Vous êtes sur la page 1sur 6

Virus informatique

Code sur un ordinateur infect par le virus Stoned

Un virus informatique est un automate auto rplicatif la base non malveillant, mais aujourd'hui souvent
additionn de code malveillant (donc classifi commelogiciel malveillant), conu pour se propager
d'autres ordinateurs en s'insrant dans des logiciels lgitimes, appels htes . Il peut perturber plus ou moins
gravement le fonctionnement de l'ordinateur infect. Il peut se rpandre par tout moyen d'change de donnes
numriques comme les rseaux informatiques et lescdroms, les clefs USB, etc.
Son appellation provient d'une analogie avec le virus biologique puisqu'il prsente des similitudes dans sa
manire de se propager en utilisant les facults de reproduction de la cellule hte. On attribue le terme de virus
informatique l'informaticien et spcialiste en biologie molculaire Leonard Adleman.
Les virus informatiques ne doivent pas tre confondus avec les vers informatiques, qui sont des programmes
capables de se propager et de se dupliquer par leurs propres moyens sans contaminer de programme hte. Au
sens large, on utilise souvent et abusivement le mot virus pour dsigner toute forme de logiciel malveillant.
Le nombre total de programmes malveillants connus serait de l'ordre de 95 000 (2011) selon Sophos (tous types
demalwares confondus)1. Cependant, le nombre de virus rellement en circulation ne serait pas suprieur
quelques milliers selon la Wildlist Organisation2, chaque diteur d'antivirus ayant intrt gonfler (surestimer)
le nombre de virus qu'il dtecte. La trs grande majorit touche la plate-forme Windows. Bien qu'ils soient
extrmement peu nombreux, il existe aussi des virus sur les systmes d'exploitation de type Unix/Linux3, mais
aucune pidmie comparable celle des virus Windows n'a encore t constate cette date (2011). Le reste

est essentiellement destin des systmes d'exploitation qui ne sont plus distribus depuis quelques annes,
comme les 27 virus aucun n'tant dangereux frappant Mac OS 9et ses prdcesseurs (recenss par John
Norstad, auteur de l'antivirus Disinfectant). Les systmes les moins touchs sontFreeBSD qui axe son
dveloppement sur la scurit, ainsi que Novell NetWare et OS/2 trop rares pour apporter une notorit un
dveloppeur de virus.
Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines
d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois dtruire des lments
totalement sains dusystme d'exploitation.

Historique
Les premiers logiciels autonomes n'avaient pas le but qu'ils ont aujourd'hui. Les tout premiers logiciels de ce type
taient de simples divertissements, un jeu entre trois informaticiens de la socit Bell, Core War, cr
en 1970 dans les laboratoires de la socit. Pour ce jeu, chaque joueur crit un programme, ensuite charg
en mmoire vive. Le systme d'exploitation, qui se doit juste d'tre multitche, excute tour tour une instruction
de chacun des logiciels. L'objectif du jeu est de dtruire les programmes adverses tout en assurant sa propre
prolifration. Les joueurs ne connaissent videmment pas l'emplacement du programme adverse. Les logiciels
sont capables de se recopier, de se rparer, de se dplacer eux-mmes en diffrentes zones de la mmoire et
d'attaquer le logiciel adverse en crivant alatoirement dans d'autres zones mmoire. La partie se termine au
bout d'un temps dfini ou lorsque l'un des joueurs voit tous ses programmes inactifs ou dtruits. Le vainqueur est
celui qui possde le plus grand nombre de copies actives. C'est exactement un des principes de programmation
des virus.
En 1984, le magazine Scientific American a prsent un jeu informatique consistant concevoir de petits
programmes entrant en lutte et s'autoreproduisant en essayant d'infliger des dgts aux adversaires, fondant
ainsi les bases des futurs virus.
En 1986, l'ARPANET fut infect par Brain, virus renommant toutes les disquettes de dmarrage de systme en
(C)Brain. Les crateurs de ce virus y donnaient leurs nom, adresse et numro de tlphone car c'tait une
publicit pour eux.

