Virus informatiques et autres bestioles ! Partie 1/2 - 06/10/2007

En raison de l'importance du sujet, ce dossier se décomposera en deux parties. La deuxième partie du dossier se trouve ici.

Ce dossier fera le tour des principaux types de virus et de vers, de la manière dont ils s'introduisent dans l'ordinateur, des dégâts qu'ils peuvent causer sur les fichiers ainsi que diverses autres nuisances. Ces connaissances sont indispensables pour apprendre à se protéger, ce qui fera l'objet d'un deuxième dossier.

Les deux fonctions fondamentales de l'informatique sont de traiter de l'information et donc, par voie de nécessité, de la stocker. Tout dysfonctionnement dans le traitement, le stockage ou l'accès à l'information constituera donc un dommage. Dans de nombreux cas, ce dommage peut être considérable.

De tout temps la destruction, l'altération, la modification, accidentelles ou délibérées, ou encore le détournement frauduleux de l'information, ont existé, mais le traitement automatisé des informations (qui fonctionne généralement comme une boîte noire pour le propriétaire ou l'utilisateur final) et la puissance (à certains égards difficilement contrôlable) conférée aux spécialistes par la connaissance des méthodes de programmation, ont donné naissance à un nouveau type de délinquance. Certains de ces délits sont la version moderne, mais plus difficile à détecter, des fraudes en écriture. D'autres se proposent d'altérer ou détruire l'information, ou de perturber le fonctionnement du système informatique.

La grosse informatique connaît depuis longtemps de telles agressions perpétrées dans un but de détournement d'information, de sabotage, de vengeance, voire de chantage.

La micro-informatique a vu le développement d'un type nouveau d'agression, qui n'a pas à ce jour d'équivalent dans les autres domaines de l'informatique : les virus.

Il existe divers types de programmes nuisibles qui sont parfois regroupés sous le nom de malwares. Tous ne sont pas recensés dans ce dossier. Voir par exemple le dossier
« Spywares : ces espions qui nous surveillent ».

Pour débuter voici deux définitions importantes parce que le public appelle généralement virus des programmes qui n'en sont pas.

• a) Virus

On appelle virus informatique un petit programme doté des fonctions suivantes :

• autoreproduction
• infection (contamination)
• activation
• altération du fonctionnement du système ou de l'information stockée.

La faculté d'autoreproduction ne nécessite provisoirement que peu d'explications complémentaires : tout programme peut être dupliqué (copié à l'identique) sur un support magnétique par un programme de copie spécialisé (programme COPY du DOS ou autre) ; un programme doté d'une fonction d'autoreproduction possède, au contraire, la faculté de se recopier lui-même soit de façon systématique, soit si certaines circonstances sont remplies.

L'infection signifie que le programme dupliqué va se loger de manière illégitime dans certaines parties du système informatique. Les cibles privilégiées sont la mémoire centrale (ce ne peut être la seule cible car le virus ne se propagerait pas d'un ordinateur à l'autre, sauf à travers des réseaux, et disparaîtrait à l'extinction de l'ordinateur) et les zones d'informations exécutables contenues sur les disques ou les disquettes (on pense immédiatement aux programmes enregistrés sur ces supports, mais ce n'est pas le seul cas possible). Lorsque l'ordinateur tentera d'exécuter ces instructions, le programme viral qu'elles contiennent s'exécutera également.

L'activation du virus, ou plus exactement celle de sa (ou de ses) fonction(s) pathogène(s) se produira uniquement si certaines conditions sont réunies : par exemple lors du nième lancement du virus, tous les vendredis 13, ou toute autre conjonction arbitraire de conditions.

La conséquence de cette particularité de la plupart des virus est qu'ils ont une « vie » composée de deux phases : dans la première le virus se multiplie et propage son infection sans qu'aucun, ou presque aucun signe ne le signale ; dans la deuxième phase les dommages apparaissent, mais la situation est alors généralement bien plus grave que les premiers signes ne le laissent penser.

