ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

Les virus

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC

ROYAUME DU MAROC

Office de la Formation Professionnelle et de la Promotion du Travail

DIRECTION RECHERCHE ET INGENIERIE DE FORMATION

SECTEUR NTIC

Titre du document

Sommaire
Les virus...................................................................................................1
1.
Introduction.....................................................................................2
1.1. Virus............................................................................................2
1.2. Antivirus.......................................................................................2
1.3. Dtection des virus........................................................................3
1.4. Types de virus...............................................................................3
1.4.1.
Les virus mutants....................................................................3
1.4.2.
Les virus polymorphes..............................................................4
1.4.3.
Les rtrovirus..........................................................................4
1.4.4.
Les virus de secteur d'amorage................................................4
1.4.5.
Les virus trans-applicatifs (virus macros)....................................4
2.
Virus - Les canulars (hoax).................................................................5
2.1. Qu'est-ce qu'un hoax ?...................................................................5
2.2. Comment lutter contre la dsinformation ?........................................5
2.3. Comment vrifier s'il s'agit d'un canular ?.........................................6
3.
Vers (Worms)...................................................................................6
3.1. Les vers........................................................................................6
3.2. Le fonctionnement d'un ver dans les annes 80.................................6
3.3. Les vers actuels.............................................................................7
3.4. Comment se protger des vers ?......................................................7
4.
Les chevaux de Troie.........................................................................8
4.1. Les symptmes d'une infection........................................................9
4.2. Principe du cheval de Troie..............................................................9
4.3. Se protger contre les troyens.........................................................9
4.4. En cas d'infection.........................................................................10
4.5. Liste des ports utiliss habituellement par les troyens.......................10
5.
Bombe logique................................................................................11
6.
Spyware (Espiogiciel).......................................................................11
6.1. Les espiogiciels............................................................................11
6.2. Les types de spywares..................................................................12
6.3. Se protger.................................................................................12
6.4. Quelques anti-spywares................................................................13
6.5. Plus d'information........................................................................13
7.
Keyloggers.....................................................................................13
7.1. Les keyloggers.............................................................................13
7.2. Keyloggers : logiciel ou matriel.....................................................13
7.3. Se protger des keyloggers...........................................................14
8.
Utilitaires de dsinfection.................................................................14
8.1. Qu'est-ce qu'un kit de dsinfection ?...............................................14
8.2. Comment utiliser les utilitaires de dsinfection ?...............................14

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
1 - 18

Titre du document

1.Introduction
1.1.

Virus

Un virus est un petit programme informatique situ dans le corps d'un

autre, qui, lorsqu'on l'excute, se charge en mmoire et excute les
instructions que son auteur a programm. La dfinition d'un virus pourrait
tre la suivante :
Tout programme d'ordinateur capable d'infecter un autre programme
Dordinateur en le modifiant de faon ce qu'il puisse son tour se
reproduire.
Le vritable nom donn aux virus est CPA soit Code Auto-Propageable, mais
par analogie avec le domaine mdical, le nom de "virus" leur a t donn.
Les virus rsidents (appels TSR en anglais pour Terminate and stay
resident) se chargent dans la mmoire vive de l'ordinateur afin d'infecter les
fichiers excutables lancs par l'utilisateur. Les virus non rsidants infectent
les programmes prsents sur le disque dur ds leur excution.
Le champ d'application des virus va de la simple balle de ping-pong qui
traverse l'cran au virus destructeur de donnes, ce dernier tant la forme
de virus la plus dangereuse. Ainsi, tant donn qu'il existe une vaste gamme
de virus ayant des actions aussi diverses que varies, les virus ne sont pas
classs selon leurs dgts mais selon leur mode de propagation et
d'infection.
On distingue ainsi diffrents types de virus :

Les vers sont des virus capables de se propager travers un rseau

Les chevaux de Troie (troyens) sont des virus permettant de crer une
faille dans un systme (gnralement pour permettre son
concepteur de s'introduire dans le systme infect afin d'en prendre le
contrle)
Les bombes logiques sont des virus capables de se dclencher suite
un vnement particulier (date systme, activation distante, ...)

