Virus informatique 1

Virus informatique

Stoned (1987)

Stoned Code

Un virus informatique est un automate auto réplicatif à la base nonmalveillant, mais aujourd'hui trop souvent additionné de codemalveillant (donc classifié comme logiciel malveillant), conçu pour sepropager à d'autres ordinateurs en s'insérant dans des logicielslégitimes, appelés « hôtes ». Il peut perturber plus ou moins gravementle fonctionnement de l'ordinateur infecté. Il peut se répandre à traverstout moyen d'échange de données numériques comme les réseauxinformatiques et les cédéroms, les clefs USB, etc.

Son appellation provient d'une analogie avec le virus biologiquepuisqu'il présente des similitudes dans sa manière de se propager enutilisant les facultés de reproduction de la cellule hôte. On attribue leterme de « virus informatique » à l'informaticien et spécialiste enbiologie moléculaire Leonard Adleman (Fred Cohen, Experiments withComputer Viruses, 1984).

Les virus informatiques ne doivent pas être confondus avec les versinformatiques, qui sont des programmes capables de se propager et dese dupliquer par leurs propres moyens sans contaminer de programmehôte. Au sens large, on utilise souvent et abusivement le mot virus pourdésigner toute forme de logiciel malveillant.

Le nombre total de programmes malveillants connus serait de l'ordrede 95 000 (2011) selon Sophos (tous types de malwares confondus)[1]. Cependant, le nombre de virus réellement encirculation ne serait pas supérieur à quelques milliers selon la Wildlist Organisation[2], chaque éditeur d'antivirusayant intérêt à « gonfler » (surestimer) le nombre de virus qu'il détecte. La très grande majorité touche la plate-formeWindows. Bien qu'ils soient extrêmement peu nombreux, il existe aussi des virus sur les systèmes d'exploitation detype Unix/Linux[3], mais aucune épidémie comparable à celle des virus Windows n'a encore été constatée à cettedate (2011). Le reste est essentiellement destiné à des systèmes d'exploitation qui ne sont plus distribués depuisquelques années, comme les 27 virus — aucun n'étant dangereux — frappant Mac OS 9 et ses prédécesseurs(recensés par John Norstad, auteur de l'antivirus Disinfectant). Les systèmes les moins touchés sont FreeBSD qui axeson développement sur la sécurité, ainsi que Novell NetWare et OS/2 trop rares pour apporter une notoriété à undéveloppeur de virus.

Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines d'entreelles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments totalement sainsdu système d'exploitation.

HistoriqueLes premiers logiciels autonomes n'avaient pas le but qu'ils ont aujourd'hui. Les tout premiers logiciels de ce type étaient de simples divertissements, un jeu entre trois informaticiens de la société Bell, Core War, créé en 1970 dans les laboratoires de la société. Pour ce jeu, chaque joueur écrit un programme, ensuite chargé en mémoire vive. Le système d'exploitation, qui se doit juste d'être multitâche, exécute tour à tour une instruction de chacun des logiciels. L'objectif du jeu est de détruire les programmes adverses tout en assurant sa propre prolifération. Les joueurs ne connaissent évidemment pas l'emplacement du programme adverse. Les logiciels sont capables de se recopier, de se réparer, de se déplacer eux-mêmes en différentes zones de la mémoire et « d'attaquer » le logiciel adverse en écrivant

Virus informatique 2

aléatoirement dans d'autres zones mémoire. La partie se termine au bout d'un temps défini ou lorsque l'un des joueursvoit tous ses programmes inactifs ou détruits. Le vainqueur est celui qui possède le plus grand nombre de copiesactives. C'est exactement un des principes de programmation des virus.En 1984, le magazine Scientific American a présenté un jeu informatique consistant à concevoir de petitsprogrammes entrant en lutte et s'autoreproduisant en essayant d'infliger des dégâts aux adversaires, fondant ainsi lesbases des futurs virus.En 1986, l'ARPANET fut infecté par Brain, virus renommant toutes les disquettes de démarrage de système en(C)Brain. Les créateurs de ce virus y donnaient leur nom, adresse et numéro de téléphone car c'était une publicitépour eux.