Lorsque les conditions d'activation sont remplies le virus déclenche en effet une fonction d'agression (payload en anglais) restée en sommeil : il prend au moins partiellement le contrôle du fonctionnement de l'ordinateur pour lui faire accomplir des actions diverses. Par exemple certains virus anciens pouvaient afficher un message inattendu, jouer le beau Danube bleu, la marche funèbre, faire tomber les lettres en cascade de leur position normale sur l'écran vers les lignes du bas, ralentir fortement le fonctionnement de l'ordinateur... Mais les virus se limitent rarement à ces gags agaçants ou fortement gênants.Très vite les virus sont devenus beaucoup plus pervers : en particulier la plupart d'entre eux altèrent de façon plus ou moins étendue (voire complète) les fichiers enregistrés sur les mémoires de masse contaminées.

• b) Vers

Contrairement aux virus qui doivent se loger dans des programmes (ou autres informations exécutables) pour agir, un ver est un programme malveillant qui a une existence autonome (ce n'est pas un parasite). "En général les concepteurs de virus s'efforcent de faire des programmes de petite taille pour rendre l'infection discrète. Au contraire, bien qu'on connaisse des vers très courts, beaucoup sont d'une taille nettement plus importante car ils ne cherchent pas à se cacher, mais à se faire passer pour un fichier normal."

Certains résident uniquement en mémoire et disparaissent donc lorsqu'on éteint la machine ; plus fréquemment ils sont enregistrés sur le disque et utilisent divers moyens pour se lancer à l'insu de l'utilisateur (dans Windows le solution généralement utilisée consiste à introduire de façon clandestine le nom du ver dans la clé RUN de la base de registre).

D'autres définitions sont données à la fin du paragraphe suivant.

Dès 1949 Von Neumann, auteur du principe sur lequel reposent les ordinateurs actuels, démontre théoriquement la possibilité de programmes autocopiables.

Dans le début des années 60, quelques informaticiens des laboratoires Bell inventent le jeu Core War. Le principe consiste à implanter dans la mémoire d'un ordinateur deux programmes qui vont alors, sans aucune intervention humaine, lutter l'un contre l'autre en cherchant à se localiser et à se détruire mutuellement. Chaque programme peut en outre se défendre en s'autoréparant en cas de dommage causé par l'adversaire, et en se dupliquant dans la mémoire. La partie est terminée lorsque l'un des joueurs a perdu tous ses programmes ou si ceux-ci ont été modifiés au point d'être rendus inactifs.

Le gagnant est celui qui possède le plus grand nombre de copies actives du programme.

En 1972 apparaissent deux dérivés de Core War : Darwin et Worm. La première mention publique de Core War est faite en 1983. En 1984 la revue à grande diffusion Scientific American publie un article qui suscite un intérêt énorme, exposant une méthode complète pour créer un programme de ce type. Ces programmes ne se développaient et n'agissaient que dans la mémoire vive de l'ordinateur. Il suffisait donc d'éteindre celui-ci pour que tout rentre dans l'ordre.
Toutefois, le problème peut devenir grave pour les systèmes reliés en réseau comme en témoigne ce qui est arrivé en 1988 au réseau Internet.

À l'époque, ce réseau n'avait ni le développement ni la célébrité qu'il a acquis maintenant. L'essentiel des ordinateurs qu'il reliait appartenaient à des universités, des ministères, quelques entreprises et des agences gouvernementales (NASA par ex.) des USA. Un jeune mordu d'informatique (Robert Morris Jr) crée un ver, c'est-à-dire un programme capable de s'autodupliquer indéfiniment. Il lance son ver sur le réseau Internet, mais en raison d'une imperfection de programmation, le ver échappe complètement à son contrôle.

A partir du 2 novembre 1988 au soir tous les ordinateurs américains reliés au réseau Internet sont progressivement contaminés et, bien que le ver soit dépourvu de toute fonction offensive, ils entament un processus d'activité spontané qui s'amplifie et paralyse rapidement le réseau.

En moins de 24 h. plus de 6000 ordinateurs (2000 selon d'autres estimations) répartis sur l'ensemble du territoire des États-Unis voient leur mémoire encombrée et leur vitesse de fonctionnement s'effondrer, tandis que les lignes du réseau sont presque saturées.

