Outils pour utilisateurs

Outils du site


les_exposes:quels_sont_les_differents_types_de_virus_malware

Les différents types de virus, malwares..

I - Définitions et origine du virus informatique

Dans un premier temps, il faut savoir qu'un virus informatique (du latin virus “poison”, et par néologisme, virus informatique “qui infecte un ordinateur”) n'a pas toujours été un logiciel malveillant comme il est souvent dénommé aujourd'hui. A l'origine, il s'agissait simplement d'un logiciel capable de se reproduire de façon autonome.

★ John Von Neumann

C'est John Von Neumann, un mathématicien, physicien et informaticien hongrois qui, pour la première fois, aborde les virus informatiques, et apporte sa théorie sur les fondements des logiciels auto-copiés, en 1949.

- John Von Neumann

★ Alexander Keewatin Dewdney

Un peu plus tard, Alexander Keewatin Dewdney, lui aussi mathématicien, physicien et informaticien, évoquera à nouveau les virus, dans un article à propos d'un nouveau “jeu”, Core War. C'est dans les laboratoires de la société Bell aux Etats-Unis, que le virus trouve véritablement son origine. A partir d'un logiciel autonome, 3 jeunes informaticiens inventent en quelque sorte un jeu, consistant à détruire un logiciel ou programme adverse, tout en multipliant son propre logiciel. Le gagnant est celui qui obtient le plus de programmes actifs tout en ayant détruit ceux de ces adversaires.

- Alexander Keewatin Dewdney

De nombreux chercheurs se sont ensuite intéressés à Core War, le reproduisant sur disquettes, voulant l'améliorer, multipliant les versions du jeu, celui-ci devenant de plus en plus destructeur. La reproduction et l'interaction autonome de logiciels avec leur environnement fût au centre des attentions pendant les nombreuses années qui suivirent. Même des sociétés de jeux-vidéos comme SEGA, iront plus tard utiliser des formes de virus pour lutter contrer le piratage (2) de leurs propres jeux.

- SEGA

★ Le premier "virus"

Creeper : Caractérisé de premier virus, il a en fait l'apparence d'un ver informatique. En effet Creeper (de l'anglais ; to creep : ramper), naquit en 1971, après l'écriture d'un programme de Bob Thomas. C'était un malware (3) se déplaçant de machine en machine, affichant “I'm the Creeper, catch me if you can!”. Il était complètement inoffensif si ce n'est qu'un peu provocateur. Il ne se multipliait pas, d'ou le fait qu'il n'était pas un virus au sens premier.

Reaper : Le programme Reaper (de l'anglais ; to reap : faucher) était lui aussi une programme de ver informatique, de Bob Thomase encore une fois, qui consistait à supprimer l'ancien programme Creeper.

II - Mais concrètement, qu'est qu'un virus informatique ?

De nos jours, le virus informatique désigne un logiciel destiné à endommager un ordinateur, un système d'exploitation ou autre. C'est un programme conçu tout d'abord pour se multiplier ; par le biais de de tout moyen d'échange de données numériques (réseaux, cédéroms, clé usb, etc) ; cependant, il peut endommager très sévèrement une machine, détruire des données, etc. De nos jours, nous employons le mot virus trop abusivement pour désigner toute forme de logiciels malveillants. Un virus utilise de nombreuses techniques comme le chiffrement, le morphisme afin d'être plus difficilement détectable.

Un malware quant à lui désignera toute forme de logiciel malveillant. Un virus est donc seulement un type de malware.

Il existe une multitude de virus avec des modes opératoires différents, que nous détaillerons plus bas.

III - Les différents types de virus

Il existe une multitude de virus, aux actions différentes. Il peuvent agir sur des éléments aussi très différents du système. Très souvent, les virus ciblent :

  • Les systèmes de fichiers ; le virus agit en relation avec le système d'exploitation.
  • Les secteurs d'amorçage ; autrement dit, le système de démarrage de la machine.
  • Les macros (4) de programmes ; le virus va venir perturber les différentes macros du logiciel ouvert, ouvrir des documents sans cesse, faire des actions non-voulues…
  • Les scripts (5) ; les virus de scripts agissent en groupe de virus, programmés dans de nombreux langages différents, et infectent d'autres scripts comme des fichiers de commandes par exemple.