Diffrents types de virus

Le virus classique est un morceau de programme, souvent crit en assembleur, qui s'intgre dans un
programme normal, le plus souvent la fin, mais cela peut varier. Chaque fois que l'utilisateur excute ce
programme infect , il active le virus qui en profite pour aller s'intgrer dans d'autres programmes
excutables. De plus, lorsqu'il contient unecharge utile, il peut, aprs un certain temps (qui peut tre trs
long) ou un vnement particulier, excuter une action prdtermine. Cette action peut aller d'un simple
message anodin la dtrioration de certaines fonctions du systme d'exploitation ou la dtrioration de
certains fichiers ou mme la destruction complte de toutes les donnes de l'ordinateur. On parle dans ce
cas de bombe logique et de charge utile .

Un virus de boot s'installe dans un des secteurs de boot d'un priphrique de dmarrage, disque dur (le
secteur de boot principal, le Master boot record , ou celui d'une partition), disquette, ou autre. Il remplace

un chargeur d'amorage(ou programme de dmarrage ou bootloader ) existant (en copiant l'original


ailleurs) ou en cre un (sur un disque o il n'y en avait pas) mais ne modifie pas un programme comme un
virus normal ; quand il remplace un programme de dmarrage existant, il agit un peu comme un virus
prepender (qui s'insre au dbut), mais le fait d'infecter aussi un priphrique vierge de tout logiciel de
dmarrage le distingue du virus classique, qui ne s'attaque jamais rien .

Les macrovirus qui s'attaquent aux macros de logiciels de la suite Microsoft Office (Word, Excel, etc.)
grce au VBA deMicrosoft. Par exemple, en s'intgrant dans le modle normal.dot de Word, un virus peut
tre activ chaque fois que l'utilisateur lance ce programme.

Les virus-vers, apparus aux environs de l'anne 2003, ayant connu un dveloppement fulgurant dans
les annes qui suivirent, sont des virus classiques car ils ont un programme hte. Mais s'apparentent aux
vers (en anglais worm ) car :

Leur mode de propagation est li au rseau, comme des vers, en gnral via l'exploitation de
failles de scurit.

Comme des vers, leur action se veut discrte, et non-destructrice pour les utilisateurs de la
machine infecte.

Comme des vers, ils poursuivent des buts vise large, tels que l'attaque par saturation des
ressources ou attaque DoS (Denial of Service) d'un serveur par des milliers de machines infectes se
connectant simultanment[rf. ncessaire].

Les virus de type batch, apparu l'poque o MS-DOS tait le systme d'exploitation en vogue, sont
des virus primitifs . Bien que capables de se reproduire et d'infecter d'autres fichiers batch, ils sont lents
et ont un pouvoir infectant trs faible. Certains programmeurs ont t jusqu' crer des virus batch crypts et
polymorphes, ce qui peut tre qualifi de prouesse technique tant le langage batch est simple et primitif.

D'autres menaces existent en informatique, s'en distinguant souvent par l'absence de systme de reproduction
qui caractrise les virus et les vers ; le terme de logiciel malveillant ( malware en anglais) est dans ce cas
plus appropri.

Caractristiques

le chiffrement : chaque rplication, le virus est chiffr (afin de dissimuler les instructions qui, si elles s'y
trouvaient en clair, rvleraient la prsence de ce virus ou pourraient indiquer la prsence de code suspect).

le polymorphisme : le virus est chiffr et la routine de dchiffrement est capable de changer certaines de
ses instructions au fil des rplications afin de rendre plus difficile la dtection par l'antivirus.

le mtamorphisme : contrairement au chiffrement simple et au polymorphisme, o le corps du virus ne


change pas et est simplement chiffr, le mtamorphisme permet au virus de modifier sa structure mme et
les instructions qui le composent.

la furtivit : le virus trompe le systme d'exploitation (et par consquent les logiciels antivirus) sur
l'tat des fichiers infects. Des rootkits permettent de crer de tels virus. Par exemple, l'exploitation
d'une faille de scurit au niveau des rpertoires permet de masquer l'existence de
certains fichiers excutables ainsi que les processus qui leur sont associs.