Différents types de virus• Le virus classique est un morceau de programme, souvent écrit en assembleur, qui s'intègre dans un programme

normal, le plus souvent à la fin, mais cela peut varier. Chaque fois que l'utilisateur exécute ce programme «infecté », il active le virus qui en profite pour aller s'intégrer dans d'autres programmes exécutables. De plus,lorsqu'il contient une charge utile, il peut, après un certain temps (qui peut être très long) ou un évènementparticulier, exécuter une action prédéterminée. Cette action peut aller d'un simple message anodin à ladétérioration de certaines fonctions du système d'exploitation ou la détérioration de certains fichiers ou même ladestruction complète de toutes les données de l'ordinateur. On parle dans ce cas de « bombe logique » et de «charge utile ».

• Un virus de boot s'installe dans un des secteurs de boot d'un périphérique de démarrage, disque dur (le secteur deboot principal, le « Master boot record », ou celui d'une partition), disquette, ou autre. Il remplace un chargeurd'amorçage (ou programme de démarrage ou « bootloader ») existant (en copiant l'original ailleurs) ou en créé un(sur un disque ou il n'y en avait pas) mais ne modifie pas un programme comme un virus normal ; quand ilremplace un programme de démarrage existant, il agit un peu comme un virus « prepender » (qui s'insère audébut), mais le fait d'infecter aussi un périphérique vierge de tout logiciel de démarrage le distingue du virusclassique, qui ne s'attaque jamais à « rien ».

• Les macrovirus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.) grâce auVBA de Microsoft. Par exemple, en s'intégrant dans le modèle normal.dot de Word, un virus peut être activé àchaque fois que l'utilisateur lance ce programme.

• Les virus-vers, apparus aux environs de l'année 2003, ayant connu un développement fulgurant dans les annéesqui suivirent, sont des virus classiques car ils ont un programme hôte. Mais s'apparentent aux vers (en anglais «worm ») car :• Leur mode de propagation est lié au réseau, comme des vers, en général via l'exploitation de failles de sécurité.• Comme des vers, leur action se veut discrète, et non-destructrice pour les utilisateurs de la machine infectée.• Comme des vers, ils poursuivent des buts à visée large, tels que l'attaque par saturation des ressources ou

attaque DoS (Denial of Service) d'un serveur par des milliers de machines infectées se connectantsimultanément[réf. nécessaire].

• Les virus de type batch, apparu à l'époque où MS-DOS était le système d'exploitation en vogue, sont des virus «primitifs ». Bien que capables de se reproduire et d'infecter d'autres fichiers batch, ils sont lents et ont un pouvoirinfectant très faible. Certains programmeurs ont été jusqu'à créer des virus batch cryptés et polymorphes, ce quipeut être qualifié de « prouesse technique » tant le langage batch est simple et primitif.

D'autres menaces existent en informatique, s'en distinguant souvent par l'absence de système de reproduction quicaractérise les virus et les vers ; le terme de « logiciel malveillant » (« malware » en anglais) est dans ce cas plusapproprié.

Virus informatique 3

Caractéristiques• le chiffrement : à chaque réplication, le virus est chiffré (afin de dissimuler les instructions qui, si elles s'y

trouvaient en clair, révéleraient la présence de ce virus ou pourraient indiquer la présence de code suspect).• le polymorphisme : le virus est chiffré et la routine de déchiffrement est capable de changer certaines de ses

instructions au fil des réplications afin de rendre plus difficile la détection par l'antivirus.• le métamorphisme : contrairement au chiffrement simple et au polymorphisme, où le corps du virus ne change pas

et est simplement chiffré, le métamorphisme permet au virus de modifier sa structure même et les instructions quile composent.

• la furtivité : le virus « trompe » le système d'exploitation (et par conséquent les logiciels antivirus) sur l'état desfichiers infectés. Des rootkits permettent de créer de tels virus. Par exemple, l'exploitation d'une faille de sécuritéau niveau des répertoires permet de masquer l'existence de certains fichiers exécutables ainsi que les processusqui leur sont associés.

