LES VERS INFORMATIQUES

Un ver informatique est un logiciel malveillant qui se reproduit sur plusieurs ordinateurs en utilisant un réseau informatique comme Internet. Il a la capacité de se dupliquer une fois qu'il a été exécuté. Contrairement au virus, le ver se propage sans avoir besoin de se lier à d'autres programmes exécutables. Le ver appartient à la famille des programmes malveillants ou nuisibles, « les malware ».

Le concept de ver vient des programmes autoreproducteurs qui eux-mêmes sont issus d'idées des logiciens John von Neumann et W. V. Quine. Un virus, contrairement à un virus informatique, n'a pas besoin d'un programme hôte pour se reproduire. Il exploite les différentes ressources de l'ordinateur qui l'héberge pour assurer sa reproduction. Il faut noter également que les données qui sont corrompues ou détruites par un ver informatique sont généralement irrécupérables.

La plupart du temps, les vers n‟ont d‟autres utilités que la destruction (s‟ils s‟accompagnent d‟une bombe logique), et la congestion du réseau. Malgré tout, le ver a parfois d‟autres utilisations. Certaines entreprises les utilisent pour tester la sécurité de leur réseau intranet. L'objectif des vers n‟est pas seulement de se reproduire mais habituellement, ils sont un objectif malfaisant, par exemple :

35

 Espionner l'ordinateur où il se trouve ;

 Offrir une porte dérobée à des pirates informatiques ;

 Détruire des données sur l'ordinateur où il se trouve ou y faire d'autres dégâts ;  Envoyer de multiples requêtes vers un site Internet dans le but de le saturer

(attaque par déni de service).

Les conséquences des effets secondaires de l‟activité d'un ver sur un ordinateur sont souvent :

 Le ralentissement par saturation de la machine infectée ;

 Le ralentissement par saturation du réseau utilisé par la machine infectée ;  Le plantage de services ou du système d'exploitation de la machine infectée. En majorité, des vers écrits sous forme de scripts peuvent être intégrés dans un

courriel ou sur une page HTML (chevaux de Troie). Ces vers sont activés par les

actions de l'utilisateur qui croit accéder à des informations lui étant destinées. Un ver peut aussi être programmé en C, C++, Delphi, assembleur, ou dans un autre langage de programmation. La plupart du temps, les vers utilisent des failles de logiciels pour se propager.

Voici les quelques exemples des vers sur Internet les plus célèbres :

 Félicitations vous venez d'être tirer au sort pour un séjour aux Etats-Unis.  Vous avez reçu un bonus sur votre carte Visa.

 Vous êtes les 1.000.000 visiteurs ; Vous venez de gagner un smartphone.

 Le ver informatique le plus populaire est le ver crée par Samy Kankar qui lui a donné son nom : le ver SAMY. Il a infecté plus d'un million d'utilisateur

MySpace en seulement 20 heures. Voici ce qu'affichait le ver à l'écran des

utilisateurs infectés : “mais par dessus tout, Samy est mon héros”. Chaque personne visitant un profil infecté se faisait infecter à son tour.

 Le ver Facebook qui se propage à travers Facebook Messenger, qui est un système de messagerie instantanée incorporé au réseau social Facebook. Une personne infectée va automatiquement envoyer un message à tous ses contacts avec un lien vers un site permettant de télécharger le ver.

36

II.2.3.1. BREF HISTORIQUE

Le terme « ver » (en anglais « worm ») a été utilisé pour la première fois par le romancier britannique John Brunner dans son roman Sur l'onde de choc. Le 2 novembre 1988, Robert Tappan Morris, étudiant en informatique, mit en circulation ce qui a été appelé plus tard le ver de Morris et qui causa le krach d'un très grand nombre d'ordinateurs sur Internet. Durant le procès de Morris, la cour a estimé que le coût de l'élimination du virus peut être évalué entre 200 et 53 000 dollars. Quant à Morris, il est la première personne condamnée en vertu de la loi américaine sur les fraudes et les abus (Computer Fraud and Abuse Act)⁴.

II.2.3.2. CARACTERISTIQUE D’UN VER INFORMATIQUE

 Le ver est souvent transmis aux ordinateurs de différentes manières, telles que le courrier électronique, des programmes source obscurs, des sites de forum, des DVD et des CD de jeux piratés.

 Le ver est conçu pour se copier d'un ordinateur à un autre automatiquement. Tout d'abord, il prend le contrôle des propriétés qui transmettent des fichiers ou des informations sur l'ordinateur. Cela peut entraîner un trafic réseau important en raison de l'effet domino, ce qui ralentit les réseaux des lieux de travail et l'ensemble de l'Internet.

 Le ver est une sous-classe de virus et se propage généralement sans action de l'utilisateur et distribue des copies complètes de lui-même (éventuellement

modifiées) de réseaux en réseaux.

 Un ver peut consommer de la mémoire ou de la bande passante réseau, ce qui peut entraîner une panne d'ordinateur.

