[CLUSIF] Les Virus Informatiques

LES DOSSIERS TECHNIQUES

LES VIRUS

INFORMATIQUES

Dcembre 2005

Espace Menaces - Groupe Virus

CLUB DE LA SECURITE DES SYSTEMES DINFORMATION FRANAIS

30, rue Pierre Semard, 75009 PARIS Tl. : +33 153 25 08 80 Fax : +33 1 53 25 08 88

e-mail : [email protected] - Web : http://www.clusif.asso.fr

Les Virus Informatiques I CLUSIF 2005

REMERCIEMENTS

Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce document, tout particulirement :

Michel BERTIN

Olivier GUERIN CLUSIF

Olivier ITEANU ITEANU & ASSOCIES

Pascal LOINTIER ACE INSURANCE

Franois PAGET McAfee

Jean-Charles SIMON MICHELIN

Nous remercions aussi les membres ayant particip la relecture.

Les Virus Informatiques II CLUSIF 2005

TABLE DES MATIRES

1. HISTORIQUE....................................................................................................................................................... 1

2. TYPOLOGIE DES INFECTIONS INFORMATIQUES .................................................................................. 6 2.1 INTRODUCTION............................................................................................................................................... 6 2.2 LES GRANDES FAMILLES D'INFECTIONS........................................................................................................... 6

2.2.1 Programmes simples................................................................................................................................. 6 2.2.2 Programmes auto-reproducteurs............................................................................................................ 10

2.3 CLASSEMENT PAR CIBLE............................................................................................................................... 10 2.3.1 Virus programme.................................................................................................................................... 11 2.3.2 Virus systme .......................................................................................................................................... 12 2.3.3 Virus multipartites .................................................................................................................................. 12 2.3.4 Virus interprts ..................................................................................................................................... 12 2.3.5 Les vers ................................................................................................................................................... 15 2.3.6 Les robots ............................................................................................................................................... 18

2.4 FONCTIONNALITS ....................................................................................................................................... 18 2.4.1 Modes d'infection.................................................................................................................................... 18 2.4.2 Gchette de dclenchement .................................................................................................................... 21 2.4.3 Charge virale .......................................................................................................................................... 22 2.4.4 Fonctionnalits supplmentaires ............................................................................................................ 22 2.4.5 Principes d'identification........................................................................................................................ 24

2.5 LES AUTRES ENVIRONNEMENTS.................................................................................................................... 25 2.5.1 Virus sur Macintosh................................................................................................................................ 25 2.5.2 Linux et les systmes dexploitation Unix............................................................................................... 25

2.6 LES AUTRES LMENTS PERTURBATEURS ..................................................................................................... 26 2.6.1 Farces ..................................................................................................................................................... 26 2.6.2 Rumeurs (hoaxes) ................................................................................................................................... 26 2.6.3 Le courrier non sollicit (spam) ............................................................................................................. 28 2.6.4 Les arnaques financires ........................................................................................................................ 29 2.6.5 Les lettres chanes................................................................................................................................... 30

3. ORGANISATION DUNE DFENSE EN PROFONDEUR .......................................................................... 31 3.1 LES RESSOURCES PROPRES LUTILISATEUR................................................................................................ 32 3.2 LES RESSOURCES PARTAGES....................................................................................................................... 33 3.3 LES PASSERELLES ......................................................................................................................................... 33 3.4 LE MONDE EXTRIEUR.................................................................................................................................. 34 3.5 LA DIMENSION HUMAINE .............................................................................................................................. 35 3.6 LA POLITIQUE DE MISES JOUR .................................................................................................................... 35 3.7 LA POLITIQUE DE PARAMTRAGE ................................................................................................................. 36

4. TYPOLOGIE DES PRODUITS ANTIVIRUS................................................................................................. 37 4.1 LES MTHODES DE DTECTION ..................................................................................................................... 37

4.1.1 La recherche par signature .................................................................................................................... 37 4.1.2 La recherche gnrique .......................................................................................................................... 37 4.1.3 Le contrle dintgrit ............................................................................................................................ 38 4.1.4 La recherche heuristique ........................................................................................................................ 39 4.1.5 Le monitoring de programmes................................................................................................................ 39

4.2 LRADICATION............................................................................................................................................ 40 5. LASPECT JURIDIQUE ................................................................................................................................... 41

5.1 LES ACTIONS JURIDIQUES POSSIBLES ............................................................................................................ 41 5.2 PRISE EN CHARGE DE LATTAQUE ................................................................................................................. 41 5.3 LARSENAL JURIDIQUE EN FRANCE............................................................................................................... 42

5.3.1 La responsabilit civile........................................................................................................................... 42 5.3.2 La responsabilit pnale......................................................................................................................... 43

5.4 REGARD SUR LINTERNATIONAL................................................................................................................... 47 5.4.1 Convention du Conseil de lEurope sur la cybercriminalit .................................................................. 47

Les Virus Informatiques III CLUSIF 2005

5.4.2 Directive europenne 2000/31................................................................................................................ 49 5.5 QUELQUES CONSEILS ................................................................................................................................... 49

6. LASSURANCE CONTRE LES VIRUS .......................................................................................................... 52 6.1 PRINCIPES DASSURANCE ............................................................................................................................. 52 6.2 SOUSCRIPTION DUN CONTRAT ..................................................................................................................... 52 6.3 APPEL EN GARANTIE..................................................................................................................................... 53 6.4 EVOLUTION DE LA GARANTIE ....................................................................................................................... 53

7. CONCLUSION ................................................................................................................................................... 55

Les Virus Informatiques 1 CLUSIF 2005

1. HISTORIQUE

1940 -1949 - La thorie

Le mathmaticien John Von Neumann dveloppe le principe thorique des automates et des machines reproductrices. Sa thorie se fonde sur les principes de la machine de Turing o le concept de machine calculer est tendu celui de machine construire.

1960 - 1980 - Les premiers vers

Dans un but ludique, divers informaticiens dveloppent un nouveau concept de jeu informatique (Core War). Pour chacun d'entre eux, il s'agit d'crire un programme (qu'ils appellent organisme ) capable de crer des copies de lui-mme tout en cherchant liminer les programmes adverses.

Dautres chercheurs mettent au point des programmes de dmonstration et des utilitaires capables de raliser des tches rptitives sur diverses machines dun mme rseau. Ces programmes nont rien de malveillant. Certains experts redoutent cependant une mauvaise utilisation ou un dysfonctionnement. Les prdictions se ralisent, elles marquent la fin des expriences.

1980 -1988 - La gense des virus

A partir de 1981, quelques exemples de diffusion de codes auto-reproducteurs sont signals sur APPLE-II. A cette poque, il n'est pas fait mention du terme virus informatique . Dans le contexte qui nous intresse, celui-ci est utilis pour la premire fois par Fred Cohen en 1984.

En 1986, les premiers cas d'infections font leur apparition dans le monde PC. Certains auteurs sont identifis : Basit et Amjad Farooq Alvi pour le virus Brain, Ralf Burger pour Virdem. Les universits sont en premire ligne avec lapparition de Lehigh Lehigh (USA), Jrusalem Technion (Isral), Stoned Wellington (Nouvelle-Zlande), Ping-Pong Turin (Italie).

A cette mme priode, apparaissent les premiers vers spcifiquement malveillants. Le plus fameux dentre eux atteint Internet le 2 novembre 1988 et porte les initiales de son crateur : RTM (Robert Tappan Morris). 5% des machines du rseau sont touches, et lincident est lorigine de la cration des CERT (Computer Emergency Response Team).

1989 -1992 - Les choses srieuses commencent

Alors quapparaissent les premiers anti-virus, aucune rgion du monde n'est pargne par le phnomne. La propagation se fait principalement par lentremise de disquettes, cest une propagation lente.

Le printemps 1989 est marqu par l'alerte au virus Datacrime et sa forte rsonance mdiatique. Aux Pays-Bas, la police prend le problme au srieux, laction de Datacrime est considre comme un acte criminel. Elle demande un programmeur dcrire un dtecteur et le met ensuite la disposition du public dans les commissariats contre une somme minime.

Cette anne l, on recense une cinquantaine de virus. En Bulgarie, un inconnu se faisant appeler Dark Avenger en imagine de nouveaux. Les procds quil met au point augmentent la capacit de propagation et la difficult de dtection. Certains de ses outils sont qualifis


de rvolutionnaires . Ils sont toujours source dinspiration pour de nombreux auteurs de virus actuels.

La seule recherche d'une signature n'est plus efficace, certains virus, comme la srie des V2Px de Mark Washburn possdent un algorithme de chiffrement qui rend leur apparence diffrente sur chacune de leur copie. Ces virus polymorphes rendront la vie difficile nombre de produits anti-virus. Ils devront mettre au point des outils de dcryptage gnriques.

En 1991, les grands diteurs, Symantec, McAfee, Docteur Solomon proposent dj leurs produits. Le nombre de virus passe de 250 1000. Parmi eux, on retiendra les noms de Flip, Tequila et Maltese Amoeba.

Des serveurs ddis lchange de virus voient le jour dans le monde entier. Le premier dentre eux est Bulgare, il participera fortement la notorit des auteurs de lEst de lEurope. Dark Avenger l'utilisera pour diffuser le premier gnrateur de chiffrement qui permet de rendre polymorphe un virus cr par ailleurs. On dcouvre en Australie une nouvelle variante de Stoned. Elle est destructrice le 6 mars de chaque anne, jour anniversaire de la naissance de Michelangelo (1475). Ce virus provoquera en 1992 le principal vnement mdiatique du domaine.

1992 1995 Gnrateurs et sophistication

Le premier virus ciblant Windows est diffus en septembre 1992. Il nest pas performant mais tient compte de la structure segmente des fichiers.

Dautres virus se dotent de fonctionnalits de protection contre les logiciels anti-virus (anti-debug, greffe sans point d'entre en dbut de programme, contamination lente...). On assiste la multiplication des groupes d'auteurs de virus, des gnrateurs de virus, gnrateurs de chiffrement et des sources.