Depuis quelques annes un autre phnomne est apparu, il s'agit des

canulars (en anglais hoax), c'est--dire des annonces reues par mail (par
exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la
possibilit de gagner un tlphone portable gratuitement) accompagnes
d'une note prcisant de faire suivre la nouvelle tous ses proches. Ce
procd a pour but l'engorgement des rseaux ainsi que la dsinformation.

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
2 - 18

Titre du document

1.2.

Antivirus

Un antivirus est un programme capable de dtecter la prsence de virus

sur un ordinateur et, dans la mesure du possible, de dsinfecter ce dernier.
On parle ainsi d'radication de virus pour dsigner la procdure de
nettoyage de l'ordinateur.
Il existe plusieurs mthodes d'radication :
La suppression du code correspondant au virus dans le fichier
infect ;
La suppression du fichier infect ;
La mise en quarantaine du fichier infect, consistant le dplacer
dans un emplacement o il ne pourra pas tre excut.
Exemple danti virus :
Trend Micro
Symantec
Node32

1.3.

Dtection des virus

Les virus se reproduisent en infectant des applications htes , c'est--dire

en copiant une portion de code excutable au sein d'un programme existant.
Or, afin de ne pas avoir un fonctionnement chaotique, les virus sont
programms pour ne pas infecter plusieurs fois un mme fichier. Ils
intgrent ainsi dans l'application infecte une suite d'octets leur permettant
de vrifier si le programme a pralablement t infect : il s'agit de la
signature virale.
Les antivirus s'appuient ainsi sur cette signature propre chaque virus pour
les dtecter. Il s'agit de la mthode de recherche de signature (scanning),
la
plus
ancienne
mthode
utilise
par
les
antivirus.
Cette mthode n'est fiable que si l'antivirus possde une base virale jour,
c'est--dire comportant les signatures de tous les virus connus. Toutefois
cette mthode ne permet pas la dtection des virus n'ayant pas encore t
rpertoris par les diteurs d'antivirus. De plus, les programmeurs de virus
les ont dsormais dots de capacits de camouflage, de manire rendre
leur signature difficile dtecter, voire indtectable : il s'agit de "virus
polymorphes".
Certains antivirus utilisent un contrleur d'intgrit pour vrifier si les
fichiers ont t modifis. Ainsi le contrleur d'intgrit construit une base de
donnes contenant des informations sur les fichiers excutables du systme
(date de modification, taille et ventuellement une somme de contrle).
Ainsi, lorsqu'un fichier excutable change de caractristiques, l'antivirus
prvient l'utilisateur de la machine.

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
3 - 18

Titre du document
La mthode heuristique consiste analyser le comportement des
applications afin de dtecter une activit proche de celle d'un virus connu.
Ce type d'antivirus peut ainsi dtecter des virus mme lorsque la base
antivirale n'a pas t mise jour. En contrepartie, ils sont susceptibles de
dclencher de fausses alertes.

1.4.

Types de virus

1.4.1.

Les virus mutants

En ralit, la plupart des virus sont des clones, ou plus exactement des
virus mutants, c'est--dire des virus ayant t rcrits par d'autres
utilisateurs afin d'en modifier leur comportement ou leur signature.
Le fait qu'il existe plusieurs versions (on parle de variantes) d'un mme
virus le rend d'autant plus difficile reprer dans la mesure o les diteurs
d'antivirus doivent ajouter ces nouvelles signatures leurs bases de
donnes.

1.4.2.

Les virus polymorphes

Dans la mesure o les antivirus dtectent notamment les virus grce leur
signature (la succession de bits qui les identifie), certains crateurs de virus
ont pens leur donner la possibilit de modifier automatiquement leur
apparence, tel un camlon, en dotant les virus de fonction de chiffrement
et de dchiffrement de leur signature, de faon ce que seuls ces virus
soient capables de reconnatre leur propre signature. Ce type de virus est
appel virus polymorphe (mot provenant du grec signifiant qui peut
prendre plusieurs formes).

1.4.3.

Les rtrovirus

On appelle rtrovirus ou virus flibustier (en anglais bounty hunter)

un virus ayant la capacit de modifier les signatures des antivirus afin de les
rendre inoprants.

