Le piratege et les virus informatiques
les virus informatiques
Définition
1. Un
virus est un programme : il donne des ordres à votre ordinateur pour effectuer
une suite d'actions.
2. Il
s'auto-reproduit en s'ajoutant au contenu de certains fichiers sur l'ordinateur
concerné. Il peut aussi contaminer d'autres ordinateurs, via un support (
disquette, CD, ... ) ou un réseau ( local ou Internet ). Chaque nouveau fichier
contaminé devient une nouvelle source d'infection.
3. Il est
au moins gênant (ralentir un réseau local par exemple), voire destructeur, un
peu, beaucoup, à la folie (détruire des fichiers de données, endommager le
système d'exploitation ...).
Il peut exister sur un ordinateur sous deux
états :
· actif
(en cours d'exécution) : comme tout programme, il réalise une suite d'actions
· passif
(ou dormant) quand le fichier qui le contient n'a pas encore été ouvert ou
exécuté : dans ce cas il ne peut évidemment rien faire, mais conserver un tel
poison sur son disque dur est dangeureux à terme.
Les types de virus
· Les virus
de fichier deviennent actifs lorsque vous exécutez le programme qui les héberge
ou quand un programme ouvre le fichier de données qui les contient. Ils
infectent tout type de fichier en y laissant une signature pour éviter de
réinfecter le même fichier.
o
les virus de programme
o
les macrovirus contaminent les fichiers
bureautiques ( traitement de texte, tableur, présentation multimédia )
o
un virus de dossier modifie la table de
localisation physique des fichiers pour la diriger sur lui-même et infecter un
maximum de programmes
· les
virus de boot ( d'amorçage ) résident dans le secteur de boot du disque dur (
ou disquette ). Il s'exécute lorsque votre ordinateur démarre ( ou en lisant
une disquette infectée ). Il se propage sur les disques durs et disquettes. Ils
sont très incrustés dans l'ordinateur et difficiles à éradiquer
· les
multipartites agissent à la fois comme les types "boot" et
"fichier"
· les
types réseau ou vers ( worms ) sont les plus courants, leur capacité de
destruction est illimitée et leur vitesse de propagation phénoménale. Ils se
propagent par des moyens indirects :
o
à travers le réseau local d'une entreprise
qu'ils ralentissent ou dont ils détruisent les données
o
via Internet : certains utilisent les
carnets d'adresse des logiciels de messagerie pour s'envoyer eux-mêmes à chaque
adresse email, ou apparaissent sur des sites Web de téléchargement très
fréquentés, ou encore se connectent directement à d'autres ordinateurs en
exploitant une faille de sécurité, ...
· les
types Web ne peuvent pas se reproduire sur le Web en tant que tel (un site Web
n'est modifiable que par son propriétaire), ils utilisent d'autres canaux pour
se reproduire.
o
les scripts ( VBScript, JavaScript, ... )
sont des petits programmes inclus dans les pages Web et s'exécutent sur tout
logiciel Internet en mesure de les interpréter ( navigateur, logiciel de
messagerie, ... ). Les scripts permettent d'exercer un contrôle important sur
les ordinateurs infectés
o
les classes Java et contrôles ActiveX
offrent des services plus importants mais sont moins utilisés que les scripts,
donc plus facilement désactivables sans gêner la navigation
· les
antivirus : d'un nouveau type, Welchi
tue un autre malware et élimine la faille de sécurité sur
l'ordinateur infecté.
Cette liste montre
combien Internet est un diffuseur de ces poisons : tous les types existent sur
Internet.
Techniques de dissimulation
Les virus par email
se déguisent en fichier texte, image, son, vidéo ... Un double clic, ou
l'ouverture automatique de ces fichiers multimédia, active le malware.
Ils utilisent aussi
différentes techniques pour être plus difficiles à détecter par les antivirus :
· "action
directe" : ils infectent un maximum de fichiers en restant le moins de
temps possible en mémoire
· furtifs
: ils interceptent les demandes du système d'exploitation et présentent les
informations telles qu'elles étaient avant l'infection
· polymorphes
: ils changent leurs signatures à chaque nouvelle infection de fichier
· tunnel
: ils détournent l'attention des antivirus
· rétrovirus
: ils attaquent les antivirus en bloquant leur exécution et leur redémarrage
· hybrides
: ils combinent les caractéristiques de plusieurs familles
Fouille ouille ouille
... Pour vous rassurer un peu, les plus méchants et les mieux cachés sont aussi
les plus rares.
Troyen
Un trojan ou cheval de
Troie donne aux pirates un contrôle total de votre ordinateur à distance.
C'est aussi un programme à fort pouvoir de destruction, mais souvent utilisé
pour espionner la cible (mots de passe, vols de fichier confidentiel, ...).
Mais ce n'est pas un
virus car il ne se reproduit pas, même si les antivirus les détectent assez
bien.
Cependant des programmes malveillants d'un nouveau type sont apparus, combinant à la fois les caractéristisques d'un CPA et d'un troyen.
Cependant des programmes malveillants d'un nouveau type sont apparus, combinant à la fois les caractéristisques d'un CPA et d'un troyen.