Les virus ne cessent de se complexifier. Natas, One-Half, Tremor et Monkey en sont quelques exemples.

Ce sont cependant les virus systme qui se propagent le plus en reprsentant 80% des infections recenses. Les principaux portent les noms de Form, Jumper.B et Antiexe.

1995 1999 - Les virus de macros

Avec WM/Concept, les virus de macros font leur apparition en aot 1995. L'ide n'est pas nouvelle, mais cette mise en circulation contraint les entreprises rviser leur politique de scurit. En effet, le virus ne se propage plus exclusivement via un programme excutable mais aussi par le biais dun fichier bureautique que lon avait tendance considrer comme un simple fichier de donnes.

Un an plus tard, XM/Laroux est le premier virus oprationnel sous Excel. Toute la suite Office de Microsoft sera bientt atteinte dans ses diffrentes versions. Malgr quelques tentatives, les autres plates-formes telles que Lotus AmiPro/WordPro, Corel 7-9 ou Visio 5 ne seront jamais une vritable cible. Les auteurs de virus prfrent sacharner sur le leader mondial.

En 1996, Boza est le premier virus spcifiquement cr pour Windows 95. Issu du mme groupe dauteurs, Staog sera le premier virus ciblant Linux.

Les langages de macro font de nombreux adeptes. On compte plus de 1000 macro-virus en juin 1997. En un an, le nombre total de virus connus passe de 15000 40000.


Alors quapparaissent en 1998 les premiers virus de script, les virus systme disparaissent et 80% des alertes virales concernent des macro-virus.

Les systmes dexploitation Windows redeviennent petit petit le terrain de prdilection des auteurs de virus. Toutes les techniques de furtivit et de cryptage qui sappliquaient la plate-forme DOS sont actualises pour fonctionner aussi bien en environnement 16 bits que 32 bits.

1999 2000 Linvasion des mass-mailers

L'utilisation des disquettes se rarfie. Les changes informatiques par e-mail prennent le relais. Le premier virus mondialement connu qui exploite la messagerie lectronique apparat en janvier 1999. Il s'agit de W32/Ska@M. Il ne cible quun destinataire chaque activation. Il lui faudra plus de 6 mois pour faire son premier tour du monde.

En mars 1999, 2 jours auront suffit W97M/Melissa@MM. Il cible d'un coup 50 destinataires.

Les macro-virus sont toujours d'actualit ; ils laissent cependant de plus en plus la place des virus utilisant des langages de script (VBScript et JavaScript) ou la programmation en assembleur 32 bits.

Avec VBS/Loveletter@MM, la vitesse de propagation sacclre encore. S'attaquant chaque activation l'ensemble des destinataires des divers carnets d'adresses, il ne mit que quelques heures pour envahir la plante (mai 2000).

Ces nouveaux venus que l'on nomme aujourd'hui des mass-mailers se propagent par lentremise dune pice jointe. En octobre 1999 JS/Kak@M dmontre quun virus peut sen affranchir. Au format HTML, une simple prvisualisation suffit infecter la machine.

Au 1er janvier 2000, on recense plus de 56000 virus.

Les quipements nomades, tels que les assistants numriques (PDA, Personal digital Assistant) et les tlphones portables, offrent de nouvelles plates-formes de recherche. Une vingtaine de virus ou chevaux de Troie, Proof of Concept (PoC), sont conus pour les systmes dexploitation des organiseurs de lpoque : PoC correspond la faisabilit technique mme si, ensuite, le programme malveillant nest pas rpandu. En juin 2000, VBS/Timofonica@MM nest quun mass-mailer de plus. Il retient cependant lattention du public, car il est capable denvoyer des messages SMS aux utilisateurs du service de portable espagnol Telefonica. En aot apparat Liberty, le premier Cheval de Troie ddi aux assistants Palm. Les systmes dexploitation de ces nouveaux quipements ne sont pas encore suffisamment sophistiqus mais les auteurs de virus cherchent de nouvelles voies.

Parmi les mass-mailers , les virus programmes (W32) vont petit petit simposer. Les techniques de dtection gnrique et heuristique sont de plus en plus efficaces face aux virus de macro et de script. Plus complexes, les virus programmes peuvent mettre en uvre des processus rendant plus difficile la dtection. Au travers dun mme fichier, ils peuvent largir leurs techniques de propagation.

Chaque mois, de nouvelles vulnrabilits sont mises jour. Sils ne les dcouvrent eux-mme, les auteurs de virus sempressent de les utiliser pour augmenter les capacits de propagation.


2001 2002 Le vrai retour des vers

Plus de 80% des virus recenss sont des mass-mailers, ce sont aussi des virus programmes. La frontire entre auteurs de virus et hackers samenuise. De nombreux virus, tels que W32/Sircam@MM et W32/Bugbear@MM, transportent des portes drobes et des outils de collecte dinformation.

En septembre 2001, W32/Nimda@MM est le premier virus pouvant se prvaloir du titre de virus Internet . Ses multiples modes de propagation lui permettent une propagation optimale via la messagerie, les serveurs IIS, les partages rseaux et les consultations Web. Il infecte les serveurs mais galement les stations de travail.

Les virus cherchent utiliser Internet pour se mettre jour. W32/Babylonia@M et W32/Hybris@MM en sont deux exemples.

W32/CodeRed.A voit le jour en juillet 2001, cest un vritable ver, uniquement en mmoire dans sa version initiale, il infecte 350.000 machines autour du monde en 24 heures. Cest beaucoup plus que Loveletter !

2003 2004 - De nouveaux moyens de propagation et de nouveaux objectifs

Le nombre total de virus et autres programmes malveillants dpasse maintenant les 100 000.

Un an et demi aprs CodeRed, le 25 janvier 2003, apparat W32/SQLSlammer.worm. Les leons apprises nont pas vraiment servi. Le correctif de scurit bloquant la faille utilise par le virus tait connu depuis juillet 2002, mais de nombreuses machines taient toujours vulnrables cette attaque. En 10 minutes, 90% des machines vulnrables taient atteintes. Selon les sources cest entre 75.000 et 350.000 machines qui furent infectes. Le chiffre le plus lev est sans doute le plus probable.

Les mass-mailers continuent denvahir nos botes aux lettres. Ceux de la famille W32/Klez@MM sont particulirement persistants.

Lchange de fichiers musicaux et vido est une pratique de plus en plus courante sur le Net. Divers logiciels gratuits permettent ces changes de fichiers entre les internautes. Le nombre de virus utilisant comme moyen de propagation cette technologie dchange, dite poste poste, augmente trs rapidement. On en compte plus de 300 au dbut de 2003 et plusieurs milliers la fin de cette mme anne. Ciblant plus particulirement le grand public, cette nouvelle technique de propagation se rajoute aux autres. Associe aux prcdentes, elle offre un mme virus une meilleure capacit de propagation.

Des liens stablissent entre les auteurs de virus et les autres acteurs lis la criminalit informatique. Les virus diffusent toutes sortes doutils dattaque qui exploitent au mieux les ressources de lInternet. La mise en place de serveurs relais parasites permet la diffusion massive et anonyme de courriers non sollicits. Des robots, programmes malveillants permettant une prise de contrle distance de machines vulnrables se propagent et forment des rseaux dattaque cachs (ou botnet). Diverses tentatives de capture de code confidentiels lis, entre autre, aux activits bancaires sont exprimentes (W32/Bugbear@MM, W32/Sobig@MM, W32/Mimail@MM). Mme si les rsultats semblent peu concluants, ils rvlent le changement de cap qui samorce : le virus quitte le monde ludique pour servir des intrts frauduleux.

En janvier 2004 apparat W32/Mydoom@MM. Se propageant principalement au travers de la messagerie lectronique, il est aussi capable dinvestir le rseau dchange de fichiers KaZaA. Depuis cette date bien dautres virus ont suscit le trouble. Les mmoires

retiendront entre autre les batailles que se livrrent les auteurs de Netsky et Bagle durant le premier semestre 2004. On notera aussi l'apparition du ver Witty ds le lendemain de la publication de la faille qu'il utilise. On s'approche ainsi de l'exploitation immdiate des vulnrabilits publies (zero day attack).

Trs logiquement, les concepteurs de virus PoC sattaquent des modles trs rpandus afin daugmenter les opportunits de propagation. Le systme dexploitation des tlphones Nokia devient une cible privilgie. Il existe deux modes opratoires pour la contamination et la propagation :

- Sappuyer sur la technologie Bluetooth et solliciter du possesseur du tlphone linstallation dun logiciel. La dmarche est identique celle qui incitait au double-clic pour excuter un programme sur un PC. Toutefois, les messages ne sont encore trs attractifs : Install Kill Saddam , Install CommWarrior , etc.

- Utiliser la technologie MMS pour transporter puis faire installer un programme excutable malveillant.

Rsultat de linfection dun tlphone portable par le virus SymbOS.Skull2



2. TYPOLOGIE DES INFECTIONS INFORMATIQUES

2.1 Introduction

Les infections informatiques sont des programmes ou des sous-ensembles de programmes malveillants qui, linsu de lutilisateur, sont destines perturber, modifier ou dtruire tout ou partie des lments indispensables au fonctionnement normal de lordinateur. On diffrencie les programmes simples et les programmes auto-reproducteurs.

Lorganisation de lactivit et le bon fonctionnement du systme dinformation peuvent galement tre perturbs par la diffusion de courriers ou dlments non sollicits tels que :

- des farces, en anglais jokes : programmes inoffensifs et ddis, le plus souvent, l'amusement,

- des courriers non sollicits, plouriels, en anglais spam : messages caractre commercial sappuyant ventuellement sur une usurpation dadresse lectronique,

- des arnaques financires tel que le scam : messages vous proposant un montage financier attractif derrire lequel se cache une escroquerie qui sarticule autour dune demande davance de fonds de la part de la victime,

- des rumeurs, en anglais hoaxes : informations malveillantes et non fondes qui sont diffuses pour inquiter les destinataires ou discrditer une personne ou un organisme,

- des lettres chanes : messages sappuyant sur la crdulit des destinataires faisant appel la pit, la gnrosit et/ou la superstition et proposant ventuellement un enrichissement personnel,

Nous verrons plus loin que ces attaques ont de nombreux points communs avec certains chevaux de Troie ou virus.

