Actu News AntiVirus, AntiSpam, Cyber Criminalités


dimanche 9 septembre 2007

Kesako un virus ?

" Un virus, en fait c'est un programme qui infecte d'autres programmes existants. Le ver c'est celui qui se propage par exemple par la messagerie, de boites aux lettres en boites aux lettres, de courrier en courrier. Quant au cheval de Troie, c'est une sorte de bombe logique, c'est à dire qu'il ne se propage pas mais on va cliquer dessus et il va alors soit ouvrir une porte, soit faire une action malicieuse contre la machine donc peut être une destruction. "

Marc Blanchard

Virus compagnon

Les virus compagnons sont un type de virus de fichiers classiques qui ne modifient pas le fichier hôte. Au lieu de ça ils créent un fichier copie contenant le virus. Lorsque le fichier infecté est lancé, la copie contenant le virus sera exécutée en premier.

Cette catégorie inclut les virus qui renomment le fichier hôte, enregistre le nouveau nom en tant que future référence et ensuite écrase le fichier original. Par exemple, un virus peut transformer notepad.exe en notepad.exd et écrire son propre code sur le fichier comportant le nom d'origine. Chaque fois que l'utilisateur de la machine victime lance notepad.exe, le virus sera éxécuté avec le fichier Notepad original, notepad.exd étant exécuté par la suite.

Virus polymorphes

Les virus polymorphes tentent d'échapper à la détection antivirus en modifiant leurs modèles d'octets pour chaque infection, aussi l'antivirus ne peut rechercher de constantes séquences d'octets. Certains de ces virus utilisent aussi différentes techniques de scripts à chaque infection.

Le terme polymorphe vient du grec qui signifie ' plusieurs formes ' et a été appliqué pour désigner les premiers virus polymorphes apparus au début des années 1990.

Les auteurs de virus utilisent encore de nos jours le polymorphisme plus souvent avec les vers et les textes dynamiques de spams mais moins fréquemment avec les virus classiques.

Virus furtif

Les virus furtifs tentent de duper les scanners antivirus en présentant des données saines lors de l'analyse antivirus. Certains de ces virus exposent une version saine du fichier infecté lors du scanning. D'autres virus furtifs cachent la nouvelle taille du fichier infecté et expose la taille du fichier avant infection.

Ver

Synonymes: Ver informatique, Ver de messagerie, Ver Internet, Ver de réseau

Les vers sont des programmes informatiques qui se répliquent mais qui n'infectent pas d'autres fichiers. Les vers d'aujourd'hui utilisent tous les moyens possibles de reproduction y compris les LANs, l'Internet, les emails, les channels IRC, les réseaux de partage de fichiers, les téléphones mobiles et autres canaux de transport d'information.

Ces dernières années les vers ont fait des ravages dans le monde entier : en encombrant les canaux Internet et en faisant tomber les serveurs, en servant de moyens de transport aux attaques de DoS, transportant des Trojans et autres.

Le terme ver a été crée par un auteur scientifique John Brunner dans sa nouvelle Shockwave Rider (L'onde de Choc) en 1975. Le héros, un programmeur talentueux, crée des programmes informatiques capables de se dupliquer et qui se frayent leur chemin à travers un réseau mondial.

Spyware

Les spyware sont une classe de programmes malicieux qui inclue tout programme qui collecte et transmet de l'information sur un système informatique à l'insu de son propriétaire.

Cette classe de malware inclus tous les Trojans, les enregistreurs de frappe, etc. Le spyware arrive sur les machines de l'utilisateur caché dans le freeware ou comme payload d'un ver ou d'un virus.

En plus de problèmes de confidentialité, le spyware use de la bande passante et peut provoquer des plantages de système s'il est mal écrit.

Social engineering

Le Social engineering repose uniquement sur l'interaction humaine, c'est-à-dire que cette technique s'attache à pousser l'internaute à franchir les barrières normales de sécurité.

Les auteurs de virus et les spammeurs dépendent fortement du déguisement de leur malware et les spams de messages innocents. Ils prétendent souvent lutter contre toute forme de cyber crime qui est sur le point d'être commis. L'objectif est que l'utilisateur réponde, c'est-à-dire qu'il clique sur un fichier attaché à un email infecté, sur un lien allant vers un site corrompu, qu'il réponde à une fausse annulation d'inscription:la liste est interminable.

SMTP

Synonymes: Simple Mail Transfer Protocol

SMTP - Simple Mail Transfer Protocol. Aujourd'hui c'est le moyen le plus utilisé pour l'envoi de mails sur Internet.

