| WEBMASTER | GAGNER DE L'ARGENT | PARTENAIRES | LIENS | AUTRES |
Les attaques informatiques
Les attaques informatiques
Les attaques informatiques
SOMMAIRE
Les caractéristiques communes des virus
Des pare-feu pour protéger le poste de travail
Dossier : VERS
Créés pour réguler le
contrôle aérien et les problèmes réseaux, les vers ont été détournés de
leur utilisation première. Avec le développement d'Internet, ils sont
devenus le meilleur moyens pour les auteurs de virus de propager très
rapidement leur création et d'infecter en un temps record des millions
de machines
Définition : VER
D'après la définition donnée par le scientifique
américain Peter J. Denning dans son livre "The Internet Worm"
en 1989, un ver est un programme capable de fonctionner de manière
indépendante. Il peut propager une version fonctionnelle et complète de
lui-même vers d'autres machines. le mot anglais "Worm" est
inspiré par un livre de science-fiction publié en 1975.
Les VERS
Contrairement
au virus, le vers n'a pas besoin d'infecter et de parasiter un
programme ou un support physique pour se reproduire. Le vers peut agir
tout seul et se sert des connexions réseaux, intranet ou Internet,
pour se propager. La plupart d'entre eux sont intégralement présents
dans la machine sur laquelle ils se sont copiés à travers le réseau.
Mais il existe aussi des vers constitués de plusieurs segments qui
fonctionnent sur des ordinateurs différents et communiquent entre eux
via les réseaux.
L'idée qu'on
se fait des vers et leur utilisation ont évolué avec le temps : à
l'origine, le premier programme apparenté à un ver répondait au besoin
des contrôleurs aériens qui souhaitaient être avertis quand un avion
passait de la zone de contrôle d'un ordinateur à un autre. Puis, dans
les années 80, les vers furent utilisés par des administrateurs réseaux
pour résoudre certains problèmes. Les quelques vers nuisibles ont, à
l'époque, pour principal effet de saturer la bande passante à cause de
leur vitesse de reproduction. Mais avec le développement d'Internet, le
mode de propagation des vers est utilisé par les auteurs de virus pour
diffuser rapidement leurs création à travers
le monde. Au point d'aujourd'hui, le vers est considéré comme un
sous-ensemble de la famille des virus.
Le vers
actuels se servent généralement des connexions sur les IRC (Internet
Relay Chat) avec les logiciels clients mIRC ou pIRCH ou des messageries
électroniques pour se propager. Dans ce
dernier cas, les vers récupèrent l'ensemble des adresses de courriers
contenues dans le répertoire dédié pour s'autodistribuer aux
correspondants, ce qui garantit une diffusion massive. Très répandu, ce
type de ver est désigné par le terme "mass-mailer". On en
trouve désormais dans toutes les familles de virus à l'exception des
virus système.
En 2000, les
virus de scripts de type ver, généralement écrits en Visual Basic
Script, ou VBS, connaissent une croissance exponentielle. Ainsi, le
virus "I Love You" qui a fait de nombreuses victimes
se présentait sous la forme d'un script attaché en pièce jointe à un
courrier électronique. Le virus macro de type ver appelé Melissa
illustre également les capacités de ces nouveaux virus. Il envoie un
message signalé comme important aux 50 premières adresses des
répertoires présents dans OutLook avec une pièce jointe contenant le fichier
infecté. Un fois le document ouvert, le virus va infecter tous les
fichiers Word stockés dans l'ordinateur. En deux jours, Melissa fait le
tour du monde.
Depuis
quelques temps, les vers s'attaquent aux programmes comme Sircam ou
Magistr, sont devenus prédominants. Ils se propagent sur Internet et
infectent les fichiers exécutables en local. Certains vers n'utilisent
pas les ordinateurs de particuliers pour se propager, ils se
reproduisent directement par l'intermédiaire des serveurs Web. C'est le
cas de CodeRed qui utilise une faille du logiciel IIS (Internet
Information Server) de Microsoft pour infecter un maximum de machines.
