Definition des virus D'APRES WIKIPEDIA
Au sens strict, un virus informatiqueest un programme informatique écrit dans le but de se propager à d'autresordinateurs en s'insérant dans des programmes légitimes appelés « hôtes ». Ilpeut aussi avoir comme effet, recherché ou non, de nuire en perturbant plus oumoins gravement le fonctionnement de l'ordinateur infecté. Il peut se répandreà travers tout moyen d'échange de données numériques comme l'internet, maisaussi les disquettes, les cédéroms, les clefs USB, etc. Les virus informatiquesne doivent pas être confondus avec les vers qui sont des programmes capables dese propager et de se dupliquer par leurs propres moyens sans contaminer deprogramme hôte.
Son appellation provient d'une analogie avec le virus biologique puisqu'ilprésente des similitudes dans sa manière de se propager en utilisant lesfacultés de reproduction de la cellule hôte. On attribue le terme de « virusinformatique » à l'informaticien et spécialiste en biologie moléculaire LeonardAdleman (Fred Cohen, Experiments with Computer Viruses, 1984).
Au sens large, on utilise souvent et abusivement le mot virus pour désignertoute forme de programme malveillant (malware).
Le nombre total de programmes malveillants connus serait de l'ordre 95 000selon Sophos (tous types de malwares confondus). Cependant, le nombre de virusréellement en circulation ne serait pas supérieur à quelque milliers selon laWildlist Organisation[1], chaque éditeur d'antivirus ayant intérêt à « gonfler» le nombre de virus qu'il détecte. La très grande majorité touche laplate-forme Windows et, à un degré bien moindre mais croissant, les différentesdistributions de Unix/Linux[2]. Le reste est essentiellement destiné à dessystèmes d'exploitation qui ne sont plus distribués depuis quelques années,comme les 27 virus — aucun n'étant dangereux — frappant Mac OS 9 et sesprédécesseurs (recensés par John Norstad, auteur de l'antivirus Disinfectant).
Les virus font souvent l'objet de fausses alertes que la rumeur propage,encombrant les messageries. Certaines d'entre elles, jouant sur l'ignorance eninformatique des utilisateurs, leur font parfois détruire des éléments desystème d'exploitation totalement sains.
Historique
Les premiers logiciels autonomes n'avaient pas le but qu'ils ont aujourd'hui.Les tout premiers logiciels de ce type étaient de simples divertissements, unjeu entre trois informaticiens de la société Bell, Core War, créé en 1970 dansles laboratoires de la société. Pour ce jeu, chaque joueur écrit un programme,ensuite chargé en mémoire vive. Le système d'exploitation, qui se doit justed'être multitâche, exécute tour à tour une instruction de chacun des logiciels.L'objectif du jeu est de détruire les programmes adverses tout en assurant sapropre prolifération. Les joueurs ne connaissent évidemment pas l'emplacementdu programme adverse. Les logiciels sont capables de se recopier, de seréparer, de se déplacer eux-mêmes en différentes zones de la mémoire et «d'attaquer » le logiciel adverse en écrivant aléatoirement dans d'autres zonesmémoire. La partie se termine au bout d'un temps défini ou lorsque l'un desjoueurs voit tous ses programmes inactifs ou détruits. Le vainqueur est celuiqui possède le plus grand nombre de copies actives. C'est exactement un desprincipes de programmation des virus.
En 1984, le magazine Scientific American a présenté un jeu informatiqueconsistant à concevoir de petits programmes entrant en lutte ets'autoreproduisant en essayant d'infliger des dégâts aux adversaires, fondantainsi les bases des futurs virus.
En 1986, l'ARPANET fut infecté à cause de Brain, un virus qui renommait toutesles disquettes de démarrage de système en (C)Brain. Les créateurs de ce virus ydonnaient leur nom, adresse et numéro de téléphone car c'était une publicitépour eux.
Différents types de virus
* Le virus classique est un morceaude programme, souvent écrit en assembleur, qui s'intègre dans un programmenormal, le plus souvent à la fin, mais aussi au début voire au milieu. Chaquefois que l'utilisateur exécute ce programme « infecté », il active le virus quien profite pour aller s'intégrer dans d'autres programmes exécutables. De plus,lorsqu'il contient une charge utile, il peut, après un certain temps (qui peutêtre très long) ou un évènement particulier, exécuter une action prédéterminée.Cette action peut aller d'un simple message anodin à la détérioration decertaines fonctions du système d'exploitation ou la détérioration de certainsfichiers ou même la destruction complète de toutes les données de l'ordinateur.On parle dans ce cas de bombe logique et de charge utile.
