• Aucun résultat trouvé

VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS

N/A
N/A
Protected

Academic year: 2022

Partager "VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS"

Copied!
6
0
0

Texte intégral

(1)

18 septembre 2007

VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS

Depuis l'avènement de la micro-informatique, les logiciels malveillants ont de tout temps existé, du virus propagé par disquette aux méthodes les plus modernes de contamination par internet. Ce petit dossier fait un tour rapide des logiciels malveillants avant de mettre en avant quelques principes et des solutions à connaître pour se protéger.

Quelques définitions :

- Qu'est ce qu'un virus ?

Au sens strict, un virus informatique est un programme informatique écrit dans le but de se propager à d'autres ordinateurs en s'insérant dans des programmes légitimes appelés « hôtes ». Il peut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandre à travers tout moyen d'échange de données numériques comme l'internet, mais aussi les disquettes, les cédéroms, les clefs USB, etc.

Son appellation provient d'une analogie avec le virus biologique puisqu'il présente des similitudes dans sa manière de se propager en utilisant les facultés de reproduction de la cellule hôte. On attribue le terme de « virus informatique » à l'informaticien et spécialiste en biologie moléculaire Leonard Adleman (Fred Cohen, Experiments with Computer Viruses, 1984).

- Qu'est ce qu'un trojan ?

Un trojan, ou cheval de troie ou encore troyen, est un programme informatique qui s'installe en se masquant dans un autre programme sain. Il ne se reproduit généralement pas et sert de base (en tant que serveur) afin de permettre des intrusions sur une machine. Le nombre de trojans est aussi impressionnant que la variété des actions qu'ils permettent. Certains ouvrent simplement un accès aux fichiers de la machine infestée, d'autres permettent une interaction complète avec celle-ci de la même manière que si l'intrus se trouvait devant-elle.

- Qu'est ce qu'un ver ou worm ?

C'est un virus particulier qui se reproduit par le biais d'Internet. Il utilise en général le courrier électronique pour se reproduire de machine en machine de façon autonome et le plus souvent furtif. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à tout ou partie des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrives pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.

Dans le même temps, le terme « virus » est de plus en plus flou, les virus à proprement parler sont loin d'être les menaces les plus importantes auxquelles ces logiciels ont à faire. Le temps du virus qui se propageait par disquette est depuis longtemps révolu. Le virus, tel qu'il est officiellement défini, est un fragment de code qui a besoin d'un programme hôte pour se reproduire. A l'inverse, les vers n'ont besoin de personne et se propagent automatiquement.

En consultant les listes des « virus » les plus répandus, on se rend compte que ce sont aujourd'hui les vers qui squattent en permanence le haut du triste tableau. Le terme « virus » est donc de plus en plus utilisé de manière générique, dépassant le virus au sens propre du terme, pour désigner toute forme de programme malveillant (malware).

Le nombre total de programmes malveillants connus serait de l'ordre 95 000 selon Sophos (tous types de malwares confondus). Cependant, le nombre de virus réellement en circulation ne serait pas supérieur à quelque milliers selon la Wildlist Organisation, chaque éditeur d'antivirus ayant intérêt à « gonfler » le nombre de virus qu'il détecte pour des raisons commerciales. La très grande majorité touche la plate-forme Windows et, à un degré moindre, les différentes distributions de Unix/Linux.

Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments de système d'exploitation totalement sains.

(2)

A noter que certains virus sont des virus polymorphes. A chaque fois que l'un d'eux infecte un fichier, il se crypte différemment. Résultat, il faut que l'antivirus analyse la technique d'encryptage de chaque virus pour déceler, dans les fichiers contaminés, une sorte de "manie" caractéristique, une constante.

- Qu'est-ce qu'un logiciel espion ou spyware ?

Un logiciel espion (espiogiciel, mouchard ou en anglais spyware) est un logiciel malveillant qui s'installe dans un ordinateur dans le but de collecter et transférer des informations sur l'environnement dans lequel il s'est installé, très souvent sans que l'utilisateur n'en ait connaissance. L'essor de ce type de logiciel est associé à celui d'Internet, qui lui sert de moyen de transmission de données.

Les logiciels espions accompagnent souvent les logiciels gratuits et s'installent généralement sans l'accord de l'utilisateur. Les logiciels espions ne sont généralement actifs qu'après redémarrage de l'ordinateur. Certains, comme Gator, sont furtifs et ne se retrouvent donc pas dans la table des processus.