1.4.4.

Les virus de secteur d'amorage

On appelle virus de secteur d'amorage (ou virus de boot), un virus

capable d'infecter le secteur de dmarrage d'un disque dur (MBR, soit
master boot record), c'est--dire un secteur du disque copi dans la
mmoire au dmarrage de l'ordinateur, puis excut afin d'amorcer le
dmarrage du systme d'exploitation.

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
4 - 18

Titre du document

1.4.5.

Les virus trans-applicatifs (virus macros)

Avec la multiplication des programmes utilisant des macros, Microsoft a mis

au point un langage de script commun pouvant tre insr dans la plupart
des documents pouvant contenir des macros, il s'agit de VBScript, un sousensemble de Visual Basic. Ces virus arrivent actuellement infecter les
macros des documents Microsoft Office, c'est--dire qu'un tel virus peut tre
situ l'intrieur d'un banal document Word ou Excel, et excuter une
portion de code l'ouverture de celui-ci lui permettant d'une part de se
propager dans les fichiers, mais aussi d'accder au systme d'exploitation
(gnralement Windows).
Or, de plus en plus d'applications supportent Visual Basic, ces virus peuvent
donc tre imaginables sur de nombreuses autres applications supportant le
VBScript.
Le dbut du troisime millnaire a t marqu par l'apparition grande
frquence de scripts Visual Basic diffuss par mail en fichier attach
(reprables grce leur extension .VBS) avec un titre de mail poussant
ouvrir le cadeau empoisonn.
Celui-ci a la possibilit, lorsqu'il est ouvert sur un client de messagerie
Microsoft, d'accder l'ensemble du carnet d'adresse et de s'autodiffuser
par le rseau. Ce type de virus est appel ver (ou worm en anglais).

2.Virus - Les canulars (hoax)

2.1.

Qu'est-ce qu'un hoax ?

On appelle hoax (en franais canular) un courrier lectronique propageant

une fausse information et poussant le destinataire diffuser la fausse
nouvelle tous ses proches ou collgues.
Ainsi, de plus en plus de personnes font suivre (anglicis en forwardent) des
informations reues par courriel sans vrifier la vracit des propos qui y
sont contenus. Le but des hoax est simple :

OFPPT @

provoquer la satisfaction de son concepteur d'avoir bern un grand

nombre de personnes
Les consquences de ces canulars sont multiples :
L'engorgement des rseaux en provoquant une masse de donnes
superflues circulant dans les infrastructures rseaux ;
Une dsinformation, c'est--dire faire admettre de nombreuses
personnes de faux concepts ou vhiculer de fausses rumeurs (on
parle de lgendes urbaines) ;
L'encombrement des botes aux lettres lectroniques dj charges ;

Document

Millsime

339008790.doc

octobre 07

Page
5 - 18

Titre du document
La perte de temps, tant pour ceux qui lisent l'information, que pour
ceux qui la relayent ;
La dgradation de l'image d'une personne ou bien d'une entreprise ;
L'incrdulit : force de recevoir de fausses alertes les usagers du
rseau risquent de ne plus croire aux vraies.

Ainsi, il est essentiel de suivre certains principes avant de faire circuler une
information sur Internet.

2.2.

Comment lutter contre la dsinformation ?

Afin de lutter efficacement contre la propagation de fausses informations par

courrier lectronique, il suffit de retenir un seul concept :
Toute information reue par courriel non accompagne d'un lien hypertexte vers un
site prcisant sa vracit doit tre considre comme non valable !
Ainsi tout courrier contenant une information non accompagne d'un pointeur vers
un site d'information ne doit pas tre transmis d'autres personnes.
Lorsque vous transmettez une information des destinataires, cherchez un site
prouvant votre propos.

2.3.

Comment vrifier s'il s'agit d'un canular ?

Lorsque vous recevez un courriel insistant sur le fait qu'il est essentiel de propager
l'information (et ne contenant pas de lien prouvant son intgrit), vous pouvez
vrifier sur le site hoaxbuster (site en franais) s'il s'agit effectivement d'un hoax
(canular).
Si l'information que vous avez reue ne s'y trouve pas, recherchez l'information sur
les principaux sites d'actualits ou bien par l'intermdiaire d'un moteur de
recherche.

