tuteurs.ens.fr/internet/virus.tml

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html
  PUBLIC "-//ENS/Tuteurs//DTD TML 1//EN"
  "tuteurs://DTD/tml.dtd">
<html>
  <head>
    <title>Virus</title>
  </head>
  <body>

    <h1>Les virus</h1>

<p>
Cette page a pour but de vous fournir des informations pratiques sur
les virus. Pour en savoir plus, lisez le <a
href="http://www.eleves.ens.fr/tuteurs/docs/hublot/hublot07.html#virus">dossier
sur les virus</a> de David Monniaux, paru dans le <cite>Hublot</cite>
n<EFBFBD>7.
</p>

<h2>Actualit<69>s</h2>

<h3>Swen.A</h3>

<p>
Vous avez peut-<2D>tre re<72>u de nombreux courriers pr<70>tendant <20>maner de
Microsoft, vous proposant une mise <20> jour de s<>curit<69>. C'est faux :
Microsoft n'envoie jamais de correctif par mail. Il s'agit d'un virus
qui se r<>pand en 1) envoyant massivement du courrier aux adresses
trouv<EFBFBD>es sur le disque dur de la machine infect<63>e, 2) par le partage
de r<>seaux.
</p>

<p>
Si vous lisez votre courrier uniquement depuis <code>clipper</code>
(ce que soit dans les salles <20>l<EFBFBD>ves ou en vous connectant <20> distance
sur clipper), vous ne courez aucun risque, seulement celui de voir
votre bo<62>te aux lettres pleine de spam...
</p>

<p>
Si vous utilisez un PC sous Windows, n'ex<65>cutez pas
l'attachement. Attention, si vous utilisez une vieille version
d'Outlook Express (5.01 et 5.5), le virus peut s'ex<65>cuter d<>s la
visualisation du message (faille connue, cf. <a
href="http://www.microsoft.com/technet/security/bulletin/MS01-020.asp">MS01-020</a>).
Il <strong>faut</strong> mettre <20> jour votre OE. Les utilisateurs de
Windows peuvent lire le <a
href="http://www.microsoft.com/france/securite/alertes/swen.asp">descriptif
du virus</a> sur le site de Microsoft.
</p>


<h2>Quel risque <20> l'<27>cole<6C>?</h2>

<h3>Sous UNIX</h3>

<p>
Si vous utilisez les machines UNIX (PC sous FreeBSD, station Sun sous
Solaris), le risque <em>en pratique</em> est plut<75>t faible. La plupart
des virus touchent les PC sous Windows, dans une bien moindre mesure
les Macs. Pourquoi<6F>? Il est plus difficile d'<27>crire un virus pour
UNIX, tout simplement, et <20>a touche beaucoup moins de monde.
</p>

<p>
Les virus peuvent n<>anmoins beaucoup vous emb<6D>ter, surtout s'il s'agit
de <a href="#mm">virus qui envoient massivement du mail</a>, qui sont
d<EFBFBD>s lors assimilables <20> du <a
href="&url.tuteurs;internet/courrier/spam.html">spam</a> (courrier
ind<EFBFBD>sirable). Vous recevrez un afflux de mails infect<63>s qui
ralentissent le trafic des mails sur clipper, encombrent les bo<62>tes
aux lettres et emplissent les disques durs.
</p>

<p>
Vous pouvez filtrer les virus gr<67>ce <20> des programmes comme <a
href="&url.tuteurs;internet/courrier/procmail.html"><code>procmail</code></a>.
Dans la mesure du possible, en cas d'<27>pid<69>mie, nous vous indiquerons
comment filtrer les <a href="#mm">vers spammeurs</a> dans notre <a
href="&url.tuteurs;faq/mail.html">FAQ sur le courrier <20>lectronique</a>
ainsi que dans notre <a
href="&url.tuteurs;internet/courrier/procmail.html">doc sur
<code>procmail</code></a>.
</p>

<h3>Sous Windows</h3>

<p>
Si vous utilisez les PC sous Windows des salles info, ou si vous avez
une machine personnelle sous Windows sur le rezo, vous <20>tes en partie
couvert par l'anti-virus global sur clipper.
</p>

