tuteurs.ens.fr/internet/virus.tml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html
  PUBLIC "-//ENS/Tuteurs//DTD TML 1//EN"
  "tuteurs://DTD/tml.dtd">
<html>
  <head>
    <title>Virus</title>
  </head>
  <body>

    <h1>Les virus</h1>

<p>
Cette page a pour but de vous fournir des informations pratiques sur
les virus. Pour en savoir plus, lisez le <a
href="&url.tuteurs;docs/hublot/hublot07.html#virus">dossier
sur les virus</a> de David Monniaux, paru dans le <cite>Hublot</cite>
n°7. Il existe aussi une section « Virus » dans notre <a
href="&url.tuteurs;faq/mail.html">FAQ sur le mail</a>.
</p>


<h2>Quel risque à l'École ?</h2>

<h3>Sous UNIX</h3>

<p>
Si vous utilisez les machines UNIX (PC sous FreeBSD, station Sun sous
Solaris), le risque <em>en pratique</em> est plutôt faible. La plupart
des virus touchent les PC sous Windows, dans une bien moindre mesure
les Macs. Pourquoi ? Il est plus difficile d'écrire un virus pour
UNIX, tout simplement, et ça touche beaucoup moins de monde.
</p>

<p>
Les virus peuvent néanmoins beaucoup vous embêter, surtout s'il s'agit
de <a href="#mm">virus qui envoient massivement du mail</a>, qui sont
dès lors assimilables à du <a
href="&url.tuteurs;internet/courrier/antispam.html">spam</a> (courrier
indésirable). Vous recevrez un afflux de mails infectés qui
ralentissent le trafic des mails sur clipper, encombrent les boîtes
aux lettres et emplissent les disques durs.
</p>

<p>
Vous pouvez filtrer les virus grâce à des programmes comme <a
href="&url.tuteurs;internet/courrier/procmail.html"><code>procmail</code></a>.
Dans la mesure du possible, en cas d'épidémie, nous vous indiquerons
comment filtrer les <a href="#mm">vers spammeurs</a> dans notre <a
href="&url.tuteurs;faq/mail.html">FAQ sur le courrier électronique</a>
ainsi que dans notre <a
href="&url.tuteurs;internet/courrier/procmail.html">doc sur
<code>procmail</code></a>.
</p>

<h3>Sous Windows</h3>

<p>
Si vous utilisez les PC sous Windows des salles info, ou si vous avez
une machine personnelle sous Windows sur le rezo, vous êtes en partie
couvert par l'anti-virus global sur clipper.
</p>

<p>
Vous <strong>devez</strong> quand même prendre vos précautions, non
seulement pour vous mais aussi pour les autres. Il est déjà arrivé que
plus personne ne puisse envoyer ou recevoir de courrier parce qu'un
Outlook Express vérolé avait rempli <a
href="&url.tuteurs;unix/place_disque.html">la partition collective
réservée au mail</a>.
</p>

<h4>Gardez toujours votre système à jour</h4> 

<p>
Consultez régulièrement <a
href="http://www.microsoft.com/france/download/default.asp">les mises
à jour proposées par Microsoft</a> et appliquez les instructions qui
vous y sont données. Rappelez-vous que Microsoft n'envoie
<strong>jamais</strong> de correctifs de sécurité par mail. Un mail
qui prétend être un correctif émanant de Microsoft est au mieux une
mauvaise blague, au pire un virus... Témoin, à l'heure actuelle, le
ver <code>Swen.A</code>.
</p>

<h4>Attention au couple Internet Explorer/Outlook Express !</h4>

<p>
La plupart des vers exploitent les trous de sécurité d'Outlook Express
et/ou d'Internet Explorer. Il existe d'autres navigateurs et d'autres
logiciels de mail pour Windows, tout aussi faciles à utiliser, et
moins risqués.
</p>

<p>
<a href="http://www.opera.com/">Opera</a> et <a
href="http://www.mozilla.org/">Mozilla</a> sont de très bons
navigateurs. Mozilla Mail (inclus dans Mozilla), <a
href="http://www.eudora.com/">Eudora</a> ou <a
href="http://foxmail.free.fr/www/home.php">Foxmail</a> peuvent très
bien remplacer Outlook Express.
</p>

<p>Dernier argument : Microsoft a arrêté le développement d'Oulook
Express. Il n'y aura donc plus de suivi de sécurité. Alors autant
changer dès maintenant !
</p>