3.Vers (Worms)
3.1.

Les vers

Un ver informatique (en anglais Worm) est un programme qui peut

s'auto-reproduire et se dplacer travers un rseau en utilisant les
mcanismes rseau, sans avoir rellement besoin d'un support physique ou
logique (disque dur, programme hte, fichier, etc.) pour se propager; un ver
est donc un virus rseau.

3.2.

Le fonctionnement d'un ver dans les annes 80

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
6 - 18

Titre du document
La plus clbre anecdote propos des vers date de 1988. Un tudiant
(Robert T. Morris, de Cornell University) avait fabriqu un programme
capable de se propager sur un rseau, il le lana et, 8 heures aprs l'avoir
lach, celui-ci avait dj infect plusieurs milliers d'ordinateurs. C'est ainsi
que de nombreux ordinateurs sont tombs en pannes en quelques heures
car le ver (car c'est bien d'un ver dont il s'agissait) se reproduisait trop
vite pour qu'il puisse tre effac sur le rseau. De plus, tous ces vers ont
cr une saturation au niveau de la bande passante, ce qui a oblig la NSA
arrter les connexions pendant une journe.
Voici la manire dont le ver de Morris se propageait sur le rseau :

Le ver s'introduisait sur une machine de type UNIX

3.3.

il dressait une liste des machines connectes celle-ci

il forait les mots de passe partir d'une liste de mots

il se faisait passer pour un utilisateur auprs des autres

machines
il crait un petit programme sur la machine pour pouvoir se

reproduire
il se dissimulait sur la machine infecte

et ainsi de suite

Les vers actuels

Les vers actuels se propagent principalement grce la messagerie (et

notamment par le client de messagerie Outlook) grce des fichiers
attachs contenant des instructions permettant de rcuprer l'ensemble des
adresses de courrier contenues dans le carnet d'adresse et en envoyant des
copies d'eux-mme tous ces destinataires.
Ces vers sont la plupart du temps des scripts (gnralement VBScript) ou
des fichiers excutables envoys en pice jointe et se dclenchant lorsque
l'utilisateur destinataire clique sur le fichier attach.

3.4.

Comment se protger des vers ?

Il est simple de se protger d'une infection par ver. La meilleure mthode

consiste ne pas ouvrir " l'aveugle" les fichiers qui vous sont envoys en
fichier attachs.
Ainsi, tous les fichiers excutables ou interprtables par le systme
d'exploitation peuvent potentiellement infecter votre ordinateur. Les fichiers
comportant notamment les extensions suivantes sont potentiellement
susceptibles d'tre infects : exe, com, bat, pif, vbs, scr, doc, xls, msi, eml
Sous Windows, il est conseill de dsactiver la fonction "masquer les
extensions", car cette fonction peut tromper l'utilisateur sur la vritable

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
7 - 18

Titre du document
extension d'un fichier. Ainsi un fichier dont l'extension est .jpg.vbs apparatra
comme un fichier d'extension .jpg !
Ainsi, les fichiers comportant les extensions suivantes ne sont pas
interprts par le systme et possdent donc un risque d'infection minime :
txt, jpg, gif, bmp, avi, mpg, asf, dat, mp3, wav, mid, ram, rm
Il est courant d'entendre dire que les fichiers GIF ou JPG peuvent contenir
des
virus.
En effet, tous les fichiers peuvent contenir un morceau de code informatique
vhiculant un virus; pour autant le systme devra pralablement avoir t
modifi par un autre virus pour tre capable d'interprter le code contenu
dans ces fichiers !
Pour tous les fichiers dont l'extension peut supposer que le fichier soit
infect (ou pour les extensions que vous ne connaissez pas) n'hsitez pas
installer un antivirus et scanner systmatiquement le fichier attach avant
de l'ouvrir.
Voici une liste plus complte (non exhaustive) des extensions des fichiers
susceptibles d'tre infects par un virus :
386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM, CAB, CLA, CLASS,
CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL, DOC, DOT DRV, DVB, DWG, EML,
EXE, FON, GMS, GVB, HLP, HTA, HTM, HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT,
MHTM, MHTML, MPD, MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT,
OV?, PCI, PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML, SHW,
SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX, VOM, VS?, VWP, VXE,
VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH, WSC, XML, XLS, XLT, ZIP

