Logiciels libres ou gratuits
- Mise en place d'anti-virus libres sur des serveurs mails Sendmail ou Postfix [9]
[] Logiciels commerciaux
[] Articles connexes
<span class="AdQ" id="de" style="display:none;" />
<span class="AdQ" id="de" style="display:none;" />lt:Virusas (programa)
Le Texte ci-dessus est disponible sous GNU Free Documentation License.
La source est wikipedia http://fr.wikipedia.org/wiki/virus informatique