Voici maintenant des exemples de ces virus et leurs dénominations :

  • Le virus furtif : ce type de virus est en fait un imposteur. Lors d'une analyse anti-virus, celui-ci va faire apparaître un faux diagnostic, ou alors présenter des données préalablement faussées, faisant croire à l’absence d'anomalies dans le système. Il peut aussi infecter un fichier et fabriquer des données en continu dans ce fichier, perturbant son utilisation ; tout ceci en affichant la taille du fichier avant son infection.
  • Le virus polymorphe : ce type de virus produit des copies de lui-même, mais sous différents codages ou formats. Il est donc très difficile à identifier lors d'analyses anti-virus.
  • Le virus compagnon : ce type de virus n'agit pas directement sur le système, mais crée un nouveau programme. Ce nouveau programme est celui qui réellement va agir (à l'insu de son utilisateur) sur la machine, pendant que l'autre n’apparaîtra pas suspect. * Le virus souterrain : ce type de virus peut agir directement sur l'interruption du BIOS (premier programme qui se met en fonctionnement lors du démarrage d'un ordinateur).

IV - Les autres malwares qui existent

Les virus ne sont qu'un type de malwares. Il existe d'autres logiciels ayant une capacité intrusive, destructive, voire même plus..

  • Le Ver (Worm) ; ce malware est entièrement contenu dans le système sur lequel il tourne et il utilise les connexions réseaux pour se copier et encombrer d'autres machines. Un ver peut transporter des protocoles d'espionnage, de destruction, de ralentissement et de saturation d'un système ou d'un réseau entier. Il se reproduit différemment d'un virus. En effet il n'a pas besoin d'un programme source, et se multiplie grâce aux ressources du système où il se trouve.
  • L'Inondeur (Flooder) ; ce malware a pour but de faire exploser le nombre de connexions sur un site web par exemple, dans le but de le DDOS (Distributed Denial of Service Attack, c'est à dire le fait de rendre inaccessible un service web, et de ce fait, empêcher les utilisateurs légitimes d'un service web de l'utiliser) un site, à l'aide de “machines-zombies” (ou soldats) qui ont pour objectif de saturer le nombre de connexion. Les quatre plus gros hébergeurs (6) de machines zombie au monde seraient les États-Unis, la Chine, la Corée du Sud et la France.
  • Le Rootkit ; ce malware peut permettre à son maître de bénéficier des statuts d'administrateurs sur la machine touchée et de propager d'autres malwares.
  • L'Enregistreur de touches (Keylogger) : ce malware enregistre toutes les touches tapées sur le clavier d'une machine et les stocke dans un fichier. Le fichier en question, souvent crypté, est ensuite envoyé à ou rapatrié par la personne malveillante qui a installé le dispositif.
  • Les ArcBombs (Bombes d'archives) ; ce malware consiste à corrompre le contenu d'une archive lors de sa compression, dans le but de faire planter le système d'exploitation lors de sa décompression. Des techniques de multiplication de données et de répétitions de données pour surcharger l'archives sont employées. Ce malware peut être destructeur dans le cas de serveurs.
  • Les Chevaux de Troie (ou parfois nommé trojan) : ils sont, en effet, une analogie à la mythologie grecque. [Lors du siège de la cité de Troie, Ulysse fit construire un grand cheval de bois. Ils le firent rouler jusqu'à l'entrée de la ville. Les troyens pensant à un geste du dieu de la mer, Poséidon, acceptèrent l'offrande. Il célébrèrent ce don divin jusque tard dans la nuit qui suivit. Cependant, ce qu'ils ignoraient, c'est qu'à l'intérieur de cet immense cheval de bois se cachaient Ulysse et ses troupes, qui apparurent intelligemment au moment où tous les troyens étaient pris par la torpeur de l'alcool. Ulysse ouvrit alors les portes de la ville, afin d'y mener le reste de son armée qui était présente à l'extérieur de l'enceinte troyenne. L'assaut pu enfin commencer, et fut dévastateur.]
  • Le Cheval de Troie de type “portes dérobées” ; ce malware est un des plus dangereux en son genre. C'est un logiciel agissant à l'insu de l'utilisateur, détournant des droits d'administrateurs, et pouvant permettre le contrôle à distance de la machine (via Internet très souvent). On appelle alors cela de l'administration à distance, une porte dérobée. On peut alors, parmi les fonctions les plus courantes : lancer, recevoir, envoyer, exécuter, supprimer des fichiers ou des données, et même éteindre ou redémarrer la machine.
  • Le Cheval de Troie de type PSW ; ce malware, bien que ressemblant de nom au précédent à un mode de fonctionnement différent. En effet, celui-ci vole des informations confidentielles (mots de passe en tout genre, numéros de téléphone…), et les envoie à l'adresse de messagerie du maître du trojan. Il peut aussi relever des informations du style adresse IP (7), mots de passe de jeux en ligne, etc.
  • le Cheval de Troie “Clicker” ; ce malware est spécialisé dans la redirection vers des liens, promotions pour des sites, publicité en tout genre. Il envoie directement les commandes de redirections au navigateur, vers des URL, qui eux, sont stockés dans le logiciel.
  • Le Cheval de Troie “Downloader” ; ce malware est basé sur le même principe que le précédent, sauf qu'il est véritablement spécialisé dans le téléchargement (puis souvent l'exécution ou l'enregistrement) de fichiers via des liens stockées eux aussi dans le logiciel (ou parfois par redirection vers une site de téléchargements). Il agit sans notifier l'utilisateur qui voit alors la taille disponible sur son disque diminuer.
  • Le Cheval de Troie “Spyware” ; ce malware est un logiciel qui espionne une machine. Il détecte toutes les frappes aux claviers, fait des captures d'écran, et recueille des informations sur les fichiers ouverts. Il suit véritablement toute l'activité de l'ordinateur, de son démarrage à son extinction. Les données sont là aussi, encore transférée au maître du trojan. Ce type de trojan est très employé pour dérober des informations à caractère financier.