En théorie, la solution est simple puisqu'il suffit d'éteindre simultanément tous les ordinateurs puis de les relancer, mais ceci est impossible pour un réseau comprenant des milliers d'ordinateurs appartenant à des organisations différentes très dispersées géographiquement. Il suffit en effet qu'un seul ordinateur reste sous tension pour que cette parade soit inefficace.

Il a fallu plusieurs semaines pour résoudre complètement le problème et le coût des dommages a été estimé à 150 000 dollars, voire 1 million si on prenait en compte le « manque à gagner » lié au temps perdu (des chiffres s'élevant à 96 millions de dollars ont même été avancés, mais ils ont été critiqués par la suite).

Revenons en 1983-1984. À cette époque F. Cohen démontra théoriquement la possibilité de créer de véritables virus (capables de se reproduire sur mémoire de masse et de se propager en causant des dommages irréversibles). Il réalisa quelques expériences bien contrôlées pour attirer sans grand succès l'attention des responsables de sécurité informatique.

Tout ceci se limitait alors aux ordinateurs classiques (moyens et grands systèmes) et, si l'on excepte le cas du ver Internet et un ou deux autres cas non cités ici, ne paraît pas avoir eu d'incidence notable.

D'autres moyens d'agression informatiques étaient en outre bien connus, certains depuis longtemps.

• Une bombe logique

est une fonction illicite ajoutée par un informaticien à un programme normal hébergé par un ordinateur.

Cette fonction est généralement conçue pour se déclencher si certaines conditions particulières sont réalisées, de façon à constituer un moyen de vengeance ou de pression sur une entreprise. Un exemple bien connu est celui d'une bombe logique qui devait entrer en action si le nom de l'informaticien disparaissait du fichier du personnel.

Lorsque l'informaticien fut licencié, la bombe logique commença à effacer progressivement des noms de clients du fichier de l'entreprise. Lorsque celle-ci s'en aperçut, longtemps après, les dommages étaient considérables et l'entreprise était au bord de la faillite. Compte tenu de la complexité des programmes, il est très facile de dissimuler de telles bombes. C'est toujours une agression commise par un informaticien au service de l'entreprise ou un prestataire de services. Il est vraisemblable qu'on ne sait pas tout dans ce domaine et bien d'autres cas ont dû être affrontés, ou négociés, avec un maximum de discrétion. On imagine toute l'importance que cette arme pourrait avoir pour des logiciels « sensibles », par exemple en terme de défense nationale.

• Le cheval de Troie

, au contraire, est un programme entièrement conçu pour provoquer des dommages, mais en empruntant le nom et l'apparence d'un programme ayant une autre fonction.

Ainsi, en 1989 de nombreux médecins reçurent pour essai un logiciel se présentant comme un logiciel d'information sur le SIDA. En réalité, après un certain temps de fonctionnement en apparence correct, ce logiciel renommait de façon fantaisiste tous les fichiers contenus sur le disque dur de telle sorte que plus rien n'était identifiable. Un exemple encore plus pervers a été celui d'un cheval de Troie qui avait pris le nom et l'apparence de l'antivirus SCAN qui était distribué librement en shareware. En réalité, son action véritable était de détruire la table d'allocation du disque dur, ce qui entraînait la perte de tout le contenu de celui-ci. Les chevaux de Troie existent toujours et sont souvent désignés par l'appellation anglaise « trojan horse », ou plus brièvement « trojan » (ce qui est stupide puisque le cheval de Troie d'Homère n'était pas troyen, mais grec).

• Les backdoors

: ce terme peut être traduit par « porte dérobée ». C'est un moyen pour contourner la manière normale d'entrer dans un programme.

A l'origine il s'agit d'une pratique informatique tout à fait normale : au cours de la mise au point d'un programme le programmeur peut souhaiter entrer dans le programme ou dans certains modules de celui-ci par une voie plus directe que celle offerte par l'exécution normale. Ces points d'entrée peuvent court-circuiter les procédures d'accès et les sécurités du programme. Normalement ces backdoors doivent être supprimées lorsque le programme a fini d'être testé.

Mais il peut être nécessaire d'en maintenir à des fins de dépannage en cas de problème majeur empêchant d'utiliser le programme dans des conditions normales. Parfois aussi certains programmeurs laissent délibérément une backdoor pour des raisons plus équivoques. Ces backdoors sont généralement dissimulées par des combinaisons de touches ou d'opérations très exotiques et ne sont connues que du programmeur.