Dossier : VIRUS
Tels leurs cousins
biologiques, les virus se répandent jusqu'à infecter la totalité du
support où ils ont trouvé asile. mais avant de les chasser, mieux vaut
connaître leurs diverses formes et leurs modes opératoires.
Définition :
VIRUS INFORMATIQUE
Selon la
définition donnée par Fred Cohen, le premier chercheur qui a décrit le
phénomène dans une thèse publiée en 1985, le virus est un programme
informatique capable d'infecter d'autres programmes en les modifiant
afin d'y intégrer une copie de lui-même qui pourra avoir légèrement
évolué. A la manière de son frère biologique, il se reproduit
rapidement à l'intérieur de l'environnement infecté sans que le porteur
(l'utilisateur) en ait conscience. Indépendamment de sa fonction
reproductive, le virus contient généralement une charge qui peut causer
des dégâts insignifiants ou redoutables. Mais il ne peut pas agir de
façon autonome car le programme infecté doit être exécuté pour devenir
actif.
Les VIRUS SYSTÈME
On les appelle
aussi virus de boot ou du secteur de démarrage ; ils infectent la zone
amorce d'un disque dur ou d'une disquette, c'est-à-dire la première
partie du disque lue par l'ordinateur. Le virus remplace le contenu de
cette zone par son propre code, ce qui lui permet d'être exécuté en
premier lors du démarrage du PC. Puis, il déplace le contenu original
de la zone d'amorçage vers une autre partie du disque.
Le virus est
chargé dans la mémoire vive à la mise sous tension de la machine et y
demeure jusqu'à son arrêt. Pour infecter un ordinateur, il suffit de le
démarrer avec une disquette ou un CD-Rom contenant le virus. Celui-ci
contamine ensuite toutes les disquettes ou supports amovibles insérés
dans l'ordinateur. Mais, l'échange de disquettes étant de moins en
moins fréquent, la propagation des virus système diminue en proportion.
Le plus célèbre d'entre eux est le virus Michelangelo
qui fit son apparition en 1992. Un chercheur lui a attribué le nom de
Michel-Ange car la date de son déclenchement correspond à
l'anniversaire de l'artiste de la Renaissance (6 mars 1475). La même
année, le virus Jack Ripper cause de nombreux dégâts : il modifie
certains fichiers et il contient les textes "C 1992 Jack
Ripper" et "Fuck 'em up !". Le fichier Parity Boot
présente lui, la particularité d'afficher un vrai message d'erreur
système indiquant que la mémoire de l'ordinateur a un problème avant de
planter le système d'exploitation.
Les VIRUS PROGRAMMES
Appelés aussi
virus de fichiers ou virus parasites, ils infectent les programmes. Ils
parasitent les fichiers exécutables ou les fichiers système et
modifient l'ordre des opérations habituellement effectuées afin d'être
exécutés en premier. Le virus s'active dès que le fichier infecté est
lancé, mais on ne se rend compte de rien car le programme infecté
fonctionne normalement.
Ces virus sont
de deux types : ceux qui peuvent s'installer dans la mémoire vive et
ceux qui ne peuvent pas. Ils sont écrits en fonction du système
d'exploitation sous lequel tourne le programme visé.
Ainsi sous Dos, ce sont les fichiers exécutables qui
portent l'extension .exe ou .com et les fichiers systèmes .sys qui sont
attaqués. Très nombreux, ces virus ont été largement diffusés par
l'intermédiaire de jeux et d'utilitaires téléchargés sur Internet.
Aujourd'hui les virus Dos causent de moins en moins d'infections car
ils ont du mal à se reproduire lorsqu'ils sont exécutés par Windows.
Par contre, le nombre de virus s'attaquant aux applications Windows 32
bits ne cesse de croître.
Ces derniers infectent surtout les fichiers PE
(Portable Executable), un format de fichier exécutable propre aux OS de
Microsoft depuis Windows95, ainsi que les fichiers VxD aussi appelés LE
(Linear Executable). Ces virus sont bien plus complexes que leurs aînés
fonctionnant sous Dos. D'ailleurs Boza, le premier virus à infecter des
fichiers exécutables sous Windows 95 saluait l'exploit technique par
l'intermédiaire d'une boîte de dialogue. Il en existe aussi dans le
monde Mac et Linux, moins pourtant que pour les systèmes de Microsoft.