4.Les chevaux de Troie

On appelle Cheval de Troie (en anglais trojan horse) un programme
informatique effectuant des oprations malicieuses l'insu de l'utilisateur. Le
nom Cheval de Troie provient d'une lgende narre dans l'Iliade (de
l'crivain Homre) propos du sige de la ville de Troie par les Grecs.
La lgende veut que les Grecs, n'arrivant pas pntrer dans les
fortifications de la ville, eurent l'ide de donner en cadeau un norme cheval
de bois en offrande la ville en abandonnant le sige.
Les troyens (peuple de la ville de Troie), apprcirent cette offrande priori
inoffensive et la ramenrent dans les murs de la ville. Cependant le cheval
tait rempli de soldats cachs qui s'empressrent d'en sortir la tombe de
la nuit, alors que la ville entire tait endormie, pour ouvrir les portes de la
cit et en donner l'accs au reste de l'arme ...
Un cheval de Troie (informatique) est donc un programme cach dans un
autre qui excute des commandes sournoises, et qui gnralement donne
un accs l'ordinateur sur lequel il est excut en ouvrant une porte
drobe (en anglais backdoor), par extension il est parfois nomm troyen
par analogie avec les habitants de la ville de Troie.

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
8 - 18

Titre du document
A la faon du virus, le cheval de Troie est un code (programme) nuisible
plac dans un programme sain (imaginez une fausse commande de listage
des fichiers, qui dtruit les fichiers au-lieu d'en afficher la liste).
Un cheval de Troie peut par exemple
voler des mots de passe ;
copier des donnes sensibles ;
excuter tout autre action nuisible ;
etc.
Pire, un tel programme peut crer, de l'intrieur de votre rseau, une brche
volontaire dans la scurit pour autoriser des accs des parties protges
du rseau des personnes se connectant de l'extrieur.
Les principaux chevaux de Troie sont des programmes ouvrant des ports de
la machine, c'est--dire permettant son concepteur de s'introduire sur
votre machine par le rseau en ouvrant une porte drobe. C'est la raison
pour laquelle on parle gnralement de backdoor (littralement porte de
derrire) ou de backorifice (terme imag vulgaire signifiant "orifice de
derrire" [...]).
Un cheval de Troie n'est pas ncessairement un virus, dans la mesure o son
but n'est pas de se reproduire pour infecter d'autres machines. Par contre
certains virus peuvent galement tre des chevaux de Troie, c'est--dire se
propager comme un virus et ouvrir un port sur les machines infectes !
Dtecter un tel programme est difficile car il faut arriver dtecter si l'action
du programme (le cheval de Troie) est voulue ou non par l'utilisateur.

4.1.

Les symptmes d'une infection

Une infection par un cheval de Troie fait gnralement suite l'ouverture

d'un fichier contamin contenant le cheval de Troie (voir l'article sur la
protection contre les vers) et se traduit par les symptmes suivants :
activit anormale du modem, de la carte rseau ou du disque: des
donnes sont charges en l'absence d'activit de la part de
l'utilisateur ;
des ractions curieuses de la souris ;
des ouvertures impromptues de programmes ;
des plantages rptition ;

4.2.

Principe du cheval de Troie

Le principe des chevaux de Troie tant gnralement (et de plus en plus)

d'ouvrir un port de votre machine pour permettre un pirate d'en prendre le
contrle (par exemple voler des donnes personnelles stockes sur le
disque), le but du pirate est dans un premier temps d'infecter votre machine
en vous faisant ouvrir un fichier infect contenant le troyen et dans un
second temps d'accder votre machine par le port qu'il a ouvert.

