Les virus

Cette page a pour but de vous fournir des informations pratiques sur les virus. Pour en savoir plus, lisez le dossier sur les virus de David Monniaux, paru dans le Hublot n°7. Il existe aussi une section « Virus » dans notre FAQ sur le mail.

Quel risque à l'École ?

Sous UNIX

Si vous utilisez les machines UNIX (PC sous FreeBSD, station Sun sous Solaris), le risque en pratique est plutôt faible. La plupart des virus touchent les PC sous Windows, dans une bien moindre mesure les Macs. Pourquoi ? Il est plus difficile d'écrire un virus pour UNIX, tout simplement, et ça touche beaucoup moins de monde.

Les virus peuvent néanmoins beaucoup vous embêter, surtout s'il s'agit de virus qui envoient massivement du mail, qui sont dès lors assimilables à du spam (courrier indésirable). Vous recevrez un afflux de mails infectés qui ralentissent le trafic des mails sur clipper, encombrent les boîtes aux lettres et emplissent les disques durs.

Vous pouvez filtrer les virus grâce à des programmes comme procmail. Dans la mesure du possible, en cas d'épidémie, nous vous indiquerons comment filtrer les vers spammeurs dans notre FAQ sur le courrier électronique ainsi que dans notre doc sur procmail.

Sous Windows

Si vous utilisez les PC sous Windows des salles info, ou si vous avez une machine personnelle sous Windows sur le rezo, vous êtes en partie couvert par l'anti-virus global sur clipper.

Vous devez quand même prendre vos précautions, non seulement pour vous mais aussi pour les autres. Il est déjà arrivé que plus personne ne puisse envoyer ou recevoir de courrier parce qu'un Outlook Express vérolé avait rempli la partition collective réservée au mail.

Gardez toujours votre système à jour

Consultez régulièrement les mises à jour proposées par Microsoft et appliquez les instructions qui vous y sont données. Rappelez-vous que Microsoft n'envoie jamais de correctifs de sécurité par mail. Un mail qui prétend être un correctif émanant de Microsoft est au mieux une mauvaise blague, au pire un virus... Témoin, à l'heure actuelle, le ver Swen.A.

Attention au couple Internet Explorer/Outlook Express !

La plupart des vers exploitent les trous de sécurité d'Outlook Express et/ou d'Internet Explorer. Il existe d'autres navigateurs et d'autres logiciels de mail pour Windows, tout aussi faciles à utiliser, et moins risqués.

Opera et Mozilla sont de très bons navigateurs. Mozilla Mail (inclus dans Mozilla), Eudora ou Foxmail peuvent très bien remplacer Outlook Express.

Dernier argument : Microsoft a arrêté le développement d'Oulook Express. Il n'y aura donc plus de suivi de sécurité. Alors autant changer dès maintenant !

Si vous tenez à garder Outlook Express, il est impératif de le tenir à jour. Vous devez avoir la version 6 avec toutes ses mises à jour pour avoir une sécurité correcte. Méfiez-vous des attachements douteux et consultez votre mail de préférence en texte brut. Pour toute information, contactez les WinTuteurs.

Utilisez un anti-virus et un firewall

Attention, un anti-virus ne vous protège pas à 100% ! La plupart sont inefficaces contre un virus tout nouveau et ne vous protègent guère que contre les virus déjà connus. C'est juste une protection supplémentaire, mais elle n'est pas infaillible. Vous devez continuer à être vigilant. Outre les grands noms de l'anti-virus (Norton, Symantec, etc.), il existe des anti-virus gratuits, par exemple :

NomSociétéRemarques
AntiVir PEH+BEDVAssistant de mise à jour.
AvastAlwit SoftwareMises à jour automatiques, plug-in spécial Outlook Express.
AVG Free EditionGrisoftMises à jour mensuelles, possibilité de programmer les scans du disque.
VCatchMinuteGroup Cet anti-virus se contente de vérifier les fichiers entrants (mail, téléchargements, etc.). En conséquence, il ne filtre que les virus récents.