Les VIRUS MULTIFORME
Ils utilisent
les deux techniques précédentes. Ils sont capables d'infecter à la fois
les secteurs d'amorçage des disques durs ou des disquettes et les
fichiers exécutables. Ce qui facilite leur propagation.
Les MACROS VIRUS
Ils se nichent
dans les macro-commandes utilisées à l'intérieur des applications,
notamment en bureautique, afin d'automatiser un certain nombre de
tâches comme la sauvegarde d'un fichier. La grande majorité des macros
virus vise les programmes de Microsoft : Word, Excelet, dans une
moindre mesure, Access, PowerPoint et Outlook. A l'ouverture d'un
document contenant une macro infectée, le virus se réplique dans le
document par défaut, contaminant ainsi chaque fichier créé ou ouvert
avec ce programme. Écrit en Word Basic puis en VBA (Visual Basic for
Application), le macro virus est si facile à concevoir qu'il se répand
comme une traînée de poudre et représentait près de 80% des infections
en 1997. Bien qu'ils cèdent le pas aux virus s'attaquant aux
applications Windows 32 bits, les macros virus sont de plus en plus
sophistiqués. Ainsi Groovie, qui infecte les documents Word, est furtif
car il n'est pas remarqué avant que l'éditeur Visual Basic ne soit
sélectionné.
Les VIRUS SCRIPTS
ils utilisent
les différents langages de scripts qui permettent de contrôler
l'environnement d'un logiciel. Ils sont créés à partir des plus
répandus : Javascript de Sun Microsystems et VB (Visual Basic) Script
de Microsoft. Dérivé du VBA, ce dernier peut être utilisé dans les
navigateurs (Internet Explorer), les formulaires mails (Outlook),
Windows ou même dans les serveurs http Microsoft. Ils se propagent très
vite grâce à Internet et se répliquent surtout par l'intermédiaire des
messageries électroniques ou de scripts intégrés dans les pages HTML.
On peut alors les assimiler à des vers.
Dossier : LES CARACTÉRISTIQUES COMMUNES DES
VIRUS
Voici quelques éléments
caractéristiques des virus :
RÉSIDENT et NON RÉSIDENT
les virus dits
résidents ou TSR (Terminate and Stay Resident), s'installent en mémoire
vive pour se propager rapidement. Exemples, les virus système qui se
logent immédiatement dans la RAM au démarrage, ainsi qu'une grande
partie des virus programmes. Quand le fichier infecté est exécuté, le
virus se charge dans la mémoire où il reste actif. de là, il peut
contaminer tous les programmes exécutés qui ne sont pas déjà infectés.
Les virus non résidents, eux, cherchent d'autres
programmes à contaminer dès que le fichier infecté est exécuté.
AVEC ou SANS RECOUVREMENT
un virus peut
infecter les programmes de plusieurs manières. Certains, appelés virus
avec recouvrement, écrasent le contenu du fichier cible avec leur code
pour ne pas en modifier la taille. Le fichier infecté devient donc
inutile et ne sert plus qu'à exécuter le virus. En général, les virus
avec recouvrement sont non résidents en mémoire.
Les virus sans recouvrement, eux, recopient leurs
codes à la fin du fichier et placent une routine au début du programme
afin d'être actifs dès que le fichier est exécuté. les fichiers
infectés sont donc plus lourds que les fichiers sains, et se détectent
plus facilement.
Il existe aussi des virus qui ne touchent pas au
fichier cible mais créent un autre fichier portant le même nom avec une
extension différente afin d'être exécuté en priorité. Ils profitent du
fait que sous Dos, les fichiers avec une extension .com sont exécutés
avant les fichiers .exe quand ils portent les mêmes noms. Ce sont des
virus compagnons.
