Dans sa définition la plus large, un virus informatique est un programme autoreproducteur, c’est-à-dire qu’il réalise des copies de lui-même dans des fichiers existants (phénomène appelé concaténation instable). À l’heure actuelle, il en existe plus de 27 000 répertoriés par les éditeurs d’antivirus, dont 695 étaient en circulation au mois d’août 2001. Les virus se caractérisent par leurs mécanismes de reproduction et d’infection d’un poste ?” sur la zone de démarrage, sur les fichiers applicatifs ou encore les exécutables ?”, et non par leurs effets. Les dégâts sont multiples : simple message, effacement de fichiers, formatage du disque, flashage de la mémoire CMOS, voire installation sur le poste d’un cheval de Troie.Les premiers virus connus encore en circulation (NewZealand et Michelangelo) datent de la fin des années quatre-vingt. Ils s’installent sur la zone de démarrage des disquettes et des disques durs et contaminent toute nouvelle disquette manipulée. Rapidement, d’autres virus ont infecté les PC en contaminant les fichiers exécutables, à la manière de Jerusalem (alias Vendredi13), l’un des premiers du genre. À l’époque, un même programme était contaminé plusieurs fois et son fichier grossissait donc sans cesse. Puis, les programmeurs se sont inspirés d’un virus existant pour en réaliser une version plus efficace. Ainsi, la deuxième génération de virus d’exécutables est plus perfectionnée et ne réinfecte pas les fichiers déjà atteints. À partir de 1998, ce type de virus s’attaque au format natif 32 bits des programmes Windows. En mars 1999, Happy99 fait encore monter d’un cran le risque de contamination. Grâce à une version modifiée du composant système “wsock32.dll“, il s’expédie en tant que pièce jointe à chaque fois qu’un e-mail part du poste. Tous les exécutables peuvent être contaminés par ce type de virus : les programmes Windows (.exe) ou DOS (.com), mais aussi les bibliothèques dynamiques (.dll), les pilotes de périphériques (.drv, .sys, .bin, .386, .ctl) et même les économiseurs d’écrans (.scr). La prolifération des virus est étroitement liée au mode de sécurisation des systèmes d’exploitation. Ainsi, dans les systèmes Windows, tout utilisateur peut modifier les fichiers système, exécutables compris, sans le moindre contrôle. Même les systèmes d’exploitation récents à vocation professionnelle, comme Windows NT ou 2000, ne mettent en ?”uvre une véritable politique de sécurité sur les fichiers que s’ils utilisent le format NTFS (New Technology File System), qui permet de définir des attributs pour chaque fichier. Reste qu’un grand nombre d’utilisateurs se connectent sous le mode administrateur, facilitant ainsi une concaténation instable. La diffusion d’un virus exécutable est assez facile sur ce type de système, contrairement à ce qui passe dans les environnements Unix. Sur ces derniers, un compte utilisateur infecté ne permet pas de modifier les fichiers système. Il existe toutefois des attaques spécifiques pour Unix, avec des vers comme Lion pour Linux, ou SadMind pour Solaris. Ces programmes exploitent des failles de sécurité réseau spécifiques pour avoir accès au compte root (racine) et contaminer le système.
Virus multipartite et polymorphe
À partir de 1996 apparaît une nouvelle génération de virus : les macrovirus. Initialement, les macros servent à automatiser un certain nombre de tâches. De la même façon, le virus Concept, écrit dans le langage macro de Microsoft Word (VBA), s’exécute automatiquement à l’ouverture du document, avant d’infecter les feuilles de style. Il devient ainsi résident dans l’environnement Word et contamine tout autre document ouvert par la suite. Des techniques similaires fonctionnent avec Excel (Laroux) et PowerPoint. Il existe même des virus multipartites, comme Tristate, qui passent d’une application Office à une autre. On entend par polymorphes, des virus qui incluent un code spécial qui rend chaque infection différente de la précédente (W97M_PRI).Le premier de ce genre est apparu en 1991, avec pour nom de code Tequila, suivi de Dark Avenger, un virus qui peut prendre 4 millions de formes différentes. Avant les macrovirus, la création d’un virus était uniquement à la portée de spécialistes maîtrisant la programmation en langage machine. Programmer un macrovirus dans un langage évolué, de type Visual Basic, est une tâche simple une fois les principes de base compris, et il est très facile de créer une variante (ou mutant) d’un virus existant à partir d’un échantillon. Les macrovirus constituent, à l’heure actuelle, plus de 95 % des virus en circulation. Pire, ils profitent des facilités d’accès au réseau et au courrier électronique des applications Office. En 1999, le macrovirus Word 97 Melissa fut, par exemple, l’un des premiers à utiliser les fonctions e-mail d’Outlook pour se propager sur le réseau.À l’automne 2000, s’est diffusé un autre type de micro-organisme informatique : le virus script, écrit uniquement en VBS, ce qui le distingue des macrovirus. Autre différence, il affecte les fichiers système Windows (ILOVEYOU entre dans cette catégorie). Pour être contaminé, il suffit d’ouvrir avec Outlook ou Outlook Express une pièce jointe baptisée “loveletter.txt.vbs“, la première extension .txt sert à dissimuler la véritable extension .vbs. Windows exécute le virus en utilisant le moteur d’exécution WSH (Windows Scripting Host). LoveLetter utilise le carnet d’adresses Outlook pour s’expédier par mail aux correspondants de la victime… et se répand comme une traînée de poudre.
La nouvelle vague : danger !
Depuis 2001, les virus exécutables connaissent un retour en force. Les mutants récents sont devenus des programmes très complexes et utilisent les techniques des pirates pour pénétrer sur les systèmes et se propager. Dernier en date : Nimda, le ver le plus dangereux à ce jour peut sauter d’un serveur web au poste d’un utilisateur et inversement. L’autre aspect très inquiétant de Nimda c’est, qu’à cause d’une faille de sécurité d’Outlook/Outlook Express, l’utilisateur est contaminé par simple affichage du message, sans ouvrir la pièce jointe.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