Virus Classique

Synonymes: Virus informatique, Programme malicieux, Virus classique

Un virus est un programme ou un code capable d'infiltrer des systèmes, disques ou fichiers individuels sans que l'utilisateur soit au courant ou consentant. Une fois que le virus a atteint sa cible, la suite des évènements dépend du type de virus mais peut comporter :

  • Une réplication uniquement sur le système infecté donné
  • Infection d'autres fichiers lors de leur ouverture ou de leur création
  • Suppression ou corruption des données dans les fichiers/systèmes hôtes
  • La consommation de ressources sans causer de dommages directs

Aujourd'hui le terme de virus désigne les virus classiques et, est un terme générique pour les programmes malicieux comprenant les virus, les trojans etc.

POP3

Synonymes: Post Office Protocol

POP -Post Office Protocol. Un protocole email qui stocke les messages entrants sur un serveur en attendant que l'internaute se connecte et télécharge sur la machine locale.

Port

Synonymes: Port TCP/IP

Les ports sont des points d'entrées pour la transmission de données matérielles. Les ports sur des ordinateurs personnels assure la communication entre les lecteurs internes et externes et les appareils tels que lecteur de disque, moniteurs, claviers, modems, imprimantes et autres périphériques.

En même temps, le terme port est utilisé pour des points d'entrée logiques des données transmises via TCP/IP et UDP. Le port 80 est souvent utilisé par les protocoles TCP et UDP pour les données HTTP. Les auteurs de virus ciblent des ports spécifiques pour leurs attaques par virus et vers. Les Trojan backdoors ouvrent les ports à l'insu de l'utilisateur donnant ainsi un accès à distance au propriétaire du Trojan sur la machine victime.

Il n'y a encore pas si longtemps les ordinateurs étaient pourvus de ports parallèles et de série (ou COM). Les ports de série transfèrent les données 1 bite à la fois, pendant que les ports parallèles transfèrent les données un octet à la fois. Les deux fonctionnaient plutôt bien jusqu'à ce que les flux de données deviennent beaucoup plus importants et que l'internaute nécessite plus d'appareils pour travailler efficacement et sereinement.

Les ports USB (Universal Serial Bus) autorisent jusqu'à 127 appareils connectés sur un seul ordinateur et les données n'en soient pas moins transmises rapidement. La plupart des ordinateurs et des périphériques sont désormais équipés de ports USB et de systèmes de connections.

Phishing

Forme de cyber crime et/ou fraude reposant sur des techniques de social engineering. Le nom est la fusion de 'fishing' qui veut dire pêche, et 'phreaking' qui désigne le piratage de lignes téléphoniques.

Le criminel crée de toutes pièces une réplique parfaite d'une institution financière ou d'un site web commercial. Le criminel va ensuite à la ' pêche ' : une lettre est envoyée sous forme de spam dont l'adresse est faussée afin d'imiter une vraie correspondance en provenance de l'institution commerciale ciblée. Les phishers utilisent de vrais logos, un style correct de correspondance d'affaires et des noms appartenant pour de vrai aux cadres exécutifs.

Dans tous les cas, toutes ces lettres poursuivent le même objectif : duper le client et le faire cliquer sur le lien contenu dans la lettre. Les liens fournis par les phishers conduisent directement les utilisateurs à une imitation du site web ou le ' poisson ' malchanceux procède à la confirmation de ses données personnelles et bancaires.

Patch

Synonymes: Pack de maintenance

Les patchs sont des codes supplémentaires destinés à corriger une faille dans les applications ou systèmes d'exploitation. La plupart des éditeurs ne révèlent pas le code source, aussi les patchs ne sont généralement que des bouts de code binaire à insérer dans les fichiers exécutables sur le système à patcher.

Le terme ' patcher ' revient à télécharger et installer les correctifs fournis par les éditeurs. Les corrections elles-mêmes sont nommées différemment selon leur taille ou leur importance : les corrections mineures sont généralement appelées des patchs alors que les plus conséquentes sont appelées service ou packs de maintenance.

Patcher est une part intégrante de la sécurité de l'ordinateur puisque les vulnérabilités dans les applications et systèmes d'exploitations courants sont les cibles préférées des auteurs de virus et des hackers. Il est crucial de patcher à temps. A l'heure actuelle le délai entre l'édition d'un patch par les vendeurs principaux tels que Microsoft et les épidémies de malware exploitant la vulnérabilité donnée est d'environ d'une semaine.