2.2 Les grandes familles d'infections

2.2.1 Programmes simples

Un programme simple contient une fonctionnalit malveillante (payload) cache qui se dclenche ou sinitialise lors de son excution. Il n'y a pas propagation. En un seul exemplaire, ce programme doit tre introduit dans l'ordinateur cibl. Cest souvent lutilisateur lui-mme qui, par manque de discernement, introduit le programme. Ce processus peut galement tre le travail dun virus.

Laction induite peut avoir un caractre destructif ou simplement perturbateur. Elle peut tre immdiate ou retarde dans le temps. Dans de nombreux cas, le programme appel sinstalle linsu de lutilisateur et modifie les paramtres du systme pour ensuite sexcuter chaque dmarrage de la machine. Il agit alors de manire discrte et continue.

On retrouve dans cette catgorie :

- les bombes logiques,


- les chevaux de Troie,

- les portes drobes,

- les outils de capture dinformation,

- les outils dattaque rseau,

- les outils dappropriation de ressource.

2.2.1.1 Bombe logique

Cest un programme contenant une fonction destructrice cache et gnralement associe un dclenchement diffr. Cette fonction a t rajoute de faon illicite un programme hte qui conservera son apparence anodine et son fonctionnement correct jusqu'au moment choisi par le programmeur malveillant. Elle peut tre conue pour frapper au hasard ou de manire cible.

Exemple de bombe logique cible : un programmeur insre dans le programme de paie de lentreprise qui lemploie une fonction de destruction dont lexcution est dclenche si son nom disparat du fichier du personnel.

Exemple de bombe logique aveugle : un programmeur insre dans un logiciel public distribu gratuitement sur Internet une routine de destruction qui se dclenche chaque 1er avril.

2.2.1.2 Chevaux de Troie et portes drobes (en anglais backdoors)

Ces programmes permettent dobtenir un accs non autoris sur les quipements qui les contiennent.

On utilise le terme de cheval de Troie lorsquil sagit dune fonction cache et rajoute au sein dun programme lgitime quelconque. Le terme de porte drobe sapplique tout programme malveillant spcifiquement ddi cet effet.

Il s'agit en fait de lun des lments dune application client/serveur permettant la prise de contrle distance dun PC. Deux ordinateurs entrent en jeu. Le premier contient l'lment client, il pilotera le processus. Le second est la machine cible ; il contient l'lment serveur le cheval de Troie ou la porte drobe. Il devra tre actif sur la machine pour pouvoir initier la connexion avec le client. Le pirate interroge le rseau, au travers d'une adresse IP. Si celle-ci est joignable, la connexion s'effectue.

Une telle prise de contrle distance peut tre lgitime (opration de tlmaintenance) ou non. Dans le cas d'un acte malveillant, le propritaire de la machine visite a excut son insu llment serveur ; il ignore que son poste peut tre visit.

Avant 1998, ces programmes ne faisaient gure parler d'eux. Cette anne l, toute une srie d'outils furtifs de prise de main distance ont t mis disposition sur le Web. Les plus connus furent Back Orifice et Socket23.

Back Orifice (en rfrence Back Office de Microsoft) fut cr par un groupe de hackers baptis le culte de la vache morte (The cult of the Dead cow - cDc). Voici les premires lignes d'un texte qui fut disponible sur leur site :

Back Orifice is a remote administration system which allows a user to control a computer across a tcpip connection using a simple console or GUI application. On a local LAN or across the internet, BO gives its user more control of the remote Windows machine than the person at the keyboard of the remote machine has.


Avec de tels outils, un pirate est mme de prendre le contrle total de sa cible. A titre d'exemple, notons qu'il peut :

- analyser la configuration de la machine et du rseau sy rattachant,

- modifier la base de registre,

- naviguer dans les rpertoires,

- envoyer/recevoir des fichiers,

- excuter un programme sur la machine,

- rebooter, verrouiller lordinateur,

- visualiser laffichage et surveiller les frappes au clavier,

- mettre des sons.

2.2.1.3 Outils de capture dinformation

Les techniques de collecte dinformation sont diverses. Il est possible de classifier les outils utiliss en fonction de linformation recherche.

2.2.1.3.1 Renifleur de clavier et de mots de passe

Un renifleur de clavier (en anglais keylogger) est un programme permettant d'enregistrer les frappes au clavier. Son rle ne se limite pas lenregistrement dventuels mots de passe. Il peut tre slectif ou enregistrer lintgralit des informations qui transitent sur le priphrique de saisie. Les outils spcifiquement ddis la capture de mots de passe prennent souvent la dnomination anglaise de Password-Stealer (PWS).

La plupart de ces dispositifs sont invisibles. Les frappes clavier sont gnralement crites dans un fichier temporaire chiffr et envoy automatiquement, par courrier lectronique, l'espion.

Beaucoup de virus actuels diffusent ces diffrents outils. Ils profitent du mode de propagation viral pour sinstaller plus aisment sur de nombreuses machines qui deviennent ainsi vulnrables ce type dattaque.

Certains keyloggers sont en vente libre (exemple: Ghost Keylogger ou Keylogger pro).

2.2.1.3.2 Publiciel et espiogiciel

Au fil de la navigation sur le Web, divers programmes sont installs sur lordinateur linsu de lutilisateur. Ils sont plus communment connus sous leurs terminologies anglaises dadware et de spyware.

Un adware (Advertising Supported Software) est un logiciel qui permet d'afficher des bannires publicitaires. La plupart des annonceurs sont juridiquement lgitimes et leur socit commerciale reconnue. Les programmes ne diffusent pas dinformation vers lextrieur mais permettent la planification cible de messages daccroche.

Les spywares sont des adwares qui installent sur le poste de l'utilisateur un logiciel espion et envoient rgulirement et, sans accord pralable, des informations statistiques sur les habitudes de celui-ci. Certains spywares ne se contentent pas de diffuser de linformation. Ils modifient les paramtres systme leur avantage pour imposer, lutilisateur qui en est la victime, un certain


mode de navigation sur le Web. Ces logiciels peuvent aussi capturer vos habitudes en consultation hors ligne. Ils expdient les rsultats de leur collecte chaque ouverture du navigateur.

Certaines rumeurs font tat dune utilisation de la carte son des fins dcoute. Cette technique est tout fait envisageable mais aucun cas concret na pu tre tabli.

Pour contrer tout cela, il existe aujourdhui des solutions spcifiques de dtection-radication, mais les nouvelles versions des logiciels antivirus prennent aussi en compte les spywares. Plus que jamais, la mise jour de la base de signatures est ncesaire.

2.2.1.4 Outils dattaque rseau

2.2.1.4.1 Attaque en Dni de Service (DoS, Denial of Service)

En terme de serveur et, plus rarement de poste client, une attaque de type DoS est une activit consistant empcher quelqu'un d'utiliser un service. Pour ce faire, lattaquant utilise un programme qui cherche rendre le systme cibl indisponible en le faisant se suspendre ou en le surchargeant.

En terme de rseau, une attaque de type DoS consiste submerger la victime d'un flot de trafic suprieur sa capacit de traitement. La bande passante est alors sature et le rseau devient indisponible.

2.2.1.4.2 Attaque en Dni de Service Distribu (DDoS)

Il sagit dune attaque de type DoS qui utilise un grand nombre de machines simultanment.

Ce type d'attaque se droule gnralement en deux temps. L'attaquant tente dabord dinstaller son outil sur le plus grand nombre de machines possibles. Celui-ci est programm pour se dclencher soit sur commande (cas des botnets), soit un instant prdfini. Il doit ainsi provoquer une surcharge bien plus importante que dans le cas dune attaque unique.

2.2.1.5 Outils dappropriation de ressources

2.2.1.5.1 Numroteur furtif

Un numroteur furtif (en anglais dialer) est un programme grant une connexion rseau distance. Il s'agit souvent de faciliter une liaison vers un site au contenu licite par le biais dun numro tlphonique surtax. Ces programmes s'installent gnralement de manire silencieuse lors de la navigation Web.

Dans certains cas, le programme dialer dmarre en mme temps que l'ordinateur sans que l'utilisateur en ait la connaissance. Il tablit la liaison automatiquement et reste en ligne aussi longtemps que la session est ouverte. Ils concernent essentiellement les connexions en bas dbit via la ligne tlphonique, lADSL impliquant un autre mode daccs Internet.

2.2.1.5.2 Relais de spam

Installs sur la machine linsu de son propritaire, ces mini-serveurs permettent lmission du courrier non-sollicit (spam) vers les victimes de spammeurs. Cette technique leur vite de se faire eux-mmes dtecter et bloquer directement par leur fournisseur daccs. Cette pratique quivaut un dtournement de ressources.


2.2.2 Programmes auto-reproducteurs

La finalit d'un programme auto-reproducteur est identique celle d'un programme simple. Il s'agit dexploiter, de perturber ou de dtruire.

A sa premire excution, le programme cherche se reproduire. Il sera donc gnralement rsident en mmoire et, dans un premier temps, discret.

Si elle existe, la fonctionnalit malveillante (payload) s'effectuera dans un dlai plus ou moins court et sur un critre quelconque prdfini (trigger).

Pour de nombreux virus la perturbation se limite la reproduction et tous les ennuis qu'elle engendre. Il n'y a pas proprement parler de fonction malveillante (absence de payload).

Les vers et les virus forment eux seuls la famille des programmes auto-reproducteurs, on les retrouve au premier rang des infections informatiques.