Un firewall (« pare-feu » comme on traduit parfois) personnel est un logiciel chargé de gérer les points d'accès (« ports » en jargon informatique) à votre ordinateur. Par défaut, la plupart du temps, beaucoup de ports sont ouverts sans que vous le sachiez. Attention, là encore, un firewall personnel n'est qu'un pis-aller : ce n'est pas un logiciel supplémentaire qui peut assurer la sécurité de votre machine. Seule une politique générale de sécurité peut rendre votre machine moins vulnérable. Le seul firewall 100% fiable, c'est de ne pas être connecté à Internet.

Attention aux activités à risque

Les virus se répandent aussi par d'autres voies. On peut par exemple citer :

Soyez particulièrement vigilant si vous utilisez un ou plusieurs de ces services.

Un peu de vocabulaire

Il existe différents types de virus. Vous avez probablement déjà entendu ces noms barbares : cheval de Troie, ver... Voici quelques définitions générales pour s'y retrouver. Il faut savoir que beaucoup de virus actuels sont polymorphes, ils font plusieurs choses en même temps et/ou utilisent plusieurs moyens de propagation.

Onomastique : comment sont nommés les virus ? C'est généralement le premier éditeur d'anti-virus qui analyse le nouveau virus qui lui donne un nom, généralement d'après des caractéristiques du virus (par exemple le virus Lovesan contenait les mots « I just want to say LOVE YOU SAN!! »). Il arrive souvent que les virus aient plusieurs noms (Lovesan s'appelle aussi MSBlaster) car plusieurs éditeurs lui donnent un nom en même temps.

Les virus

Un virus à proprement parler est un programme capable d'infecter d'autres programmes en les modifiant pour y inclure une copie de lui-même. Un virus informatique n'est pas une fatalité. C'est une anomalie qui découle de failles de sécurité, en amont de la part du concepteur du logiciel, et souvent en aval de la part de l'utilisateur.

Il en existe de plusieurs sortes. On peut les distinguer suivant leur mode d'exécution : virus de boot (qui se lance au démarrage de la machine), d'application (qui se lance quand on lance le logiciel), virus macro (qui s'exécute via les macros de documents Word ou Excel), etc.

Un virus peut être plus ou moins dangereux. Parfois, son seul but est de se reproduire. Il peut se contenter d'une action anodine (afficher un message sur votre écran), ou être carrément plus méchant (effacer vos données, voire reformater votre disque dur).

Les vers

Ce sont des virus qui se répandent par le réseau (Internet le plus souvent). Un ver récent (« Code Red ») utilisait ainsi une faille de sécurité dans IIS, les serveurs Web de Microsoft, et se répandait le long d'Internet, de serveur en serveur.

Vers spammeurs

Les plus connus sont les vers spammeurs, qui se répandent par courrier électronique, par le biais d'attachements vérolés qui infectent la machine quand on les ouvre. Ils utilisent souvent une faille de sécurité dans le couple Outlook Express/Internet Explorer. Ils s'expédient aux adresses contenues dans votre carnet d'adresses, parfois dans le cache d'Internet Explorer. Parfois, ils sélectionnent au hasard un fichier de votre disque dur, l'infectent et l'envoient en attachement, epérant ainsi passer pour un vrai mail.

Ces vers peuvent être accompagnés de virus classiques. Parfois, leur but est simplement de surcharger le réseau. Souvent, ils ne concernent explicitement que le monde Windows, mais de fait, tous ceux qui utilisent le courrier électronique en font les frais. Le virus « Sobig.F » a déjà surchargé clipper pendant plus d'une semaine, retardant le départ et l'arrivée du mail de tout le monde.

Attention ! La plupart du temps, les virus spammeurs indiquent comme expéditeur du mail vérolé une adresse prise au hasard sur un ordinateur infecté, ou fabriquée de toute pièce. Ne vous fiez pas à ce qu'indique le champ From: d'un e-mail. Rien ne vous empêche d'indiquer « Jacques Chirac, Élysée » au dos de vos enveloppes ; il en va de même pour le courrier électronique.