Il est permis de penser que les logiciels espions sont développés principalement par des sociétés proposant de la publicité sur Internet. En effet, pour permettre l'envoi de publicité ciblée, il est nécessaire de bien connaître sa cible.

Cette connaissance peut être facilement obtenue par des techniques de profilage dont le logiciel espion fait partie.

Un logiciel espion est composé de trois mécanismes distincts :

Le mécanisme d'infection, qui installe le logiciel. Ces mécanismes sont identiques à ceux des virus, des vers ou des chevaux de troie. Par exemple, l'espiogiciel Cydoor utilise le logiciel grand public Kazaa ;

le mécanisme assurant la collecte d'information. Pour le même exemple, la collecte consiste à enregistrer tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa ;

le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau Internet. Le tiers peut être le concepteur du programme ou une entreprise.

Le logiciel espion peut afficher des offres publicitaires, télécharger un virus, installer un cheval de troie, capturer des mots de passe en enregistrant les touches pressées au clavier (keyloggers), espionner les programmes exécutés à telle ou telle heure, ou encore espionner les sites Internet visités.

Le logiciel espion attaque très souvent les systèmes Microsoft Windows du fait de leur popularité. Certaines pages web peuvent, lorsqu'elles sont chargées, installer à l'insu de l'utilisateur un logiciel espion, généralement en utilisant des failles de sécurité du navigateur de la victime.

Ils sont souvent présents dans des gratuiciels (différents des logiciels libres), ou des partagiciels, afin de rentabiliser leur développement. Il est possible qu'un gratuiciel cesse de fonctionner après la suppression de l'espiogiciel associé. On ne connaît pas de logiciel à code source libre — comme Mozilla Firefox — qui en contienne.

Enfin, certains administrateurs systèmes ou réseaux installent eux-mêmes ce type de logiciel pour surveiller à distance l'activité de leurs ordinateurs, sans avoir à se connecter dessus.

- Qu'est-ce que le phishing ?

L'hameçonnage, appelé en anglais phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance - banque, administration, etc. - afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. L'hameçonnage peut se faire par courrier électronique, par des sites Web falsifiés ou autres moyens électroniques.

Les criminels informatiques utilisent généralement l'hameçonnage pour voler de l'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay. Les adeptes de l'hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles.

Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à ne pas alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page trompeuse, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel.

(3)

Quelques principes à connaître

Avant d'acheter ou de télécharger des logiciels qui vous assurerons une certaine protection mais pas à 100%, il convient de prendre quelques mesures afin de limiter les risques :

Faire les mises à jour des logiciels, qui corrigent le plus souvent des failles de sécurité, que ce soient des logiciels de Microsoft windows ou d'autres éditeurs comme Acrobat PDF.

Attention aux messages provenant de personnes inconnues. N'ouvrir ni les messages, ni les fichiers joints, et encore moins accepter de télécharger des images ou des programmes.

Ne téléchargez pas des programmes d'origine douteuse, qui peuvent vous être proposés sur des sites persos ou la messagerie instantanée, eux-mêmes plus ou moins douteux;

En surfant sur internet, lisez bien les messages d'alerte qui peuvent être trompeurs en vous faisant croire à un message de votre antivirus.

Réfléchissez bien avant de dévoiler des informations personnelles. Dans le meilleur des cas, les conditions d'utilisation sont généralement conformes au droit américain, donc beaucoup moins protectrices en matière de vie privée qu'en Europe. Notamment ne donnez pas votre adresse email permanente chez votre fournisseur d'accès mais plutôt un compte d'email gratuit qui pourra être fermé en cas de spamming.

Gardez à l'esprit qu'installer un logiciel n'est jamais une opération anodine : cela revient à autoriser le programme à effectuer toutes les opérations qu'il souhaite sur votre disque dur. Outre un spyware, un programme douteux peut contenir un virus ou un troyen, donc un minimum de précaution s'impose.

Procédez régulièrement à des sauvegardes du contenu important de votre disque dur après avoir vérifié l'absence de virus : cela peut paraître fastidieux, mais en cas d'infection (ou même simplement en cas de crash de disque dur), ça vous sauvera la mise...