L'idée peut être généralisée à des fins malveillantes. Divers virus, vers ou chevaux de Troie peuvent installer des backdoors sur un ordinateur, ce qui permet à un pirate de prendre le contrôle de la machine, en général avec des privilèges d'administrateur. A partir de ce moment là il est possible de faire n'importe quoi : pirater le contenu de l'ordinateur, récupérer le mot de passe vers un compte bancaire, et surtout se servir de cet ordinateur pour lancer, de façon masquée, une attaque vers d'autres ordinateurs bien plus intéressants du point de vue du pirate.

Chevaux de Troie et backdoors sont souvent introduits subrepticement par des vers ou la visite de pages Web piégées.

Les premiers virus ont été des virus fonctionnant sous DOS. Leur progression a été d'abord modérée : 1 en 1986, 225 en 1990, mais 2350 en 1993.

Dès mars 93 deux virus conçus pour fonctionner dans l'environnement Windows 3 étaient signalés et il existe maintenant un nombre considérable de virus fonctionnant avec les diverses versions de Windows. Il faut signaler que les Windows de la série NT (NT 4, 2000, XP) sont beaucoup plus résistants aux virus classiques que les versions 95, 98 et Millenium qui sont basées sur le DOS. Malheureusement il existe de plus en plus de virus et vers conçus pour les versions NT.

L'étape ultérieure a été la création de virus utilisant le langage de script de Microsoft : ce sont les virus spécifiques à Word ou Excel. Enfin, les premiers virus de mail sont apparus plus récemment. Certains détournent également ce langage de script.

En 2002 plusieurs antivirus proclamaient qu'il étaient capables de détecter plus de 61000 virus (en comptant leurs variantes) et beaucoup proposent des mises à jour hebdomadaires ou même quotidiennes. Actuellement ce nombre doit être nettement plus élevé, mais il est difficile de trouver des informations. Un antivirus connu annonce actuellement qu'il a une base de l'ordre de 60000 critères de détection différents. Sachant qu'un critère peut assez souvent servir à détecter plusieurs virus (ou autres programmes malveillants) proches, une estimation de l'ordre de 100000 virus, vers et chevaux de Troie (ou plus) est vraisemblable.

Les causes de cette inflation incroyable du nombre de virus et programmes apparentés sont multiples. Tout d'abord, il faut savoir qu'il est bien plus facile de modifier un virus existant que d'en créer un de toutes pièces. C'est pourquoi de nombreux virus ont donné naissance à des variantes multiples qui constituent des familles de virus. Les changements peuvent être mineurs et viser à empêcher (au moins temporairement) la reconnaissance du virus par un programme comparant son code à une liste de référence des virus connus ; ils peuvent aussi modifier la fonction d'agression ou en introduire de nouvelles.

L'ampleur du problème résulte de la conjonction de plusieurs facteurs :

• l'énorme diffusion des micro-ordinateurs, spécialement ceux fonctionnant sous MS-DOS puis maintenant sous Windows ;

• la structure même du DOS et dans une certaine mesure de Windows, ainsi que l'introduction par Microsoft dans diverses applications d'un langage de script (Vbscript) destiné à automatiser des opérations très utiles, mais qui peut être détourné de sa fonction initiale pour exécuter des virus ou vers ;

• le reproche récurrent fait à Windows, Internet Explorer et Outlook Express de contenir de nombreuses failles trop tardivement corrigées ;

• la diffusion de l'outil micro-informatique s'est faite largement en dehors du domaine d'influence de l'informatique classique, c'est-à-dire sans aucune prise en considération des problèmes de sécurité : les usages professionnels, privés... et ludiques s'interpénètrent largement ;

• en d'autres termes, la micro-informatique est une proie tentante et fragile, car toutes les conditions sont réunies pour qu'un virus lâché quelque part se répande de façon totalement incontrôlable.

On distingue classiquement trois types de virus : les virus de programmes, les virus du système et les virus de document (essentiellement Word et Excel).