<p>Si vous tenez à garder Outlook Express, il est impératif de le
tenir à jour. <strong>Vous devez avoir la version 6 avec toutes ses
mises à jour</strong> pour avoir une sécurité correcte. Méfiez-vous
des attachements douteux et consultez votre mail de préférence en
texte brut. Pour toute information, contactez les <a
href="http://www.eleves.ens.fr/wintuteurs/">WinTuteurs</a>.
</p>

<h4>Utilisez un anti-virus et un firewall</h4>

<p>
Attention, <strong>un anti-virus ne vous protège pas à 100%</strong> !
La plupart sont inefficaces contre un virus tout nouveau et ne vous
protègent guère que contre les virus déjà connus. C'est juste une
protection supplémentaire, mais elle n'est pas infaillible. Vous devez
continuer à être vigilant. Outre les grands noms de l'anti-virus
(Norton, Symantec, etc.), il existe des anti-virus gratuits, par exemple :
</p>

<table class="tableau">
<tr>
<th>Nom</th><th>Société</th><th>Remarques</th>
</tr><tr>
<td><a href="http://www.freeav.com/">AntiVir</a> PE</td><td><a
href="http://www.hbedv.com/">H+BEDV</a></td><td>Assistant de mise à jour.</td>
</tr><tr>
<td><a href="http://www.asw.cz/i_idt_153.html">Avast</a></td><td><a href="http://www.asw.cz/">Alwit
Software</a></td><td>Mises à jour automatiques, plug-in spécial Outlook
Express.</td>
</tr><tr>
<td><a href="http://www.grisoft.com/us/us_dwnl_free.php">AVG</a> Free
Edition</td><td><a
href="http://www.grisoft.com/">Grisoft</a></td><td>Mises à jour
mensuelles, possibilité de programmer les scans du disque.</td>
</tr><tr>
<td><a href="http://www.minutegroup.com/prodpg_vcatch.htm">VCatch</a></td><td><a
href="http://www.minutegroup.com/index.html">MinuteGroup</a></td><td>
Cet anti-virus se contente de vérifier les fichiers entrants (mail,
téléchargements, etc.). En conséquence, il ne filtre que les virus
récents.</td>
</tr>
</table>

<p>
Un firewall (« pare-feu » comme on traduit parfois) personnel est un
logiciel chargé de gérer les points d'accès (« ports » en jargon
informatique) à votre ordinateur. Par défaut, la plupart du temps,
beaucoup de ports sont ouverts sans que vous le sachiez. Attention, là
encore, un firewall personnel n'est qu'un pis-aller : ce n'est pas un
logiciel supplémentaire qui peut assurer la sécurité de votre
machine. Seule une politique générale de sécurité peut rendre votre
machine moins vulnérable. Le seul firewall 100% fiable, c'est de ne
pas être connecté à Internet.
</p>

<h4>Attention aux activités à risque</h4>

<p>
Les virus se répandent aussi par d'autres voies. On peut par exemple
citer :
</p>

<ul>

<li> <strong>répertoires partagés</strong> via SMB/CIFS. C'est déjà
arrive sur le rezo. Solution : choisir des permissions appropriées. Si
vous n'êtes pas sûr de vous, contactez les <a
href="http://www.eleves.ens.fr/wintuteurs/">WinTuteurs</a>.  </li>

<li> <strong>IRC</strong>. Certains virus (<code>Swen.A</code>, par
exemple) peuvent se répandre via les fonctions de transfert de
fichiers.  </li>

<li> le <strong><i lang="en">peer to peer</i></strong> (Kazaa, etc.) :
le virus s'ajoute aux fichiers prêts à être échangés.</li>

</ul>

<p>
Soyez particulièrement vigilant si vous utilisez un ou plusieurs de
ces services.
</p>

<h2>Un peu de vocabulaire</h2>

<p>
Il existe différents types de virus. Vous avez probablement déjà
entendu ces noms barbares : cheval de Troie, ver... Voici quelques
définitions générales pour s'y retrouver. Il faut savoir que beaucoup
de virus actuels sont polymorphes, ils font plusieurs choses en même
temps et/ou utilisent plusieurs moyens de propagation.
</p>

<div class="encadre">
<strong>Onomastique</strong> : comment sont nommés les virus ? C'est
généralement le premier éditeur d'anti-virus qui analyse le nouveau
virus qui lui donne un nom, généralement d'après des caractéristiques
du virus (par exemple le virus Lovesan contenait les mots « I just
want to say LOVE YOU SAN!! »). Il arrive souvent que les virus aient
plusieurs noms (Lovesan s'appelle aussi MSBlaster) car plusieurs
éditeurs lui donnent un nom en même temps.
</div>