Logiciels antivirusLes logiciels antivirus sont des logiciels capables de détecter des virus, détruire, mettre en quarantaine et parfois deréparer les fichiers infectés sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi lesquelles :•• la reconnaissance de séquences d'octets caractéristiques (signatures) d'un virus particulier ;•• la détection d'instructions suspectes dans le code d'un programme (analyse heuristique);•• la création de listes de renseignements sur tous les fichiers du système, en vue de détecter d'éventuelles

modifications ultérieures de ces fichiers par un virus ;•• la détection d'ordres suspects ;• la surveillance des lecteurs de support amovible : disquettes, Zip, CD-ROM, DVD-ROM, Clé USB

VirologieLe terme virus informatique a été créé par analogie avec le virus en biologie : un virus informatique utilise son hôte(l'ordinateur qu'il infecte) pour se reproduire et se transmettre à d'autres ordinateurs.Comme pour les virus biologiques, pour lesquels ce sont les hôtes les plus en contact avec d'autres hôtes quiaugmentent les chances de développement d'un virus, en informatique ce sont les systèmes et logiciels les plusrépandus qui sont les plus atteints par les virus : Microsoft Windows, Microsoft Office, Microsoft Outlook,Microsoft Internet Explorer, Microsoft Internet Information Server... Les versions professionnelles de Windows(NT/2000/XP pro) permettant de gérer les droits de manière professionnelle ne sont pas immunisées contre cesenvahisseurs furtifs.La banalisation de l'accès à Internet a été un facteur majeur dans la rapidité de propagation à grande échelle des virusles plus récents. Ceci est notamment dû à la faculté des virus de s'approprier des adresses de courriel présentes sur lamachine infectée (dans le carnet d'adresses mais aussi dans les messages reçus ou dans les archives de pages webvisitées ou de messages de groupes de discussions).De même, l'interconnexion des ordinateurs en réseaux locaux a amplifié la faculté de propagation des virus quitrouvent de cette manière plus de cibles potentielles.Cependant, des systèmes à diffusion plus restreinte ne sont pas touchés proportionnellement. La majorité de cessystèmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une gestiondes droits de chaque utilisateur leur permettant d'éviter les attaques les plus simples, les dégâts sont doncnormalement circonscrits à des zones accessibles au seul utilisateur, épargnant la base du système d'exploitation.

Virus informatique 4

Dénomination des virusLors de leur découverte, les virus se voient attribuer un nom. Celui-ci est en théorie conforme à la convention signéeen 1991 par les membres de CARO (en:Computer Antivirus Research Organization).Ce nom se détermine ainsi :• en préfixe, le mode d'infection (ex: macro virus, cheval de Troie, ver...) ou le système d'exploitation concerné (ex:

Win32) ;• un mot exprimant une de ses particularités ou la faille qu'il exploite (Swen est l'anagramme de News, Nimda

l'anagramme de Admin, Sasser exploite une faille LSASS, ...) ;• en suffixe un numéro de version (les virus sont souvent déclinés sous forme de variantes comportant des

similitudes avec la version d'origine).

ExceptionsMalheureusement, les laboratoires d'analyse des différents éditeurs antiviraux affectent parfois leur propreappellation aux virus sur lesquels ils travaillent, ce qui rend difficile la recherche d'informations.C'est ainsi que, par exemple, le virus NetSky dans sa variante Q est appelé W32.Netsky.Q@mm chez Symantec,WORM_NETSKY.Q chez Trend Micro, W32/Netsky.Q.worm chez Panda Security et I-Worm.NetSky.r chezKaspersky.Il est cependant possible d'effectuer des recherches génériques pour un nom donné grâce à des moteurs de recherchespécialisés, comme celui de en:Virus Bulletin ou de Kevin Spicer.

