Tech

Les protections contre les virus

Dossier - Virus et autres bestioles : Partie 2/2
DossierClassé sous :informatique , Incontournables , Virus

-

Ce deuxième dossier vous apprendra à vous protéger des virus, et savoir de plus près comment ces programmes peuvent pénétrer dans l'ordinateur et par voie de conséquence quels sont les comportements à respecter pour les éviter.

  
DossiersVirus et autres bestioles : Partie 2/2
 

1 - Voie d'entrée des virus

Les ordinateurs sont isolés ou regroupés en réseaux locaux ou reliés à l'InternetUn virus ne peut s'introduire que par une disquette, un CD-ROM ou par le réseau.

Pendant longtemps la contamination d'un ordinateur par un virus signifiait qu'à un moment une disquette (ayant été utilisée sur un ordinateur étranger) avait été employée. C'est le cas lorsque des disquettes passent d'un ordinateur personnel à l'autre, puis à des ordinateurs professionnels. Il faut se souvenir que des virus peuvent être transmis par des fichiers Word ou Excel. Même si ce type de contamination est en nette perte de vitesse il ne faut pas le négliger car Word est sans doute le programme le plus employé au monde, suivi par Excel. Bien entendu un CD-ROM gravé sur un ordinateur contaminé peut également véhiculer des virus.

Avec le développement des réseaux, les disquettes constituent maintenant une source mineure de virus, comme le prouve l'envahissement actuel par les virus ou vers de mail, mais aussi le cas moins connu du public de virus véhiculés par des pages Web, par IRC, par les échanges P2P comme Kazaa, ou ceux qui attaquent directement à travers l'Internet en l'absence de toute action de l'utilisateur. Un ordinateur en réseau local peut aussi être contaminé sans qu'aucune manipulation imprudente n'ait été effectuée à son niveau, tout simplement parce qu'un virus résidant initialement sur un autre ordinateur s'est propagé à travers le réseau. Ceci se produit par exemple avec divers vers lorsqu'il existe des disques partagés dans un réseau Windows.

2 - Comportements à respecter

De ces affirmations découlent quelques règles simples qu'il n'est malheureusement pas facile de faire respecter. Ces règles sont pourtant essentielles car le meilleur programme antivirus ne peut pas protéger contre un virus totalement nouveau, tandis que le respect de ces précautions permet d'éviter la plupart des problèmes.

  • Ne pas utiliser une disquette qui a servi (ou un CD-ROM qui a été gravé) sur un ordinateur dont on n'a pas le contrôle total. En particulier éviter à tout prix les programmes piratés qui ont fait l'objet d'un tel nombre de copies qu'on ne sait plus quelle en est l'origine (en outre cette pratique ne respecte pas les droits des auteurs des logicielsc'est un délit très sévèrement puni par la loi). De plus en plus rarement la nécessité du fonctionnement normal de certains services implique le passage de disquettes ou de CD-ROM sur des ordinateurs extérieurs. On limitera alors les risques en vérifiant systématiquement ces supports avec un antivirus, en veillant à ce que les supports servant à l'échange de données ne contiennent aucun programme (ceci évite la transmission des virus de programmes), et en utilisant la fenêtre permettant d'interdire l'écriture sur la disquette chaque fois qu'il suffit de la lire (évite seulement la contamination de la disquette par un éventuel virus de boot présent sur l'ordinateur chargé de la lecture).

Recommandation très importante

La prévention contre les virus ou vers de mail implique quelques précautions de base. La manière la plus simple de s'en prémunir est de ne jamais cliquer sur un document attaché, même s'il a été envoyé par une personne de confiance, car ce type de virus est joint au message à l'insu de l'expéditeur. Une bonne règle est de préciser dans le texte du message le nom et la nature du fichier joint. Si le message provient d'une personne de confiance ET si le fichier attaché est clairement annoncé dans le texte par l'expéditeur du message, on peut considérer que sa consultation est probablement peu risquée. Dans tous les autres cas il faut considérer que le fichier est suspect (même si vous connaissez l'expéditeur). En particulier les pièces attachées ayant les extensions suivantes sont pratiquement à coup sûr des fichiers de virus : COM, EXE, BAT, PIF, VBS, LNK, SCR ainsi que les fichiers ayant une double extension (par exemple le célèbre LOVE-LETTER-FOR-YOU.TXT.VBS).