Relais ouvert

Synonymes: Open relay

Un relais ouvert désigne les serveurs de messagerie qui autorisent le passage de mails venant d'utilisateurs non admis. Ce que ne font pas la plupart des serveurs de messagerie et des sociétés qui sont au fait des risques de sécurité encourus.

Malheureusement il y a toujours suffisamment de serveurs relais ouverts sur l'Internet pour que les spammeurs et hackers les utilisent pour envoyer du malware et du spam.

Mise à jour des bases antivirus

L'efficacité des solutions antivirus dépend des bases de données de définitions de virus. Ces bases sont dynamiques par nature étant donné la constante activité des auteurs de virus. Pour exemple, les analystes viraux de Kaspersky Lab détectent et ajoutent 100 nouvelles menaces quotidiennement à la base antivirus.

Les programmes antivirus sont devenus de plus en plus sophistiqués au fil des années afin de contrer la complexité croissante des programmes malicieux. Des mécanismes de protection proactifs, heuristiques, conçus pour détecter les nouvelles menaces avant qu'elles n'apparaissent dans la nature offrent une première ligne de défense importante.

Néanmoins, une mise à jour régulière de la protection antivirus est plus importante que jamais étant donné la rapidité à laquelle les menaces actuelles sont capables de se propager. Les éditeurs d'antivirus ont réduit l'intervalle entre les mises à jour de signatures de trimestriellement à mensuellement et finalement à quotidiennement. Désormais, Kaspersky Lab fournit les mises à jour de définitions virus toutes les heures.

Keylogger

Synonymes: Keystroke logger

Utilisé par un cyber-criminel pour obtenir des données confidentielles (compte d'utilisateurs, numéros de cartes bancaires, mots de passe etc.) en interceptant les frappes au clavier. Les Backdoor Trojans (Trojans de porte dérobée) sont généralement dotés d'un keylogger intégré; les données personnelles interceptées sont transmises au malfaiteur à distance et peuvent être exploitées pour obtenir de l'argent illégalement, ou un accès non autorisé à un réseau.

Faux positif

Synonymes: Fausse détection

Quand est ce qu'un virus n'en est pas un ? Lorsqu'il s'agit d'un faux positif ! Un faux positif est lorsqu'un programme antivirus considère par erreur un fichier innocent comme étant infecté.

Même si cela semble mineur, les faux positifs peuvent être une véritable nuisance :

  • Les ressources système sont sollicitées pour scanner et reporter le supposé code malicieux
  • Temps perdu par l'utilisateur à chercher et arrêter le soi-disant virus
  • Les emails de retard que l'utilisateur ne peut pas lire pendant que l'antivirus tente de stopper le virus
  • Temps perdu à des tentatives futiles de désinfecter des fichiers infectés ainsi que les backups qui sont également marqués comme ' infecté '.

En bref, les faux positifs sont des nuisances coûteuses.

Pare-feu

Synonymes: Firewall

Un pare-feu est une barrière entre l'utilisateur final, en entreprise ou particulier, et les systèmes informatiques externes. Les pare-feux contrôlent les flux entrants et sortants de données et les ports. L'objectif est de bloquer tous les paquets de données et requêtes qui ne correspondent pas à des paramètres pré-définis.

Dans un environnement réseau, les pares-feux sont utilisés pour protéger le périmètre externe et les frontières entre les réseaux et les groupes d'utilisateurs.

La plupart des entreprises d'aujourd'hui utilisent des pares-feux dynamiques : ces pares-feux contrôle l'état des connections du réseau. Les administrateurs créent des listes de paquets de données légitimes pour chaque connection. Le pare-feu autorise uniquement les paquets qui correspondent aux connections et rejette toutes les autres.

Les pare-feux personnels protègent les particuliers contre les attaques de hackers et des données potentiellement corrompues envoyées par Internet.

Fichier exécutable

Synonymes: Fichiers EXE, Fichiers PE EXE

Un fichier exécutable est un programme au code binaire prêt à être exécuter par l'ordinateur sans intervention humaine.

Les extensions de fichiers les plus répandues pour des formats exécutables Windows sont .exe, .com, .dll, .bat. Un fichier exécutable qui est dynamiquement lié à un autre programme est appelé une bibliothèque de liaison dynamique.

Les fichiers Windows Portable Executable (PE) sont de simples fichiers exécutables qui fonctionnent sur tous les systèmes d'exploitation Microsoft 32-bytes, ce qui explique pourquoi la majorité du malware visant Windows est écrit sous ce format.