Les filtres antipourriels aident aussi à protéger l’utilisateur des criminels informatiques en réduisant le nombre de courriels que les utilisateurs reçoivent et qui peuvent être infectés. Le logiciel client de messagerie Mozilla Thunderbird comporte un filtre bayesien très performant (filtre anti-pourriel auto- adaptatif).

En règle générale, utilisez plutôt des logiciels libres, moins ciblés par les pirates et moins riches en failles de sécurité où peuvent s'introduire virus et autres.

Enfin, tenez-vous au courant des apparitions de nouveaux virus. (cf fin du dossier – Aller plus loin).

Concernant l'hameçonnage, pas vraiment un « malware » mais un nouveau mode de malveillance :

Si le message ou la page web vous paraît douteux, vérifiez bien l'adresse vers laquelle vous êtes redirigés.

Si c'est votre banque qui vous écrit et que vous vous retrouvez sur une page qui ressemble à celle de votre banque mais que l'adresse ne correspond pas, n'allez pas plus loin.

Il faut savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité avec l'un de ses clients.

Il faut être particulièrement vigilant lorsque l'on rencontre une adresse contenant le symbole « @ », par exemple http://www.mabanque.com@members.unsite.com/. Ce genre d'adresse va essayer de connecter l'internaute en tant qu'utilisateur « www.mabanque.com » sur le serveur « members.unsite.com ». Il y a de fortes chances que cela se réalise même si l'utilisateur indiqué n'existe pas réellement sur le serveur, mais par cette méthode la première partie de l'adresse semble être tout à fait innocente (www.mabanque.com). De même, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sous- domaines, par exemple http://www.mabanque.com.unsite.net/.

Des navigateurs récents, tels que Firefox, Opera et Internet Explorer 7, possèdent un système permettant d'avertir l'utilisateur du danger et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses. Netscape 8 intègre également des technologies permettant de tenir à jour une liste noire de sites dangereux de ce type.

(4)

Quelques moyens de protection

En complément de ces règles de prévention, la meilleure protection - et le principal remède en cas de contamination - consiste à installer des logiciels de protection spécifique, certains faisant 3 en 1. Une solution qui reste toute relative, car de nouveaux virus et spyware apparaissent chaque jour.

Antivirus : mettez un gilet pare-balles

Aucun programme ne peut garantir une efficacité absolue, même s'il le prétend. On peut comparer un antivirus à un gilet pare-balles : celui-ci n'empêche pas la possibilité de blessures à la tête ou aux membres, mais il réduit fortement les risques. Aucun produit ne détecte 100% des virus, 100% du temps : d'où l'importance de la prévention.

On peut identifier dans le code de la plupart des virus des morceaux caractéristiques de ce virus qu'on appelle signature de détection. Beaucoup d'antivirus détectent les virus en recherchant systématiquement ces signatures dans le secteur d'amorçage et les fichiers. Il est évident que chaque virus (ou famille de virus) possède sa propre signature. En conséquence, on doit fournir une liste de signatures aux antivirus utilisant cette méthode.

On ne peut détecter que des virus déjà connus et c'est pourquoi la liste des signatures doit être mise à jour régulièrement, sinon posséder un antivirus n'a que peu d'intérêt. Les antivirus doivent en effet être mis à jour au moins toutes les semaines, tous les jours si possible en téléchargeant sur Internet les nouveaux fichiers de définitions virales. Cette opération peut être automatisée sur la plupart des antivirus actuels. Ceci montre l'aspect illusoire des antivirus piratés.

Divers virus posent de gros problèmes à cette méthode de détection, car ils sont cryptés et auto-mutants. On les appelle généralement virus polymorphes. À chaque réplication le virus se crypte lui-même avec une clé aléatoire. On ne peut donc définir aucune signature stable qui permette de le reconnaître. Pour être efficace l'antivirus doit faire une analyse du contenu pour rechercher d'éventuels mécanismes de cryptage.

Quelques exemples de logiciels antivirus :

des payants : Kasperky, Maccaffee, Norton...

des gratuits qui n'ont rien à envier aux payants :

- Antivir : http://www.clubic.com/telecharger-fiche10821-antivir-personal-edition-7.html

Antivir Personal Edition est un des (très) rares antivirus gratuits pour une utilisation personnelle.