<p>
Vous <strong>devez</strong> quand m<>me prendre vos pr<70>cautions, non
seulement pour vous mais aussi pour les autres. Il est d<>j<EFBFBD> arriv<69> que
plus personne ne puisse envoyer ou recevoir de courrier parce qu'un
Outlook Express v<>rol<6F> avait rempli <a
href="&url.tuteurs;unix/place_disque.html">la partition collective
r<EFBFBD>serv<EFBFBD>e au mail</a>.
</p>

<h4>Gardez toujours votre syst<73>me <20> jour</h4> 

<p>
Consultez r<>guli<6C>rement <a
href="http://www.microsoft.com/france/download/default.asp">les mises
<EFBFBD> jour propos<6F>es par Microsoft</a> et appliquez les instructions qui
vous y sont donn<6E>es. Rappelez-vous que Microsoft n'envoie
<strong>jamais</strong> de correctifs de s<>curit<69> par mail. Un mail
qui pr<70>tend <20>tre un correctif <20>manant de Microsoft est au mieux une
mauvaise blague, au pire un virus... T<>moin, <20> l'heure actuelle, le
ver <code>Swen.A</code>.
</p>

<h4>Attention au couple Internet Explorer/Outlook Express<73>!</h4>

<p>
La plupart des vers exploitent les trous de s<>curit<69> d'Outlook Express
et/ou d'Internet Explorer. Il existe d'autres navigateurs et d'autres
logiciels de mail pour Windows, tout aussi faciles <20> utiliser, et
moins risqu<71>s.
</p>

<p>
<a href="http://www.opera.com/">Opera</a> et <a
href="http://www.mozilla.org/">Mozilla</a> sont de tr<74>s bons
navigateurs. Mozilla Mail (inclus dans Mozilla), <a
href="http://www.eudora.com">Eudora</a> ou <a
href="http://foxmail.free.fr/www/home.php">Foxmail</a> peuvent tr<74>s
bien remplacer Outlook Express.
</p>

<p>Dernier argument<6E>: Microsoft va arr<72>ter le d<>veloppement d'Oulook
Express. Il n'y aura donc plus de suivi de s<>curit<69>. Alors autant
changer d<>s maintenant<6E>!
</p>

<p>Si vous tenez <20> garder Outlook Express, il est imp<6D>ratif de le
tenir <20> jour. <strong>Vous devez avoir la version 6 avec toutes ses
mises <20> jour</strong> pour avoir une s<>curit<69> correcte. M<>fiez-vous
des attachements douteux et consultez votre mail de pr<70>f<EFBFBD>rence en
texte brut. Pour toute information, contactez les <a
href="http://www.eleves.ens.fr/wintuteurs/">WinTuteurs</a>.
</p>

<h4>Utilisez un anti-virus et un firewall</h4>

<p>
Attention, <strong>un anti-virus ne vous prot<6F>ge pas <20> 100%</strong><3E>!
La plupart sont inefficaces contre un virus tout nouveau et ne vous
prot<EFBFBD>gent gu<67>re que contre les virus d<>j<EFBFBD> connus. C'est juste une
protection suppl<70>mentaire, mais elle n'est pas infaillible. Vous devez
continuer <20> <20>tre vigilant.
</p>

<p>
Outre les grands noms de l'anti-virus, il existe des anti-virus
gratuits<EFBFBD>: <a href="http://www.freeav.com/">AntiVir</a> ou <a
href="http://www.grisoft.com/us/us_dwnl_free.php">AVG6</a>, par
exemple.
</p>

<h4>Attention aux activit<69>s <20> risque</h4>

<p>
Les virus se r<>pandent aussi par d'autres voies. On peut par exemple
citer<EFBFBD>:
</p>

<ul>

<li> r<>pertoires partag<61>s via SMB/CIFS. C'est d<>j<EFBFBD> arrive sur le
rezo. Solution<6F>: choisir des permissions appropri<72>es. Si vous n'<27>tes
pas s<>r de vous, contactez les <a
href="http://www.eleves.ens.fr/wintuteurs/">WinTuteurs</a>.
</li>

<li> IRC. Certains virus (<code>Swen.A</code>, par exemple) peuvent se
r<EFBFBD>pandre via les fonctions de transfert de fichiers.
</li>