A cette liste se rajoute depuis quelques années une quatrième catégorie : les virus de mail qui sont en réalité des vers pour la plupart d'entre eux. Enfin quelques virus/vers/chevaux de Troie peuvent être transmis par des pages Web et tout récemment on a vu certains de ces programmes malveillants s'introduire directement dans les ordinateurs par l'intermédiaire de l'Internet. La distinction nette entre virus, vers et cheval de Troie s'est beaucoup estompée, certains de ces programmes empruntant des caractéristiques appartenant aux autres catégories. Le public a donc tendance à confondre tous ces programmes malveillants sous le nom de virus.

• Virus de programmes

Ces virus ajoutent leur code à celui d'un programme présent sur le disque dur (ou autre support). Lorsque ce programme est lancé, c'est le code du virus qui est exécuté en premier. Le virus passe alors dans la mémoire de l'ordinateur et recherche sur le disque un (des) nouveau(x) programme(s) à contaminer. La contamination se fait donc de proche en proche. Tant que la fonction d'agression du virus n'est pas activée aucune manifestation de la présence du virus n'est perceptible pour un utilisateur non averti.
Certains virus ajoutent leur code au programme en recouvrant (=remplaçant) une partie du code du programme. La taille du fichier contaminé ne change pas mais on observera probablement assez vite des dysfonctionnements ou des blocages correspondant aux parties du programme remplacées (toutefois s'il s'agit d'une partie du programme qui est rarement utilisée le problème tardera à se manifester).

La plupart des virus de programmes insèrent leur code dans celui du programme sans le recouvrir : la longueur du programme est augmentée de la longueur de celle du virus. Un simple examen avec la commande DIR du DOS ou sont équivalent Windows devrait permettre en théorie de vérifier que le programme présent est plus long que le programme d'origine. Toutefois, beaucoup de virus « furtifs » détournent ces instructions pour afficher non pas la longueur exacte du programme contaminé, mais la longueur diminuée de celle du virus (le programme semblera avoir gardé sa longueur initiale et on ne pourra pas vérifier la contamination par cette méthode).

Afin d'éviter la contamination d'un programme par plusieurs exemplaires du même virus (ce qui nuirait à la discrétion de la contamination), la plupart de ceux-ci vérifient que le fichier n'a pas déjà été contaminé avant d'ajouter leur propre code. Les méthodes utilisées dans ce but sont variables et n'empêchent nullement un programme d'être contaminé par plusieurs virus différents.

De toutes façons, au début l'infection est toujours discrète car la longueur du code des virus est faible (le plus petit virus dont j'ai trouvé mention a une longueur de 135 octets, mais c'est assez exceptionnel quand même).

• Virus du système

Il n'y a pas que les fichiers de programmes qui peuvent contenir du code exécutable. En raison de la manière dont le système d'exploitation démarre et prend le contrôle des disques et disquettes, le premier secteur de la disquette (secteur d'amorçage = secteur de boot) ou les premiers secteurs du disque dur (secteur de la table de partition et secteur d'amorçage) peuvent contenir un bout de code exécutable.

C'est bien entendu un endroit rêvé pour installer un virus. S'il s'agit du disque à partir duquel le système d'exploitation est chargé, ce procédé est d'autant plus redoutable que le code du virus s'exécutera et se chargera en mémoire au démarrage, avant le chargement du système d'exploitation et à plus forte raison avant celui d'un éventuel logiciel antivirus.

Pour qu'un virus du système (= virus de boot) s'installe dans un ordinateur il faut généralement démarrer celui-ci avec une disquette contaminée présente dans le lecteur A: (que cette disquette contienne ou non le DOS) car le BIOS tente normalement de lire le contenu du secteur d'amorçage de A: avant celui de C:. C'est la raison pour laquelle il est préférable de rendre le disque C: prioritaire en modifiant un réglage du BIOS. Toutefois certains virus de programme sont également conçus pour aller infecter secondairement le secteur de boot.

En conclusion, les virus classiques (voir toutefois ci-dessous virus Word ou Excel) ne pouvaient pas être transmis par un fichier de données (= document). Mais contrairement à ce que l'on croit parfois un virus peut parfaitement être présent (dans le secteur de boot) sur une disquette qui ne contient pas de programme, et les disquettes ont été pendant longtemps le moyen le plus efficace de propager les virus. Pendant plusieurs années les virus les plus répandus en France ont été les virus de boot.

