Les différents types de virus.

La sécurité sur le Net

Les virus :les différents types

Introduction

Types

Les virus « classiques »

On appellera "virus classiques" les virus qui ont été développés en premier lieu ou en priorité avec des langages de programmation "classique" (c'est à dire l'assembleur en priorité) pour être propagé soit intentionnellement soit à l'aide de moyen physique (disquette, CD Rom...)

Ces virus infectent soit le secteur d’amorçage du disque (disque dur ou disquettes), soit les fichiers, soit les deux. Parmi ces virus, on distingue différents genres, qui se distingue principalement par leur mode de contagion, leurs conséquences ne varient pas, destruction de fichiers, de données voire reformatage (effacement complet du disque dur).

Les virus infectant le secteur d’amorçage (Boot sector pour les anglophones) constitue une première catégorie. Ce type de virus devient moins fréquent du fait de la baisse du nombre de personne démarrant leur ordinateur avec une disquette ou même un CD-Rom et aussi grâce à l'usage généralisé d'antivirus et la difficulté de trouver de nouveau algorithme efficace de ce type échappant aux antivirus. Cependant, ces virus amorcés dès le démarrage (ils sont situés sur le premier secteur d'amorçage du disque) possèdent un contrôle important de l'ordinateur.

Les virus infectant les fichiers, appelés parasites sont de deux natures différentes. Ce sont les virus non résident et les virus résidents. Les premiers sont les plus répandus, ils recherchent un fichier cible et remplacent, par leur section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l’exécution du fichier, c’est le code viral qui est d’abord lancé. Ce code viral cherche d’autres programmes à infecter, et les infecte. Ensuite il restitue la première section du programme infecté et exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s’agit donc d’un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu’il contient le virus en plus du programme.

Les virus résidents, quand à eux, restent présent dans la mémoire vive de l’ordinateur. Une fois qu'un fichier infecté est exécuté, le virus place dans la mémoire vive, où il reste actif. Dès qu’un programme est exécuté et qu’il n’est pas infecté, le virus l’infecte. La différence avec les virus parasites est qu’il n’y a pas besoin de procédure pour trouver une cible, puisque c’est l’utilisateur qui la désigne en exécutant le programme cible. Certains d’entre eux peuvent résister au simple redémarrage, mais de toute manière l'exécution d'un programme infecté réactivera en mémoire le virus.

Des virus regroupant les caractéristiques des virus parasites et des virus du secteur d’amorçage existent également.

Les virus peuvent posséder d'autres caractéristiques visant principalement à échapper à la surveillance des antivirus.

Parmi ceux-ci, les virus furtifs qui modifient complètement le fonctionnement du système d’exploitation. Ces virus le altèrent tellement le système, qu’il semble sain pour les antivirus. Ceci les rend très difficiles à détecter, puisque les antivirus sont trompés, cependant ils sont peu fréquent, mais dangereux.

Les virus polymorphes (mutants), eux ont la caractéristique principal d'être différent à chaque infection. Ils doivent ceci à son code qui comprend un algorithme générant une valeur aléatoire qui crypte le virus. Le programme entier et le virus sont encryptés, excepté le premier segment destiné à la décryption. Par cette caractéristique, ce genre de virus est donc beaucoup plus difficile à détecter, les antivirus fonctionnant surtout à partir d'une signature de chaque virus qui ici ne pourra pas être déterminé car le virus en lui-même change (on dira mute).

Les virus flibustiers (Bounty hunters, en anglais) vise directement les antivirus en les modifiant pour les rendre impuissants, ce genre de virus est très rare mais très efficace.

Les virus peuvent posséder plusieurs de ces caractéristiques, ce qui peut les rendre plus dangereux par la difficulté de leur détection. Mais plus un virus a une taille importante et plus son action en grande, plus il se fait remarquer, par exemple en altérant les performances de l'ordinateur.

Les virus d'Internet

Internet a transformé l'informatique. Les échanges entre ordinateurs ont changé, l'usage des disquettes pour l'échange de fichiers a diminué pour laisser place aux emails. Les virus se sont adaptés à ces transformations, d'abord les virus classiques ont transités sur le réseau avec une rapidité accru et bénéficier d'une plus grande cible, puis des virus ont été développés spécifiquement pour être propagés sur Internet. De nouveau langage de programmation adapté à la navigation sur Internet ont été apprivoisé par les créateurs de virus, tel que Java ou Active X.