Sur Unix, les fichiers exécutables sont marqués d'un drapeau de permission spécial dans les attributs de fichiers.

Exploit

Le terme exploit (à prononcer explo-ite) désigne un programme ou un morceau de code voire même des données dont le but est de profiter d'un bug ou d'une vulnérabilité dans une application ou un système d'exploitation. A la suite de quoi, un attaquant accède à des privilèges non sanctionnés sur une machine ou un réseau victime avec pour objectif d'obtenir les pleins pouvoirs de l'administrateur.

Les exploits sont souvent déterminés une fois qu'ils ont utilisé les vulnérabilités pour infiltrer des systèmes : dépassement de mémoire tampon, concurrence critique, attaque de type ' format string ' et cross site scripting (CSS).

Les experts en sécurité et les auteurs de virus sont engagés dans une course sans fin pour trouver les vulnérabilités en premier : la communauté de la sécurité écrit des patchs pendant que l'informatique underground écrit des exploits.

Désassembleur

Les désassembleurs sont des utilitaires qui servent à transformer un code binaire en code assembleur c'est-à-dire en données textuelles du code de la machine. Les programmeurs utilisent ces utilitaires pour débugger des programmes. Les analystes viraux utilisent les désassembleurs pour rendre lisible les versions des codes malicieux. En d'autres mots, les analystes viraux doivent avoir la possibilité de désassembler des fichiers viraux avant de pouvoir identifier le virus, alors que les hackers et auteurs de virus font leur possible pour protéger leurs oeuvres contre les désassembleurs.

Clé de Registre

Microsoft utilise des clés pour stocker les clés de configuration dans l'environnement Windows. La valeur de ces clés est modifiée à chaque fois qu'un nouveau programme est installé ou que les paramètres de configuration sont modifiés.

Les programmes malicieux change souvent les valeurs de leurs clés ou bien en créent de nouvelles pour s'assurer que le code sera exécuté au moment et à la manière choisie par le l'auteur de virus. Ces changements ne garantissent pas seulement que le code malicieux sera exécuté mais nuisent souvent à l'ordinateur hôte également.

Chiffrement

Le chiffrement est une technique à double tranchant dans le monde informatique actuel. Les particuliers et les entreprises l'utilisent pour protéger leurs communications légitimes alors que les auteurs de virus chiffrent les programmes malicieux pour les masquer des produits antivirus.

Les méthodes modernes de chiffrement légitime impliquent que l'expéditeur et le destinataire aient des clés compatibles : une clé partagée par deux personnes ou plus, ou une clé publique pour tous les expéditeurs et une clé privée pour le destinataire.

Les auteurs de virus utilisent le chiffrement pour masquer le code afin que les scanners antivirus ne puissent pas le détecter. Dans ce cas, étant donné que les destinataires n'ont pas de clé pour décrypter le virus, l'algorithme de déchiffrement est inclus dans le code du virus.

Chevaux de Troie

Synonymes: Trojans, Troyens

Les chevaux de Troie ou trojans sont des programmes malicieux qui endommagent le système hôte lors de leur installation. La différence principale entre les virus, les vers et les chevaux de Troie est que ces derniers ne se dupliquent pas.

Ils ont été dénommés ainsi car de la même façon que les grecs ont utilisé un cheval apparemment innocent pour conquérir Troie, le premier cheval de Troie électronique prétendait être un jeu ou une application innocente, alors qu'il endommageait l'ordinateur hôte après son installation.

Aujourd'hui les Trojans sont programmés pour être installer de manière invisible et mener des actions destructrices y compris la corruption de l'ordinateur hôte, de manière invisible là aussi.

Les chevaux de Troie sont divisés en plusieurs sous-classes englobant les backdoors, les logiciels espions, les droppers, downloaders et bien d'autres encore.

Vulnérabilité

Synonymes: Faille, Brèche

Une vulnérabilité (universelle) est un état dans un système informatique (ou ensemble de systèmes) qui peut soit :

  • Autoriser un attaquant à exécuter des commandes au même titre qu'un utilisateur
  • Autoriser un attaquant à accéder à des données contrairement aux règles restrictives d'accès à ces données
  • Autoriser un attaquant à masquer son identité
  • Autoriser un attaquant à mener une attaque par déni de service*

Les hackers et auteurs de virus exploitent régulièrement les vulnérabilités pour collecter des données confidentielles afin de prendre le contrôle des machines victimes pour un usage illicite ultérieur.