<h3>Les virus</h3>

<p>
Un virus à proprement parler est un programme capable d'infecter
d'autres programmes en les modifiant pour y inclure une copie de
lui-même. <strong>Un virus informatique n'est pas une
fatalité</strong>. C'est une anomalie qui découle de failles de
sécurité, en amont de la part du concepteur du logiciel, et souvent en
aval de la part de l'utilisateur.
</p>

<p>
Il en existe de plusieurs sortes. On peut les distinguer suivant leur
mode d'exécution : virus de boot (qui se lance au démarrage de la
machine), d'application (qui se lance quand on lance le logiciel),
virus macro (qui s'exécute via les macros de documents Word ou Excel),
etc.
</p>

<p>
Un virus peut être plus ou moins dangereux. Parfois, son seul but est
de se reproduire. Il peut se contenter d'une action anodine (afficher
un message sur votre écran), ou être carrément plus méchant (effacer
vos données, voire reformater votre disque dur).
</p>

<h3><a name="mm">Les vers</a></h3>

<p>
Ce sont des virus qui se répandent par le réseau (Internet le plus
souvent). Un ver récent (« Code Red ») utilisait ainsi une faille de
sécurité dans IIS, les serveurs Web de Microsoft, et se répandait le
long d'Internet, de serveur en serveur.
</p>

<h4>Vers spammeurs</h4>

<p>
Les plus connus sont les vers spammeurs, qui se répandent par courrier
électronique, par le biais d'attachements vérolés qui infectent la
machine quand on les ouvre. Ils utilisent souvent une faille de
sécurité dans le couple Outlook Express/Internet Explorer. Ils
s'expédient aux adresses contenues dans votre carnet d'adresses,
parfois dans le cache d'Internet Explorer. Parfois, ils sélectionnent
au hasard un fichier de votre disque dur, l'infectent et l'envoient en
attachement, epérant ainsi passer pour un vrai mail.
</p>

<p>
Ces vers peuvent être accompagnés de virus classiques. Parfois, leur
but est simplement de surcharger le réseau. Souvent, ils ne concernent
explicitement que le monde Windows, mais de fait, tous ceux qui
utilisent le courrier électronique en font les frais. Le
virus « Sobig.F » a déjà surchargé <code>clipper</code> pendant plus
d'une semaine, retardant le départ et l'arrivée du mail de tout le
monde.
</p>

<div class="attention">
<strong>Attention !</strong> La plupart du temps, les virus spammeurs
indiquent comme expéditeur du mail vérolé une adresse <em>prise au
hasard</em> sur un ordinateur infecté, ou fabriquée de toute pièce. Ne
vous fiez pas à ce qu'indique le champ <code>From:</code> d'un
e-mail. Rien ne vous empêche d'indiquer « Jacques Chirac, Élysée » au
dos de vos enveloppes ; il en va de même pour le courrier électronique.
</div>

<p>
Ainsi, si un ami vous dit qu'il a reçu un mail infecté de votre part,
il y a des chances pour que le mail ne vienne pas du tout de vous en
fait. C'est certain si vous n'utilisez que les ordinateurs des salles
infos, si vous avez un ordinateur sous Windows, mettez à jour votre
anti-virus et scannez votre disque par précaution.
</p>

<h3>Les chevaux de Troie</h3>

<p>
Un cheval de Troie (<i lang="en">trojan</i> en anglais) est un
programme malveillant caché dans un programme anodin (économiseur
d'écran, jeu vidéo, etc.). Quand vous exécutez le programme, le virus
s'exécute également.
</p>

<p>
Un cheval de Troie, une fois dans votre ordinateur, peut faire
beaucoup de choses : récolter vos mots de passe, ouvrir la porte (ce
qu'on appelle une <i lang="en">backdoor</i>) à un pirate, modifier vos
données, etc. Contrairement à un virus classique, il ne se reproduit
pas une fois installé.
</p>


<h3>Faux virus</h3>

<p>
Il circule souvent sur Internet des rumeurs de virus. Certaines sont
des canulars peu subtils : « si vous lisez un mail intitulé
« GURSIXO », votre disque dur s'auto-détruira, votre chat se
transformera en Pokémon et votre directeur de thèse vous demandera où
vous en êtes ».
</p>