POLYMORPHE
un virus
polymorphe a la capacité de modifier son code en se reproduisant. Il
peut ainsi modifier l'ordre d'exécution de ses instructions ou en
ajouter des fausses. Chaque copie est donc différente, ce qui le rend
difficile à détecter par les antivirus qui se référent à une base de
signatures identifiées. Certains sont mêmes cryptés.
FURTIF
Il se camoufle,
afin d'être invisible aux yeux de l'utilisateur ou du logiciel
antivirus, en un fichier sain. En fait, il surveille les appels aux
fonctions de lecture des fichiers ou des clusters du disque et modifie
les données renvoyées par ces fonctions.
À
l'inverse des virus, les chevaux de Troie et autres bombes logiques
n'ont pas la capacité de se reproduire. pour autant, ils s'avèrent des
armes redoutables. Tapis entre les lignes de code d'un programme, ils
attendent que vous double-cliquiez sur l'icône du programme qui les
héberge pour devenir les maîtres de votre PC.
Définition : CHEVAL DE TROIE et BOMBE LOGIQUE
Le cheval de Troie, ou Trojan, et la Bombe logique
sont des programmes informatiques qui contiennent des fonctions cachées
pouvant s'exécuter en toile de fond à l'insu de l'utilisateur. Dans le
cheval de Troie, la fonction cachée est exécutée immédiatement, alors
que dans la bombe logique, elle se déclenche à un instant défini.
CARACTÉRISTIQUES
Les bombes logiques
et les chevaux de Troie sont des programmes simples. Ils n'ont pas la
capacité de se reproduire comme le font les virus et les vers et ils ne
peuvent donc pas se propager par eux-mêmes. Mais, à l'inverse, un virus
peut agir comme un cheval de Troie ou une bombe logique !
CHEVAL DE TROIE
Pour gagner
une machine, ces petits programmes doivent être installés à partir d'un
support physique ou par téléchargement. A l'image de la légende
homérique relatant comment les Grecs ont provoqué la destruction de la
ville de Troie après s'être cachés dans un cheval en bois, ils se
dissimulent avant d'agir. Les chevaux de Troie ou Trojans se nichent
ainsi à l'intérieur de programmes gratuits ou commerciaux qui semblent
anodins aux yeux de l'utilisateur : patchs ou mises à jour,
utilitaires, logiciels de jeux, etc. La bombe logique est également
soigneusement dissimulée au sein du système d'exploitation ou d'un
logiciel quelconque. Une fois ledit programme exécuté, ils sont prêts à
effectuer la tâche plus ou moins nuisibles
pour laquelle ils ont été programmés.
BOMBE LOGIQUE
Mais à la
différence du cheval de Troie qui est immédiatement opérationnel au
lancement du logiciel hôte, la bombe logique attend le moment opportun
pour se déclencher. Cet évènement, déterminé par le programmeur
malveillant, peut être une date particulière, une combinaison de
touches, une action spécifique ou un ensemble de conditions précises.
Ainsi, un employé mal intentionné peut implanter une bombe logique
chargée de vérifier si son nom disparaît sur les listes, la bombe
logique se déclenche et détruit les données de la société.
CONSÉQUENCES
Que leurs
effets soient différés ou immédiats, ces programmes simples ont des
fonctions diverses. Ils ont la capacité, par exemple, d'afficher une
boîte de dialogue, de détruire des fichiers, de copier des données
confidentielles ou des mots de passe. L'action la plus pernicieuse
reste toutefois la prise de contrôle à distance de l'ordinateur. Une
fonction tellement répandue qu'elle est désormais associée au cheval de
Troie. Ce type de Trojan peut ouvrir un port de l'ordinateur à la
communication ou profiter d'une faille de sécurité sans que
l'utilisateur s'en aperçoive. Une fois installé, le Trojan agit comme
l'élément serveur d'un logiciel de prise en main à distance classique.
Ensuite, tout est possible pour l'utilisateur distant : lire et écrire
des données, transférer des fichiers, prendre le contrôle de la souris
et du clavier, etc. Mais le pirate doit toutefois connaître l'adresse
IP de la machine ciblée avant de pouvoir agir.
