Jean-Pierre Lovinfosse En finir avec les virus Groupe Eyrolles,2004 ISBN 2-7464-0496-6
Chapitre 4 Le virus informatique est-il «vivant»?
Forme de vie artificielle destinée à parasiter, à coloniser et à utiliser voire à détruire son hôte lui aussi simili-vivant, le virus informatique lutte pour rester en vie (il se cache), pour se reproduire et se propager, imitant en cela les organismes vivants. Au contraire des parasites naturels dont certains peuvent vivre en symbiose avec leur hôte, les virus n apportent rien au système, ils ne font, dans le meilleur des cas, que consommer des ressources. Et le virus a un souci supplémentaire, une mission à lui imposée par son créateur : le payload. Généralement, les virus biologiques affectent leurs hôtes de manière à les épuiser progressivement, les virus informatiques frappent plus volontiers avec la soudaineté d une balle en plein cœur. Anatomie et principes de fonctionnement Essentiellement, un virus informatique est un programme capable de se reproduire et de se disséminer. Les méthodes utilisées pour effectuer ces deux tâches sont diverses et entraînent autant de qualifications. Le virus peut être doté d un code supplémentaire, visant d ordinaire la destruction de fichiers. Le virus peut aussi être équipé d un code lui permettant de se camoufler, voire de survivre au nettoyage opéré par un antivirus. C est à ce niveau que les virus font montre de la plus grande ingéniosité.
36 En finir avec les virus Un virus est donc un programme structuré qui comporte différentes fonctions spécialisées. Comparaison entre le virus biologique et le virus informatique On observe qu il existe une grande similitude entre les virus biologiques (encore que certains virus «biologiques» soient proches du minéral) et les virus informatiques, quasiment à tous les niveaux. Les principes de fonctionnement des antivirus sont eux aussi comparables à ceux mis en œuvre par un organisme attaqué. Il est d usage d opérer cette comparaison point par point et nous n y manquerons pas. Cependant, certains virus informatiques ont d ores et déjà laissé loin en arrière leurs homologues, par exemple en important de nouvelles fonctions, ce qu un virus vivant ne fait pas. Biologique : micro-organisme contenant son propre patrimoine génétique. Informatique : micro-programme contenant un code d autoreproduction. Sélectivité des cibles Ω Biologique : s attaque à certaines cellules. Ω Informatique : s attaque à certains types de fichiers. Reproduction Ω Biologique : se reproduit en accrochant son code génétique à des cellules de l hôte infecté. Ω Informatique : se reproduit en accrochant son code à des fichiers de l hôte.
4. Le virus informatique est-il «vivant»? 37 Altération de l hôte Ω Biologique : modifie le code génétique de la cellule infectée. Ω Informatique : modifie le comportement du fichier infecté en lui ajoutant des fonctions (parfois en lui retirant ses fonctions d origine). Incubation Ω Biologique : action immédiate ou différée. Ω Informatique : action immédiate ou différée. Évolutivité Ω Biologique : capacité de mutation. Ω Informatique : capacité de mutation (polymorphisme). Traçabilité Ω Biologique : peut disparaître de la cellule infectée après s être reproduit. Ω Informatique : peut disparaître du fichier infecté après s être reproduit. Dissémination Ω Biologique : les cellules infectées contaminent les cellules saines. Ω Informatique : les fichiers infectés contaminent les fichiers sains.
38 En finir avec les virus Dangerosité Ω Biologique : tous les virus n ont pas une tendance létale pour l hôte. Ω Informatique : certains virus n opèrent aucune action destructive. Parades de l hôte Ω Biologique : l organisme atteint est doté de systèmes d auto-défense. Ω Informatique : l hôte est équipé d office d un antivirus élémentaire (dans le BIOS). Ω Biologique : le système immunitaire de l organisme est auto-évolutif. Ω Informatique : certains antivirus sont capables de détecter un virus encore inconnu. Vaccins Ω Biologique : des vaccins peuvent être mis au point. Ω Informatique : des vaccins peuvent être mis au point. Ω Biologique : le vaccin est une variante affaiblie du virus. Ω Informatique : le vaccin comporte la signature du virus mais n inclut pas la séquence de destruction. On inocule le vaccin à l hôte. Lors d une attaque virale, le virus reconnaît sa propre signature et ne réinfecte pas l hôte. Cette stratégie est efficace contre les virus évolués, ceux qui testent leur propre existence chez l hôte avant de procéder à l infection. L inoculation d un vaccin, c est tout de même l inoculation d un virus, mais volontaire, et avec plus de 20.000 virus neutralisés à inoculer à chacun des fichiers cibles (qui se comptent par centaines de milliers sur les
4. Le virus informatique est-il «vivant»? 39 postes les plus courants), l ordinateur finirait par contenir plus de vaccins que de codes utiles. Les vaccins peuvent aussi se télescoper entre eux en utilisant des routines similaires voire identiques, tout ceci entraînant que la vaccination virale est sortie de l arsenal des mesures antivirales. Sérums Ω Biologique : un sérum adapté au virus permet de guérir une cellule infectée. Ω Informatique : un programme antivirus permet de retirer du fichier infecté le code du virus. Destruction Ω Biologique : certaines stratégies tendent à détruire la cellule infectée. Ω Informatique : l antivirus peut détruire le fichier infecté. Les options de la protection en temps réel permettent de fixer le sort des fichiers détectés comme infectés (destruction, réparation, quarantaine).