A l'poque du ver RTM (du nom de son auteur: Robert Tappan Morris), la distinction entre ver et virus est gnralement acquise mme si elle apparat parfois des plus fines :

- Un ver (daprs la dfinition de Peter Denning en 1990) est un programme capable de fonctionner de manire indpendante. Il se propage de machine en machine au travers des connexions rseau. Un ver ne modifie aucun programme, il peut cependant transporter avec lui des portions de code qui pourront, par la suite, effectuer une telle activit (virus par exemple).

o La terminologie anglaise worm est drive du mot tapeworm imagin par John Brunner dans une de ses uvres de science-fiction Sur londe de choc .

- Un virus (daprs Fred Cohen en 1984/87) est un programme capable d'infecter d'autres programmes en les modifiant pour y inclure une copie de lui-mme qui pourra avoir lgrement volu. Le virus ne peut pas fonctionner d'une manire indpendante. L'excution du programme hte est ncessaire son activation. Par analogie avec son cousin biologique, il se multiplie au sein de l'environnement qu'il cible et entrane corruption, perturbation, et/ou destruction.

Tout code malveillant mme de se propager est souvent considr comme un virus. Selon cette thorie, les vers ne sont alors quun sous-ensemble dans la famille des virus. Cest le parti pris que nous prendrons dans la suite de ce document. Notons cependant quil nexiste pas de consensus ce sujet dans la communaut anti-virale et diverses autres dfinitions circulent.

2.3 Classement par cible

Il existe quatre catgories principales de virus. Elles ont chacune une cible bien prcise :

- Les virus programme, dont le vecteur de contamination principal est constitu par les excutables,

- Les virus systme, dont le vecteur de contamination est le secteur de partition ou le secteur de dmarrage (Boot Sector),

- Les virus interprts qui regroupent les virus de macro sur les documents et les virus de Script utilisant un langage de programmation particulier qui se rapprochent de la programmation par lot (batch),


- Les vers qui, comme nous lavons vu, sont les infections typique des rseaux. De nombreux virus cumulent les cibles et renforcent ainsi leur capacit de contamination. Ils prennent alors les noms de virus multipartites ou multifonction.

Une nouvelle classe de programmes malveillants se dveloppe depuis 2003 : il sagit des robots. Ils cumulent souvent une fonctionnalit de type ver et une activit dappropriation de ressources, dattaque rseau et/ou despionnage.

2.3.1 Virus programme

Les virus programme cherchent infecter les excutables binaires compils. Le principe de fonctionnement est le suivant :

1) le virus est prsent dans un fichier excutable,

2) lorsque celui-ci est excut, le virus choisit et contamine un ou plusieurs autres fichiers,

3) il agit gnralement par ajout entranant une augmentation de taille,

4) sil se maintient rsident en mmoire, il infecte d'autres fichiers l'excution, ou simplement lors d'une manipulation.

Il existe plusieurs types de programmes, et chacun d'eux peut faire l'objet d'une attaque virale spcifique :

Programmes DOS. Jusquen 1999, la majorit des virus programmes fonctionnaient sous DOS et ciblaient les fichiers excutables par ce systme d'exploitation. Dj limite cette poque, la proportion des infections dues ces virus DOS na cess de diminuer pour tre presque inexistante aujourdhui. Les plus courants dentre eux taient rsidents en mmoire et utilisaient la technologie par ajout. Ils taient souvent furtifs, crypts et polymorphes.

Application Windows 16 bits. Ces programmes sont aussi appels New Executable (NE EXE). On les rencontre dans les environnements Windows 3.x. Une trentaine de virus ciblant cette plate-forme ont t recenss. Leur diffusion a t quasi nulle.

Application Windows 32 bits. Ces programmes sont aussi appels Portable Executable (PE EXE). Les fichiers VxD sont appels Linear Executable (LE). On les rencontre dans les environnements Windows actuels. En forte expansion, certains utilisent des fonctions non documentes du noyau de Windows et tout comme leurs prdcesseurs, ils peuvent prsenter des caractristiques de furtivit, et de polymorphisme. Ils pourront tre - ou non - rsidents en mmoire.

A lorigine, des CD-ROM de jeu furent le principal vecteur de leur diffusion. Cette nouvelle technique reprsentant un nouveau challenge pour les auteurs de virus, de nombreux sites Internet les proposaient au tlchargement grand renfort de publicit.

Aujourdhui, leur diffusion se fait par la messagerie lectronique, les disques partags et les changes de fichiers sur le modle poste poste . Linfection locale des fichiers sur le poste de travail nest quune fonctionnalit complmentaire aidant la propagation du virus au travers du rseau.

Pour tre complet, il nous faut citer les applicatifs OS/2 (NE New Executables - LX) et Linux (ELF Internal Format). Quelques virus existent galement dans ces domaines.


2.3.2 Virus systme

Pralablement l'apparition des macro-virus, les virus systmes taient -de loin- les plus rpandus. Ils infectent les zones systmes des disques durs ou des disquettes :

- secteur de partitions (MBR, Master Boot Record) pour les disques durs,

- secteur damorce (Boot, Dos Boot Record) pour les disques durs et les disquettes.

Pour sapproprier lun de ces 2 secteurs, le virus peut tre introduit via un programme spcifique (dropper ou virus multipartite). Les auteurs ont cependant immdiatement compris quil tait beaucoup plus simple de concevoir un virus directement sous la forme dun secteur de dmarrage de disquette. Le principe de fonctionnement adopt est le suivant :

1) le virus est prsent dans le secteur de dmarrage dune disquette,

2) il contamine le PC lorsque le BIOS excute le code,

3) il dplace ou crase le code original du BOOT ou du MBR du disque dur,

4) il remplace ce code par lui-mme,

5) il sauvegarde ventuellement le code excdent (code complmentaire du virus) dans dautres secteurs, libres ou occups,

6) ds lors et chaque nouveau dmarrage, il sera rsident en mmoire et capable dinfecter dautres disquettes sur un simple accs.

Exemples dinfection du MBR : Jumper.B, Antiexe.

Exemple dinfection du BOOT : Form.

2.3.3 Virus multipartites

Un virus multipartite cherche infecter les zones systmes des disques durs ou des disquettes et les fichiers excutables. Selon des critres propres chaque virus, lune ou lautre des techniques dinfection est mise en uvre un instant donn. Le but recherch est une plus grande propagation.

De tels virus infectent, par exemple, le secteur de partition du systme puis, une fois rsidant en mmoire vive, infectent les fichiers excutables situs sur des units logiques.

Exemples : Tequila, One-Half.

2.3.4 Virus interprts

2.3.4.1 Virus de macro

Les virus interprts regroupent principalement les virus de macro et les virus de script. Du fait de la sophistication des outils de bureautique actuels, tout fichier de donnes doit tre considr comme potentiellement dangereux. Mme si aujourdhui de nombreux standards de fichier nacceptent pas lencapsulation de routines automatisables (macros ou scripts), cette technique tend se dvelopper. Un type de fichier aujourdhui inoffensif pourra ainsi rapidement devenir dangereux.

Jusqu larrive de WM/Concept en 1995, le grand public tait persuad quun virus, considr juste titre comme un programme, ne pouvait tre vhicul et introduit dans un ordinateur quavec


laide ventuelle dun autre programme. En clair, seuls les fichiers excutables ou les zones systmes des disquettes pouvaient, aprs infection, propager leur tour le virus. A contrario, les fichiers ne contenant que des donnes taient sans danger.

La sophistication des outils bureautiques avec lapparition des langages de macro a boulevers la donne. Sans toujours en imaginer les consquences, les fichiers de donnes contenant textes ou feuilles de calcul se sont trouvs enrichis de routines automatisables et programmables. Par l mme, ils devenaient un nouveau terrain de jeu pour les auteurs de virus.

Lorsque apparat le virus Concept , de nombreuses sources annoncrent que les chercheurs anti-virus lavaient depuis longtemps envisag. Certains en souponnaient mme lexistence en Europe ds le milieu de lanne 1988. Un article fut publi ce sujet en aot 1989, dans la revue Computers & Security .

Ciblant Word 6 de Microsoft, WM/Concept (WinWord.Concept) fut cependant, en Aot 1995, le premier macro-virus in-the-wild (dans la nature). Deux ans aprs (aot 1997), on en comptait plus de 1300.

Se propageant rapidement, les virus de macro ont vite retenu lattention. Avant leur apparition (1994), les virus systme reprsentaient environ 80 % des cas de contaminations signals, et moins dune dizaine de virus reprsentait galement environ 60 % des cas signals. Ces statistiques ont t bouleverses en quelques mois. Ainsi, les virus WM/Concept, WM/Npad, WM/Mdma, WM/Wazzu et leurs variantes reprsentrent en 1998 la majorit des infections recenses.

Deux ans aprs, la trs grande majorit des virus de macro infectait les diffrentes versions du traitement de texte MS-Word et du tableur MS-Excel (depuis les versions Office-95, jusqu' celles incluses dans le pack Office-2000). Des virus existaient cependant sous MS-Access et MS-PowerPoint. Pour mieux atteindre ces cibles qui ne faisaient pas l'objet d'changes incessants entre utilisateurs, le concept de multiapplications fut remis la mode.

Potentiellement, tout programme utilisant des macro-commandes ou un macro-langage peut faire lobjet dune attaque par un virus cr pour cet environnement. On a ainsi dtect quelques virus contaminant les plates-formes Lotus AmiPro/WordPro, Lotus 1-2-3, Corel 7-9 et Visio 5.

Aprs avoir t rudimentaires, les modes de reproduction des virus de macro se sont sophistiqus. Ils firent appel d'autres langages de programmation de haut niveau et non plus seulement au langage machine assembleur . Le but de cet artifice fut souvent l'activation d'une fonction malveillante (payload) ou le contournement d'une scurit. VBScript est un parfait exemple de ces techniques. Il permet la cration de script FTP (W97M/GROOV) ou encore une interaction avec des outils de messagerie (W97M/COLDAPE.A). Les techniques de chiffrement et de polymorphie devinrent de plus en plus courantes.

Plus besoin de connatre l'assembleur ! Une telle simplicit se traduisit, l'poque, par l'apparition de plusieurs dizaines de virus de macro par mois.