• Virus Word et Excel (virus de macro)

Les applications sophistiquées, telles que le traitement de texte Word ou le tableur Excel, contiennent un langage de programmation qui permet d'automatiser des opérations complexes grâce à l'écriture de macro-instructions (connues sous le nom de macros) exécutées par l'application.

Ces macros sont enregistrées dans les documents. Autrement dit, tout document renfermant des macros contient du code exécutable. Cette particularité a ouvert la porte à l'apparition de virus écrits en langage de macros et incorporés par des mécanismes d'infection spécifiques dans ces documents. Ce sont des virus pour les documents Word qui sont apparus les premiers (en 1995), puis des virus pour Excel ont été signalés. A partir de 1997 les virus Word ont été les virus les plus répandus.

• Virus/vers de mail

L'apparition de ce type de programme a été rendue possible par le fait qu'on peut attacher à des mails des fichiers divers. S'il s'agit de fichiers exécutables, ils s'exécutent immédiatement dès qu'on clique dessus. Bien entendu ce sont les systèmes les plus répandus qui sont les premiers visés, en particulier le lecteur de mails Outlook Express de Microsoft. Certains de ces virus/vers tirent parti du fait que les ordinateurs équipés de Windows disposent d'un langage de programmation incorporé appelé vbscript.

Il faut se méfier du fait que le titre du fichier attaché (c'est lui qui est dangereux) peut paraître intéressant car il peut être prélevé par le virus parmi les titres présents sur le disque dur de l'expéditeur. De plus plusieurs virus peuvent prélever du texte sur le disque dur pour l'envoyer comme un mail normal. C'est ainsi que j'ai reçu un exemplaire de virus avec un texte de message qui était un dossier médical nominatif prélevé sur un ordinateur d'un organisme de santé. Cet exemple montre que certains virus peuvent causer la diffusion d'informations confidentielles, problème qui n'a pas été assez souligné.

Lorsque les correctifs d'Outlook Express n'ont pas été installés certains virus/vers de mail peuvent se déclencher dès l'affichage du mail, même si on n'a pas cliqué sur le document attaché.

Certains de ces vers peuvent même infecter des pages Web qui contamineront ensuite les ordinateurs des visiteurs.

Quand on reçoit un virus par mail, dans la plupart des cas :

- l'expéditeur ne sait pas que son ordinateur envoie des mails contaminés (c'est le virus qui a expédié le mail à l'insu de l'expéditeur, ou qui attache le virus à un mail rédigé par l'expéditeur ;)

- l'expéditeur n'est probablement pas celui qui figure dans les en-têtes du mail : beaucoup de virus prélèvent en effet une adresse au hasard dans le carnet d'adresse (ou dans d'autres documents) de l'ordinateur infecté et s'envoient dans un message en se faisant passer pour cet expéditeur (par exemple l'ordinateur de Dupont a dans son carnet d'adresses l'adresse de Durand et celle de Duval… le virus peut envoyer un mail contaminé à Duval en se faisant passer pour Durand, alors que le virus s'est expédié depuis l'ordinateur de Dupont).

Les vers de mails peuvent en effet utiliser la fonction d'envoi des messages d'Outlook Express à l'insu de l'utilisateur, mais les plus « efficaces » intègrent leur propre serveur de mail (serveur SMTP) qui travaille de façon totalement autonome et bombarde de mails contaminés toutes les adresses trouvées sur l'ordinateur.

• Les hoaxes

Un hoax (canular en français) est un message que vous recevez d'une personne inconnue ou d'un correspondant qui vous l'a fait suivre.

En règle très générale le message signale l'arrivée du virus le plus dangereux qu'on ait jamais vu, affirmation confirmée par Microsoft, le FBI, ou tout autre organisme important. Ce virus va détruire le disque dur, peut-être vider votre compte bancaire, et aucun antivirus ne peut le détecter et encore moins réparer ses dégâts. Enfin le texte se termine par une forte incitation à diffuser cette information à tous les membres de votre carnet d'adresse.

