 |
|
|
| |
|
GUIDE PRATIQUE |
|
|
|
|
Comprendre les virus informatiques |
|
Questions-clés, définitions, liens utiles, acteurs, chiffres et citations : l'essentiel de ce qu'il faut savoir en un coup d'oeil.
(28/09/2005)
|
|
|
|
|
|
Quelles sont les grandes familles de
virus ?
Parmi
les codes malveillants, trois grandes familles de
menaces dominent : les virus, les vers et les chevaux
de Troie. Par définition, le but d'un virus informatique
est la contagion, à l'image d'un virus réel. Il
utilise donc de multiples procédés qui ont évolué
dans le temps pour faciliter sa propagation. A
l'origine, les premiers virus se véhiculaient via
les disques de stockage amovibles, dans un second
temps les disquettes, puis les CD.
Avec la généralisation d'Internet, les virus réseaux
se sont multipliés et constituent désormais la principale
voie de transmission choisie par leurs auteurs.
Pour ces virus réseau, les spécialistes parlent alors
de vers. Un ver s'appuie principalement sur des
failles du navigateur Web ou du système d'exploitation
pour s'installer et contaminer tous les postes d'un
réseau (local ou Internet). Les vers de messagerie
s'appuient pour leur part sur les relais de messagerie
pour se répandre.
Ils
intègrent alors leur propre moteur d'envoi de courriers électroniques
qu'ils utilisent pour transmettre - sous de faux noms
- des messages contenant la souche du virus. Les vers
récents ciblent désormais les applications de messagerie
instantanée et les réseaux d'échanges de fichiers
(peer-to-peer).
Enfin, les chevaux de Troie sont des virus déguisés
en applications banales pour tromper la vigilance
de l'utilisateur. Un cheval de Troie imite généralement
le nom de l'application mais aussi son procédé d'installation,
ses logos et va jusqu'à confirmer à l'utilisateur
l'installation de l'application. Lorsqu'il est présent
sur le poste, le cheval de Troie laisse une entrée
sur le système que peut exploiter un pirate
pour s'y introduire.
Vers quelles nouvelles menaces
se tournent les créateurs de virus ?
Les attaques DNS constituent une
des menaces principales pour les entreprises. Contrairement
aux virus traditionnels qui s'adressent à l'utilisateur
final, les attaques DNS ciblent les serveurs Web.
Elles contaminent les passerelles Internet pour
rediriger les adresses tapées par l'utilisateur
vers un site tiers relayant des virus ou une arnaque
en ligne (phishing).
Le phishing est une menace relativement
récente visant à subtiliser à l'internaute
ses données personnelles (identifiants et mots de
passe). Le phishing s'appuie sur des contrefaçons
de sites bancaires, d'assurance et de cyber-commerce,
où il est demandé à l'utilisateur de saisir ses
paramètres d'authentification. Les rootkits - ou kits
d'administration système - donnent quant à eux accès aux pirates
à des fonctions critiques du système d'exploitation
après installation.
Dernière menace en vogue sur Internet, les logiciels
espions ou spywares. Ces programmes s'installent
soit par le biais d'autres logiciels (Kazaa...),
soit à l'insu de l'utilisateur au travers un procédé
automatique. Une fois présents sur le poste,
ils collectent des données comme les derniers fichiers
consultés, les sites favoris, les logiciels et parfois
des informations plus confidentielles comme les
mots de passe.
Quelles conséquences provoque la contamination
par un virus informatique ?
Les virus engendrent des conséquences très variées
sur les machines infectées selon la famille d'origine
à laquelle ils appartiennent. Les plus dangereux
pour l'utilisateur effacent des données, volent
des documents confidentiels, écoutent les réseaux
et empêchent le démarrage de la machine. Aujourd'hui,
les spécialistes en sécurité voient l'émergence
d'une nouvelle menace : les bots ou ordinateurs
zombies.
Ces ordinateurs infectés par un virus offrent au
créateur du virus un accès quasiment complet au
PC infecté, par le biais d'une porte dérobée
(backdoor), souvent un port réseau ouvert
sur un serveur IRC. Ces machines peuvent ainsi exécuter
des ordres à distance, comme relayer du spam, d'autres
virus ou bien encore surcharger le serveur Web d'un
site jusqu'à ce qu'il s'écroule sous la charge des
requêtes. On appelle ce procédé une attaque en déni
de service.
Quels sont les principaux virus en circulation ?
Selon l'éditeur Symantec, plus de 10 000 nouvelles
variantes de virus sont apparues au cours du premier
semestre 2005. Mais six grandes familles drainent
la plupart des alertes des éditeurs d'antivirus
: Mydoom, Zafi, Mytob, Netsky, Bagle et Sober. Ces
familles de virus, apparues il y a plus d'un an
pour la plupart, doivent leur longévité aux nombreuses
variantes tirées de leur souche d'origine, plus
de 80 pour Bagle par exemple.
Une variante de virus consiste à introduire des variations dans le code source
d'origine du virus de manière à tromper les systèmes
antivirus. Ces variations peuvent également introduire
de nouvelles fonctionnalités pour faciliter la propagation
du virus, comme par exemple l'écriture d'e-mails dans de nouvelles
langues pour un ver de messagerie.
Comment se protéger des codes malveillants ?
Il existe différentes réponses selon les menaces.
Les éditeurs proposent ainsi des solutions anti-spam
qui filtrent les courriers entrants. Cette solution
permet d'éliminer les nombreux virus transmis par
e-mail. L'antivirus peut être ensuite utilisé pour
éliminer au niveau du serveur et du poste client les
virus présents. En plus de l'antivirus,
la protection la plus répandue en entreprise est
le pare-feu (firewall). Cette solution bloque l'émission et
la réception de flux réseaux pour certaines applications
ou ports jugés dangereux par l'administrateur.
Les solutions de filtrage de contenu bloquent l'accès
aux sites dangereux ou aux contenus non appropriés
et peuvent ainsi limiter la surface d'exposition
de l'entreprise. Des solutions de détection et de
prévention d'intrusion filtrent l'accès aux réseaux
de l'entreprise. Enfin, l'application de correctifs
de sécurité doit s'effectuer dans un délai relativement
court pour protéger les postes contre les failles
logicielles.
|
Principaux
éditeurs
|
|
Panda Software
Symantec
McAfee
F-Secure
|
Kaspersky
Trend Micro
Sophos
Computer Associates
|
| |
:: Les indicateurs-clés ::
|
| |
|
333,4
|
millions
de dollars, soit le chiffre d'affaires du
marché des boîtiers de sécurité
(appliances) au
deuxième trimestre 2004 (Source : IDC). |
|
3,6
|
milliards
de dollars de revenus pour le marché
de la sécurité réseau
dans le monde au deuxième trimestre
2005 (Source : Infonetics Research). |
|
|
|
| |
 "La
plupart des virus sont maintenant conçus
dans un but lucratif"
|
 "Il
faut développer de nouvelles techniques
de défense spécifiques au RFID"
|
|
|
|
|
|
|
|
|
|
|
|
Dossier