Considrant que la grande majorit des virus de macro en circulation infecte Microsoft Word, une sage prcaution consiste mettre en lecture seule le fichier NORMAL.DOT et en conserver un exemplaire sain. Selon le virus prsent, la procdure de restauration s'en trouvera facilite.

Les variations autour du concept de virus de macro sont nombreuses. Les modifications peuvent porter sur l'environnement : menus, barres d'outils, raccourcis clavier, boutons. Les effets de la charge virale peuvent tre similaires ceux des virus d'excutables : modification d'environnement, modification de contenu, effacement de fichiers, etc.

Exemples : WM/Concept, W97M/Class, X97M/Laroux, O97M/Tristate, W97M/Melissa@MM.

2.3.4.2 Virus de script

Un langage de script est un langage de programmation spcialis destin contrler l'environnement d'un logiciel. Interprt, il peut donc tre excut sur toute machine disposant de l'interprteur appropri. Deux des plus utilises sont VBScript et JavaScript.

Pour s'excuter correctement, les fichiers de scripts font appel Windows Scripting Host (WSH). Absent d'une configuration standard Windows 95 ou Windows NT4, ce logiciel est aujourdhui install par dfaut avec les versions actuelles de Windows.

2.3.4.2.1 VBScript

VBScript a t cr partir de VBA et de Visual Basic. Il repose sur du code source en clair et non sur du code compil tel que celui des applets. Tout un chacun peut donc voir et modifier le code des scripts qu'il rencontre.

VBScript doit tre aussi considr comme un langage autonome. Il dtrne les fichiers de traitement par lots composs d'une srie de commande DOS (fichiers batch).

Les premiers virus purement VBScript datent d'octobre 1998. En raison de leurs capacits de propagation hors du commun, l'un des alias donn au premier n de la famille fut "rabbit" (traduction, lapin). Leur nombre a ensuite augment paralllement la gnralisation de ce nouveau langage.



Leur apoge fut atteinte en 2000 en utilisant la messagerie lectronique comme vecteur de propagation. Les prcurseurs apparurent en juillet 1999. Il s'agissait de VBS/Freelink@MM, VBS/Monopoly@MM et VBS/Triplesix@MM.

2.3.4.2.2 Java

JAVA est un langage cr par Sun Microsystems. Il est comparable au C++ et orient objet. Il est indpendant de toute plate-forme. Son excution ne ncessite que la prsence du processeur virtuel Java Virtual Machine . Java permet de raliser deux types de programmes : des applets et des applications. Alors qu'un applet n'est qu'une forme hybride de programme incorpor un document HTML, Java permet aussi la ralisation d'applications intgres compltes et autonomes qui peuvent avoir le contrle total du systme.

Le virus JV/Strange Brew est apparu en Aot 1998. Il sagit du premier virus natif Java. Il est capable dinfecter aussi bien les applets que les applications.

Cependant ses capacits dinfection sont limites, un applet infect ninfectera pas un autre applet ni une application. Linfection et la propagation ne peuvent avoir lieu au travers du Web. Il ne peut se propager que depuis une application locale infecte en utilisant JAVA.EXE (kit JDK Java Developpers Kit) ou lun de ses quivalents.

JV/Strange Brew est parfois considr comme tant le premier virus vritablement multi plates-formes car il est capable de svir sur nimporte quel environnement excutant une machine virtuelle Java : depuis les PC Windows jusquaux serveurs Unix et aux super calculateurs Cray.

2.3.4.2.3 JavaScript

JavaScript n'est PAS Java ! En effet, si Java est un langage compil, JavaScript, dvelopp par la socit Netscape, est interprt. Le code est inclus soit dans une page HTML, soit dans un fichier l'extension standard .js .

Du point de vue viral, notez bien la distinction faite au niveau du prfixe (JV pour Java, JS pour JavaScript). A titre d'exemple, JS/TheFly@MM est un ver JavaScript. Il est contenu dans un fichier attach the_fly.chm (Compiled HTML Help File).

En novembre 1998, certains parlrent de virus HTML. Il s'agissait en fait de code VBScript capable de se propager via des fichiers HTML sur une machine locale.

Exemple : JS/Kak@M.

2.3.4.2.4 Traitement par lot

Bien avant lapparition des langages interprts modernes, certains auteurs se sont appliqus crer des virus utilisant les commandes DOS au sein de fichiers batch (extension .bat). Mme sils sont peu courants, certains dentre eux sont trs sophistiqus et peuvent tre rsidents en mmoire.

Exemple : BatMan.

2.3.5 Les vers

Il est possible de sparer les vers en deux grands groupes selon quils utilisent les rseaux locaux ou quils sappuient sur Internet. A ces deux groupes, et de par la dfinition des vers, il faut rajouter cette famille les vers de disquettes qui ne font que se recopier de rpertoires en rpertoires en passant par le lecteur A:


2.3.5.1 Vers de rseaux locaux

Il est facile de franchir le pas entre disques locaux (physiques ou logiques) et disques rseaux et la technique des vers de disquettes sest trs vite tendue lensemble des disques partags ou partageables. Linfection se droule gnralement de la manire suivante :

1) Recherche de disques accessibles .

2) Affectation de noms de lecteurs (mapping).

3) Copie du ver.

4) Excution.

Dans de nombreux cas lexcution est diffre. Le ver cherche par exemple se recopier dans un rpertoire de dmarrage et attend son heure. De ce point de vue, VBS/Netlog dcouvert en fvrier 2002 en est un intressant exemple.

2.3.5.2 Vers de messagerie (mass-mailers)

On retrouve dans cette famille, des virus programme, des macro-virus et des virus de Script. Le point commun est l'utilisation de la messagerie lectronique comme moyen privilgi de propagation.

La notion de mass-mailer apparat en 1999 avec W97M/Melissa@MM. Dans une courte priode de temps, les virus de ce type qui apparaissent expdient un nombre impressionnant de mails. Il a fallu plus de six mois W32/Ska.A@M pour faire le tour du monde, Melissa n'a mis que deux jours ; quelques heures suffirent VBS/LoveLetter.A@MM (virus de script).

Pour ces nouveaux venus, il fallait un signe de reconnaissance qui alerte le public. Sous l'impulsion de Vesselin Bontchev et de Franois Paget, le CARO (Computer Anti-virus Research Organization) adopta l'utilisation du suffixe @MM puis celui du suffixe @M :

A) Le suffixe @M est ddi aux virus/vers qui possdent un processus oprationnel de propagation par messagerie et qui ciblent une seule bote aux lettres chacune de leur activation.

B) Le suffixe @MM est ddi aux virus/vers qui possdent un processus oprationnel de propagation par messagerie et qui ciblent plusieurs botes aux lettres chacune de leur activation.

Mme si pour d'obscures raisons le caractre - remplace @ , compter de septembre 2000, la WildList1 utilise ce standard.

2.3.5.3 Vers de lInternet

Crs grce une parfaite connaissance de lenvironnement rseau et lutilisation de nouvelles failles de scurit, ces nouveaux venus sont rpertoris parmi les plus dangereux. Lattaque touche ici les serveurs et non plus les stations de travail.

Tout dbute par lexploitation dune vulnrabilit. Celle-ci est gnralement connue, mais comme les correctifs nont pas t appliqus sur de nombreuses machines, le nombre des serveurs vulnrables est suffisant pour une forte propagation. 1 Organisme international qui a pour but de recenser l'ensemble des virus dans la nature (In-The-Wild) au niveau mondial. La collecte seffectue grce de nombreux chercheurs rpartis sur les cinq continents. Les statistiques sont mensuelles. Site internet : http://www.wildlist.org/


Avec W32/Codered.A.worm il sagit dun problme de dpassement de capacit de la mmoire tampon pour lequel Microsoft proposa un correctif intitul MS01-033 . Il en est de mme avec W32/SQLSlammer.worm, le patch de scurit MS02-039 tait connu depuis juillet 2002.

Aucun code viral nest crit sur le disque dur. La propagation se fait exclusivement en mmoire vive et sa rapidit en est le point fort :

- W32/CodeRed.A.worm transmettait des paquets TCP-SYN : sa propagation tait limite par le temps de latence ncessaire avant que narrivent les rponses de la cible.

- W32/SQLSlammer.worm ne transmet quun seul paquet UDP sans rien attendre en retour. Cest la bande passante disponible qui limite sa vitesse de propagation.

2.3.5.4 Vers poste poste

Illgal lorsque non libres de droits, l'change de fichiers musicaux et vido est une pratique de plus en plus courante sur le Web. Plusieurs logiciels gratuits permettent ces changes de fichiers entre les internautes.

Depuis mai 2002 de nombreux virus utilisent les rseaux poste poste (P2P - PEER TO PEER) d'changes de fichiers. Le virus se copie gnralement dans lun des rpertoires systme de Windows, modifie la base de registre pour pouvoir sexcuter chaque dmarrage et place de nombreuses autres copies de lui-mme dans le dossier de tlchargement utilis par le logiciel dchange. Afin d'attirer lattention, les noms retenus correspondaient des titres de chansons, de films des jeux informatiques ou des fichiers caractre sexuel.

Aujourdhui, plusieurs centaines de vers ciblant KaZaA et/ou Morpheus sont connus.

Exemple : W32/Benjamin.worm, W32/Kazmor.worm.

2.3.5.5 Vers mIRC

Une de ces premires formes d'attaque est apparue en dcembre 1997 sur Internet, et notamment sur IRC ( INTERNET RELAY CHAT ). L'une des plus connues, cible le fichier de configuration SCRIPT.INI du logiciel mIRC (prononciation murk ).

Par dfaut, ce fichier se situe dans le rpertoire ddi au tlchargement. De plus, un excutable list dans ce fichier s'excutera lors de la fermeture du logiciel.

Dans les versions mIRC infrieures V5.3, il est alors possible d'craser discrtement le fichier SCRIPT.INI original par une version infecte. Une fois cette manipulation faite, lorsque l'utilisateur rejoint le canal de discussion, il envoie son tour le virus toute personne qui rejoint ce mme canal.

