425 lines
16 KiB
XML
425 lines
16 KiB
XML
<?xml version="1.0" encoding="UTF-8"?>
|
||
<!DOCTYPE html
|
||
PUBLIC "-//ENS/Tuteurs//DTD TML 1//EN"
|
||
"tuteurs://DTD/tml.dtd">
|
||
<html>
|
||
<head>
|
||
<title>Virus</title>
|
||
</head>
|
||
<body>
|
||
|
||
<h1>Les virus</h1>
|
||
|
||
<p>
|
||
Cette page a pour but de vous fournir des informations pratiques sur
|
||
les virus. Pour en savoir plus, lisez le <a
|
||
href="&url.tuteurs;docs/hublot/hublot07.html#virus">dossier
|
||
sur les virus</a> de David Monniaux, paru dans le <cite>Hublot</cite>
|
||
n°7. Il existe aussi une section « Virus » dans notre <a
|
||
href="&url.tuteurs;faq/mail.html">FAQ sur le mail</a>.
|
||
</p>
|
||
|
||
|
||
<h2>Quel risque à l'École ?</h2>
|
||
|
||
<h3>Sous UNIX</h3>
|
||
|
||
<p>
|
||
Si vous utilisez les machines UNIX (PC sous FreeBSD, station Sun sous
|
||
Solaris), le risque <em>en pratique</em> est plutôt faible. La plupart
|
||
des virus touchent les PC sous Windows, dans une bien moindre mesure
|
||
les Macs. Pourquoi ? Il est plus difficile d'écrire un virus pour
|
||
UNIX, tout simplement, et ça touche beaucoup moins de monde.
|
||
</p>
|
||
|
||
<p>
|
||
Les virus peuvent néanmoins beaucoup vous embêter, surtout s'il s'agit
|
||
de <a href="#mm">virus qui envoient massivement du mail</a>, qui sont
|
||
dès lors assimilables à du <a
|
||
href="&url.tuteurs;internet/courrier/antispam.html">spam</a> (courrier
|
||
indésirable). Vous recevrez un afflux de mails infectés qui
|
||
ralentissent le trafic des mails sur clipper, encombrent les boîtes
|
||
aux lettres et emplissent les disques durs.
|
||
</p>
|
||
|
||
<p>
|
||
Vous pouvez filtrer les virus grâce à des programmes comme <a
|
||
href="&url.tuteurs;internet/courrier/procmail.html"><code>procmail</code></a>.
|
||
Dans la mesure du possible, en cas d'épidémie, nous vous indiquerons
|
||
comment filtrer les <a href="#mm">vers spammeurs</a> dans notre <a
|
||
href="&url.tuteurs;faq/mail.html">FAQ sur le courrier électronique</a>
|
||
ainsi que dans notre <a
|
||
href="&url.tuteurs;internet/courrier/procmail.html">doc sur
|
||
<code>procmail</code></a>.
|
||
</p>
|
||
|
||
<h3>Sous Windows</h3>
|
||
|
||
<p>
|
||
Si vous utilisez les PC sous Windows des salles info, ou si vous avez
|
||
une machine personnelle sous Windows sur le rezo, vous êtes en partie
|
||
couvert par l'anti-virus global sur clipper.
|
||
</p>
|
||
|
||
<p>
|
||
Vous <strong>devez</strong> quand même prendre vos précautions, non
|
||
seulement pour vous mais aussi pour les autres. Il est déjà arrivé que
|
||
plus personne ne puisse envoyer ou recevoir de courrier parce qu'un
|
||
Outlook Express vérolé avait rempli <a
|
||
href="&url.tuteurs;unix/place_disque.html">la partition collective
|
||
réservée au mail</a>.
|
||
</p>
|
||
|
||
<h4>Gardez toujours votre système à jour</h4>
|
||
|
||
<p>
|
||
Consultez régulièrement <a
|
||
href="http://www.microsoft.com/france/download/default.asp">les mises
|
||
à jour proposées par Microsoft</a> et appliquez les instructions qui
|
||
vous y sont données. Rappelez-vous que Microsoft n'envoie
|
||
<strong>jamais</strong> de correctifs de sécurité par mail. Un mail
|
||
qui prétend être un correctif émanant de Microsoft est au mieux une
|
||
mauvaise blague, au pire un virus... Témoin, à l'heure actuelle, le
|
||
ver <code>Swen.A</code>.