40 En finir avec les virus Isolement des cellules infectées Ω Biologique : certaines stratégies isolent les cellules infectées, les empêchant de se reproduire et de contaminer d autres cellules. Ω Informatique : les antivirus permettent de rendre inactif le fichier infecté, sans le détruire. Le virus est alors inopérant, tout comme le fichier infecté. On procède ainsi dans l attente d un sérum qui «guérira» le fichier infecté. Neutralisation Ω Biologique : l organisme dispose d anticorps. Ω Informatique : un antivirus ou un kit de désinfection peut anéantir le virus. Symptomatologie Comme tous les patients en souffrance, les ordinateurs infectés manifestent des symptômes. Certains virus se manifestent à visage découvert, par exemple en affichant un message ou une animation. D autres ne s en tiennent pas là et font suivre cette manifestation par la destruction de tout ou partie des fichiers du poste. D autres encore ne se manifestent pas ouvertement mais peuvent signaler leur présence par des signes auxquels l utilisateur doit être attentif. Ralentissement des processus, temps de lancement anormalement long pour une application, diminution des ressources disponibles (RAM et mémoire de masse), disparition d un élément dans un menu, interdiction de modifier les paramètres d un programme, non-lancement automatique de l antivirus
4. Le virus informatique est-il «vivant»? 41 au démarrage, retour en messagerie d un envoi dont vous n avez aucun souvenir, voilà autant de signes inquiétants qui, s ils ne traduisent pas forcément l action d un virus, doivent être interprétés au moins comme un dysfonctionnement et nécessitent des mesures immédiates, à commencer par l examen complet du système par l antivirus préalablement mis à jour. D autres virus enfin sont rigoureusement indétectables par l utilisateur, ce sont malheureusement les plus courants. Le symptôme le plus redouté, c est évidemment l extinction brutale du poste, ou l impossibilité de le démarrer. Ces symptômes, s ils ne sont pas dus à une panne du système, signifient qu un virus a délivré son payload. Ceci ne signifie pas automatiquement que le poste est détruit et les données qu il contenait, perdues à jamais. Un symptôme trop souvent négligé et pourtant très efficace est l annonce dans la presse de la découverte d un virus particulièrement nuisible. Cette annonce incite l utilisateur à mettre son antivirus à jour et à être attentif aux symptômes révélés par l article (spécifiques à chaque virus). À l heure où un virus peut faire le tour du monde en moins de vingt-quatre heures, il ne s agit pas de la presse imprimée mais bien des sites voués à cette veille technologique très spécialisée. Conseil L utilisateur avisé commencera toujours sa session Internet par la lecture des nouvelles prodiguées par les sites voués aux alertes virales (deux valent mieux qu un). Voir l annexe Adresses.
42 En finir avec les virus Cette routine quotidienne ne prend que quelques minutes et permet de se dire qu on a «fait le nécessaire». En corollaire de cette démarche volontariste, l utilisateur évitera de se fier à un quelconque abonnement à une liste de diffusion d alertes virales si cette liste n est pas gérée par un organisme officiel, un fournisseur de services ou un veilleur technologique réputé. Ces listes sauvages, quoique souvent animées des meilleures intentions, colportant souvent de fausses alertes, des hoaxes et d autres informations (publicités) génératrices de perte de temps. On se méfiera particulièrement de toute alerte non sollicitée provenant par messagerie (voir au chapitre Les autres nuisances d Internet).