Virus sur les systèmes LinuxLe système d'exploitation Linux, au même titre que les systèmes d'exploitation Unix et apparentés, est généralementassez bien protégé contre les virus informatiques. Cependant, certains virus peuvent potentiellement endommagerdes systèmes Linux non sécurisés.Comme les autres systèmes Unix, Linux implémente un environnement multi-utilisateur, dans lequel les utilisateurspossèdent des droits spécifiques correspondant à leur besoin. Il existe ainsi un système de contrôle d'accès visant àinterdire à un utilisateur de lire ou de modifier un fichier. Ainsi, les virus ont typiquement moins de capacités àaltérer et à infecter un système fonctionnant sous Linux que sous DOS ou encore les Windows ayant toujours dessystèmes de fichiers en FAT32 (le système de fichier NTFS a le même type de protection que les fichiers UNIX, lesWindows à base NT isolent également les comptes entre eux). C'est pourquoi, aucun des virus écrits pour Linux, ycompris ceux cités ci-dessous, n'a pu se propager avec succès. En outre, les failles de sécurité qui sont exploitées parles virus sont corrigées en quelques jours par les mises à jour du noyau Linux et des logiciels composant le système.Des scanners de virus sont disponibles pour des systèmes Linux afin de surveiller l'activité des virus actifs surWindows. Ils sont principalement utilisés sur des serveurs mandataires ou des serveurs de courrier électronique, quiont pour client des systèmes Microsoft Windows.

Virus informatique 5

Virus informatiques célèbresCabir est considéré comme le tout premier virus informatique proof of concept recensé se propageant par latéléphonie mobile grâce à la technologie Bluetooth et du système d'exploitation Symbian OS.MyDoom.A est un virus informatique qui se propage par les courriels et le service P2P de Kazaa. Les premièresinfections ont eu lieu le 26 janvier 2004.Psyb0t est un virus informatique découvert en janvier 2009. Il est considéré comme étant le seul virus informatiqueayant la capacité d'infecter les routeurs et modem haut-débit.Le virus Tchernobyl ou CIH est connu pour avoir été un des plus destructeurs. Il détruisait l'ensemble desinformations du système attaqué et parfois il rendait la machine quasiment inutilisable. Il a sévi de 1998 à 2002.Le ver Conficker exploite une faille du Windows Server Service utilisé par Windows 2000, Windows XP, WindowsVista, Windows 7, Windows Server 2003 et Windows Server 2008.

Virus et téléphonie mobileLe premier virus ciblant la téléphonie mobile est né en 2004 : il s'agit de Cabir se diffusant par l'intermédiaire desconnexions Bluetooth. Il sera suivi d'un certain nombre dont le CommWarrior en 2005. Ces virus attaquentessentiellement le système d'exploitation le plus répandu en téléphonie mobile, Symbian OS, surtout dominant enEurope[4].

Bibliographie• Mark Allen Ludwig (traduction de Jean-Bernard Condat), Naissance d'un virus : Technologie et principes

fondamentaux, Diff. Bordas, 1993, 47 p. (ISBN B0006PCHY6)

• Mark Allen Ludwig (traduction de Jean-Bernard Condat), Mutation d'un virus : vie artificielle et évolution,Addison-Wesley France, 1996, 372 p. (ISBN 9782879080864)

• Mark Allen Ludwig, Du virus à l'antivirus : guide d'analyse, Dunod, 1997, 720 p. (ISBN 9782100034673)

• Éric Filiol, Les Virus informatiques : théorie, pratique et applications, 2009, 575 p. (ISBN 9782287981999)

• (en) Peter Szor, The Art of Computer Virus Research and Defense, Addison-Wesley Professional, 2005, 744 p.(ISBN 9780321304544)

• François Paget, Vers & Virus - Classification, lutte anti-virale et perspectives, DUNOD, 2005 (ISBN 2-10-008311-2)

Notes et références[1] The Security Threat Report: The Threats to Watch 2011 (http:/ / www. sophos. com/ fr-fr/ about-us/ webinars/

security-threat-report-threats-to-watch. aspx)[2] Wildlist Organisation (http:/ / www. wildlist. org/ )[3] Linux n'est pas invulnérable face aux virus (http:/ / www. commentcamarche. net/ faq/ sujet-5865-linux-est-invulnerable-face-aux-virus),

explication sur la vulnérabilité de Linux sur CommentCaMarche.net (2012)[4] Les virus à l'assaut des téléphones mobiles, M Hypponen, Pour la Science, janvier 2007, p 36-42

Liens externes• (fr) Une brève histoire des virus (http:/ / www. linternaute. com/ hightech/ internet/ dossier/ virus/

10-virus-marquants/ 1. shtml), 10 virus marquants.