|
||
</p>
|
||
|
||
<h4>Attention au couple Internet Explorer/Outlook Express !</h4>
|
||
|
||
<p>
|
||
La plupart des vers exploitent les trous de sécurité d'Outlook Express
|
||
et/ou d'Internet Explorer. Il existe d'autres navigateurs et d'autres
|
||
logiciels de mail pour Windows, tout aussi faciles à utiliser, et
|
||
moins risqués.
|
||
</p>
|
||
|
||
<p>
|
||
<a href="http://www.opera.com/">Opera</a> et <a
|
||
href="http://www.mozilla.org/">Mozilla</a> sont de très bons
|
||
navigateurs. Mozilla Mail (inclus dans Mozilla), <a
|
||
href="http://www.eudora.com/">Eudora</a> ou <a
|
||
href="http://foxmail.free.fr/www/home.php">Foxmail</a> peuvent très
|
||
bien remplacer Outlook Express.
|
||
</p>
|
||
|
||
<p>Dernier argument : Microsoft a arrêté le développement d'Oulook
|
||
Express. Il n'y aura donc plus de suivi de sécurité. Alors autant
|
||
changer dès maintenant !
|
||
</p>
|
||
|
||
<p>Si vous tenez à garder Outlook Express, il est impératif de le
|
||
tenir à jour. <strong>Vous devez avoir la version 6 avec toutes ses
|
||
mises à jour</strong> pour avoir une sécurité correcte. Méfiez-vous
|
||
des attachements douteux et consultez votre mail de préférence en
|
||
texte brut. Pour toute information, contactez les <a
|
||
href="http://www.eleves.ens.fr/wintuteurs/">WinTuteurs</a>.
|
||
</p>
|
||
|
||
<h4>Utilisez un anti-virus et un firewall</h4>
|
||
|
||
<p>
|
||
Attention, <strong>un anti-virus ne vous protège pas à 100%</strong> !
|
||
La plupart sont inefficaces contre un virus tout nouveau et ne vous
|
||
protègent guère que contre les virus déjà connus. C'est juste une
|
||
protection supplémentaire, mais elle n'est pas infaillible. Vous devez
|
||
continuer à être vigilant. Outre les grands noms de l'anti-virus
|
||
(Norton, Symantec, etc.), il existe des anti-virus gratuits, par exemple :
|
||
</p>
|
||
|
||
<table class="tableau">
|
||
<tr>
|
||
<th>Nom</th><th>Société</th><th>Remarques</th>
|
||
</tr><tr>
|
||
<td><a href="http://www.freeav.com/">AntiVir</a> PE</td><td><a
|
||
href="http://www.hbedv.com/">H+BEDV</a></td><td>Assistant de mise à jour.</td>
|
||
</tr><tr>
|
||
<td><a href="http://www.asw.cz/i_idt_153.html">Avast</a></td><td><a href="http://www.asw.cz/">Alwit
|
||
Software</a></td><td>Mises à jour automatiques, plug-in spécial Outlook
|
||
Express.</td>
|
||
</tr><tr>
|
||
<td><a href="http://www.grisoft.com/us/us_dwnl_free.php">AVG</a> Free
|
||
Edition</td><td><a
|
||
href="http://www.grisoft.com/">Grisoft</a></td><td>Mises à jour
|
||
mensuelles, possibilité de programmer les scans du disque.</td>
|
||
</tr><tr>
|
||
<td><a href="http://www.minutegroup.com/prodpg_vcatch.htm">VCatch</a></td><td><a
|
||
href="http://www.minutegroup.com/index.html">MinuteGroup</a></td><td>
|
||
Cet anti-virus se contente de vérifier les fichiers entrants (mail,
|
||
téléchargements, etc.). En conséquence, il ne filtre que les virus
|
||
récents.</td>
|
||
</tr>
|
||
</table>
|
||
|
||
<p>
|
||
Un firewall (« pare-feu » comme on traduit parfois) personnel est un
|
||
logiciel chargé de gérer les points d'accès (« ports » en jargon
|
||
informatique) à votre ordinateur. Par défaut, la plupart du temps,
|
||
beaucoup de ports sont ouverts sans que vous le sachiez. Attention, là
|
||
encore, un firewall personnel n'est qu'un pis-aller : ce n'est pas un
|
||
logiciel supplémentaire qui peut assurer la sécurité de votre
|
||
machine. Seule une politique générale de sécurité peut rendre votre
|
||
machine moins vulnérable. Le seul firewall 100% fiable, c'est de ne
|
||
pas être connecté à Internet.