* Un virus de boot s'installe dans undes secteurs de boot d'un périphérique de démarrage: disque dur (le secteur deboot principal, le Master Boot Record, ou celui d'une partition), disquette, ouautre. Il remplace un chargeur d'amorçage (ou programme de démarrage oubootloader) existant (en copiant l'original ailleurs) ou en créé un (sur undisque ou il n'y en avait pas) mais ne modifie pas un programme comme un virusnormal; quand il remplace un programme de démarrage existant, il agit un peucomme un virus prepender (qui s'insère au début), mais le fait d'infecter aussiun périphérique vierge de tout logiciel de démarrage le distingue du virusclassique, qui ne s'attaque jamais à rien.
* Les macro-virus qui s'attaquent auxmacros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce auVBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot deWord, un virus peut être activé à chaque fois que l'utilisateur lance ceprogramme.
* Les virus-vers, apparus auxenvirons de l'année 2003, ayant connu un développement fulgurant dans lesannées qui suivirent, sont des virus classiques car ils ont un programme hôte.Mais s'apparentent aux vers (en anglais "worm") car :
o Leur mode de propagation estlié au réseau, comme des vers, en général via l'exploitation de failles desécurité.
o Comme des vers, leur actionse veut discrète, et non-destructrice pour les utilisateurs de la machineinfectée.
o Comme des vers, ilspoursuivent des buts à visée large, tels que l'attaque par saturation desressources ou attaque DoS (Denial of Service) d'un serveur par des milliers demachines infectées se connectant simultanément.[réf. nécessaire]
* Les virus de type Batch, apparu àl'époque où MS-DOS était le système d'exploitation en vogue, sont des virus"primitifs". Bien que capables de se reproduire et d'infecterd'autres fichiers Batchs, ils sont lents et ont un pouvoir infectant trèsfaible. Certains programmeurs ont été jusqu'à créer des virus Batch cryptés etpolymorphes. Ce qui relève d'une vrai prouesse technique tant le langage Batchest simple et primitif.
D'autres menaces existent en informatique, s'en distinguant souvent parl'absence de système de reproduction qui caractérise les virus et les vers : leterme de « logiciel malveillant » (malware en anglais) est dans ce cas plusapproprié.
Caractéristiques
* la cryptographie : à chaqueréplication, le virus est chiffré (afin de dissimuler les instructions qui, sielles s'y trouvaient en clair, révéleraient la présence de ce virus oupourraient indiquer la présence de code suspect).
* le polymorphisme : le virus estchiffré et la routine de déchiffrement est capable de changer certaines de sesinstructions au fil des réplications afin de rendre plus difficile la détectionpar les antivirus.
* le métamorphisme : contrairement auchiffrement simple et au polymorphisme, où le corps du virus ne change pas etest simplement chiffré, le métamorphisme permet au virus de modifier sastructure même et les instructions qui le composent.
* la furtivité : le virus « trompe »le système d'exploitation (et par conséquent les logiciels antivirus) surl'état des fichiers infectés. Des rootkits permettent de créer de tels virus.Par exemple, l'exploitation d'une faille de sécurité au niveau des répertoirespermet de masquer l'existence de certains fichiers exécutables ainsi que lesprocessus qui leur sont associés.
Logiciels antivirus
Les logiciels antivirus sont des logiciels capables de détecter des virus,détruire, mettre en quarantaine et parfois de réparer les fichiers infectéssans les endommager. Ils utilisent pour cela de nombreuses techniques, parmilesquelles :
* la reconnaissance de séquencesd'octets caractéristiques (signatures) d'un virus particulier ;
* la détection d'instructionssuspectes dans le code d'un programme (analyse heuristique);
* la création de listes derenseignements sur tous les fichiers du système, en vue de détecterd'éventuelles modifications ultérieures de ces fichiers par un virus ;
* la détection d'ordres suspects ;
* la surveillance des lecteurs desupport amovible : disquettes, Zip, CD-ROM, DVD-ROM
Virologie
Le terme virus informatique a été créé par analogie avec le virus en biologie :un virus informatique utilise son hôte (l'ordinateur qu'il infecte) pour sereproduire et se transmettre à d'autres ordinateurs.