Tout comme les SCRIPT.INI, les nombreuses variantes de DMSETUP.EXE se propagent par DCC Send en infectant entre autres MIRC.INI.

De trs nombreux mass-mailers possdent galement une fonction vers mIRC

2.3.5.6 Autres vers

Le ver UNIX/Admw0rm est apparu en Russie en mars 1998. Il est capable de se propager d'un environnement Linux un autre en utilisant une faille des serveurs BIND (Berkeley Internet Name Domain). Dans son environnement original et sa version actuelle, ce ver contient diverses limitations. Une adaptation un environnement de type INTEL n'est cependant pas carter.


2.3.6 Les robots

Lanne 2003 a t celle de la naissance des robots. Parmi les plus connus, citons les familles Gaobot, Spybot et Randex. Pour simplanter, ils utilisent des mthodes classiques : sils ne sont pas eux mme autoreproducteurs, ils sinstallent sur les machines non protges quils rencontrent par le biais du courrier lectronique (spam) ou dune vulnrabilit exploite loccasion dune visite sur un site Internet qui les diffuse.

Ce sont souvent des vers propagation lente. Chaque variante est cre dans un but prcis. La diffusion se limite parfois une entreprise ce qui rend la dtection parfois difficile. Une fois sur la machine, le robot attend des ordres venant dun serveur distant. Il peut alors capturer de linformation, participer des attaques groupes (DDoS) et servir de relais de spamming, de phishing et dmission de mails infects.

Leur dure de vie est courte, cest leur nombre qui fait leur force. Ils sont crs, distribus afin de crer un rseau de robots (botnet) et rapidement utiliss. Ils attendent dtre sollicits par leur concepteur ou par ceux qui louent leurs services. Certains outils commerciaux douteux sen servent comme intermdiaires.

2.4 Fonctionnalits

2.4.1 Modes d'infection

Les diffrentes techniques dcrites ci-dessous sappliquent principalement aux virus programmes.

Certaines dentre elles sappliquent nanmoins aux virus interprts. Il existe en effet des virus par recouvrement et par ajout parmi les macro-virus et les virus de script.

2.4.1.1 Recouvrement

Un virus par recouvrement se contente dcraser partiellement ou en totalit le programme quil infecte. En consquence, il le dtruit au moins partiellement et rend son radication impossible. Dans certains cas, la taille du programme infect nest pas modifie ; dans les cas contraires, celle-ci sajuste la taille du code viral et devient identique pour tout fichier infect.

La destruction, mme partielle, du code originel fait que celui-ci ne peut plus fonctionner correctement. Ces virus ne sont gnralement pas rsident en mmoire. Ne ralisant plus la fonction souhaite, lutilisateur les dtecte rapidement. Les virus agissant par recouvrement ne russissent jamais se dissminer largement.

Exemple : BadGuy, W32/HLL.ow.Jetto, LINUX/Radix.ow, VBS/Entice.ow.

Le virus crase une partie du code du programme hte

2.4.1.2 Ajout

Un virus par ajout modifie un programme sans le dtruire. Ayant altr le point d'entre, le virus sexcute chaque fois que le programme est lanc, puis lui rend la main . Celui-ci fonctionne alors de faon normale. La force dun virus par ajout est que le programme infect semble fonctionner correctement ce qui peut retarder la dtection du virus. La faiblesse dun virus par ajout est que la taille du programme est augmente de la taille du virus, ce qui rend un reprage fond sur la variation de la taille des programmes possible.

Exemples: Cascade, Jrusalem, W95/Anxiety, W32/Chiton, VBS/Daydream.

Le virus greffe son code sur le programme hte

2.4.1.3 Cavit

Connaissant la structure spcifique du type des programmes contaminer, le virus modifie le point d'entre du programme et insre tout ou partie de son code dans diffrentes zones non utilises. Le fichier COMMAND.COM fut longtemps la cible privilgie de ce genre de virus ; dans ce cas, le code viral pouvait se situer entre le bloc de code, le bloc des donnes, le bloc de pile stack . Cette technique est maintenant rgulirement rencontre dans les environnements Windows.

Exemple : W95/Caw.


Le virus morcelle son code en modules insrs dans les espaces inoccups du programme hte

2.4.1.4 Point d'entre obscur

Avant infection, l'analyse du programme cible permet un positionnement du point d'entre du code viral en un lieu variable au sein du fichier. Le point dentre du programme et les instructions qui sy situent sont inchangs. Lorsque cette technique est associe une infection par cavit et un codage polymorphique, la dtection devient trs problmatique. Cette technique est maintenant rgulirement rencontre dans les environnements Windows. Elle est trs pnalisante pour les anti-virus qui doivent parfois largir fortement leur zone de recherche.

Exemple : W95/Orez.

Le virus place son point d'entre dans un endroit variable du programme hte

2.4.1.5 Par virus compagnon

Il existe une prsance d'excution pour les fichiers excutables : les .BAT, puis les .COM, puis les .EXE. Le virus compagnon va donc crer de toute pice un fichier du mme nom que le programme choisi pour cible mais avec une extension diffrente. Si, lors de son appel excution, le nom seul est utilis (ce qui est gnralement le cas), ce sera le code viral qui sexcutera en premier. Il donnera ensuite la main au programme original pour ne pas risquer dalerter lutilisateur.

Pour durcir son ventuelle dtection, certains virus placent leur code dans un autre rpertoire, prioritaire au sein de la variable systme PATH.

Exemple : BAT/bx.cmp, W95/Spawn.cmp.


Le programme hte est inchang, un programme de mme nom est ajout sur le disque

2.4.1.6 Par virus dlocalis

Le virus exploite le principe de fonctionnement de la table d'allocation des fichiers pour faire pointer tous les fichiers excutables contamins vers le groupe (ou cluster ) contenant le code du virus. Une fois le code excut, celui-ci rend la main au programme initial.

Ces virus sont peu nombreux mais peuvent savrer dangereux pour lintgrit des supports quils infectent. En effet, les utilitaires testant lintgrit dun disque dcouvriront des anomalies (fichiers croiss) et se proposeront de les corriger en entranant des destructions irrmdiables.

Exemple : Dir-II.

2.4.2 Gchette de dclenchement

De nombreux virus nont aucun module de dclenchement. Ils ne font que se propager en induisant des perturbations que daucuns pourraient considrer trop rapidement comme mineures. Dautres mettent immdiatement en uvre une fonctionnalit perturbatrice ou destructrice. Il serait trs dangereux de considrer les seules phmrides comme moment de dclenchement de la charge virale. Il existe une grande varit de gchettes, voire la combinaison de plusieurs ou un dclenchement alatoire !

- date (anniversaire, mensuelle, hebdomadaire),

- heure,

- comptage (nime duplication),

- dlai coul depuis linfection initiale sur le systme,

- prsence dun matriel ou dun logiciel,

- combinaison de touches frappes au clavier.



2.4.3 Charge virale

Lpoque des animations graphiques et des actions de reformatage rudimentaire est rvolue. On observe aujourd'hui des effacements de fichiers cibls et des dsactivations sournoises de logiciels de scurit (anti-virus non jour, firewall).

Lutilisation du virus pour linstallation de portes drobes, latteinte la confidentialit des donnes et la collecte de mots de passe sont de nos jours de pratique courante. Les auteurs de virus se rapprochent des pirates informatiques isols ou organiss.

Remarquons tout de suite qu'il n'existe pas aujourd'hui de virus inoffensif. De par son caractre non dsir, le virus cote de l'argent pour sa dsinfection (achat et mise en exploitation de logiciels de scurit, temps-homme en sensibilisation et intervention). De plus, il y a toujours le risque d'un sur-accident lorsqu'une dsinfection est effectue sans les comptences requises ; ou encore de gnrer un dysfonctionnement en fonction dune spcificit des applications ou des quipements installs. Un virus systme anodin conu pour un environnement FAT/DOS peut savrer minemment destructeur sous NTFS ou Linux.

2.4.4 Fonctionnalits supplmentaires

Les fonctionnalits dcrites dans ce paragraphe sont gnralement mises en uvre pour tenter de contrecarrer laction des logiciels anti-virus.

Ainsi, un virus polymorphe rend plus dlicat l'emploi d'un logiciel de dtection par signature. Un virus utilisant la technique du point dentre obscur risquera de passer au travers d'un contrle seulement effectu sur le dbut et la fin du programme surveill. Un virus dfensif dsactivera un anti-virus actif en mmoire vive et non jour.

Fort heureusement, il existe toujours des solutions.

2.4.4.1 Anti-debug

Qualificatif appliqu aux virus utilisant des sries dinstructions ou algorithmes rendant impossible un dsassemblage via les outils ddis cet effet. Le chercheur devra neutraliser ces fonctions avant de pouvoir entreprendre sa recherche.

2.4.4.2 Crypt

Le terme crypt est historiquement utilis de manire impropre en lieu et place du terme chiffr. Dans tout ce document, nous avons pris le parti de ne pas droger cette habitude. Un tel virus se dcompose donc en 2 parties : un programme de dcryptage et une suite d'instructions cryptes qui forment le corps du virus. L'algorithme utilis est stable mais peut rendre le dsassemblage plus dlicat.

2.4.4.3 Dfensif

Qualificatif sappliquant aux virus ayant des fonctions de protection, voire d'attaque, contre les logiciels anti-virus non jour au moment de leur apparition. 2.4.4.4 Furtif

Qualificatif sappliquant aux virus camouflant leur prsence en renvoyant chaque requte du systme dexploitation une information errone mais conforme celle qui serait retourne dans un environnement sain. 2.4.4.5 Gnrateur de chiffrement


Programme permettant de rajouter une fonction de cryptage, plus ou moins volue, au sein d'un virus ne possdant pas cette fonction. Il existe aujourd'hui de nombreux programmes de la sorte. Mme sil est considr comme simpliste aujourdhui, le plus mdiatique dentre eux fut crit par Dark Avenger en 1991.