 Comme les vers n'ont pas besoin d'un programme ou d'un fichier "support" pour se répandre, ils peuvent ouvrir un tunnel dans votre système et permettre à une autre personne de contrôler votre ordinateur à distance. Des exemples de vers récents incluent le ver Sasser et le ver Blaster.

II.2.3.3. CLASSIFICATION D’UN INFORMATIQUE

Il existe actuellement 4 Classes des vers informatiques :

 Vers de réseau (Vers de réseaux de partage de fichiers) ;  Vers de courrier électronique ;

 Vers de messagerie instantanée (Vers IRC : Internet Relay Chat);  Vers Internet ;

37

V.2.3.4. ARCHITECTURE D’UN VER INFORMATIQUE

Il est composé de deux parties :

 Le vecteur - c‟est la partie principale du ver, qui s‟occupe de la recherche de failles et est responsable de transmettre la seconde partie du ver.

 L’archive - c‟est la partie « morte » du ver, qui sera envoyée sur le système distant et l‟infectera.

Cette archive peut exister sous deux formes distinctes :

 Sous forme de sources - la reproduction est beaucoup plus aisée, car le nombre de machines potentiellement ciblées est beaucoup plus grand. L‟inconvénient majeur de ce procédé est qu‟un compilateur est nécessaire sur la machine à infecter. Les données nécessaires à l‟infection sont plus volumineuses et une compression des sources sera parfois opérée préalablement.

 Sous forme binaire - la reproduction de ce type de ver n‟est possible que sur une architecture compatible avec les données binaires. Cependant, ce format ne nécessite pas de compilateur sur la machine hôte et est souvent plus compacte que la version source. Il est à remarquer qu‟il existe des vers multiformes, c‟est-à-dire utilisant une archive en sources ou binaire selon le système à infecter.

38

II.2.3.5. MODE DE REPRODUCTION D’UN VER

Avant d‟infecter un système, le ver doit procéder dans l‟ordre à une série d‟étapes. Ce n‟est qu‟à la suite de celles-ci qu‟il pourra attaquer la machine cible. La succession d‟étapes est la suivante (et ne concerne que la partie « vecteur » jusqu‟à la phase d‟invasion) :

 Initialisation - ce sont les premières instructions du ver. Il peut s‟agir de la création de fichiers temporaires, ou la compilation d‟une partie de l‟archive. A cet instant, le ver est toujours sur la machine mère.

 Recherche de l’hôte - Cette étape procède à un scan d‟IP. Ce scan peut être aléatoire ou incrémental (on passe en revue des séries d’adresses IP). Pour chacune d‟entre elles, on teste si le système répond ou non ("up" ou "down").  Identification de l’hôte - une fois une victime potentielle détectée, le ver (la

partie vecteur) va tester le système en place sur la machine distante. Il s‟agira de vérifier si le système possède des failles pouvant être exploitées par le ver, s‟il possède un compilateur approprié, ... Si ce n‟est pas le cas, on retourne à l‟étape précédente.

 Attaque - c‟est ici que le ver exploite les vulnérabilités mises au jour dans la phase précédente. Le vecteur obtient alors un accès sur la machine cible.

 Invasion - Le vecteur est maintenant présent sur la machine cible, mais n‟est pas encore actif. Les instructions sont toujours données par la machine mère. Dès cet instant, le vecteur va rapatrier la partie archive sur le système à infecter. Deux techniques sont possibles :

 Soit le vecteur est toujours accompagné de sa partie archive, auquel cas l‟archive est présente sur la machine à tout moment, le vecteur uploadant son archive de machines en machines. Cette technique est un peu plus complexe à réaliser car le vecteur doit avoir été programmé pour transmettre cette archive.

 Soit le vecteur doit rapatrier la partie archive. Ce rapatriement se fait à partir de la machine mère, ou depuis un serveur fixe (de type FTP) et unique pour toutes les machines (mais dans ce cas, l‟attaque se terminera si le serveur tombe en panne). C‟est beaucoup plus facile à réaliser, mais également plus dangereux car l‟utilisateur piraté pourra plus facilement tracer le ver. Si l‟archive est sous forme de sources, le vecteur devra également procéder à la décompression et à la compilation de ces sources avant de passer à la phase suivante.

39

 Reproduction - ici aussi, deux possibilités existent pour permettre la reproduction du ver :

 Soit on tue le ver présent sur la machine mère. Le ver se déplacera alors de stations en stations.

 Soit on ne le tue pas et chacun des deux vers continue à se propager selon

la méthode décrite ci-dessus. Ce choix provoque une étendue exponentielle

du ver et est logiquement plus dangereuse que la précédente.

Il faut également noter que des mesures simples permettent de limiter le risque d'attaque par un ver :

 Analyse régulière de tous les fichiers suspects à l'aide d'un antivirus ;

 Mises à jour régulières des logiciels installés pour s'assurer d'avoir les dernières versions ;

 Évitement des sites Internet à risque (sites de hackers ou de téléchargement de

matériel piraté par exemple) ;

 Scannage des pièces jointes d'un email par un antivirus à jour.