Java est un langage de programmation proche des autres langages classiques mais adaptés au réseau, par sa taille, ses fonctions et sa compatibilité entre système d'exploitation. Aussi, les applications Java possèdent les mêmes caractéristiques que tout autre programme et nécessite donc pour son exécution une intervention de l'utilisateur, ce qui permet un contrôle relatif de l'utilisateur car il n'y a pas d'exécution spontanée.

Les applets java, sont des applications qui accompagnent des pages Web, elles permettent de donner des animations complexes par exemple ou encore de développer des jeux directement utilisables sur une page Web. Aussi, elles sont exécutés dès lors que le navigateur internet visite une page, aussi contrairement aux applications Java elles ne nécessitent pas directement l'intervention de l'utilisateur ce qui fait leur danger. Mais pour le moment, ce type de virus n'est pas très développés, étant donné également que des mesures de sécurité ont été prise, il n'est pas possible d’exécuter un programme ou une librairie DLL et surtout elle ne peut pas lire et écrire les fichiers du disque dur, mais uniquement des fichiers dans une machine virtuelle (qui permet de les exécutées sur tout type de plate-formes).

Les javascripts qui se rapprochent des applets java, mais qui sont insérés dans les pages, présentent un peu les mêmes risques mais possèdent des fonctions moins étendues ce qui les rend moins performant. De même, le HTML (le langage des pages Web) permet de créer des applications tels que des virus. Un virus de ce type a été détecté au début de l'année 2000, il infectait les autres fichiers HTML pour se répliquer, mais ne causait pas de dommages importants.

ActiveX, est la réplique de Microsoft à Java de Sun Microsystem, concurrent de la firme de Bill Gates. Il s’agit aussi de petits scriptes exécutables sur la machine client, c'est à dire la machine de la personne qui visite un site web. Si, tout comme pour Java, il y a une machine virtuelle, celle-ci se contente de traduire les commandes, ce qui signifie que, contrairement à Java, il n’existe aucune restriction pour les programmes ActiveX quant à l’accès aux fichiers. Ceci représente une énorme faille dans les systèmes, rendant une infection très facile. Microsoft espérait que son ActiveX ne serait pas utilisé à des fins destructrices mais les pirates ne l'ont pas écouté !

Ainsi, le Chaos computer Club, des Hackers de Hambourg ont montré le réel pouvoir d’ActiveX en février 1997. En direct sur une chaîne télévisée, ils ont montré qu'avec un contrôle ActiveX, on pouvait transférer de l'argent d'un compte vers un autre sans avoir le numéro personnel d'identification du client (PIN) de protection. Dès qu'il est téléchargé depuis un site internet, le contrôle ActiveX recherche Quicken, un logiciel de finance couramment utilisé. Le contrôle ActiveX piège Quicken en lui faisant transférer des fonds d'un compte bancaire à un autre lors de la prochaine connexion de l'utilisateur sur le service de la banque.

Pour empêcher de nouvelles attaques de ce type, Microsoft a créé un système de sécurité, appelé authenticode, qui permet à l'éditeur de logiciel d'attacher au contrôle une signature digitale. Alors si un contrôle ActiveX s'attaque à l'ordinateur de l'utilisateur, l'éditeur peut faire l'objet de poursuites. Donc l'authenticode ne permet pas de protéger l'utilisateur mais permet de localiser le pirate. Mais il est très possible qu'un utilisateur lassé par les fenêtres d'avertissement d'authenticode accepte un contrôle ActiveX non signé. Dès qu'il est accepté par un utilisateur, le programme est libre de faire son travail. Aussi, pour les utilisateurs d'Internet Explorer, il est conseillé de désactiver ActiveX, surtout qu'ils ne sont pas très répandus et généralement une solution de remplacement est proposée.

Le plus grand risque concernant les virus et les emails résident dans les pièces-jointes envoyées avec les emails. Celles-ci peuvent en effet être des virus masqués en des applications attrayantes. Aussi tous les virus classiques trouvent ici une voie de propagation importante. Voir par exemple le virus "I love You".

Il existe un autre risque récent, celui des emails qui simplement par leur reception même sans l'ouverture de pièce jointe présente un risque. En fait ces virus utilisent une faille d'Outlook Express 5, aussi seul le logiciel de messagerie de Microsoft est touché et présente aucun risque pour les utilisateurs des autres logiciels. Une mise à jour est disponible sur le site de Microsoft pour les personnes intéressées : http://www.microsoft.com. Egalement au coeur des préoccupations, les bugs qui se trouvent dans de nombreux logiciels (un exemple ici) et qui offrent des opportunités pour les virus.