  • Les versions actuelles de Windows sont configurées par défaut pour ne pas afficher l'extension de la plupart des fichiers : par exemple DOCUMENT.DOC sera affiché DOCUMENT. Dans ce cas LOVE-LETTER-FOR-YOU.TXT.VBS sera affiché LOVE-LETTER-FOR-YOU.TXT, ce qui n'attire pas l'attention sur le caractère anormal du nom. Il est donc fortement conseillé de rétablir l'option d'affichage des extensions.
  • On conseille souvent d'éviter le téléchargement de logiciels sauf si on est en mesure de contrôler l'intégrité de ceux-ci (mais aucun logiciel antivirus n'offre une garantie absolue de détection). En fait les sites Internet de téléchargement les plus connus contrôlent sérieusement l'intégrité des programmes qu'ils proposent, mais il faudra proscrire les autres sources, en particulier les sites spécialisés dans la distribution de logiciels piratés (dits sites Warez) et se méfier des échanges entre particuliers (P2P comme Kazaa, eDonkey, Gnutella, eMule...)
  • Une recommandation particulière doit être faite aux utilisateurs de Windows, Microsoft Internet Explorer, et Outlook Express utilisez toujours les dernières mises à jour qui peuvent être chargées à partir du site de Microsoft (dans Internet Explorer, menu Outils, Windows update ) car divers virus récents exploitent des trous de sécurité existant dans Windows ou ces programmes. Par exemple avec des versions non mises à jour d'Outlook Express certains virus de mail peuvent infecter l'ordinateur même si l'on n'a pas cliqué sur la pièce jointe. De même les quelques virus pouvant se transmettre par des pages Web ont utilisé des failles de sécurité d'Internet Explorer qui n'avaient pas été détectées à temps. Les mises à jour incorporent des protections nouvelles au fur et à mesure que des problèmes sont signalés. Divers virus/vers dangereux se sont propagés grâce à des ordinateurs non mis à jour, alors que les correctifs avaient été diffusés par Microsoft plusieurs mois auparavant. Une ultime recommandation concernant Outlook Express : dans les options de lecture, cochez « Lire tous les messages en texte clair » (l'intitulé peut changer légèrement selon les versions). Cela supprime l'affichage HTML pour afficher uniquement le texte brut : c'est beaucoup moins joli, mais on évite ainsi les risques liés aux virus exploitant des failles de ce mode d'affichage.
  • Faire des sauvegardes régulières des fichiers importants sur des supports extractibles (disquettes, CD-ROM R/W). En cas d'attaque par un virus, on pourra revenir à une copie intacte. Il faut toutefois être sûr que la copie de sauvegarde est saine, ce qui n'est pas toujours évident ; c'est pourquoi il faut faire des générations de sauvegarde successives (par exemple un jeu de sauvegardes renouvelé journellement, un autre jeu qui sera renouvelé toutes les semaines, un autre tous les mois... tout dépend de l'importance des fichiers et de la fréquence de leur modification.) : si la dernière est défectueuse, il faut revenir à l'avant-dernière, ou même plus en arrière encore. C'est pourquoi dans le cas d'un réseau ces opérations de sauvegarde sont automatisées et sont faite au niveau du ou des serveurs sur des bandes magnétiques.