Le piratage
1.1 Qui sont les pirates ?
Faut-il dire plutôt pirate ou hacker ? On s'est tous
posé cette question. Les journalistes et le grand public confondent souvent les
termes.Les pirates désignent des spécialistes en informatiques dont les actions
sont nuisibles. Selon leurs actions ils peuvent êtres qualifiés de hackers
blacks hats, de crackers ou encore d'hacktivistes. Voici des définitions
rapides de cestermes:
Le hacker black hat est un spécialiste informatique
qui utilise ses connaissances de façon nuisible. Il doit être différencié du
hacker white hat qui est un spécialiste informatique qui n'a pas de but
nuisible. Les hackers white hats sont essentiels: ils sont les moteurs de
l'informatique moderne et ils contribuent à sa sécurisation.
Le cracker, ou déplombeur de logiciels, est spécialisé
dans le cassage des protections des logiciels. Il possède de très bonnes connaissances
en assembleur ainsi que des outils (désassembleur, débogueur…) qui lui
permettent d’analyser
le code d’un programme transmis au processeur. Cela
lui permet de neutraliser ou contourner les mesures de protections d’un
logiciel en créant un patch (ou crack), ou bien un « keygen » dans le cas de
logiciels protégés par des clefs.
L’hacktiviste est un hacker dont les objectifs sont
politiques, et emploie ses connaissances en informatique pour diffuser et
promulguer ses opinions. Ses actions les plus spectaculaires sont notamment le
piratage de sites informatiques
en altérant les données, en détournant des serveurs,
en remplaçant des pages d’accueil afin de détourner la signification et
l’engagement de ces sites.
1.2 Que risque-t-on ?
On entend souvent aux informations qu'un nouveau virus
circule. Mais ce n'est pas la seule menace pour nos ordinateurs. Il existe
pleins de programmes malveillants, les paragraphes suivants détaillent quelques
unes des principales
menaces, notre site en présente d'autres en supplément:
Les virus sont des programmes malveillants qui ont pour but de se
reproduire. Souvent, ils sont gênants pour
l'utilisateur, puisqu'ils peuvent détruire des fichiers sur l'ordinateur.
Les vers sont des programmes qui se propagent
d'ordinateur à ordinateur via un réseau comme l'Internet. Ainsi, contrairement
à un virus, les vers n'ont pas besoin d'un programme hôte pour assurer leur
reproduction. Leurs poids est
très léger, ce qui leur permet de se propager à une
vitesse impressionnante sur un réseau, et pouvant donc saturer ce dernier.
1.3 Comment font-ils ?
Les pirates sont capables d'inventer des techniques.
Mais, évidemment, ils maîtrisent celles qui sont connues. Notre site présente
neuf techniques d'attaques, voici les plus connues: Le reniflage (en anglais
Sniffing) est une technique qui consiste à analyser le trafic réseau. Lorsque
deux ordinateurs communiquent entre eux, il y a un échange d'informations
(trafic). Mais, il est toujours possible qu'une personne malveillante récupère
ce trafic. Elle peut alors l'analyser et y trouver des informations sensibles.
Le cracking consiste à trouver les mots de passe des
utilisateurs. Pour y arriver un cracker va utiliser un logiciel qui va tenter
d'obtenir un mot de passe par différentes méthodes. Afin de lui compliquer au
maximum la tâche il convient de suivre quelques consignes comme ne pas utiliser
de mot du dictionnaire, de nom, de date de naissance. Par exemple Daniel14 est
un mauvais mot de passe, alors que v-lsélt* en est un. Man in the Middle signifie
l'homme du milieu. Cette attaque a pour but de s'insérer entre deux ordinateurs
qui communiquent. Soient deux ordinateurs A et B voulant dialoguer. Maintenant,
si un pirate décide de se faire passer pour l'ordinateur A auprès de B et pour
B auprès de A, toute communication de A vers B ou B vers A passera par
l'ordinateur du pirate: l'homme du milieu. Cette attaque permet de voir toute
les informations circulant entre A et B, comme des mots de passes, des
informations personnelles...
1.4 Comment se protéger ?
Fort heureusement, il existe des logiciels permettant
de mettre en place une politique de sécurité et ainsi éviter certaines
attaques. Tout le monde a entendu parler du FireWall (pare-feu en français), ou
encore de l'antivirus. Voici de quoi il s'agit: Un antivirus est un logiciel
qui a pour but de détecter et de supprimer les virus d'un système informatique.
Pour y arriver, l'antivirus dispose de plusieurs techniques comme la recherche par la
signature qui consiste à analyser l'ensemble de la mémoire de stockage (disque
dur), ou l'analyse heuristique qui consiste à simuler le comportement des
logiciels, ou encore l'analyse du comportement qui consiste à surveiller les
logiciels actifs.
Un pare-feu (en anglais FireWall) est un système
permettant de séparer un réseau interne d'un réseau externe (souvent
l'Internet). Il permet de filtrer les communications dans les deux sens et
ainsi protéger le réseau interne des éventuelles menaces provenant de
l'extérieur.