Ceci n'est qu'un extrait d'une liste qui n'en finirait pas. On recence des milliers et des milliers de malwares différents qui affectent pour la plupart le monde de Windows.

★ Flame, "le virus le plus complexe du monde"

Flame est un logiciel malveillant qui fut découvert en mai 2012. Il ne s'agit pas d'un virus à proprement parler, mais d'un ver informatique. On ne sait pas réellement qui l'a créé, mais selon certains médias américains, il pourrait s'agir d'Israël ou des Etats-Unis, dans l'intention de ralentir les efforts de l'Iran sur les recherches nucléaires. Il aurait alors infecté des centaines de machines au Proche-Orient, fonctionnant sous Windows (les plus touchées par les virus en tout genre). Ce logiciel aurait, entre autre, permis d'intercepter des e-mails, des données PDF, Office, des graphiques, et d'enregistrer des conversations en ligne.

L'Iran avait, auparavant, déjà été frappé par de tels pratiques ; en 2010, un virus de conception inédite, baptisé “Stuxnet”, s'était alors introduit dans les ordinateurs contrôlant les centrifugeuses de l'usine d'enrichissement d'uranium iranienne de Natanz, et avait réussi à les saboter. Le virus provoqua même des explosions, une première mondiale dans l'histoire du piratage informatique.

Puis, à l'automne 2011, les Iraniens avaient trouvé dans leurs réseaux informatiques un virus espion, baptisé “Duqu”, conçu pour voler des informations sensibles. Ces agressions n'étaient pas revendiquées, mais, selon les experts, seul un Etat pouvait mobiliser les moyens humains et financiers nécessaires pour créer des programmes aussi complexes et innovants. Les soupçons s'étaient alors déjà portés sur les Etats-Unis, Israël ou une coalition des deux.