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
9 - 18

Titre du document
Toutefois pour pouvoir s'infiltrer sur votre machine, le pirate doit
gnralement en connatre l'adresse IP. Ainsi :
soit vous avez une adresse IP fixe (cas d'une entreprise ou bien
parfois de particuliers connect par cble, etc.) auquel cas l'adresse IP
peut tre facilement rcupre
soit votre adresse IP est dynamique (affecte chaque connexion),
c'est le cas pour les connexions par modem ; auquel cas le pirate doit
scanner des adresses IP au hasard afin de dceler les adresses IP
correspondant des machines infectes.

4.3.

Se protger contre les troyens

Pour se protger de ce genre d'intrusion, il suffit d'installer un firewall, c'est-dire un programme filtrant les communications entrant et sortant de votre
machine. Un firewall (littralement pare-feu) permet ainsi d'une part de voir
les communications sortant de votre machines (donc normalement inities
par des programmes que vous utilisez) ou bien les communications entrant.
Toutefois, il n'est pas exclu que le firewall dtecte des connexions provenant
de l'extrieur sans pour autant que vous ne soyez la victime choisie d'un
hacker. En effet, il peut s'agir de tests effectus par votre fournisseur
d'accs ou bien un hacker scannant au hasard une plage d'adresses IP.
Pour les systmes de type Windows, il existe des firewalls gratuits trs
performant :
ZoneAlarm

4.4.

Tiny personal firewall

En cas d'infection

Si un programme dont l'origine vous est inconnue essaye d'ouvrir une

connexion, le firewall vous demandera une confirmation pour initier la
connexion. Il est essentiel de ne pas autoriser la connexion aux programmes
que vous ne connaissez pas, car il peut trs bien s'agir d'un cheval de Troie.
En cas de rcidive, il peut tre utile de vrifier que votre ordinateur n'est pas
infect par un troyen en utilisant un programme permettant de les dtecter
et
de
les
liminer
(appel
bouffe-troyen).
C'est le cas de The Cleaner, tlchargeable sur http://www.moosoft.com.

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
10 - 18

Titre du document

4.5. Liste des ports utiliss habituellement par les

troyens
Les chevaux de Troie ouvrent habituellement un port de la machine infecte
et attendent l'ouverture d'une connexion sur ce port pour en donner le
contrle total d'ventuels pirates. Voici la liste (non exhaustive) des
principaux ports utiliss par les chevaux Troie (origine : Site de Rico) :
Exemple :
port

Troyen

21

Back construction, Blade runner, Doly, Fore, FTP trojan, Invisible FTP, Larva, WebEx,
WinCrash

23

TTS (Tiny Telnet Server)

1170

Psyber Stream Server, Streaming Audio Trojan, voice

1234

Ultor trojan

port 1234

Ultors Trojan

port 1243

BackDoor-G, SubSeven, SubSeven Apocalypse

port 1245

VooDoo Doll

port 1269

Mavericks Matrix

port 2989
(UDP)

RAT

port 3024

WinCrash

port 3128

RingZero

port 3129

Masters Paradise

port 3150

Deep Throat, The Invasor

port 3459

Eclipse 2000

port 3700

portal of Doom

port 3791

Eclypse

port 3801
(UDP)

Eclypse

port 4092

WinCrash

5.Bombe logique
Sont appels bombes logiques les dispositifs programms dont le
dclenchement s'effectue un moment dtermin en exploitant la date du

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
11 - 18

Titre du document
systme, le lancement d'une commande, ou n'importe quel appel au
systme.
Ainsi ce type de virus est capable de s'activer un moment prcis sur un
grand nombre de machines (on parle alors de bombe retardement ou de
bombe temporelle), par exemple le jour de la Saint Valentin, ou la date
anniversaire d'un vnement majeur : la bombe logique Tchernobyl s'est
active le 26 avril 1999, jour du 13me anniversaire de la catastrophe
nuclaire ...
Les bombes logiques sont gnralement utilises dans le but de crer un
dni de service en saturant les connexions rseau d'un site, d'un service en
ligne ou d'une entreprise !

6.Spyware (Espiogiciel)
6.1.