|
||
</p>
|
||
|
||
<h4>Attention aux activités à risque</h4>
|
||
|
||
<p>
|
||
Les virus se répandent aussi par d'autres voies. On peut par exemple
|
||
citer :
|
||
</p>
|
||
|
||
<ul>
|
||
|
||
<li> <strong>répertoires partagés</strong> via SMB/CIFS. C'est déjà
|
||
arrive sur le rezo. Solution : choisir des permissions appropriées. Si
|
||
vous n'êtes pas sûr de vous, contactez les <a
|
||
href="http://www.eleves.ens.fr/wintuteurs/">WinTuteurs</a>. </li>
|
||
|
||
<li> <strong>IRC</strong>. Certains virus (<code>Swen.A</code>, par
|
||
exemple) peuvent se répandre via les fonctions de transfert de
|
||
fichiers. </li>
|
||
|
||
<li> le <strong><i lang="en">peer to peer</i></strong> (Kazaa, etc.) :
|
||
le virus s'ajoute aux fichiers prêts à être échangés.</li>
|
||
|
||
</ul>
|
||
|
||
<p>
|
||
Soyez particulièrement vigilant si vous utilisez un ou plusieurs de
|
||
ces services.
|
||
</p>
|
||
|
||
<h2>Un peu de vocabulaire</h2>
|
||
|
||
<p>
|
||
Il existe différents types de virus. Vous avez probablement déjà
|
||
entendu ces noms barbares : cheval de Troie, ver... Voici quelques
|
||
définitions générales pour s'y retrouver. Il faut savoir que beaucoup
|
||
de virus actuels sont polymorphes, ils font plusieurs choses en même
|
||
temps et/ou utilisent plusieurs moyens de propagation.
|
||
</p>
|
||
|
||
<div class="encadre">
|
||
<strong>Onomastique</strong> : comment sont nommés les virus ? C'est
|
||
généralement le premier éditeur d'anti-virus qui analyse le nouveau
|
||
virus qui lui donne un nom, généralement d'après des caractéristiques
|
||
du virus (par exemple le virus Lovesan contenait les mots « I just
|
||
want to say LOVE YOU SAN!! »). Il arrive souvent que les virus aient
|
||
plusieurs noms (Lovesan s'appelle aussi MSBlaster) car plusieurs
|
||
éditeurs lui donnent un nom en même temps.
|
||
</div>
|
||
|
||
<h3>Les virus</h3>
|
||
|
||
<p>
|
||
Un virus à proprement parler est un programme capable d'infecter
|
||
d'autres programmes en les modifiant pour y inclure une copie de
|
||
lui-même. <strong>Un virus informatique n'est pas une
|
||
fatalité</strong>. C'est une anomalie qui découle de failles de
|
||
sécurité, en amont de la part du concepteur du logiciel, et souvent en
|
||
aval de la part de l'utilisateur.
|
||
</p>
|
||
|
||
<p>
|
||
Il en existe de plusieurs sortes. On peut les distinguer suivant leur
|
||
mode d'exécution : virus de boot (qui se lance au démarrage de la
|
||
machine), d'application (qui se lance quand on lance le logiciel),
|
||
virus macro (qui s'exécute via les macros de documents Word ou Excel),
|
||
etc.
|
||
</p>
|
||
|
||
<p>
|
||
Un virus peut être plus ou moins dangereux. Parfois, son seul but est
|
||
de se reproduire. Il peut se contenter d'une action anodine (afficher
|
||
un message sur votre écran), ou être carrément plus méchant (effacer
|
||
vos données, voire reformater votre disque dur).
|
||
</p>
|
||
|
||
<h3><a name="mm">Les vers</a></h3>
|
||
|
||
<p>
|
||
Ce sont des virus qui se répandent par le réseau (Internet le plus
|
||
souvent). Un ver récent (« Code Red ») utilisait ainsi une faille de
|
||
sécurité dans IIS, les serveurs Web de Microsoft, et se répandait le
|
||
long d'Internet, de serveur en serveur.
|
||
</p>
|
||
|
||
<h4>Vers spammeurs</h4>
|
||
|
||
<p>
|
||
Les plus connus sont les vers spammeurs, qui se répandent par courrier
|
||
électronique, par le biais d'attachements vérolés qui infectent la
|
||
machine quand on les ouvre. Ils utilisent souvent une faille de
|
||
sécurité dans le couple Outlook Express/Internet Explorer. Ils
|
||
s'expédient aux adresses contenues dans votre carnet d'adresses,
|
||
parfois dans le cache d'Internet Explorer. Parfois, ils sélectionnent
|
||
au hasard un fichier de votre disque dur, l'infectent et l'envoient en
|
||
attachement, epérant ainsi passer pour un vrai mail.