Vous avez là les caractéristiques types d'un hoax, car les vrais virus ne sont jamais annoncés ainsi et le seul but de ces messages est de provoquer un phénomène de boule de neige par la diffusion pyramidale d'une fausse information. Ne relayez jamais ce type de message.

En cas de doute consultez http://www.hoaxbuster.com

Deux hoaxes plus pervers font toujours des victimes. Leur principe est de dire que si vous avez sur votre disque dur un fichier dont le nom est indiqué, il faut l'effacer parce que c'est un virus. Et bien entendu le message vous demande de diffuser l'information à tous vos correspondants, parce que vous les avez infectés.

L'un des hoax parle du fichier SULFNBK.EXE et l'autre de JDBGMGR.EXE dont l'icône est un petit ourson. Dans les deux cas n'effacez pas ces fichiers : ils font partie du système d'exploitation. Par chance leur rôle est habituellement mineur et cela n'entraîne la plupart du temps que peu de perturbations. Malheureusement les choses se compliquent parce qu'un autre message peut vous arriver qui propose de réinstaller SULFNBK.EXE en cliquant sur une pièce jointe. Mais là il s'agit d'un vrai virus : Magistr

Les premiers virus provoquaient seulement l'affichage de messages fantaisistes ou d'effets graphiques divers perturbant l'utilisateur. C'est plus grave lorsque l'ordinateur voit sa vitesse réduite d'un facteur 10.

Mais ceci n'est rien comparé aux dommages plus sévères et aussi plus fréquents dont la liste suivante donne une idée très incomplète :

effacement ou altération de nombreux fichiers, formatage intempestif du disque dur, altération du secteur d'amorçage du disque, de la table d'allocation des secteurs (donc impossibilité de lire les fichiers du disque), remplacement des noms des fichiers par des suites aléatoires de caractères...

Parfois un symptôme anodin peut cacher un danger beaucoup plus important. Par exemple si les icônes du bureau s'enfuient à l'approche du pointeur de la souris, c'est le signe d'une infection par le virus de mail Magister. Ce virus provoque au bout d'un certain temps une panne pratiquement irréparable de la carte mère. C'est pourquoi il doit être éradiqué dès qu'il est identifié.

À ces caractéristiques agressives délibérées, il faut ajouter d'autres dommages de type indirect. Par exemple lorsqu'un virus met son code à la place d'une partie de celui d'un programme, le fonctionnement de ce dernier sera altéré. Cette perturbation n'est généralement pas le but réellement recherché, mais la conséquence indirecte d'un mode de contamination peu perfectionné. De même la présence d'un virus dans la mémoire de l'ordinateur peut perturber, pour des raisons d'incompatibilité imprévues, le fonctionnement de certains programmes.

Divers virus placent leur code dans des parties rarement utilisées du disque ou de la disquette (fin de la table d'allocation, fin de l'espace réservé au répertoire racine, derniers secteurs du support). Si par malchance des informations s'y trouvent il en résultera des dommages plus ou moins étendus. Enfin certains dommages résultent tout simplement d'une faute de programmation faite par l'auteur du virus !

On a parfois affirmé que des virus pourraient provoquer des pannes matérielles en altérant des circuits électroniques ou d'autres organes (disque dur par exemple). Aucun virus de ce type n'est actuellement connu et rien ne permet d'affirmer que ceci soit techniquement faisable. En revanche, un virus tel que Magistr (alias Magister) peut altérer sans difficulté le contenu de la mémoire C-MOS qui contient les informations sur la configuration de l'ordinateur (taille de la mémoire, types de lecteurs, de carte vidéo installés...) ou le BIOS, et empêcher complètement ou presque le fonctionnement de celui-ci. Cela peut nécessiter dans certains cas le changement de la carte mère de l'ordinateur.

De même, la modification de la table de partition du disque dur peut faire croire à une panne matérielle alors qu'un nouveau partitionnement suivi d'un formatage complet permettrait de récupérer le disque.

Enfin ajoutons que beaucoup de virus/vers récents sont capables d'inactiver les antivirus les plus connus lorsqu'ils se sont installés.