C'est un laboratoire hongrois (CrySys) qui fut envoyée sur le terrain, pour des analyses de ce ver informatique. Au vu de l'ampleur des dégâts, CrySys n'eu pas de meilleur choix que d'appeler la société américaine Symantec dans le but de désamorcer, cette bombe déjà enclenchée. Le code de Flame (d'une taille de 20 méga-octets), s'est ensuite auto-détruit une fois sa mission remplie, en ayant pris soin de conserver les informations découvertes (il était piloté à distance).

V - Quels sont les risques des malwares ?

Il est souvent difficile de détecter les risques d'un malware avant que celui-ci ne soit actif. Certains sont invisibles par un utilisateur lambda, et parfois même, par un anti-virus. Il est clair que les risques sont parfois énormes quand ils touchent des systèmes en entreprises ou dans des institutions, là ou une simple perte de données peut avoir de lourdes conséquences.

En fait, le danger d'un virus varie en fonction de l'usage que veut en faire son créateur. Il n'existe pas d'échelle de risques ; on peut à peu près tout imaginer. C'est pour cette raison qu'il faut faire de la prévention sur ces risques inopinés.

VI - Qui crée ces logiciels malveillants ?

La création de virus est accessible à toute personne disposant d'une machine et d'un simple éditeur de texte ! Car, en effet, de nombreuses documentations sur ce sujet sont accessibles, de façon complètement légale, sur Internet. Il suffit très souvent d'apprendre un langage de programmation ou de suivre de simples tutoriels pour devenir un hacker. C'est justement les hackers (pirates informatiques), qui crée toujours volontairement ces programmes, qui peuvent aller d'une simple modification de fichier, jusqu'à l'extinction d'une machine, en passant par la suppression de toutes les données conservées dans un certain format.

On peut citer les extensions .bat (BATCH) qui sont un des formats de fichier malveillant que l'on peut créer très facilement avec le bloc-note Windows.

VII - Prévention et protection

Rien qu'un mail peut parfois devenir un fléau pour tout votre système. En effet, les pièces jointes que vous recevez peuvent parfois cacher de mauvaises surprises. Un fichier .exe qui lance un virus et le tour est joué. Il faut être très vigilant sur la réception de pièces jointes (surtout avec des personnes que vous ne connaissez pas). Aussi faut-il se méfier à partir du moment où l'on est connecté à Internet ou à un réseau.

Bien évidemment des logiciels anti-virus existent, et seront sûrement efficaces contre certains virus, mais pas forcément à 100%. Il faut aussi savoir que ces softwares (8) sont programmés pour agir sur certains types de virus ou d'intrusions en particulier, et que si demain un “néo-virus” se propage, il aura peut être le temps de toucher notre système bien avant qu'une mise à jour soit développée pour le contrer.

Ainsi, la meilleure des protection reste la prudence.

Lexique

  1. Logiciel autonome : logiciel qui agit en fonction de son environnement bien que programmé.
  2. Piratage : attaque sournoise d'un système informatique ou copie de logiciels sans acheter le nombre adéquats de licences.
  3. Malware : logiciel malveillant, programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur infecté.
  4. Macro : instance qui permet de raccourcir le programme principal d'une application ou de générer des raccourcis.
  5. Script : langage qui permet d'exécuter des codes informatiques.
  6. Hébergeur : entité qui met à disposition des serveurs pour stocker des sites web.
  7. Adresse IP : numéro d'identification qui est attribué de façon permanente ou provisoire à chaque appareil connecté à un réseau informatique utilisant l'Internet Protocol
  8. Software : logiciel, programme.

Notes et références

Portail de la sécurité informatique de Wikipédia et tout ce qui en découle :

Article à propos du virus Flame de The Washington Post :

Article à propos du virus Flame de Le Monde :

Information diverses sur les virus, et la sécurité sur Internet sur le site Viruslist.com :

Quelques notions de sécurité informatiques et de protection sur le site SecuriteInfo.com :

Page rédigée le 19/01/2014 à 11:31 par Matías Rodrigues

les_exposes/quels_sont_les_differents_types_de_virus_malware.txt · Dernière modification: 19/01/2014 11:31 par rodrigues