InformaTIC
Les virus

Un virus informatique est un programme parasite, généralement de petite taille qui s'implante dans les ordinateurs en se dupliquant par ses propres moyens, généralement à l'insu des utilisateurs. Il a pour but de perturber le fonctionnement du plus grand nombre d'ordinateurs possible en provoquant des dysfonctionnements plus ou moins graves. Il se déplace d'ordinateur à ordinateur en utilisant des supports tels que les disquettes, les cédéroms et les connexions entre ordinateurs (internet, réseau local, cable null modem,…).

Les grandes familles de virus

Les virus peuvent être classés en différentes catégories :

	Les virus système
	Encore appelés virus de boot, ils infectent la zone d'amorce de votre disque dur ou de votre support amovible (disquette, Cédérom, etc.) en déplaçant une partie des données qui y sont stockées pour s'implanter. Lancés avant les autres applications, ils se chargent en mémoire et y restent jusqu'à l'arrêt du PC. Ils contaminent alors tous les supports amovibles insérés dans l'ordinateur. Exemple : Parity Boot.
	Les virus d'application
	Ils infectent les fichiers exécutables (.exe, .bat, .com, .sys, .vbs, etc.). Certains sont résidents en mémoire, d'autres non. Ils peuvent copier leur propre code dans le fichier cible en écrasant une partie de son contenu, pour éviter de modifier sa taille, ou en l'ajoutant au code initialement stocké dans le fichier. D'autres créent un clone sain du fichier infecté qui sera, par exemple, présenté à l'antivirus. Exemple : Tchernobyl
	Les macros-virus
	Ils infectent les fichiers d'applications utilisant des macro-commandes. Ils s'activent lors du lancement de l'application ou de l'ouverture du fichier et contaminent ensuite tous les fichiers qui seront ouverts par ces applications. Exemple : WM97/Melissa
	Les virus multiformes
	Ce sont à la fois des virus système, d'application et/ou des macro-virus. En multipliant les modes d'infections, ces virus augmentent leur potentiel de contamination. Exemple : Tequila
	Les virus polymorphes
	Ils mutent lors de chaque infection. Leurs actions restent toutefois souvent les mêmes. Seul le code du virus change. Certains virus système, d'application ou des macro-virus peuvent aussi être polymorphes afin de rendre encore plus difficiles leur identification et leur éradication. Exemple : Magistr
	Les chevaux de Troie
	Il s'agit d'applications cachées, intégrées dans le code d'autres logiciels et dont le but est de s'implanter dans une machine. Le logiciel n'est que le vecteur de diffusion de l'application, qui parfois peut même avoir été implantée sans que l'utilisateur du logiciel en ait connaissance. Ils ont généralement pour but la récupération d'informations (mots de passe, etc.) ou la prise de contrôle à distance du PC. Exemple : BackOrifice
	Les vers
	Ils créent leur exacte réplique et utilisent les transmissions entre ordinateurs pour se propager. Ils n'infectent pas d'autres fichiers mais peuvent contenir des programmes dont le but est de nuire (destruction de fichiers, envoi de données). Exemple : VBS/LoveLet-A
	Les hoax
	Il s'agit de canulars diffusés par voie de messagerie électronique : fausses alertes aux virus (ex : Sulfnbk.exe), fausses chaînes de solidarité ou pétitions (ex : femmes afghanes), fausses promesses (ex : un portable wap nokia gratuit), fausses informations (ex : Q33NY), etc. Inoffensifs en eux même, ces messages n'en présentent pas moins des dangers dans l'interprétation et l'utilisation qui en sera faite par les lecteurs (encombrement des réseaux par la diffusion croissante du message, mise en œuvre des manipulations préconisées dans le message, détournement du " canular " à des fins nuisibles en y intégrant un véritable virus, etc.).

Pour en savoir plus :
- le site Virus Info
- la revue sécurité informatique du CNRS
- le site Secuser
- les conseils du site national pour lutter contre les virus

Les technologies de lutte contre les virus

Trois technologies sont utilisées pour rechercher les virus. Il s'agit des méthodes suivantes :

	Analyse (la plus ancienne des techniques antivirales). Les scanners de virus analysent les fichiers pour détecter, et éventuellement éradiquer, la présence d'un virus connu. Pour cela, ils disposent d'une base des signatures des différents virus. Il est donc très important de mettre à jour régulièrement la base des signatures afin d'être en mesure de détecter les nouveaux virus.
	Heuristique : elle consiste à chercher des instructions suspectes à l'intérieur des fichiers en se basant sur des règles générales de reconnaissance des virus. Cela lui permet de détecter tant des virus connus qu'inconnus, sans effectuer de fréquentes mises à jour. Toutefois, cette méthode génère parfois de fausses alertes (détection d'un virus alors que tel n'est pas le cas). L'utilisateur doit être capable de faire le tri entre les vraies et les fausses alertes.
	Contrôle d'intégrité : lors de son installation, l'antivirus " catalogue " tous les fichiers présents sur votre PC. Toute modification ou création ultérieure d'un fichier fera l'objet d'une alerte. Si cette méthode n'implique pas de mise à jour car il n'est pas nécessaire de connaître les caractéristiques d'un virus pour le détecter, elle ne distingue pas la mise à jour " normale " d'un fichier d'une contamination par un virus. Le signalement se fait après la contamination du fichier et comme il n'y a pas une identification spécifique de virus, cette méthode ne permet pas non plus une désinfection.

