Autour du PC

Chevaux de Troie

Electronique

Trucs et astuces

Sécurité

 

CSS Valide !

Site optimisé en 1024x768



 

Virus et Antivirus

Ce chapitre a été écrit avant tout pour dégrossir, un peu l'aspect sécuritaire de l'ordinateur. Etant confronté à plusieurs types de menaces, il existe plusieurs type de moyens de s'en proteger et, de par leurs connaissances de les prévenir.
C'est ce que je vais tenter de décrire ici, j'espère qu'aprés la lecture de ce chapitre les "vilains virus de l'internet" seront moins mysterieux au yeux de l'utilisateur.

 

 En règle générale, les virus informatiques sont des programmes plus ou moins voluminueux, voir trés petit développés par des programmeurs. Ces lignes de code écrites à l'aide de langage de programmation, peuvent, une fois mis en marche, harceler, espionner, contôler, detruire d'un point de vue logicie,l la machine infectée.

 Les virus peuvent appartenir à deux grands groupes, les virus résidents en mémoire (appelés TSR en anglais pourTerminate and Stay Resident ): ils sont donc actifs en permanence, ils peuvent donc réagir à tout moment suivant différents évenements ou surveiller une tâche précise de la machine qu'il infecte.
 Les virus non résidents font leur boulot à l'execution: modification des paramètres de l'ordinateur ou infections de fichiers sur le disque dur.

 La fonction des virus peut être trés variée, pouvant aller du messages au milieu de l'ecran (plus agaçant que dangereux), à la destruction des données stockées sur le disque dur. A cause de la multitude des ces fonctions les virus ont été classés non pas en fonction du boulot qu'ils font mais selon leurs mode de fonctionnement.

On distingue alors :
Les Vers (worms) , capablent de se propager au travers de reseaux.
Les Troyens ou Chevaux de Troie, ouvrant une porte (BackDoor), permettant ainsi l'intrusion à distance et la prise de contôle.
Les Bombes logiques, se declenchant suivant des évenements particuliers (jours ,date,...)
et enfin les Hoax, ce sont de fausses rumeurs propagées sur le Net dans un but d'encombrement du reseau et de désinformation.

Issus de ces grandes familles, on a à faire à plusieurs types de virus:

Les Virus Polymorphes, chaque virus possède une signature bien à lui (voir chapitre sur les antivirus), ceux-ci sont capable de modifer automatiquement leur signature (fonction de chiffrement et de déchiffrement de signature) afin de n'être reconnus que par un membre de sa famille mais pas par le logiciel antivirus.

Les Rétrovirus: eux sont capable de modifier la base de données des signatures de l'antivirus afin de le rendre inopérant.

Virus de secteur d'amorçage (virus de boot), infectant la piste zero du disque dur (le Master Boot Record, MBR) permettant le démarrage du système.

Virus trans-applicatifs (ou virus macros), ce sont des portions de code écrits en VBScripts (un sous-ensemble du Visual basic), pouvant être intégrées dans des documents supportant ce type de programmation, comme par exemple les documents Office. Il est donc possible de rencontrer du code malicieux dans de simples fichiers Word ou Excel. Certains programmes sont aussi envoyés par Email sous la forme de fichier .VBS (gare à leur execution !).

Comment se proteger:

 La majorité des ordinateurs sont infectés à cause de l'uitlisateur executant malencontreusement le fichier contenant le virus ou tout simplement le virus lui même. A savoir que pour fonctionner, un programme doit être executé en memoire. Les antivirus digne de ce nom n'attendent pas patiement l'executions de ces programmes, il scrute en fait le traffic de copie ou de reception de ces fichiers dans l'ordinateur.
 Par definition, un antivirus est un logiciel permettant de débusquer et d'éradiquer un virus dans l'ordinateur. Celui-ci utilise pour cela 3 méthodes différentes:
- La suppression du code malicieux dans un fichier infecté (c'est pas toujours possible).
- La suppression pure et simple du fichier infecté.
- La mise en quarantaine du fichier infecté, le fichier est mis dans un espace à part de l'antivirus afin d'éviter son execution.

Les antivirus ont plusieurs méthodes de déctection:
  La plus ancienne et la plus simple est la reconnaissance de la signature virale du virus. Chaque virus peut être authentifié grâce à une liste d'octets. Cette liste est répertoriée dans la base de donnée de l'antivirus, il est evident que celle-ci doit être mis à jour en permanence car il sort de nouveaux virus tout les jours. Le seul inconvenient de cette méthode est qu'un virus non répertorié dans la base ne sera pas detecté. De plus cette méthode n'est pas adaptée aux virus polymorphes.

 Certains antivirus utilisent un contrôleur d'integrité pour verifier si les fichiers à protéger ont été changés. Il construit une base regroupant les caractéristiques de chaque fichier executable (date, heure, taille, somme de contôle...).A la moindre modification de ces informations, l'antivirus réagit.

 Enfin la méthode heuristique consiste à surveiller le comportement des applications afin de detecter un comportement proche de celui d'un virus connu. Ce moyen evite la mise à jour de la base virale mais sera suceptible de declencher de fausses alertes.

Alors que faire ?

Mes conseils sont les suivants :

REGLE 1 : sans protection, ne JAMAIS ouvrir un fichier suspect portant principalement l'extention :
exe, com, bat, pif, vbs, scr, doc, xls, msi ou eml, et même si ce type ce fichier provient d'un expediteur faisant parti d'amis ou de proches connaisances. Les virus peuvent en effet prendre possession du carnet d'adresse de l'expediteur et s'auto envoyer à chaque personne figurant dedans. Le plus simple est de faire appel à son bon sens et de se méfier dans le cas d'un Email en anglais ou tout simplement avec juste trois ou quatre mots sans veritable sens. Donc, poubelle.

REGLE 2 : Choisir un antivirus (payant ou gratuit), les produits gratuits sont efficaces. Verifier surtout la possibilité de faire les mises à jour de la base virale et qu'il soit capable de surveiller le courrier entrant et sortant. En voici une liste:

AVG : Gratuit mais en anglais pour la version personelle.
Avast : Performant, gratuit necessite un simple enregistrement sur le site afin d'obtenir une clé.
BitDefender : Trés leger, gratuit, mais gros défaut: pas de protection residente.

Les solutions payantes: Bitdefender ,Kaspersky, Norton, McAfee...

Un antivirus en ligne peut être interressant lorsque le système est contaminé ou bien lorsque le virus modifie le comportement du système de protection le rendant ainsi défaillant. Utiliser un anti virus en ligne sur cette page:


Inconvenients: la connection internet doit être en état de marche et absence de surveillance permanente du système.
Pour certains types de virus, les editeurs d'antivirus mettent à disposition gratuitement l'outils d'eradication du virus proprement dit et seulement pour celui-ci.
Effectuer un scanne complet du ou des disques de façon régulière.
Tester l'efficacité de l'antivirus en téléchargeant un fichier inoffenssif mais comportant une signature virale de test : tester ce fichier

REGLE 3
: Mettre à jour Windows, ainsi que, dans la mesure du possible, une mise à jour des navigateurs web et du logiciel de messagerie.

Enfin, pour permettre la désinstallation des logiciels antivirus, certains éditeurs mettent à disposition de petits programmes, la liste est disponible ici.