3 - Les antivirus

De toute façon, il faudra envisager l'utilisation systématique d'un programme antivirus. Disons d'emblée qu'aucun programme ne peut garantir une efficacité absolue, même s'il le prétend. On peut comparer un antivirus à un gilet pare-balles : celui-ci n'empêche pas la possibilité de blessures à la tête ou aux membres, mais il réduit fortement les risques. Il existe divers programmes commerciaux tout à fait sérieux. Ils permettent de contrôler et, lorsque c'est possible, de décontaminer les fichiers, disquettes ou disques infectés. Des versions sont adaptées à la protection des réseaux et certaines prennent en charge les risques nouveaux liés à l'utilisation d'Internet.

  • On peut identifier dans le code de la plupart des virus des séquences d'octets caractéristiques de ce virus. Si cette séquence est bien choisie, elle a de fortes chances de se retrouver également dans la plupart des virus obtenus par modification d'un même virus souche. On appelle signature de détection une telle séquence d'octets. Beaucoup d'antivirus détectent les virus en recherchant systématiquement ces signatures dans le secteur d'amorçage et les fichiers. Il est évident que chaque virus (ou famille de virus) possède sa propre signature. En conséquence, on doit fournir une liste de signatures aux antivirus utilisant cette méthode. Bien entendu on ne peut détecter que des virus déjà connus ; c'est pourquoi la liste des signatures doit être complétée périodiquement.

    Posséder un antivirus a peu d'intérêt si on ne dispose pas de mises à jour fréquentes. Les antivirus doivent en effet être mis à jour régulièrement (au moins toutes les semaines, tous les jours si possible) en téléchargeant sur Internet les nouveaux fichiers de définitions virales. Cette opération peut être automatisée sur la plupart des antivirus actuels. Ceci montre l'aspect illusoire des antivirus piratés.

    Divers virus posent de gros problèmes à cette méthode de détection, car ils sont cryptés et auto-mutants. On les appelle généralement virus polymorphes. À chaque réplication le virus se crypte lui-même avec une clé aléatoire. On ne peut donc définir aucune signature stable qui permette de le reconnaître. Pour être efficace l'antivirus doit faire une analyse du contenu pour rechercher d'éventuels mécanismes de cryptage.

  • L'idéal serait de pouvoir identifier dans le code des structures logiques caractéristiques des mécanismes viraux en général. Ceci rendrait possible la détection de virus encore inconnus. Malheureusement, rien ne permet d'identifier avec certitude un virus par cette méthode. Certains détails de structure sont fortement suspects car ils sont souvent employés dans les virus, mais l'exploration systématique des programmes montre qu'on peut parfaitement les rencontrer dans des logiciels tout à fait normaux, et même dans des fichiers du système d'exploitation.
  • La plupart des antivirus actuels utilisent des fichiers de signatures mais incorporent aussi d'autres méthodes de détection dites heuristiques qui reposent par exemple sur l'analyse empirique de certains détails de structure des fichiers, comme indiqué ci-dessus. Ceci leur permet parfois de détecter un nouveau virus avant que sa signature soit connue.
  • Un autre groupe de méthodes consiste à prendre une « empreinte » de chaque fichier de programme et à contrôler périodiquement que ce fichier n'a subi aucune modification. Cette méthode ne permet que la détermination a posteriori d'une contamination, mais elle offre théoriquement l'avantage de détecter la présence de virus encore inconnus. L'empreinte du fichier comprend généralement son nom, ses date et heure de création ou modification, sa longueur et une « somme de contrôle » (checksum) obtenue en faisant la somme (en utilisant l'opération modulo) de tous les octets du code du logiciel, ou de certaines zones sensibles de celui-ci. Le logiciel antivirus enregistre ces données lors d'un premier examen du disque et, lors des examens ultérieurs, compare ces données initiales avec celles que lui fournit l'examen en cours. En théorie, toute modification, même minime, d'un fichier doit pouvoir être détectée ainsi. En réalité, certains virus utilisent des méthodes sophistiquées pour leurrer ces logiciels de contrôle.
  • Il y a deux stratégies fondamentales d'utilisation des antivirus. La première est d'utiliser ces outils pour scanner tout fichier nouveau avant installation, et les disquettes ou CD-ROM avant utilisation. Par précaution il est également recommandé de scanner périodiquement son disque dur.
  • La deuxième technique consiste à installer en mémoire au démarrage de l'ordinateur un module antivirus spécial, appelé généralement moniteur. Tous les antivirus actuels possèdent un moniteur. Celui-ci peut rechercher automatiquement la signature de virus connus dans tout fichier devant être exécuté ou recopié. Il peut aussi surveiller en permanence l'activité de l'ordinateur, détecter et empêcher tout comportement suspect : tentative d'écriture sur le secteur d'amorçage, modification de la table d'allocation en dehors des procédures normales, effacement inopiné de fichier, formatage du disque, écriture directe sur le disque (en particulier dans un fichier de programme), contournement des fonctions du système d'exploitation ou
    détournement de celles-ci de leur rôle normal. Cette stratégie permet, en théorie, d'intercepter à la source les tentatives de contamination ou d'agression des virus même inconnus.