|
||
</p>
|
||
|
||
<p>
|
||
Ces vers peuvent être accompagnés de virus classiques. Parfois, leur
|
||
but est simplement de surcharger le réseau. Souvent, ils ne concernent
|
||
explicitement que le monde Windows, mais de fait, tous ceux qui
|
||
utilisent le courrier électronique en font les frais. Le
|
||
virus « Sobig.F » a déjà surchargé <code>clipper</code> pendant plus
|
||
d'une semaine, retardant le départ et l'arrivée du mail de tout le
|
||
monde.
|
||
</p>
|
||
|
||
<div class="attention">
|
||
<strong>Attention !</strong> La plupart du temps, les virus spammeurs
|
||
indiquent comme expéditeur du mail vérolé une adresse <em>prise au
|
||
hasard</em> sur un ordinateur infecté, ou fabriquée de toute pièce. Ne
|
||
vous fiez pas à ce qu'indique le champ <code>From:</code> d'un
|
||
e-mail. Rien ne vous empêche d'indiquer « Jacques Chirac, Élysée » au
|
||
dos de vos enveloppes ; il en va de même pour le courrier électronique.
|
||
</div>
|
||
|
||
<p>
|
||
Ainsi, si un ami vous dit qu'il a reçu un mail infecté de votre part,
|
||
il y a des chances pour que le mail ne vienne pas du tout de vous en
|
||
fait. C'est certain si vous n'utilisez que les ordinateurs des salles
|
||
infos, si vous avez un ordinateur sous Windows, mettez à jour votre
|
||
anti-virus et scannez votre disque par précaution.
|
||
</p>
|
||
|
||
<h3>Les chevaux de Troie</h3>
|
||
|
||
<p>
|
||
Un cheval de Troie (<i lang="en">trojan</i> en anglais) est un
|
||
programme malveillant caché dans un programme anodin (économiseur
|
||
d'écran, jeu vidéo, etc.). Quand vous exécutez le programme, le virus
|
||
s'exécute également.
|
||
</p>
|
||
|
||
<p>
|
||
Un cheval de Troie, une fois dans votre ordinateur, peut faire
|
||
beaucoup de choses : récolter vos mots de passe, ouvrir la porte (ce
|
||
qu'on appelle une <i lang="en">backdoor</i>) à un pirate, modifier vos
|
||
données, etc. Contrairement à un virus classique, il ne se reproduit
|
||
pas une fois installé.
|
||
</p>
|
||
|
||
|
||
<h3>Faux virus</h3>
|
||
|
||
<p>
|
||
Il circule souvent sur Internet des rumeurs de virus. Certaines sont
|
||
des canulars peu subtils : « si vous lisez un mail intitulé
|
||
« GURSIXO », votre disque dur s'auto-détruira, votre chat se
|
||
transformera en Pokémon et votre directeur de thèse vous demandera où
|
||
vous en êtes ».
|
||
</p>
|
||
|
||
<p>
|
||
D'autres sont carrément perverses : on vous avertit que si vous
|
||
trouvez sur votre disque dur le fichier <code>coin-coin.exe</code>,
|
||
c'est que vous êtes infecté par un dangereux virus. En fait,
|
||
<code>coin-coin.exe</code> est un programme tout à fait anodin,
|
||
appartenant à votre système, et pas du tout un virus. En revanche,
|
||
vous pouvez être assez embêté si vous le supprimez...
|
||
</p>
|
||
|
||
<p>
|
||
Toutes ces rumeurs (« hoax » en anglais) sont assorties de mentions
|
||
« À RENVOYER À TOUS VOS AMIS ». Dès que vous voyez cette phrase dans
|
||
un mail, vous pouvez le mettre à la poubelle. Car si tout le monde
|
||
renvoie ce mail à son carnet d'adresses, ça aura <em>exactement le
|
||
même effet</em> qu'un <a href="#mm">ver spammeur</a> et vous vous
|
||
retrouverez donc à diffuser vous-même un virus...