Les espiogiciels

Un espiogiciel (en anglais spyware) est un programme charg de recueillir des

informations sur l'utilisateur de l'ordinateur sur lequel il est install (on l'appelle
donc parfois mouchard) afin de les envoyer la socit qui le diffuse pour lui
permettre de dresser le profil des internautes (on parle de profilage).
Les rcoltes d'informations peuvent ainsi tre :

la traabilit des URL des sites visits,

le traquage des mots-cls saisis dans les moteurs de recherche,
l'analyse des achats raliss via internet,
voire les informations de paiement bancaire (numro de carte bleue / VISA)
ou bien des informations personnelles.

Les spywares s'installent gnralement en mme temps que d'autres

logiciels (la plupart du temps des freewares ou sharewares). En effet, cela
permet aux auteurs des dits logiciels de rentabiliser leur programme, par de
la vente d'informations statistiques, et ainsi permettre de distribuer leur
logiciel gratuitement. Il s'agit donc d'un modle conomique dans lequel la
gratuit est obtenue contre la cession de donnes caractre personnel.
Les spywares ne sont pas forcment illgaux car la licence d'utilisation du
logiciel qu'ils accompagnent prcise que ce programme tiers va tre
install ! En revanche tant donn que la longue licence d'utilisation est
rarement lue en entier par les utilisateurs, ceux-ci savent trs rarement
qu'un tel logiciel effectue ce profilage dans leur dos.
Par ailleurs, outre le prjudice caus par la divulgation d'informations
caractre personnel, les spywares peuvent galement tre une source de
nuisances diverses :
consommation de mmoire vive,
utilisation d'espace disque,
mobilisation des ressources du processeur,
plantages d'autres applications,

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
12 - 18

Titre du document

gne ergonomique (par exemple l'ouverture d'crans publicitaires cibls en

fonction des donnes collectes).

6.2.

Les types de spywares

On distingue gnralement deux types de spywares :

Les spywares internes (ou spywares internes ou spywares intgrs)
comportant directement des lignes de codes ddies aux fonctions de
collecte de donnes.
Les spywares externes, programmes de collectes autonomes installs
Voici une liste non exhaustive de spywares non intgrs :
Alexa, Aureate/Radiate, BargainBuddy, ClickTillUWin, Conducent
Timesink, Cydoor, Comet Cursor, Doubleclick, DSSAgent, EverAd,
eZula/KaZaa Toptext, Flashpoint/Flashtrack, Flyswat, Gator / Claria,
GoHip, Hotbar, ISTbar, Lop, NewDotNet, Realplayer, SaveNow,
Songspy, Xupiter, Web3000 et WebHancer

6.3.

Se protger

La principale difficult avec les spywares est de les dtecter. La meilleure

faon de se protger est encore de ne pas installer de logiciels dont on n'est
pas sr 100% de la provenance et de la fiabilit (notamment les
freewares, les sharewares et plus particulirement les logiciels d'change de
fichiers en peer-to-peer). Voici quelques exemples (e liste non exhaustive)
de logiciels connus pour embarquer un ou plusieurs spywares :
Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP,
PKZip, KaZaA ou encore iMesh.
Qui plus est, la dsinstallation de ce type de logiciels ne supprime que
rarement les spywares qui l'accompagnent. Pire, elle peut entraner des
dysfonctionnements sur d'autres applications !
Dans la pratique il est quasiment impossible de ne pas installer de logiciels.
Ainsi la prsence de processus d'arrire plans suspects, de fichiers tranges
ou d'entres inquitantes dans la base de registre peuvent parfois trahir la
prsence de spywares dans le systme.
Si vous ne parcourez pas la base de registre la loupe tous les jours
rassurez-vous, il existe des logiciels, nomms anti-spywares permettant de

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
13 - 18

Titre du document
dtecter et de supprimer les fichiers, processus et entres de la base de
registres crs par des spywares.
De plus l'installation d'un pare-feu personnel peut permettre d'une part de
dtecter la prsence d'espiogiciels, d'autre part de les empcher d'accder
Internet (donc de transmettre les informations collectes).

6.4.

Quelques anti-spywares

Parmi les anti-spywares les plus connus ou efficaces citons notamment :

Ad-Aware de Lavasoft.de
Spybot Search&Destroy

6.5.