<li> le <i lang="en">peer to peer</i> (Kazaa, etc.)<29>: le virus
s'ajoute aux fichiers pr<70>ts <20> <20>tre <20>chang<6E>s.
</li>

</ul>

<h2>Un peu de vocabulaire</h2>

<p>
Il existe diff<66>rents types de virus. Vous avez probablement d<>j<EFBFBD>
entendu ces noms barbares<65>: cheval de Troie, ver... Voici quelques
d<EFBFBD>finitions g<>n<EFBFBD>rales pour s'y retrouver. Il faut savoir que beaucoup
de virus actuels sont polymorphes, ils font plusieurs choses en m<>me
temps et/ou utilisent plusieurs moyens de propagation.
</p>

<h3>Les virus</h3>

<p>
Un virus <20> proprement parler est un programme capable d'infecter
d'autres programmes en les modifiant pour y inclure une copie de
lui-m<>me.
</p>

<p>
Contrairement aux virus biologiques, <strong>un virus informatique
n'est pas une fatalit<69></strong>. Il d<>coule de failles de s<>curit<69>,
soit de la part du concepteur du logiciel, soit de la part de
l'utilisateur (et souvent, des deux).
</p>

<p>
Il en existe de plusieurs sortes. On peut les distinguer suivant leur
mode d'ex<65>cution<6F>: virus de boot (qui se lance au d<>marrage de la
machine), d'application (qui se lance quand on lance le logiciel),
virus macro (qui s'ex<65>cute via les macros de documents Word ou Excel),
etc.
</p>

<p>
Un virus peut <20>tre plus ou moins dangereux. Parfois, son seul but est
de se reproduire. Il peut se contenter d'une action anodine (afficher
un message sur votre <20>cran), ou <20>tre carr<72>ment plus m<>chant (effacer
vos donn<6E>es, voire reformater votre disque dur).
</p>

<h3><a name="mm">Les vers</a></h3>

<p>
Ce sont des virus qui se r<>pandent par le r<>seau (Internet le plus
souvent). Un ver r<>cent (<28><>Code Red<65><64>) utilisait ainsi une faille de
s<EFBFBD>curit<EFBFBD> dans IIS, les serveurs Web de Microsoft, et se r<>pandait le
long d'Internet, de serveur en serveur.
</p>

<h4>Vers spammeurs</h4>

<p>
Les plus connus sont les vers spammeurs, qui se r<>pandent par courrier
<EFBFBD>lectronique, par le biais d'attachements v<>rol<6F>s qui infectent la
machine quand on les ouvre. Ils utilisent souvent une faille de
s<EFBFBD>curit<EFBFBD> dans le couple Outlook Express/Internet Explorer. Ils
s'exp<78>dient aux adresses contenues dans votre carnet d'adresses,
parfois dans le cache d'Internet Explorer. Parfois, ils s<>lectionnent
au hasard un fichier de votre disque dur, l'infectent et l'envoient en
attachement, ep<65>rant ainsi passer pour un vrai mail.
</p>

<p>
Ces vers peuvent <20>tre accompagn<67>s de virus classiques. Parfois, leur
but est simplement de surcharger le r<>seau. Souvent, ils ne concernent
explicitement que le monde Windows, mais de fait, tous ceux qui
utilisent le courrier <20>lectronique en font les frais. r<>cemment, le
virus <20><>Sobig.F<><46> a ainsi surcharg<72> <code>clipper</code> pendant plus
d'une semaine, retardant le d<>part et l'arriv<69>e du mail de tout le
monde.
</p>

<h3>Les chevaux de Troie</h3>

<p>
Un cheval de Troie (<i lang="en">trojan</i> en anglais) est un
programme malveillant cach<63> dans un programme anodin (<28>conomiseur
d'<27>cran, jeu vid<69>o, etc.). Quand vous ex<65>cutez le programme, le virus
s'ex<65>cute <20>galement.
</p>

<p>
Un cheval de Troie, une fois dans votre ordinateur, peut faire
beaucoup de choses<65>: r<>colter vos mots de passe, ouvrir la porte (ce
qu'on appelle une <i lang="en">backdoor</i>) <20> un pirate, modifier vos
donn<EFBFBD>es, etc. Contrairement <20> un virus classique, il ne se reproduit
pas une fois install<6C>.
</p>