Certains ont fait observer il y a quelques années que ceux à qui l'existence des virus profite le plus sont les concepteurs de logiciels antivirus. Cette remarque a été à la base de théories sur la création intentionnelle de virus à des fins commerciales. Rien ne permet d'accréditer cette hypothèse qui est du domaine de la rumeur non fondée, voire malveillante. D'autres interrogations (très probablement non motivées) sur l'intervention de services secrets avaient été suscitées jadis par l'abondance des virus d'origine bulgare.

En fait la production de virus informatiques n'est qu'un aspect d'une longue tradition d'activités pirates dans le domaine des télécommunications et de l'informatique.

L'origine de ces pratiques remonte à plusieurs dizaines d'années aux États-unis lorsque certains individus, plus ou moins organisés en réseaux clandestins, ont découvert qu'il était possible d'effectuer des opérations illicites sur les réseaux téléphoniques (comme téléphoner n'importe où gratuitement) en envoyant sur les lignes des signaux destinés à inhiber les moyens de contrôle normaux.

Très logiquement, ces pirates étendirent ensuite leur activité en cherchant à pénétrer dans des réseaux informatiques : en effet la quasi totalité de ceux-ci étaient connectés au réseau téléphonique pour effectuer des transactions à longue distance. La recherche des numéros d'accès téléphonique de ces systèmes informatiques (qui bien entendu, ne sont pas publics), le déploiement de trésors d'ingéniosité pour contourner les mécanismes de protection des systèmes d'exploitation, la recherche des mots de passe permettant de se substituer à un utilisateur habilité, constituent des activités passionnantes, bien que parfaitement illicites, pour ces pirates.

Ceci étant fait il est possible de consulter des informations éventuellement secrètes, d'utiliser un ordinateur puissant pour son usage personnel, de placer des bombes logiques ou simplement un message pour montrer aux responsables du système informatique qu'on a pu contourner les mesures de protection et qu'on est plus fort qu'eux.

Dans un autre domaine le piratage des logiciels de micro-informatique par recopie illicite est toujours une activité florissante. L'apparition de mécanismes protégeant les logiciels contre la copie n'a constitué qu'un frein relatif, car ces protections ont été considérées comme un défi intéressant à relever par les pirates.

L'identification des mécanismes (parfois très astucieusement dissimulés) de protection et le «déplombage» du logiciel protégé sont alors devenus un « sport ». C'est la raison pour laquelle les grands éditeurs de logiciels ont généralement abandonné la protection de leurs programmes par ces procédés.

Dans ce contexte où la fraude est considérée comme un exploit intellectuel ludique il ne faut pas s'étonner de l'existence des virus informatiques. Leur création procède du même état d'esprit et il s'y rajoute certainement la fascination, qui a un côté pathologique, de voir proliférer un être informatique qu'on a créé, de savoir qu'il mène une « vie » autonome et peut se répandre, avec un peu de « chance » dans le monde entier.

Ce qui précède était ce qu'on pouvait dire il y a peu de temps encore. Mais une nouvelle tendance apparaît : l'utilisation de vers comme outils pour des délits informatiques graves. En effet certains vers récents ont pour objectif délibéré d'introduire dans les ordinateurs des chevaux de Troie permettant de faire du spam massif, masquant ainsi son origine exacte puisque les destinataires penseront que c'est votre ordinateur qui a émis les messages. Certains chevaux de Troie pourront servir de relais pour attaquer de façon masquée d'autres ordinateurs. Enfin d'autres vers sont conçus pour espionner les mots de passe, recueillir des informations bancaires précieuses, etc.

Il faut donc savoir que si vous avez sur Internet des pratiques à risque, si vous ne mettez pas régulièrement à jour votre système pour corriger ses failles, si vous n'utilisez pas d'antivirus et de pare-feu, vous pouvez vous rendre involontairement complice d'actes délictueux graves, dont certains relèvent de l'escroquerie pure et simple. On est pour le moment dans une situation de vide juridique complet, mais rien n'exclut qu'à l'avenir la responsabilité d'un utilisateur puisse être invoquée pour cause de négligence grave ayant causé des dommages à autrui.

Ces points seront illustrés dans la deuxième partie du dossier.

La deuxième partie du dossier est à  lire ici .