<p>
D'autres sont carrément perverses : on vous avertit que si vous
trouvez sur votre disque dur le fichier <code>coin-coin.exe</code>,
c'est que vous êtes infecté par un dangereux virus. En fait,
<code>coin-coin.exe</code> est un programme tout à fait anodin,
appartenant à votre système, et pas du tout un virus. En revanche,
vous pouvez être assez embêté si vous le supprimez...
</p>

<p>
Toutes ces rumeurs (« hoax » en anglais) sont assorties de mentions
« À RENVOYER À TOUS VOS AMIS ». Dès que vous voyez cette phrase dans
un mail, vous pouvez le mettre à la poubelle. Car si tout le monde
renvoie ce mail à son carnet d'adresses, ça aura <em>exactement le
même effet</em> qu'un <a href="#mm">ver spammeur</a> et vous vous
retrouverez donc à diffuser vous-même un virus...
</p>

<p>
Les enjeux de sécurité ne doivent pas vous faire paniquer. Vous ne
devez pas croire le premier venu ou la rumeur la plus folle. Si vous
suspectez un virus sur votre machine, avant de faire quoi que ce soir,
parlez-en à des gens compétents, vérifiez
sur <a href="http://www.hoaxbuster.com/">Hoaxbuster</a> (qui
répertorie et analyse ce genre de rumeurs) et consultez des sites
<em>officiels</em> (éditeur d'anti-virus, Microsoft, etc.).
</p>

<h3>Les mouchards</h3>

<p>
En anglais, on les appelle <i lang="en">spyware</i> ou <i
lang="en">adware</i>. Ce sont de petits programmes qui s'installent en
même temps qu'un logiciel (souvent la version gratuite de logiciels
commerciaux, ou encore des sharewares), et qui surveillent votre
activité Internet. Ces données sont envoyées régulièrement, en
utilisant votre connexion Internet, à la maison-mère, qui les utilise
à des fins commerciales.
</p>

<p>
Le spyware n'est pas un cheval de Troie, il n'a pas d'activité
réellement malveillante. On peut le voir comme une monnaie d'échange :
vous ne payez pas votre logiciel, en échange la société qui l'édite
vend des renseignements sur vous. Le problème est que souvent, vous
n'êtes pas prévenu de l'existence du spyware, et que vous ne pouvez
pas vérifier ce que le spyware envoie à l'extérieur.
</p>

<p>
Si tout ça vous hérisse, il existe des logiciels qui vous en
débarasseront (reste à faire confiance à ces logiciels...). Parmi les
logiciels gratuits; on peut citer :
</p>

<ul>
<li> <a
href="http://fr.lavasoft.com/products/ad_aware_free.php">Ad-aware</a> de
<a href="http://fr.lavasoft.com/">LavaSoft</a></li>
<li> <a href="http://www.safer-networking.org/">SpyBot Search &amp;
Destroy</a>
</li>
</ul>

<h2>Exemple historique</h2>

<h3>Novarg/Mydoom/Mimail.R</h3>

<p>
Novarg (aussi connu sous le nom de Mydoom ou Mimail.R) est un <a
href="#mm">ver spammeur</a> en activité depuis la fin janvier 2004. Il
se présente sous la forme d'une pièce jointe (<code>.bat</code>,
<code>.cmd</code>, <code>.exe</code>, <code>.pif</code>,
<code>.scr</code> ou <code>.zip</code>). Le virus n'affecte que les
systèmes Windows. Il ouvre une « backdoor » (accès à votre ordinateur)
qui permet à un pirate d'utiliser vos ressources réseau.
</p>

<p>
Ses caractéristiques sont :
</p>

<ul>
<li> <strong>expéditeur</strong> : usurpé dans la plupart des cas</li>
<li> <strong>sujet</strong> : l'un des sujets suivants,
<code>test</code> ou <code>hi</code>, <code>hello</code>, <code>Mail
Delivery System</code>, <code>Mail Transaction Failed</code>,
<code>Server Report</code>, <code>Status</code>,
<code>Error</code></li>

<li> <strong>message</strong> : l'un des messages suivants,
« <code>Mail transaction failed. Partial message is
available.</code> », « <code>The message contains Unicode characters
and has been sent as a binary attachment.</code> », « <code>The
message cannot be represented in 7-bit ASCII encoding and has been
sent as a binary attachment.</code> »
</li>
</ul>

<p>
Pour lire un descriptif plus détaillé du virus, vous pouvez par
exemple lire <a
href="http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.a@mm.html">le
rapport de Symantec</a>.
</p>


<div class="metainformation">Auteur : Marie-Lan Nguyen. <date value="from git" /></div>

</body>
</html>