|
||
</p>
|
||
|
||
<p>
|
||
Les enjeux de sécurité ne doivent pas vous faire paniquer. Vous ne
|
||
devez pas croire le premier venu ou la rumeur la plus folle. Si vous
|
||
suspectez un virus sur votre machine, avant de faire quoi que ce soir,
|
||
parlez-en à des gens compétents, vérifiez
|
||
sur <a href="http://www.hoaxbuster.com/">Hoaxbuster</a> (qui
|
||
répertorie et analyse ce genre de rumeurs) et consultez des sites
|
||
<em>officiels</em> (éditeur d'anti-virus, Microsoft, etc.).
|
||
</p>
|
||
|
||
<h3>Les mouchards</h3>
|
||
|
||
<p>
|
||
En anglais, on les appelle <i lang="en">spyware</i> ou <i
|
||
lang="en">adware</i>. Ce sont de petits programmes qui s'installent en
|
||
même temps qu'un logiciel (souvent la version gratuite de logiciels
|
||
commerciaux, ou encore des sharewares), et qui surveillent votre
|
||
activité Internet. Ces données sont envoyées régulièrement, en
|
||
utilisant votre connexion Internet, à la maison-mère, qui les utilise
|
||
à des fins commerciales.
|
||
</p>
|
||
|
||
<p>
|
||
Le spyware n'est pas un cheval de Troie, il n'a pas d'activité
|
||
réellement malveillante. On peut le voir comme une monnaie d'échange :
|
||
vous ne payez pas votre logiciel, en échange la société qui l'édite
|
||
vend des renseignements sur vous. Le problème est que souvent, vous
|
||
n'êtes pas prévenu de l'existence du spyware, et que vous ne pouvez
|
||
pas vérifier ce que le spyware envoie à l'extérieur.
|
||
</p>
|
||
|
||
<p>
|
||
Si tout ça vous hérisse, il existe des logiciels qui vous en
|
||
débarasseront (reste à faire confiance à ces logiciels...). Parmi les
|
||
logiciels gratuits; on peut citer :
|
||
</p>
|
||
|
||
<ul>
|
||
<li> <a
|
||
href="http://www.lavasoft.de/french/software/adaware/">Ad-aware</a> de
|
||
<a href="http://www.lavasoft.de/">LavaSoft</a></li>
|
||
<li> <a href="http://www.safer-networking.org/">SpyBot Search &
|
||
Destroy</a>
|
||
</li>
|
||
</ul>
|
||
|
||
<h2>Exemple historique</h2>
|
||
|
||
<h3>Novarg/Mydoom/Mimail.R</h3>
|
||
|
||
<p>
|
||
Novarg (aussi connu sous le nom de Mydoom ou Mimail.R) est un <a
|
||
href="#mm">ver spammeur</a> en activité depuis la fin janvier 2004. Il
|
||
se présente sous la forme d'une pièce jointe (<code>.bat</code>,
|
||
<code>.cmd</code>, <code>.exe</code>, <code>.pif</code>,
|
||
<code>.scr</code> ou <code>.zip</code>). Le virus n'affecte que les
|
||
systèmes Windows. Il ouvre une « backdoor » (accès à votre ordinateur)
|
||
qui permet à un pirate d'utiliser vos ressources réseau.
|
||
</p>
|
||
|
||
<p>
|
||
Ses caractéristiques sont :
|
||
</p>
|
||
|
||
<ul>
|
||
<li> <strong>expéditeur</strong> : usurpé dans la plupart des cas</li>
|
||
<li> <strong>sujet</strong> : l'un des sujets suivants,
|
||
<code>test</code> ou <code>hi</code>, <code>hello</code>, <code>Mail
|
||
Delivery System</code>, <code>Mail Transaction Failed</code>,
|
||
<code>Server Report</code>, <code>Status</code>,
|
||
<code>Error</code></li>
|
||
|
||
<li> <strong>message</strong> : l'un des messages suivants,
|
||
« <code>Mail transaction failed. Partial message is
|
||
available.</code> », « <code>The message contains Unicode characters
|
||
and has been sent as a binary attachment.</code> », « <code>The
|
||
message cannot be represented in 7-bit ASCII encoding and has been
|
||
sent as a binary attachment.</code> »
|
||
</li>
|
||
</ul>
|
||
|
||
<p>
|
||
Pour lire un descriptif plus détaillé du virus, vous pouvez par
|
||
exemple lire <a
|
||
href="http://securityresponse.symantec.com/avcenter/venc/data/w32.mydoom.a@mm.html">le
|
||
rapport de Symantec</a>.
|
||
</p>
|
||
|
||
|
||
<div class="metainformation">Auteur : Marie-Lan Nguyen. <date value="from git" /></div>
|
||
|
||
</body>
|
||
</html>
|