Comme pour les virus biologiques, où la diversité génétique ralentit leschances de croissance d'un virus, en informatique ce sont les systèmes les plusrépandus qui sont le plus atteints par les virus : (Microsoft Windows,Microsoft Office, Microsoft Outlook, Microsoft Internet Explorer et MicrosoftInternet Information Server). Les versions professionnelles de Windows(NT/2000/XP pro) permettant de gérer les droits de manière professionnelle nesont malheureusement pas immunisés contre ces envahisseurs furtifs.
La banalisation de l'accès à Internet a été un facteur majeur dans la rapiditéde propagation à grande échelle des virus les plus récents. Ceci est notammentdû à la faculté des virus de s'approprier des adresses de courriel présentessur la machine infectée (dans le carnet d'adresses mais aussi dans les messagesreçus ou dans les archives de pages web visitées ou de messages de groupes dediscussions).
De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié lafaculté de propagation des virus qui trouvent de cette manière plus de ciblespotentielles.
Cependant, des systèmes à diffusion plus restreinte ne sont pas touchésproportionnellement. La majorité de ces systèmes, en tant que variantes del'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une gestiondes droits de chaque utilisateur leur permettant d'éviter les attaques les plussimples, les dégâts sont donc normalement circonscrits à des zones accessiblesau seul utilisateur, épargnant la base du système d'exploitation.
Dénomination des virus
Lors de leur découverte, les virus se voient attribuer un nom.
Celui-ci est en théorie conforme à la convention signée en 1991 par les membresde CARO (Computer Antivirus Research Organization).
Ce nom se détermine ainsi :
* en préfixe, le mode d'infection(macro virus, cheval de Troie, ver...) ou du système d'exploitation concerné ;
* un mot exprimant une de sesparticularités ou la faille qu'il exploite (Swen est l'anagramme de News, Nimdal'anagramme de Admin, Sasser exploite une faille LSASS, ...) ;
* en suffixe un numéro de version(les virus sont souvent repris sous formes de variantes comportant dessimilitudes avec la version d'origine).
Malheureusement, les laboratoires d'analyse des différents éditeurs antivirauxaffectent parfois leur propre appellation aux virus sur lesquels ilstravaillent, ce qui rend difficile la recherche d'informations.
C'est ainsi que, par exemple, le virus Netsky dans sa variante Q sera appeléW32.Netsky.Q@mm chez Symantec, WORM_NETSKY.Q chez Trend Micro,W32/Netsky.Q.worm chez Panda ou I-Worm.NetSky.r chez Kaspersky.
Il est cependant possible d'effectuer des recherches génériques pour un nomdonné grâce à des moteurs de recherche spécialisés, comme celui de VirusBulletin ou de Kevin Spicer.
Virus sur les systèmes Linux
Le système d'exploitation Linux, au même titre que les systèmes d'exploitationUnix et apparentés, sont généralement assez bien protégés contre les virusinformatiques. Cependant, certains virus peuvent potentiellement endommager dessystèmes Linux non sécurisés.
Comme les autres systèmes Unix, Linux implémente un environnementmulti-utilisateur, dans lequel les utilisateurs possèdent des droitsspécifiques correspondant à leur besoin. Il existe ainsi un système de contrôled'accès visant à interdire à un utilisateur de lire ou de modifier un fichier.Ainsi, les virus ont typiquement moins de capacités à altérer et à infecter unsystème fonctionnant sous Linux. C'est pourquoi, aucun des virus écrits pourLinux, y compris ceux cités ci-dessous, n'a pu se propager avec succès. Enoutre, les failles de sécurité qui sont exploitées par les virus sont corrigéesdans les versions les plus récentes du noyau Linux.
Des scanners de virus sont disponibles pour des systèmes de Linux afin desurveiller l'activité des virus actifs sur Windows. Ils sont principalementutilisés sur des serveurs mandataires ou des serveurs de courrier électronique,qui ont pour client des systèmes Microsoft Windows.
Virus et téléphonie mobile
Le premier virus ciblant la téléphonie mobile est né en 2004 : il s'agit deCabir se diffusant par l'intermédiaire des connexions Bluetooth. Il sera suivid'un certain nombre dont le CommWarrior en 2005. Ces virus attaquentessentiellement le système d'exploitation le plus répandu en téléphonie mobile,Symbian OS, surtout dominant en Europe[3].