Cet antivirus développé par une société allemande n'a pourtant pas grand chose à envier aux ténors du genre. Il reconnaît 50.000 virus, contient un analyseur et un agent de protection permanente et la mise à jour des définitions se fait directement par Internet. Il est un peu lourd.

L'interface, en anglais, est simple d'accès. Pour une utilisation commerciale, il faut souscrire une licence auprès de l'éditeur de la version professionnelle.

- Avast : http://www.clubic.com/telecharger-fiche11113-avast.html

Comme AntiVir Personnal Edition est un anti-virus entièrement gratuit pour une utilisation personnelle. Doté d'une interface très sympathique et originale, cet anti-virus se distingue de son concurrent AntiVir par le fait qu'il n'a pas besoin de re-télécharger le programme entièrement pour mettre à jour sa base de virus depuis Internet. Outre cela, avast! offre aussi l'avantage d'être légèrement plus rapide que ses rivaux gratuits. C'est certainement l'un des plus utilisés.

Important : Pour profiter de la gratuité de cet anti-virus, il est nécessaire après installation du logiciel de remplir ce formulaire pour recevoir gratuitement une clé d'enregistrement par mail.

un libre , léger mais peu riche en signatures :

- Clamwin : http://www.clubic.com/telecharger-fiche12167-clamwin-antivirus.html

Clam Antivirus souffre un peu de la comparaison face aux ténors commerciaux mais au vu de la popularité de la version Linux, ClamWin est clairement un logiciel à suivre. Le site du projet annonce 20.000 souches reconnues alors que les logiciels commerciaux sont plus proche de 80.000.

Firewall personnel : mettez un videur à l'entrée de votre ordinateur

Lorsque Internet a été inventé, la performance des transmissions de données a été privilégiée au dépend de la sécurité. Or aujourd'hui il faut compter avec un nombre croissant d'apprentis pirates qui passent leur temps à scruter les ordinateurs des autres dans l'espoir d'y déceler une faille, afin de provoquer un plantage ou de tenter une intrusion. Un firewall permet de s'en prémunir, en filtrant les données entrantes et sortantes dans l'ordinateur par ADSL.

Il convient simplement de configurer au préalable votre firewall, afin de lui dire ce qu'il doit laisser passer et ce qu'il

(5)

Windows contient par défaut un firewall qui n'est pas réputé pour sa performance. Mieux vaut le désactiver et en utiliser un autre gratuit.

Quelques firewalls gratuits

Sunbelt Personal Firewall : http://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex- kerio.html

Simple d'utilisation, léger, gratuit pour une utilisation personelle (malgré quelques limitations), largement plébiscité pour son efficacité et sa fiabilité, que certains estiment supérieure à celle de ZoneAlarm, Sunbelt Personal Firewall est un très bon pare-feu.

Zone alarm : le firewall le plus utilisé, complet mais gourmand en ressources et un peu difficile d'utilisation pour un néophyte.

Antispyware : supprimer les espions venus de l'internet

Les antispywares ont été conçus sur le modèle des antivirus, afin de détecter les spywares sur la base de signatures.

Utilisables facilement même par des non initiés, ils permettent de détecter un spyware même s'il n'est pas actif, mais restent dépendants de la mise à jour du fichier des signatures.

Ce programme permet de scanner la mémoire de l'ordinateur, la base de registres et les différents disques à la recherche des composants indiquant la présence d'un spyware connu. En version payante, il dispose même d'un moniteur capable de surveiller le système en permanence et d'empêcher l'installation d'un spyware en temps réel.

Quelques antispyware :

Ad-aware, Spybot - Search & Destroy, Spyware Blaster

Tous ces logiciels antitrucs sont des logiciels qui scannent votre ordinateur, surveille les logiciels que vous installez, les processus qui tournent ou votre trafic sur internet. Ils sont donc relativement gourmands en ressources systèmes.

Un cas à part : Hijackthis

HijackThis est un programme qui vous offre la possibilité de trouver et corriger plus facilement les éléments néfastes de votre système.

Ainsi, il va examiner des emplacements spéciaux de la base de registre et de votre disque dur et les comparer aux réglages normaux. S'il y a quelque chose d'anormal de détecté sur votre ordinateur, HijackThis va les sauvegarder dans un fichier. Pour découvrir quels éléments sont néfastes et ce qui a été installé par l'utilisateur, vous avez besoin de quelques informations de base.