Les logiciels antivirus combinent plus ou moins ces méthodes pour proposer les produits aussi performants que possible.

Quelques logiciels antivirus

Dès qu'un PC communique avec d'autres micro-ordinateurs, que ce soit par le biais de l'Internet, d'un réseau local ou de supports amovibles, il existe un risque certain de contamination par un virus. Cela ne se traduit pas toujours immédiatement par des actions visibles, mais à terme, le risque de contaminer les postes d'autres personnes, de perdre des données, de divulguer des données confidentielles, de détériorer certains composants, est bien réel.

L'usage d'un antivirus à jour, qu'il soit gratuit ou payant, s'impose à tout utilisateur de l'outil informatique. Voici quelques adresses et références d'antivirus.

Nom	Éditeur
Norton Antivirus 2002	Symantec
VirusScan 6.0	McAfee
PC-cillin 7.5	Trend Micro
BitDefender Home Edition	BitDefender
Viguard+net perso	Tegam
Kapersky Antivirus Personnal	WSKA
Securitoo	Wanadoo
Antivir (en anglais)

Certains de ces antivirus n'offrent qu'un an d'accès aux mises à jour des signatures des virus. Les éditeurs proposent alors de souscrire, moyennant finances, un nouvel abonnement d'un an à la base de mise à jour des signatures. À quelques exceptions près, un antivirus non actualisé perd une très grande partie de son intérêt.

Votre établissement dispose certainement d'un antivirus. Certains éditeurs offrent la possibilité aux enseignants d'utiliser gratuitement l'antivirus acheté par l'établissement sur leurs PC personnels (ex : Sophos Antivirus).

En attendant d'installer un antivirus à jour sur votre PC, vous pouvez toujours avoir recours, ponctuellement, à quelques antivirus gratuits qui effectuent des tests en ligne : Trend Micro, Symantec Security Check, Bitdefender.

Ces solutions en ligne ne sont toutefois pas suffisantes pour prévenir la contamination de votre PC. Elles n'effectuent qu'une analyse ponctuelle alors qu'un antivirus installé sur votre PC offre une analyse donc une protection en temps réel.

Quelques conseils pour limiter les risques de contamination

	Disposer d'un antivirus à jour. Mettre à jour régulièrement la base des signatures de votre antivirus et réaliser ensuite une analyse complète du système.
	Contrôler de temps à autre que l'analyse de la messagerie électronique est encore activée et correctement configurée dans votre logiciel antivirus.
	Installer les derniers patchs de sécurité de Microsoft (pour ceux qui utilisent un système Microsoft) en effectuant régulièrement des " Windows Update ".
	Modifier la séquence de boot. Par défaut, le bios de votre PC propose comme séquence de boot a, c, cdrom. Il faut la modifier pour ne mettre que c. De cette manière, peu importe si un support amovible (disquette, cédérom, etc.) se trouve dans un des lecteurs au démarrage du PC. Il ne pourra pas contaminer votre Pc avec un éventuel virus de boot.
	Vérifier la véracité d'un message électronique d'alerte ou d'information sur un éventuel virus sur un site tel que hoaxbuster. Cette précaution peut même être étendue à bon nombre d'autres nouvelles, notamment lorsqu'elles semblent particulièrement intéressantes ou émanent de structures qui n'ont pas pour habitude de communiquer sur les sujets mentionnés dans leurs " soi-disant " messages.
	Éviter d'ouvrir les pièces jointes des messages électroniques envoyés par des personnes que vous ne connaissez pas ou dont l'objet vous semble bizarre.
	Configurer les logiciels de la suite bureautique Microsoft pour qu'ils vous demandent toujours la permission d'exécuter des macros. N'autoriser leur exécution que lorsque vous êtes certains de leur origine et que vous ne doutez pas de leur contenu.
	Sauvegarder régulièrement vos données. Ce n'est pas parce que vous mettez en pratique tous les conseils ci-dessus que vous ne pouvez pas être un jour ou l'autre contaminé par un virus, qui malheureusement pourrait détruire tout ou partie de vos données.

Glossaire

	Zone d'amorce : c'est la première partie du disque lu par l'ordinateur lors de son démarrage. Elle contient les informations expliquant à l'ordinateur comment démarrer, comment le disque est formaté, s'il y a des partitions, etc.
	Macro-commande : une macro-commande est une série de commandes permettant d'effectuer un certain nombre de tâches automatiquement au sein de certaines applications Microsoft (Word, Excel, etc.).

Références bibliographiques

Pour en savoir plus sur l'anatomie d'un virus :
" Naissance d'un virus ", Mark A. Ludwig, Addison Wesley 1993
" Mutation d'un virus ", Mark A. Ludwig, Addison Wesley 1994

Mots clés : analyse heuristique, antivirus, canular, contrôle d'intégrité, hoax, macro-commande, macro-virus, scanner, virus, virus d'application, virus de boot, virus polymorphe, virus système