Le plus
célèbre de ces Trojans est une application client/serveur développée en
1998 par le CdC (The Cult of the dead Cow), un groupe de hackers très
actif. Baptisée "Back Orifice" en référence à la suite logicielle
de Microsoft "Back Office", cette application a été
développée pour mettre en évidence les failles de sécurité de Windows.
Utilisé à bon escient, "Back Orifice" est un puissant outil
d'administration à distance mais il peut également être utilisé par les
pirates en étant intégré dans un autre logiciel ou en étant renommé
pour laisser croire que c'est un programme inoffensif.
COMMENT ÉVITER LES VIRUS ?
Ce n'est pas par hasard si un virus arrive sur
une machine. En informatique, il y a des comportements qui sont sources
d'infection. Ces comportements sont donc à proscrire.
VOiCi QUELQUES RÈGLES POUR LiMiTER LES RiSQUES :
LES MiSES À JOUR
Avoir un
antivirus installé sur son ordinateur ne sert à rien si l'on n'effectue
pas les mises à jour régulières des signatures virales. Il n'y a pas de
règle absolue, mais il est impératif d'en effectuer au moins une par
mois. Un check-Up hebdomadaire est encore plus sécurisant.
LE PARE-FEU (FiREWALL)
Si l'antivirus
est indispensable, il est recommandé de l'associer à un pare-feu pour
éviter ainsi toute tentative d'intrusion d'un cheval de Troie. Surtout
pour les possesseurs d'une connexion permanente câble/ADSL.
LES FAiLLES DE SÉCURiTÉ
En matière de
virus, les évènements des derniers mois ont montré que Windows et
Internet Explorer, mais aussi d'autres logiciels, comportaient des
failles de sécurité dont les virus profitent allègrement. Il est donc
nécessaire d'effectuer toutes les mises à jour critiques des logiciels
que vous utilisez, et plus particulièrement celles des produits
Microsoft.
[Mises à jour de Microsoft]
LES SiTES SENSiBLES
Les programmes
pirates et autres sites Internet underground sont souvent des
"nids à virus". Alors, ne tentez pas le diable et évitez de
visiter ce type de médias.
LA SAUVEGARDE
Pour parer à
toute éventualité, n'oubliez pas de faire régulièrement une sauvegarde
de vos fichiers et autres données sur un support amovible.
DES PARE-FEU POUR PROTÉGER LE POSTE DE TRAVAIL
1. Pourquoi un pare-feu
?
Aujourd'hui, la majorité
des entreprises dotées d'un accès à Internet ont installé un pare-feu
(firewall) logiciel ou matériel pour faire face aux tentatives
d'intrusion répétées sur leur réseau local. En effet, le sport favori
d'un grand nombre de petits malins consiste à scanner les ports IP (un
canal par lequel transitent les données sur Internet), des postes de
travail ou des serveurs afin d'en trouver un resté ouvert par mégarde.
Exploitant les failles des systèmes d'exploitation ou des applications
(backdoors), certains pirates réussissent
à prendre le contrôle d'un serveur Web ou bien dérober des informations
confidentielles. Voire à détruire des données en installant un virus
ou un cheval de Troie sur un poste de travail ou un serveur.
Si les grandes
entreprises ont pris depuis peu réellement conscience du danger, il n'en
va pas de même des petites entreprises, des travailleurs indépendants ou
des collaborateurs nomadent qui exploitent une liaison Internet, surtout
si celle-ci offre un accès permanent comme l'ADSL, la boucle radio
(BLR), le câble, et bientôt le GPRS. La majorité des postes de travail,
que ce soient des PC de bureau ou des portables, sont aujourd'hui livrés
en standard avec un logiciel antivirus qui est loin d'être la parade
ultime aux problèmes de sécurité. Un pare-feu est le complément
indispensable pour les postes de travail connectés à Internet. Le
pare-feu personnel que les entreprises associent généralement à un
réseau virtuel privé (VPN) avec leurs salariés nomades, répond au besoin
de sécurité et de confidentialité des données.
PE = File Infector (virus), VBS = Visual Basic Script, MM = Massive Mailer (vers de mail)