Infection
virale au bureau ? Ce qu'il faut faire immédiatement
Quand un virus est dans la place, sang froid et bons réflexes sont des garants d'efficacité pour minimiser l'ampleur des dégats. Conseils pratiques pour l'utilisateur et pour l'administrateur. (Mardi
27 janvier 2004)
"Je viens de recevoir un message du type virus
Bagle... Je gère une association universitaire et le virus a été envoyé sur un
des mails du site, j'ai bien failli l'ouvrir mais j'y ai renoncé en voyant la
tête de la pièce jointe...", nous écrivait récemment un
de nos lecteurs, vigilant mais aussi chanceux car il venait de lire notre article
sur le sujet !
Mais que faire quand on a commis l'imprudence "fatale" ou quand, malgré
une discipline de fer, les premiers symptômes d'une contamination virale
s'imposent à l'évidence... Comment vérifier que l'on est
bien infecté ? Quelle attitude adopter ensuite, quels premiers réflexes
suivre, qui prévenir, selon que l'on est utilisateur final ou administrateur
réseau ?
Identifier
le virus en question Votre PC est particulièrement lent
ou redémarre tout seul, son comportement est anormal, des fichiers ont
été endommagés, ils sont inutilisables, votre logiciel anti-virus
ne répond plus, certaines personnes (que vous connaissez ou pas) vous répondent
alors que vous ne leur avez pas récemment écrit...
Voici quelques indices qui peuvent vous mettre la puce à l'oreille surtout
si... effectivement, vous avez surfé sur des sites non conventionnels (warez,
porno, etc.), visionné la très amusante animation de fin d'année
envoyée par votre meilleur ami ou ouvert la calculatrice proposée
en pièce attachée par le virus Bagle... Comment, dès lors,
ôter l'énorme poids qui pèse sur vos épaules et en
avoir le coeur net ?
Beaucoup de virus parviennent à attaquer le logiciel anti-virus installé
sur votre poste, le rendant inopérant. Parfois, ils ne l'endommagent que
partiellement, vous donnant l'illusion qu'il est toujours opérationnel
mais altérant sa base de signatures de virus, ce qui ne permet plus de
détecter les codes malveillants présents sur le poste infecté...
Une solution existe pourtant, certes imparfaite (le virus pourra l'attaquer également)
mais qui constitue une chance non négligeable de savoir si le virus a bel
et bien frappé : le scan de votre poste en ligne !
Plusieurs éditeurs d'anti-virus (MacAfee,
Trend
Micro, Symantec,
Kaspersky notamment)
proposent ce type d'outil gratuit qui ne vous guérira pas de votre mal
mais vous dira ce dont vous souffrez. Après avoir téléchargé
un petit programme, l'analyse de votre poste pourra commencer. Une fois le "scan"
terminé, vous connaîtrez avec précision le nom du virus et
pourrez agir en conséquence (en utilisant notamment les modules d'intervention
d'urgence proposés par certains éditeurs).
Déconnecter le poste infecté
et commencer la désinfection Une fois que le virus est clairement identifié
(ou que vous êtes confronté à suffisamment de symptômes
troublants), déconnectez le poste du réseau auquel vous êtes
rattaché (si tel est le cas) - cela évitera la propagation par ce
canal - et prévenez votre hiérarchie. Vérifiez que votre
logiciel anti-virus dispose des plus récentes mises à jour de définition
de virus.
S'il n'est pas à jour, récupérez les dernières données
disponibles, au besoin faites le d'un poste dont vous êtes certain qu'il
n'est pas contaminé. Une autre possibilité est d'utiliser (pour
certains virus seulement) les outils automatiques de désinfection proposés
par les éditeurs (Symantec,
F-Secure,
McAfee) :
ils neutraliseront le virus pour vous. La possibilité (si vous vous en
sentez capable) de procéder au nettoyage manuel du poste est bien évidemment
toujours possible.
Administrateurs réseau : communiquez ! Les consignes précédemment
exposées ne concernent pas les entreprises où un administrateur
réseau existe. En cas d'alerte, prévenez à la fois votre
hiérarchie et cette personne, elle se chargera de la suite des opérations
(déconnectez tout de même votre ordinateur du réseau en attendant).
Pour un administrateur réseau, les réflexes à avoir sont
à quelques détails près les mêmes. L'identification
précise du virus est indispensable pour pouvoir bien réagir. Savoir
en revanche comment s'est introduit le code malicieux dans l'entreprise (disquette,
courriel, téléchargement...) et qui en est à l'origine permettra
d'accélérer son éradication, notamment par un plan de communication
d'urgence à destination des autres membres du service concerné ou
parfois même de l'ensemble de l'entreprise.
Et agissez rapidement ! Ici
aussi, la mise à jour de l'anti-virus (sur les postes clients et sur le
serveur de messagerie) doit être faite et, en cas de problème très
grave, il peut être envisagé de contacter directement l'éditeur
d'anti-virus pour savoir quand un patch sera disponible (cas des nouveaux virus
non répertoriés). De toutes les façons, nombre d'éditeurs
d'anti-virus sont alertés en partie par les remontées de certains
de leurs clients.
S'il est constaté que le virus se diffuse de
manière soutenue par voie de courriel, une première mesure est de
déconnecter le serveur de messagerie du réseau. En cas de forte
propagation de poste à poste par le biais du réseau local, ce dernier
devra lui aussi être mis hors d'usage, de manière un peu brutale
mais efficace, en coupant directement les hubs et autres commutateurs le
constituant.
Après l'orage, certains postes devront être réparés
(système d'exploitation, messagerie...) et les sauvegardes (si elles existent)
des documents corrompus seront chargées. Ensuite, l'analyse de la ou des
failles dans les procédures de sécurité devra être
réalisée, afin de ne pas reproduire les faits et surtout de comprendre
ce qui s'est passé.
[