Logiciels antivirus
Les logiciels antivirus sont des logiciels capables de dtecter des virus, dtruire, mettre en quarantaine et parfois
de rparer les fichiers infects sans les endommager. Ils utilisent pour cela de nombreuses techniques, parmi
lesquelles :

la reconnaissance de squences d'octets caractristiques (signatures) d'un virus particulier ;

la dtection d'instructions suspectes dans le code d'un programme (analyse heuristique) ;

la cration de listes de renseignements sur tous les fichiers du systme, en vue de dtecter
d'ventuelles modifications ultrieures de ces fichiers par un virus ;

la dtection d'ordres suspects ;

la surveillance des lecteurs de support amovible : disquettes, Zip, CD-ROM, DVD-ROM, Cl USB.

Virologie
Le terme virus informatique a t cr par analogie avec le virus en biologie : un virus informatique utilise son
hte (l'ordinateur qu'il infecte) pour se reproduire et se transmettre d'autres ordinateurs.
Comme pour les virus biologiques, pour lesquels ce sont les htes les plus en contact avec d'autres htes qui
augmentent les chances de dveloppement d'un virus, en informatique ce sont les systmes et logiciels les plus
rpandus qui sont les plus atteints par les virus : Microsoft Windows, Microsoft Office, Microsoft
Outlook, Microsoft Internet Explorer, Microsoft Internet Information Server... Les versions professionnelles de
Windows (NT/2000/XP pro) permettant de grer les droits de manire professionnelle ne sont pas immunises
contre ces envahisseurs furtifs.
La banalisation de l'accs Internet a t un facteur majeur dans la rapidit de propagation grande chelle des
virus les plus rcents. Ceci est notamment d la facult des virus de s'approprier des adresses
de courriel prsentes sur la machine infecte (dans le carnet d'adresses, mais aussi dans les messages reus ou
dans les archives de pages web visites ou de messages de groupes de discussions).
De mme, l'interconnexion des ordinateurs en rseaux locaux a amplifi la facult de propagation des virus qui
trouvent de cette manire plus de cibles potentielles.

Cependant, des systmes diffusion plus restreinte ne sont pas touchs proportionnellement. La majorit de ces
systmes, en tant que variantes de l'architecture UNIX (BSD, Mac OS X ou Linux), utilisent en standard une
gestion des droits de chaque utilisateur leur permettant d'viter les attaques les plus simples, les dgts sont
donc normalement circonscrits des zones accessibles au seul utilisateur, pargnant la base du systme
d'exploitation.

Dnomination des virus


Lors de leur dcouverte, les virus se voient attribuer un nom. Celui-ci est en thorie conforme la convention
signe en 1991 par les membres de CARO (en:Computer Antivirus Research Organization).
Ce nom se dtermine ainsi :

en prfixe, le mode d'infection (ex : macro virus, cheval de Troie, ver...) ou le systme
d'exploitation concern (ex :Win32) ;

un mot exprimant une de ses particularits ou la faille qu'il exploite (Swen est l'anagramme de
News, Nimda l'anagramme de Admin, Sasser exploite une faille LSASS, ...) ;

en suffixe un numro de version (les virus sont souvent dclins sous forme de variantes comportant
des similitudes avec la version d'origine).

Exceptions
Malheureusement, les laboratoires d'analyse des diffrents diteurs antiviraux affectent parfois leur propre
appellation aux virus sur lesquels ils travaillent, ce qui rend difficile la recherche d'informations.
C'est ainsi que, par exemple, le virus NetSky dans sa variante Q est appel W32. Netsky. Q@mm
chez Symantec, WORM_NETSKY. Q chez Trend Micro, W32/Netsky. Q.worm chez Panda Security et I-Worm.
NetSky. r chez Kaspersky.
Il est cependant possible d'effectuer des recherches gnriques pour un nom donn grce des moteurs de
recherche spcialiss, comme celui de Virus Bulletin ou de Kevin Spicer.