Plus d'information
WinFixer
Analyse Hijackthis
Spy sheriff
Spy Axe
DSO Exploit

7.Keyloggers
7.1.

Les keyloggers

Un keylogger (littralement enregistreur de touches) est un dispositif

charg d'enregistrer les frappes de touches du clavier et de les enregistrer,
l'insu de l'utilisateur. Il s'agit donc d'un dispositif d'espionnage.
Certains keyloggers sont capables d'enregistrer les URL visites, les
courriers lectroniques consults ou envoys, les fichiers ouverts, voire de
crer une vido retraant toute l'activit de l'ordinateur !
Dans la mesure o les keyloggers enregistrent toutes les frappes de clavier,
ils peuvent servir des personnes malintentionnes pour rcuprer les mots
de passe des utilisateurs du poste de travail ! Cela signifie donc qu'il faut
tre particulirement vigilant lorsque vous utilisez un ordinateur en lequel
vous ne pouvez pas avoir confiance (poste en libre accs dans une
entreprise, une cole ou un lieu public tel qu'un cybercaf).

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
14 - 18

Titre du document

7.2.

Keyloggers : logiciel ou matriel

Les keyloggers peuvent tre soit logiciels soient matriels. Dans le premier
cas il s'agit d'un processus furtif (ou bien portant un nom ressemblant
fortement au nom d'un processus systme), crivant les informations
captes dans un fichier cach ! Les keyloggers peuvent galement tre
matriel : il s'agit alors d'un dispositif (cble ou dongle) intercal entre la
prise clavier de l'ordinateur et le clavier.

7.3.

Se protger des keyloggers

La meilleure faon de se protger est la vigilance :

N'installez pas de logiciels dont la provenance est douteuse,
Soyez prudent lorsque vous vous connectez sur un ordinateur qui ne
vous appartient pas ! S'il s'agit d'un ordinateur en accs libre,
examinez rapidement la configuration, avant de vous connecter des
sites demandant votre mot de passe, pour voir si des utilisateurs sont
passs avant vous et s'il est possible ou non pour un utilisateur
lambda d'installer un logiciel. En cas de doute ne vous connectez pas
des sites scuriss pour lesquels un enjeu existe (banque en
ligne, ...)
Si vous en avez la possibilit, inspectez l'ordinateur l'aide d'un antispyware.

8.Utilitaires de dsinfection
8.1.

Qu'est-ce qu'un kit de dsinfection ?

Un kit de dsinfection est un petit excutable dont le but est de nettoyer une
machine infecte par un virus particulier. Chaque kit de dsinfection est donc
uniquement capable d'radiquer un type de virus particulier voire une
version particulire d'un virus.
Les utilitaires de dsinfection prsents ci-dessous ne remplacent en rien
l'action d'un logiciel antivirus. En effet l'antivirus a un rle prventif, afin
d'intercepter le virus avant l'infection de la machine. Toutefois en cas
d'infection, les kits de dsinfection en tlchargement sur ce site vous
permettront de prendre des mesures correctives pour radiquer le virus !

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
15 - 18

Titre du document

8.2.

Comment utiliser les utilitaires de dsinfection ?

Pour radiquer un virus prsent sur votre machine, pourvu que vous sachiez
quel virus a infect votre systme, la meilleure mthode consiste tout
d'abord dconnecter la machine infecte du rseau, puis rcuprer le kit
de dsinfection adhoc.
Puis il s'agit de redmarrer l'ordinateur en mode sans chec (hormis pour
WindowsNT) et de lancer l'utilitaire de dsinfection.
D'autre part, certains vers se propagent par l'intermdiaire d'une faille de
scurit de Microsoft Internet Explorer, ce qui signifie que vous pouvez tre
contamin par le virus en naviguant sur un site infect. Pour y remdier il
est ncessaire de tlcharger le patch (correctif logiciel) pour Microsoft
Internet Explorer 5.01 et suprieur. Ainsi, veuillez vrifier la version de votre
navigateur et tlcharger le correctif si ncessaire :
http://www.microsoft.com/windows/ie/download/critical/Q290108/default.as
p

OFPPT @

Document

Millsime

339008790.doc

octobre 07

Page
16 - 18