<h3>Faux virus</h3>

<p>
Il circule souvent sur Internet des rumeurs de virus. Certaines sont
des canulars peu subtils<6C>: <20><>si vous lisez un mail intitul<75>
<EFBFBD><EFBFBD>GURSIXO<EFBFBD><EFBFBD>, votre disque dur s'auto-d<>truira, votre chat se
transformera en Pok<6F>mon et votre directeur de th<74>se vous demandera o<>
vous en <20>tes<65><73>.
</p>

<p>
D'autres sont carr<72>ment perverses<65>: on vous avertit que si vous
trouvez sur votre disque dur le fichier <code>coin-coin.exe</code>,
c'est que vous <20>tes infect<63> par un dangereux virus. En fait,
<code>coin-coin.exe</code> est un programme tout <20> fait anodin,
appartenant <20> votre syst<73>me, et pas du tout un virus. En revanche,
vous pouvez <20>tre assez emb<6D>t<EFBFBD> si vous le supprimez...
</p>

<p>
Toutes ces rumeurs (<28><>hoax<61><78> en anglais) sont assorties de mentions
<EFBFBD><EFBFBD><EFBFBD> RENVOYER <20> TOUS VOS AMIS<49><53>. D<>s que vous voyez cette phrase dans
un mail, vous pouvez le mettre <20> la poubelle. Car si tout le monde
renvoie ce mail <20> son carnet d'adresses, <20>a aura <em>exactement le
m<EFBFBD>me effet</em> qu'un <a href="#mm">ver spammeur</a> et vous vous
retrouverez donc <20> diffuser vous-m<>me un virus...
</p>

<p>
Les enjeux de s<>curit<69> ne doivent pas vous faire paniquer. Vous ne
devez pas croire le premier venu ou la rumeur la plus folle. Si vous
suspectez un virus sur votre machine, avant de faire quoi que ce soir,
parlez-en <20> des gens comp<6D>tents (sur <a
href="&url.tuteurs;internet/forum/">forum</a> par exemple), v<>rifiez
sur <a href="http://www.hoaxbuster.com/">Hoaxbuster</a> (qui
r<EFBFBD>pertorie et analyse ce genre de rumeurs) et consultez des sites
<em>officiels</em> (<28>diteur d'anti-virus, Microsoft, etc.).
</p>

<h3>Les mouchards</h3>

<p>
En anglais, on les appelle <i lang="en">spyware</i> ou <i
lang="en">adware</i>. Ce sont de petits programmes qui s'installent en
m<EFBFBD>me temps qu'un logiciel (souvent la version gratuite de logiciels
commerciaux, ou encore des sharewares), et qui surveillent votre
activit<EFBFBD> Internet. Ces donn<6E>es sont envoy<6F>es r<>guli<6C>rement, en
utilisant votre connexion Internet, <20> la maison-m<>re, qui les utilise
<EFBFBD> des fins commerciales.
</p>

<p>
Le spyware n'est pas un cheval de Troie, il n'a pas d'activit<69>
r<EFBFBD>ellement malveillante. On peut le voir comme une monnaie d'<27>change<67>:
vous ne payez pas votre logiciel, en <20>change la soci<63>t<EFBFBD> qui l'<27>dite
vend des renseignements sur vous. Le probl<62>me est que souvent, vous
n'<27>tes pas pr<70>venu de l'existence du spyware, et que vous ne pouvez
pas v<>rifier ce que le spyware envoie <20> l'ext<78>rieur.
</p>

<p>
Si tout <20>a vous h<>risse, il existe des logiciels qui vous en
d<EFBFBD>barasseront (reste <20> faire confiance <20> ces logiciels...). Parmi les
logiciels gratuits; on peut citer<65>:
</p>

<ul>
<li> <a
href="http://www.lavasoft.de/french/software/adaware/">Ad-aware</a> de
<a href="http://www.lavasoft.de/">LavaSoft</a></li>
<li> <a href="http://www.safer-networking.org/">SpyBot Search &amp;
Destroy</a>
</li>
</ul>

<div class="metainformation">Auteur&nbsp;: Marie-Lan Nguyen. Derni<6E>re
modification&nbsp;: le <date value="$Date: 2003-09-22 12:44:50 $" />.</div>

</body>
</html>