MuTation Engine Version 0.90 (17-08-91) (C) 1991 CrazySoft, Inc. written by Mad Maniac. 1. License You are free to include this Engine in viruses. Using it in another ways is prohibited. You are free to give it to people that will only use it in this way. MuTaion engine is free. 2. How it works Please read the whole document before trying to do something with the Engine. If you have never written a virus in Assembler, DONT start with the Engine. First do this, then return back to the Engine. MuTation Engine is an object module that could be linked to any virus.It has been written in Assembler and assembled under Turbo Assembler 2.5. We recommend that you use this assembler to compile the viruses that will carry the Engine. Linking it to an object file produced by other assemblers, or high-level languages compilers is theoretically possible, but we never tried and do not recommend it. We decided NOT to give up the Engines source code at this time. The Engine will encrypt your code each time with a different encryption key. It will also generate a routine to decrypt it, which will also differ each time. Both the decryption routine and the encrypted code will have variable lengths. Thus your virus will be hardly detectable. The Engines code is about 2KB; we believe this is not too big. 8. Final Notes Well, thats for now. No time for more. Look at the demo virus and other sample files included here to get an idea how can you use it. After you include it in your virus, please check carefully if the Engine does what you expect it to do. Feel free to experiment with it. If you have problems using it, or have any comments or suggestions about it, write a message to Dark Avenger at the: Virus eXchange BBS in Sofia Phone number: (+359)-2-??-???? Working hours: 20:00 - 06:00 GMT (in the winter) 19:00 - 05:00 GMT (in the summer) The latest release of the Engine should also be available at that BBS. Pass the Engine (all files together in an archive) to virus programmers only. Greetings to all virus programmers CrazySoft, Inc. Bulgaria

Extrait de la documentation du Mutation Engine

2.4.4.6 Gnrateur de virus

Programme permettant la fabrication de virus sans avoir de connaissances particulires. Ces applicatifs sont souvent conviviaux (souris et menus droulants). Ils ne reprsentent pas une vritable menace, car une signature du gnrateur est gnralement dcelable sur chaque infection cre. Il existe aujourd'hui de nombreux gnrateurs.

Genvirus

2.4.4.7 Infecteur rapide (fast infector)

Virus qui n'attend pas l'excution d'un programme pour le contaminer. En mmoire, une simple opration d'ouverture d'un fichier sain (exemple de la commande DIR) suffit pour qu'il puisse tre infect.

2.4.4.8 Polymorphe

Qualificatif appliqu aux virus changeant leurs instructions ou simplement leur ordre chaque infection. Il correspond en fait un virus crypt ayant intgr dans son programme de dcryptage un algorithme de mutation. Il devient ainsi difficile de dtecter le virus par une chane d'octets sans avoir pralablement dcrypt son code.

2.4.5 Principes d'identification

Malgr les efforts du CARO (Computer Antivirus Research organization), il n'existe pas aujourd'hui dorganisme centralisateur unique pour l'identification de nouveaux virus. Le chercheur qui dtecte une infection essaye de trouver un nom significatif, sans toujours suivre des rgles prcises.

2.4.5.1 Les diffrents critres

On utilise couramment la taille en octets (4096), un extrait du message qui apparat soit l'cran (Stoned), soit dans le corps du virus (Tequila), un nom rappelant l'effet principal du virus (Disk Killer) ou encore un numro associ un nom lorsqu'il existe de nombreuses variantes (V2P6).

Cette anarchie est parfois source de confusion lorsque deux diteurs anti-virus appellent diffremment un mme virus (Jerusalem = Israelian = PLO = Friday the 13th), ou lorsqu'un mme virus est appel diffremment d'une version l'autre d'un mme produit anti-virus.

2.4.5.2 Essai de normalisation du CARO

Le CARO est une association internationale informelle regroupant un certain nombre de chercheurs anti-virus. Cest un lieu dchanges privs entre spcialistes. Lun de ses rles est lunification des noms des virus ; il permet aussi aux spcialistes des changes rapides et scuriss. Il na aucune ouverture vers le public et les mdias.


Le CARO a dit en 1991 un document explicitant cette normalisation dans le choix et la forme du nom des virus. Ce document a t remis jour en 1993 (il est disponible sur demande auprs du CLUSIF). En 1996, le CARO, et plus particulirement Vesselin Bontchev, proposrent la normalisation du nom des macros virus. C'est cette rgle qui est gnralement utilise par la profession.


Le dernier document public du CARO fut tabli avant l'apparition des macro-virus, des virus de Script, des vers, etc. Certains membres de cette association militent aujourd'hui pour sa mise jour qui interviendra peut-tre en 2005.

2.5 Les autres environnements

2.5.1 Virus sur Macintosh

Il existe moins d'une centaine de virus sous l'environnement Macintosh. Les virus du monde Windows sont sans effet sous cet environnement l'exception de certains virus de macro.

Les raisons gnralement invoques pour expliquer ce faible nombre sont :

- La scurisation de l'installation des applications sur OS X,

- Un dveloppement en open source,

- Un intrt moindre pour les auteurs de virus par rapport au nombre beaucoup plus important de machines installes sous Windows.

On notera que les systmes dexploitation Macintosh font plus lobjet dattaques de type cheval de Troie ou exploitation dune faille de scurit au niveau systme dexploitation ou au niveau applicatif.

Parmi les virus Macintosh, on peut citer : MacMag, nVIR, Hpat et Init29.

2.5.2 Linux et les systmes dexploitation Unix

La grande nouveaut offerte par le systme Linux ft la stabilit du systme dexploitation. Toutefois, il nest pas intrinsquement scuris et encore moins de manire permanente. De nombreuses failles, parfois critiques, sont rendues publiques mais lenvironnement du logiciel libre permet une grande ractivit au niveau mondial dans la mise disposition de correctifs de scurit.

Le mythe qui consiste dire quUnix est insensible aux virus persiste toujours. Signalons tout dabord que les virus systme ddis au DOS peuvent tout fait affecter une machine fonctionnant sous Unix. Il ny aura pas propagation mais activation ventuelle de la charge virale (si elle existe) ou corruption du processus de dmarrage.

Les projecteurs sont souvent braqus sur Linux, quelques virus existent cependant dans les environnements BSD et SunOS. Les virus possdant dans leur intitul le prfixe Unix sont multi plates-formes.

Les virus Unix existent depuis longtemps. Le premier dentre eux date de 1997 et se nomme Linux/Bliss. Dans un premier temps ils furent simples et non-rsidents en mmoire. Ils sont maintenant aussi performants que les virus 32bits Windows. Ils mettent en uvre des techniques pointues de polymorphie et utilisent, pour certains, la technique du point dentre obscur qui rend leur dtection plus difficile que par le pass.

En juin 2002, exploitant sans imperfection ces dernires techniques, apparat {W32, Linux}/Etap.D. Cette notation indique que ce virus, premier du genre, est mme dinfecter aussi bien les machines Windows que les machines Linux. Egalement connu sous le nom de {Win32, Linux}/Simile.D, il vrifie, sa premire excution, la date du jour. Sil sagit du 17 mars ou du 17 septembre (sous


Windows) ou du 17 mars ou du 17 mai (sous Linux), il affiche une bote de dialogue prcisant son crateur : un certain Mental Driller, du groupe 29A (concepteurs de virus).

2.6 Les autres lments perturbateurs

2.6.1 Farces

Comme leur nom lindique, les canulars ou les farces (jokes en anglais) sont conus pour faire rire. Ils ne se reproduisent pas et ne sont donc pas des virus. Ils nont aucune activit destructrice.

Certains sont cependant difficiles dsactiver, dautres nhsitent pas modifier la configuration de lordinateur. La limite entre farce et programme indsirable ou malveillant est donc troite. Tout le monde ne possde pas la mme dose dhumour et la classification peut varier dun diteur lautre. Lorsquil peut savrer perturbateur, le canular est gnralement dtect par lanti-virus. Il y aura parfois lieu dactiver certaines options particulires de recherche.

Les principaux effets des canulars sont :

- affichage dun message, une image ou une animation,

- manipulation du lecteur de CD-ROM,

- simulation de leffacement de fichiers ou du formatage du disque,

- retournement de lcran ou perturbation de laffichage,

- perturbation de la souris ou de lusage du clavier,

- simulation dun programme valide,

- ouverture dune multitude de fentres.

2.6.2 Rumeurs (hoaxes)

Un hoax est une rumeur malveillante et non fonde qui est diffuse dans le but de leurrer ou de nuire. Dans la vie courante, les rumeurs ont toujours exist dans diffrents contextes sociaux, militaires, politiques ou conomiques.

Dans le domaine de la propagande, le rseau Internet est un vecteur de choix. La malveillance et la navet ont entran depuis 1997 une multiplication des rumeurs. L'introduction massive des messageries a fait le reste.

Les rumeurs qui perturbent le monde de l'informatique annoncent gnralement l'apparition de nouvelles menaces imminentes et hautement destructrices qu'aucun outil de scurit ne peut intercepter.

Certaines sont bien connues maintenant mais continuent nanmoins circuler. Notons par exemples :

- Join The Crew

- A Moment Of Silence

- Bud Frogs Screen Saver


- Buddylst.zip

- Deeyenda

- Good Times

- Guts to Say Jesus

- Irina

- Penpal Greetings

- Win a Holiday

Elles sont souvent d'origine anglo-saxonne mais, pour la plupart, elles ont t traduites en franais pour une meilleure (!) diffusion dans l'hexagone.

On retrouve dans l'exemple ci-aprs la plupart des critres quune rumeur doit remplir pour russir leurrer son monde :

- Existence dun enjeu ou intrt significatif.

- Sensationnalisme. La rumeur est de nature appter les mdias qui en sont avides (recherche de scoop), lopinion publique qui y est sensible ou une communaut Internet particulire. La prsentation est accrocheuse .