Un rapport n'est pas si facile à analyser, même pour un utilisateur avancé. Il existe donc sur internet un analyseur de rapport qui vous signale quel logiciel paraît malveillant et quel autre ne l'est pas : http://www.hijackthis.de/fr

- téléchargement du logiciel : www.telechargement.zebulon.fr/hijackthis.html - mode d'emploi : http://www.zebulon.fr/dossiers/56-analyse-rapports-hijackthis.html

En cas d'infection, que faire ?

Si malgré toutes ces précautions, vous êtes infectés, il y a plusieurs moyens d'actions :

si vous connaissez le virus qui vous infecte et que vous avez une connexion à internet, vous pouvez aller télécharger un patch de sécurité sur www.secuser.com

vous pouvez utiliser ClamWin Portable, un antivirus complètement autonome qui ne nécessite aucune installation. L'intérêt d'une telle solution est de proposer un outil facilement téléchargeable et pouvant être copié sur une clé USB depuis une autre machine afin de scanner et décontaminer votre machine.

http://www.zebulon.fr/dossiers/64-antivirus-clamwin-portable.html

vous pouvez utiliser hijackthis pour supprimer les logiciels indésirables

si rien n'y fait, formatez votre disque dur et réinstallez vos données précédemment sauvegardées, après les avoir scannées avec un antivirus.

(6)

Pour plus de sécurité : utilisation des logiciels libres

Les logiciels libres, outre le fait qu'ils sont performants au même titre que les logiciels propriétaires, ne sont pas la cible privilégiée des pirates. Et s'ils ne sont pas exempts de failles de sécurité, celles-ci sont corrigées plus rapidement par la communauté d'utilisateurs et de développeurs que les logiciels d'éditeurs.

Le navigateur firefox intègre un filtre anti-phishing, le messager thunderbird également, ainsi qu'un filtre anti-spam.

Les logiciels libres ne comportent pas de virus ou de spyware intégrés car leur code source est à la disposition de tous. Il serait donc aisé pour un développeur expérimenté de trouver ces « malwares » et d'en avertir la communauté du libre.

Si vous voulez être débarrassé de tous ces logiciels « antitrucs », la phase ultime reste le passage sous GNU/Linux, un environnement complet qui nécessite tout de même l'installation d'un firewall, mais très léger et utilisant peu de ressources du système. L'une des distributions la plus populaire est ubuntu : www.ubuntu-fr.org.

Linux n'est pas à l'abri des virus qui commencent à sévir sur cet environnement, mais ils sont rares et les failles de sécurité rapidement comblées. Il existe toutefois un antivirus pendant de clamwin pour windows, clamav.

Aller plus loin :

Sites d'information générale :

- site d'information sur la sécurité informatique pour le grand public, lettre d'info hebdomadaire, etc : www.secuser.com

- dossier actualisé sur les virus et autres : http://www.journaldunet.com/solutions/dossiers/virus/sommaire.shtml - article sur les antivirus sur clubic.com : http://www.clubic.com/article-77079-1-guide-comparatif-meilleur- antivirus.html

- article sur les spyware sur clubic.com : http://www.clubic.com/article-18235-1-spyware-les-eviter-s-en- debarrasser.html

Références

Documents relatifs

Depuis 1993, les agents de santé, le personnel infi rmier et les superviseurs villageois ont bénéfi cié d’une formation en matière d’éducation et de conseil relatifs au

[r]

Bien qu’ayant impacté les soins des patients atteints de cancer, la Covid-19 n’a pas mis à bas le partage des avancées scientifiques et médicales essentielles en cancérologie

Pour en savoir plus : www.april.org Pour choisir des logiciels libres : www.framasoft.net.. J'offre de nombreuses libertés à

Travailler la résolution de problèmes en classe à partir d’Ateliers de Compréhension.

- La possibilité de prendre le contrôle d'un ordinateur et de pouvoir l'utiliser pour mener des actions malfaisantes (envoi de pourriels notamment pour l'hameçonnage, de

Décomposer chaque nombre compris entre 3 et 31 en somme de puis- sances de 2 en utilisant le document : la somme des nombres présents dans les disques colorés doit être égale au

En effet, on ne peut envisager un bou- leversement dans des domaines aussi différents que la science des matériaux, l’électronique et les technologies de l’information, la biologie,