Virus sur les systmes Linux


Le systme d'exploitation Linux, au mme titre que les systmes d'exploitation Unix et apparents, est
gnralement assez bien protg contre les virus informatiques. Cependant, certains virus peuvent
potentiellement endommager des systmes Linux non scuriss.
Comme les autres systmes Unix, Linux implmente un environnement multi-utilisateur, dans lequel les
utilisateurs possdent des droits spcifiques correspondant leur besoin. Il existe ainsi un systme de contrle
d'accs visant interdire un utilisateur de lire ou de modifier un fichier. Ainsi, les virus ont typiquement moins de
capacits altrer et infecter un systme fonctionnant sous Linux que sous DOS ou encore les Windows ayant
toujours des systmes de fichiers en FAT32 (le systme de fichier NTFS a le mme type de protection que les
fichiers UNIX, les Windows base NT isolent galement les comptes entre eux). C'est pourquoi aucun des virus
crits pour Linux, y compris ceux cits ci-dessous, n'a pu se propager avec succs. En outre, les failles de

scurit qui sont exploites par les virus sont corriges en quelques jours par les mises jour du noyau Linux et
des logiciels composant le systme.
Des scanners de virus sont disponibles pour des systmes Linux afin de surveiller l'activit des virus actifs sur
Windows. Ils sont principalement utiliss sur des serveurs mandataires ou des serveurs de courrier lectronique,
qui ont pour client des systmes Microsoft Windows.

Virus informatiques clbres


Cabir est considr comme le tout premier virus informatique proof of concept recens se propageant par
la tlphonie mobile grce la technologie Bluetooth et du systme d'exploitation Symbian OS.
MyDoom.A est un virus informatique qui se propage par les courriels et le service P2P de Kazaa. Les premires
infections ont eu lieu le 26 janvier 2004.
Psyb0t est un virus informatique dcouvert en janvier 2009. Il est considr comme tant le seul virus
informatique ayant la capacit d'infecter les routeurs et modem haut-dbit.
Le virus Tchernobyl ou CIH est connu pour avoir t un des plus destructeurs. Il dtruisait l'ensemble des
informations du systme attaqu et parfois il rendait la machine quasiment inutilisable. Il a svi de 1998 2002.
Le ver Conficker exploite une faille du Windows Server Service utilis par Windows 2000, Windows XP, Windows
Vista, Windows 7, Windows Server 2003 et Windows Server 2008.
Cryptolocker est un logiciel malveillant dont la prsence sur le web a augment de 700 % entre 2012 et 2014.
Selon les calculs du FBI en juin 2014, il a caus pour 27 millions de dollars de pertes aux utilisateurs. Sous
couvert d'une mise jourAdobe Flash, le logiciel malveillant crypte les fichiers des victimes et exige un paiement
(pouvant aller de 100 dollars 400 dollars) pour les dcrypter. Il n'y a en 2014 aucun moyen connu pour casser
l'algorithme de chiffrement utilis, ce qui explique le pourcentage lev de victimes ayant pay la ranon exige
par les fraudeurs4.
Zeus Bot est responsable d'environ 4 millions d'infections rien qu'aux tats-Unis. Il a provoqu pour 70 millions de
dollars de pertes pour les entreprises et consommateurs amricains avant d'tre dmantel par le FBI dbut
2014. Il exploite les vulnrabilits prsentes dans Adobe Reader et Adobe Flash pour infecter les machines5.

Virus et tlphonie mobile


Le premier virus ciblant la tlphonie mobile est n en 2004 : il s'agit de Cabir se diffusant par l'intermdiaire des
connexions Bluetooth. Il sera suivi d'un certain nombre, dont le CommWarrior en 2005. Ces virus attaquent
essentiellement le systme d'exploitation le plus rpandu en tlphonie mobile, Symbian OS, surtout dominant en
Europe6.

Vous aimerez peut-être aussi