Blacklists

Synonymes: Listes noires

En référence au spam, les listes noires sont des listes de sources connues de spams :

  • spammeurs
  • adresses connues expéditrices de spams
  • ISP spammeurs
  • relais ouverts

Les blacklists sont une des méthodes employées par les filtres anti-spams pour bloquer les spams. Plusieurs blacklists open source (au code source libre) sont accessibles au public et les internautes peuvent ajouter des informations sur la blacklist locale.

L'aide apportée par les blacklists obligent les ISP (Internet Service Provider) à contrôler leur courrier sortant : si un ISP est mis sur blacklist, alors tous les emails en sa provenance seront retournés, ce qui peut entraîner de sérieures pertes financières.

Bit

"Bit" est la contraction de ' binary digit '. Bits sont les plus petites unités de mesure pour les données informatiques. La base d'un bit est 2. Les chiffres d'un bit en numérotation binaire ne peuvent être que 0 ou 1.

Une bande passante, ou la vitesse à laquelle l'information circule est habituellement mesurée en bits par seconde.

Huit bits sont nécessaires pour créer un caractère alphabétique ou numérique appelé une byte. Attention donc à ne pas confondre bit et byte. Un Kilobyte (KB) est constitué de 8,192 bits ou 1024 bytes, alors qu'il faut 8388608 bits or 1048576 bytes pour obtenir un mégabyte (MB).

Attaque de DoS

Synonymes: Attaque de DDoS

Les attaques par ' Denial of Service ' (Deni de Service) ont pour but de perturber ou de stopper complètement le fonctionnement d'un site web, d'un réseau, d'un serveur, ou d'autres ressources. Les hackers et auteurs de virus utilisent différentes méthodes d'attaque de DoS. Les attaques de DoS ont pour but de charger les serveurs de requêtes continues jusqu'à ce que le serveur réponde de plus en plus lentement au point que les utilisateurs abandonnent ou bien que les serveurs tombent totalement.

Les hackers dirigent occasionnellement les attaques de DoS vers des sociétés données pour des raisons idéologiques. Alors que les auteurs de virus professionnels penchent plus pour l'extorsion de fonds avec des attaques vers des business on line.

Une attaque par Distributed Denial of Service attack (DDos), autrement dit, déni de service distribué, diffère de DoS uniquement par la méthode. Une Dos est réalisée à partir d'un ordinateur ou d'un serveur, alors qu'un DDoS est une DoS organisée à partir d'un grand nombre de machines ou de serveurs simultanément.

Archiveur

Les archiveurs sont des programmes réalisant des compressions de fichiers en archives. Winzip est sans aucun doute l'archiveur le plus connu dans le monde. En fait nombreux sont ceux qui associent le fait de zipper un fichier et l'archiver, même lorsqu'ils utilisent un autre archiveur que Winzip.

Les formats d'archives les plus populaires sur le marché sont ZIP, RAR, ARJ et CAB. Le format CAB est souvent utilisé pour archiver les applications distributives MS Windows.

On trouve de nombreux programmes d'archives sur le marché mais les plus familiers restent WinZip, WinRar, 7ZIP etc. La plupart d'entre eux sont capables de créer des fichiers ZIP, en plus du format initial qu'ils sont capables de créer.

Ces derniers temps, les auteurs de virus archivent des fichiers contenant des virus, et incluent le mot de passe protégeant les archives avant de les attacher à des emails. Les destinataires pensent qu'un fichier archivé protégé par un mot de passe est sûr et ouvre le fichier attaché.

Adware

Synonymes: AdvWare

Le adware englobe tous les programmes qui affichent des publicités sur les écrans des internautes, souvent des banners, indépendamment de l'activité du user. Ce type de logiciel est souvent installé sur les machines victimes depuis des sites à distance sans que l'utilisateur soit au courant voire consentant.

Nombreux sont les programmes gratuits sur Internet porteurs de adware. Le adware continuera de nuire même si le programme qui l'accompagne vient à être fermé ou supprimé.

Théoriquement, le adware n'est pas dangereux, mais c'est une nuisance ainsi qu'une perte de temps et de ressources système. De plus, tout software installé et lancé sur un ordinateur sans le consentement de l'utilisateur représente une menace potentielle.

Les emails sont protegés par la solution (raKoonsKy ) AntiVirus & AntiSpam Kaspersky ( http://antivirus-france.com )

iddn SARL Eur'Net - Vollore Montagne / site déclaré à la CNIL sous le n°76192
Eur'Net RCS Evreux / B 414 642 058 - Mentions Légales
Dernière mise à jour : 29/04/13