- Accrditation effective de la rumeur par ces mdias ou travers des internautes (imitation de styles ou de dialectiques crdibilisant la rumeur aux yeux de la communaut vise). Les relais sont connus et dignes de foi.

- Existence dembryons de preuve pour que la rumeur ne soit pas rejete demble mais, dans le doute, bien prise en compte.

- Incitation la propagation.

MISE EN GARDE ..... URGENT ..... URGENT... URGENT ATTENTION VIRUS !!! - ATTENTION! Si vous recevez un e-mail intitule " WIN A HOLIDAY " NE L'OUVREZ PAS. !!!!!!!!!!! Le virus qu'il contient va effacer l'intgralit de votre disquedur. Faites suivre ce message a autant de personnes de votre connaissance. Ceci est un nouveau virus, trs nocif et peu degens connaissent son existence. Cette information a t renduepublique par Microsoft. A titre de prvention, changez cette information avec tous ceuxqui peuvent avoir accs a Internet. Nous vous conseillons trs fortement d'adresser une copie de cemessage a tous les correspondants inscrits dans votre carnetd'adresses, de telle sorte que le virus ne s'tende pas. De mme, n'ouvrez pas ou ne regardez pas tout message intitul " RETOURNE ou IMPOSSIBLE a DELIVRER " . Ce virus se rpandra dans les composantes de votre ordinateur etles empchera de fonctionner. Dtruisez immdiatement tout message portant ces mentions. Par ailleurs, AOL signale qu'il s'agit d'un virus extrmementdangereux et qu'il n'y a aucun remde connu a ce jour. Prenez des mesures de prcaution et faites passer le message tous vos amis.

De nombreuses rumeurs peuvent tre regardes a posteriori, comme de simples farces. Cependant, propages grande chelle au travers des messageries l'aide de listes de diffusion, elles peuvent perturber, voire bloquer temporairement le systme de communication. Elles entranent aussi un surcrot de travail consquent des quipes du centre d'assistance technique (help desk) qui doivent traiter les appels des utilisateurs inquiets.

Jusqu' prsent, la plupart de ces rumeurs sont identifiables leur caractre excessif. Elles visent toutes faire croire la prsence de faux virus sous une forme ou une autre. Il faut nanmoins sattendre pour lavenir des morphologies de rumeurs beaucoup plus perverses et agressives. Plus difficiles apprhender, certaines rumeurs d'aujourd'hui peuvent devenir demain des ralits.

Dans tous les cas, il convient de garder une attitude autocritique, lucide et de bon sens. Ne transfrez pas ces messages votre entourage sans avoir au pralable consult le service informatique de votre entreprise ou des institutions comptentes telles que le CIAC, le CERT-IST ou le site www.hoaxbuster.com

2.6.3 Le courrier non sollicit (spam)

La Commission Nationale de l'Informatique et des Liberts (CNIL) donne du spam la dfinition suivante : il s'agit de l'envoi massif et parfois rpt de courriers lectroniques non sollicits des personnes avec lesquelles l'expditeur n'a jamais eu de contact, et dont il a capt l'adresse lectronique de faon irrgulire.



Nous savons tous quil est extrmement facile et peu coteux datteindre des centaines dindividus au travers du courrier lectronique. Cela na pas chapp aux publicitaires et divers individus peu recommandables qui se cachent souvent derrire une adresse falsifie pour inonder nos botes aux lettres. Lexpditeur ne connat pas les destinataires, il ne cible ni ses relations personnelles, ni ses relations professionnelles. Les adresses ont t collectes grande chelle. On retrouve principalement dans ces courriers :

- des messages caractre commercial, - des incitations la visite de site Web, - des incitations la prise de contact (pornographie).

2.6.4 Les arnaques financires

Cet aspect de la malveillance informatique nest pas prcisment classer dans la famille des rumeurs ou du courrier non sollicit. Il tient directement de la fraude financire.

Le courrier lectronique en question prtend provenir du fils dun haut fonctionnaire, du frre dun industriel ou encore de la femme dun ex-chef dtat africain. Il vous explique quune importante somme dargent est bloque quelque part. Avec votre aide, et en utilisant votre surface financire pour le transfert de fond, votre contact vous explique quil serait possible de dbloquer ces sommes, et une rcompense substantielle vous est propose si vous acceptez ce contrat.

Si vous rpondez ces mails, votre correspondant vous demandera sans doute douvrir un compte sur une banque africaine en y versant des liquidits pour payer des taxes, des frais davocats ou encore des bakchichs qui pourront aider au bon droulement de laffaire. Il vous interrogera galement sur votre environnement financier en vous en demandant les dtails. Il est donc important de ne jamais rpondre ce type de message.

Le phishing est une autre technique lie au monde de la finance. Il sagit dobtenir des donnes sensibles afin de commettre des impostures lidentit et des escroqueries financires. Limposture dbute souvent par la rception dun courrier non sollicit, lescroc la ralise en 3 tapes :

1) il se fait passer pour qui il nest pas (une entreprise connue) pour solliciter les donnes convoites auprs des internautes.

2) Il prsente des contenus fallacieux qui font illusion (motifs voqus, faux liens, fausses pages web, etc.).

3) Une fois les donnes convoites recueillies, il se fait passer pour qui il nest pas (les internautes escroqus) afin de se procurer des services ou des biens (argent, marchandises, papiers didentit et autres documents administratifs).

Des courriels sannonant en provenance deBay (site denchres sur Internet), circulent en avisant les personnes que leur compte semble avoir t pirat. Les utilisateurs du site doivent suivre le lien dans le message sils ne veulent pas que leur compte soit suspendu. Ils sont alors re-dirigs vers une page web qui porte le logo deBay. Cette page demande tout dabord le pseudo et le mot de passe. Une fois ceux-ci renseigns, un long questionnaire est propos et de nombreuses donnes prives sont demandes.


2.6.5 Les lettres chanes

Par le pass, des lettres chanes circulaient par la poste. Elles taient souvent connues sous le nom de chane de Saint Antoine. Elles prsentaient un texte de prire Saint-Antoine quil fallait transmettre ses amis. Dans les pays anglo-saxons, elles se sont aussi nommes chane de Saint Jude, en rfrence au patron des dsesprs.

Le courrier lectronique est aujourdhui mieux adapt cette forme de propagation avec linstantanit des changes, son faible cot et sa capacit dexpdition des destinataires multiples.

Lexpditeur est souvent lune de nos relations, proche ou lointaine, qui a retrouv nos coordonnes dans son carnet dadresses.

Lappel la solidarit est le principal objet de ce type de message. Une situation dramatique vous est par exemple expose. Le message vous encourage le rexpdier car des fournisseurs daccs Internet sont censs les comptabiliser pour reverser une somme proportionnelle aux personnes en difficult.

Dautres chanes utilisent la crdulit des gens face lapproche de malheurs annoncs ou de bonheurs futurs selon le renvoi ou non du message en quantit. L aussi, la meilleure solution est la suppression immdiate du message.


3. ORGANISATION DUNE DFENSE EN PROFONDEUR

Lorganisation de la lutte anti-virale passe par la mise en place doutils de dtection et de prvention depuis le poste de travail jusqu la passerelle Internet. Il est possible didentifier 4 niveaux concentriques de risque :

1) le poste de travail et les ressources propres lutilisateur,

2) les ressources partages,

3) les passerelles (rseau et messagerie),

4) le monde extrieur, hors du primtre de lentreprise.

Lanti-virus comme seule parade aux virus informatiques actuels ne suffit plus. Certains virus/vers utilisent de nouvelles mthodes de propagation et daction :

- ils ne rsident quen mmoire vive et se propagent via le flux Internet,

- ils exploitent des failles lies au systme dexploitation et au rseau,

- ils sassocient des outils de piratage,

- ils utilisent la technique du spam pour initialiser leur propagation.

Les particuliers et les entreprises doivent diversifier leurs dispositifs et amliorer ainsi leur niveau de scurit. Ces autres outils scuritaires deviennent au fil du temps indispensables. Cette dfense en profondeur est aussi une opportunit pour :

- Une varit dans les ressources de scurit avec des antivirus de moteurs diffrents entre ceux installs sur les postes de travail, les serveurs, les passerelles Internet quand la taille de lentreprise devient consquente ou que sont activit en ligne est critique.

- Le dploiement dune politique de correctifs qui intgre une phase de test, la surveillance des failles au niveau systmes dexploitation et applications mais aussi, qui prend en compte lensemble des quipements et ressources prsents sur le rseau routeurs, imprimantes, solutions de scurit (antivirus, parefeu).

Laspect humain entre galement en jeu ; linformation et la sensibilisation des utilisateurs ne sont pas ngliger. Une fois expliques et comprises, les rgles de base doivent tre formalises dans un document reprenant les points cls de la rglementation interne. Le fait de dsactiver lanti-virus doit tre prsent comme une faute grave.

Les tableaux suivants nous montrent aussi que les moyens de prvention et de protection diffrent selon le niveau concentrique choisi. Une fois ceux-ci activs, la responsabilit des divers acteurs nen est pas pour autant vacue. Ceux-ci doivent rester conscients des risques quun acte inconsidr pourrait occasionner quelque niveau que ce soit.


3.1 Les ressources propres lutilisateur

Le poste de travail et les ressources propres lutilisateur

Equipements Solutions/Mesures

Contraintes/Problmatiques

Poste utilisateur fixe, poste utilisateur nomade, organiseur et tlphone IP

Anti-Virus et Pare-Feu (personnels ou implants depuis le rseau de lentreprise)

Politique de correctifs

Dploiement des produits et des mises jour

Verrouillage de configuration

Responsabilit de lentreprise suite un acte engag par un membre de son personnel.

Responsabilit de chaque utilisateur face aux actes quil commet.

La protection du poste de travail est dterminante. Chaque poste de travail doit tre muni de son anti-virus. Mme si le virus pntre la passerelle Internet dans un format non reconnu, mme sil nest pas dtect sur l

[CLUSIF] Les Virus Informatiques

Documents

Transcript of [CLUSIF] Les Virus Informatiques