    Contrairement aux moniteurs fondés essentiellement sur la recherche des signatures, ceux (plus rares) qui reposent essentiellement sur la surveillance d'opérations suspectes affichent souvent des messages d'avertissement lors du fonctionnement de divers programmes sains. En effet certains de ces comportements suspects sont également utilisés par des programmes normaux. Si ces antivirus sont mal conçus les messages seront trop nombreux et finalement l'utilisateur n'en tiendra aucun compte ou abandonnera l'usage de ce dispositif de protection. Si les messages ne sont pas assez nombreux, une agression assez habile pourra passer inaperçue. Cette méthode n'a pas non plus une efficacité absolue, car certains virus sont capables de masquer leur action.

    Il faut savoir que les moniteurs fonctionnant en temps réel peuvent être moins efficaces que les programmes d'analyse lancés à la demande (pour des questions d'encombrement en mémoire ou de charge du microprocesseur) : ils ne dispensent donc pas de faire une analyse systématique du disque de façon périodique.

  • On distingue les virus actuellement en circulation (virus in the wild, dans le jargon des spécialistes) et les virus in the zoo, qui ne se rencontrent que dans les collections des spécialistes et des éditeurs d'antivirus. Ce dernier groupe comprend des virus qui n'ont jamais vraiment réussi à percer, des virus expérimentaux et des virus très anciens qui ne se rencontrent plus actuellement.
    Cette distinction est importante : en raison de l'inflation du nombre des virus les éditeurs ont tendance à retirer de la base de signatures les virus les plus anciens, afin d'éviter d'avoir une base de taille excessive qui ralentirait fortement l'analyse. On peut donc avoir de mauvaises surprises en réutilisant des fichiers se trouvant sur de vieilles disquettes.
  • Si l'antivirus est paralysé par un virus ou ver on peut avoir recours à un antivirus en ligne, tel ceux qui sont disponibles sur les sites suivants :

    http://fr.trendmicro-europe.com/consumer/products/housecall_pre.php

    http://www.mcafee.com/myapps/mfs/default.asp

    http://www.pandasoftware.com/activescan/fr/activescan_principal.htm

    http://www.bitdefender.com/scan/licence.php

    http://www.secuser.com/antivirus/index.htm

    Ces antivirus en ligne nécessitent généralement l'utilisation d'Internet Explorer pour fonctionner.

  • 4 - Les pare-feux (firewalls)

    Lorsqu'un ordinateur est connecté à l'Internet il est susceptible de subir des agressions variées en provenance du réseau. Ces tentatives d'intrusion utilisent des portes d'entrées (terme technique = ports) par lesquels les divers protocoles communiquent avec d'autres ordinateurs (par exemple les serveurs Web communiquent à travers le port 80).