Virus informatique 6

Sites généralistes• (fr) Secuser.com (http:/ / www. secuser. com) : actualités sur la sécurité et les virus et outils en ligne ou à

télécharger.• (fr) Zataz

Moteurs de recherche spécialisés• (en) Virus Bulletin (http:/ / www. virusbtn. com/ resources/ vgrep/ index. xml)

Sources et contributeurs de l’article 7

Sources et contributeurs de l’articleVirus informatique  Source: http://fr.wikipedia.org/w/index.php?oldid=89013586  Contributeurs: -Strogoff-, 2A01:E34:EF9B:B9F0:9C3F:5E6B:AF70:AA89, A455bcd9, Airelle, Akeron,Alibaba, Alno, AnoNimes, Anthere, Antoinetav, Apokrif, Archeos, Arm@nd, Astalaseven, Austin974, Axelm, Bdrieu, Bellatrix Black, Birdfr, BlueGinkgo, Cham, Champciaux, Chougare, Chôji,Clearpowers, Clemclem85, Céréales Killer, Dabfus, Dadu, Dake, Dalb, Deep silence, Didier, DocteurCosmos, Décapitation, Elec, Elfix, Ellisllk, Emericpro, Epommate, Erasmus.new, Evinfo,Fabizor, Fanaki, Fluti, Francois Trazzi, FvdP, Ganondorf, Garfieldairlines, Gede, George369, Greudin, Grondin, Guillaume.arcas, Herman, Hevydevy81, Hégésippe Cormier, Idefix29, Indeed,Infos3000, J-L Cavey, JLM, JackPotte, Jenny130821, Jerotito, Jmax, Jules78120, Jyp, Keitaro27180, Kesiah, Koxinga, Kyro, La Corona, Laurentdk01, LeMorvandiau, LeonardoRob0t,Linedwell, Lomita, Louis-garden, Marc BERTIER, Marc Mongenet, Maurice michel, Maurilbert, Medium69, Melkor73, Melusin, Michel BUZE, Mig, Mikayé, Moumine, Moumousse13,Nadin123, Nakor, NeMeSiS, Neitsa, Nguyenld, Nicolas Ray, Numbo3, ObiWan Kenobi, Orthogaffe, Oz, Pfv2, Phe, Pittiponk, Popolon, Powerdark, ProRAT24, Prokofiev, Psaxl, Pulsar, RalfRoletschek, Raph, Rhizome, Romainhk, Rosebush, Ryo, Rémih, Rémy, Sam Hocevar, Schiste, Scoopfinder, Scullder, Sebjarod, SharedX, ShreCk, Skull33, Sodatux, Stéphane33, Superadri, T,Theoliane, Tieno, Tieum512, Toto Azéro, Treanna, Trusty, Tu5ex, Vargenau, Vazkor, Vincent Ramos, Wcorrector, Web33, Weltersmith, Wertespro, WikiAlly, Wikig, Wishmaster,XTremePower, YSidlo, Youssefsan, Zandr4, Zerioughfe, Zuul, 267 modifications anonymes

Source des images, licences et contributeursFile:Stoned-virus-screenshot.jpg  Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Stoned-virus-screenshot.jpg  Licence: Public Domain  Contributeurs: kein Autor, da kein WerkFile:Stoned-virus-hexacode.jpg  Source: http://fr.wikipedia.org/w/index.php?title=Fichier:Stoned-virus-hexacode.jpg  Licence: Public Domain  Contributeurs: keiner, da kein Werk

LicenceCreative Commons Attribution-Share Alike 3.0 Unported//creativecommons.org/licenses/by-sa/3.0/