Ainsi, si un ami vous dit qu'il a reçu un mail infecté de votre part, il y a des chances pour que le mail ne vienne pas du tout de vous en fait. C'est certain si vous n'utilisez que les ordinateurs des salles infos, si vous avez un ordinateur sous Windows, mettez à jour votre anti-virus et scannez votre disque par précaution.

Les chevaux de Troie

Un cheval de Troie (trojan en anglais) est un programme malveillant caché dans un programme anodin (économiseur d'écran, jeu vidéo, etc.). Quand vous exécutez le programme, le virus s'exécute également.

Un cheval de Troie, une fois dans votre ordinateur, peut faire beaucoup de choses : récolter vos mots de passe, ouvrir la porte (ce qu'on appelle une backdoor) à un pirate, modifier vos données, etc. Contrairement à un virus classique, il ne se reproduit pas une fois installé.

Faux virus

Il circule souvent sur Internet des rumeurs de virus. Certaines sont des canulars peu subtils : « si vous lisez un mail intitulé « GURSIXO », votre disque dur s'auto-détruira, votre chat se transformera en Pokémon et votre directeur de thèse vous demandera où vous en êtes ».

D'autres sont carrément perverses : on vous avertit que si vous trouvez sur votre disque dur le fichier coin-coin.exe, c'est que vous êtes infecté par un dangereux virus. En fait, coin-coin.exe est un programme tout à fait anodin, appartenant à votre système, et pas du tout un virus. En revanche, vous pouvez être assez embêté si vous le supprimez...

Toutes ces rumeurs (« hoax » en anglais) sont assorties de mentions « À RENVOYER À TOUS VOS AMIS ». Dès que vous voyez cette phrase dans un mail, vous pouvez le mettre à la poubelle. Car si tout le monde renvoie ce mail à son carnet d'adresses, ça aura exactement le même effet qu'un ver spammeur et vous vous retrouverez donc à diffuser vous-même un virus...

Les enjeux de sécurité ne doivent pas vous faire paniquer. Vous ne devez pas croire le premier venu ou la rumeur la plus folle. Si vous suspectez un virus sur votre machine, avant de faire quoi que ce soir, parlez-en à des gens compétents, vérifiez sur Hoaxbuster (qui répertorie et analyse ce genre de rumeurs) et consultez des sites officiels (éditeur d'anti-virus, Microsoft, etc.).

Les mouchards

En anglais, on les appelle spyware ou adware. Ce sont de petits programmes qui s'installent en même temps qu'un logiciel (souvent la version gratuite de logiciels commerciaux, ou encore des sharewares), et qui surveillent votre activité Internet. Ces données sont envoyées régulièrement, en utilisant votre connexion Internet, à la maison-mère, qui les utilise à des fins commerciales.

Le spyware n'est pas un cheval de Troie, il n'a pas d'activité réellement malveillante. On peut le voir comme une monnaie d'échange : vous ne payez pas votre logiciel, en échange la société qui l'édite vend des renseignements sur vous. Le problème est que souvent, vous n'êtes pas prévenu de l'existence du spyware, et que vous ne pouvez pas vérifier ce que le spyware envoie à l'extérieur.

Si tout ça vous hérisse, il existe des logiciels qui vous en débarasseront (reste à faire confiance à ces logiciels...). Parmi les logiciels gratuits; on peut citer :

Exemple historique

Novarg/Mydoom/Mimail.R

Novarg (aussi connu sous le nom de Mydoom ou Mimail.R) est un ver spammeur en activité depuis la fin janvier 2004. Il se présente sous la forme d'une pièce jointe (.bat, .cmd, .exe, .pif, .scr ou .zip). Le virus n'affecte que les systèmes Windows. Il ouvre une « backdoor » (accès à votre ordinateur) qui permet à un pirate d'utiliser vos ressources réseau.

Ses caractéristiques sont :

Pour lire un descriptif plus détaillé du virus, vous pouvez par exemple lire le rapport de Symantec.

Auteur : Marie-Lan Nguyen.