LE GUIDE
LE VER EST DANS LE FRUIT Ver. Forme particulière de virus, capable de se dupliquer et de se répandre de manière parfaitement autonome, sur un réseau ou par e-mail, sans passer par un programme-hôte. Ce parasite coriace se déplace sans cesse dans la mémoire de l ordinateur infecté, et peut même changer de nom de manière apparemment aléatoire. En s arrogeant progressivement toutes les ressources de l ordinateur, le ver informatique le paralyse peu à peu, jusqu au blocage. UN ENNEMI AUSSI FURTIF QUE REDOUTABLE De tous les virus, les vers (ou worms en anglais) sont certainement les plus redoutables. Ce n est d ailleurs pas un hasard s ils représentent, à l heure actuelle, quelque 90 % des virus informatiques en circulation. Parmi les plus tristement célèbres de ces dernières années, citons notamment Hybris, Badtrans, Sircam, Nimda, Magistr, Klez, Code Red, Bugbear, Sobig, Blaster, Dumaru, Mydoom ou encore Sapphire/Slammer qui, en janvier 2003, a mis à terre à lui seul un pan entier du réseau Internet en moins d'une demi-heure (10 minutes pour 90 % des machines vulnérables)! Ainsi dénommés par analogie, parce qu'ils rampent pour s introduire au cœur d un organisme (en l occurrence, un système informatique), les vers présentent la particularité de ne pas avoir besoin d un hôte (programme, fichier, support ) pour se dupliquer. 13
En effet, c est en utilisant le réseau, principalement au travers des programmes de messagerie (mais aussi des réseaux peer-to-peer ou des canaux de messagerie instantanée de type IRC, qu ils se diffusent à grande échelle. C est par ce mode de propagation à part qu ils se différencient des virus classiques. UN ORGANISME PERVERS Parfaitement autonomes, les vers utilisent principalement deux modes de contamination : d un côté le courrier électronique (on parle alors de mass mailing worms), et de l autre les failles de sécurité du système d exploitation ou des applications d un ordinateur connecté à un réseau ou à Internet. Un ver se propageant par courrier électronique (Outlook et Outlook Express sont les deux clients de messagerie les plus exposés à ce type d attaques) se compose notamment de deux éléments : le réplicateur et la charge active. Le premier s occupe de la propagation du ver par l envoi d e-mails infectés, au contenu (expéditeur, objet, corps) est plus ou moins aléatoire, et accompagnés d une pièce jointe. Pour ce faire, le réplicateur se charge d abord de récupérer sur la machine infectée, par exemple au moyen de scripts contenus dans la pièce jointe au message, l ensemble des adresses électroniques qu il pourra y trouver : dans le carnet d adresses de la messagerie, naturellement, mais aussi au sein des messages archivés, des pages Web enregistrées en local ou dans la mémoire du navigateur Internet, des fichiers texte, etc. À chaque nouvelle machine infectée, le processus de recherche d adresses se répète. La propagation du ver est dès lors fulgurante, et atteint des ordinateurs personnels comme des serveurs d entreprises. La charge active du ver, elle, attendra que certaines conditions soient remplies (le plus souvent temporelles : une date précise, par exemple) avant de se déclencher. En restant ainsi en sommeil pendant quelques jours, voire quelques semaines, elle permet au ver d atteindre un niveau de propagation suffisant pour maximiser les dégâts. Car naturellement, le déclenchement simultané de millions de charges actives aux quatre coins du globe peut entraîner des dommages considérables : pertes de données, blocage des ordinateurs contaminés, voire paralysie d une partie du réseau mondial (comme avec Sapphire/Slammer) Tous les éditeurs d antivirus entament alors immédiatement la recherche d une parade qui aboutit généralement en quelques heures. 14
Toute pièce jointe suspecte, même provenant d un expéditeur connu, doit faire l objet d une analyse antivirus. De même, ne cliquez jamais sur un lien contenu dans un courrier qui ne vous est visiblement pas destiné. Les vers Internet se propagent en ciblant des ordinateurs connectés à la Toile, et pourvus d un système d exploitation ou serveur Web présentant un point faible connu (on parle alors de faille de sécurité). Une fois un tel ordinateur localisé et investi, le ver utilise sa proie pour poursuivre son œuvre de contamination depuis ce nouveau port d attache. Bien entendu, les systèmes d exploitation ne sont pas les seuls éléments logiciels dont les vers Internet sont friands. Ceux-ci peuvent également se propager en ciblant les failles de certains navigateurs Web, logiciels de peerto-peer ou de messagerie instantanée, et même d antivirus et pare-feux! Les dommages causés par les vers peuvent être considérables : par exemple, Nimda avait pour effet de partager, en mode contrôle total (lecture, écriture et suppression de fichiers), l ensemble des disques durs des machines infectées! Si l exposition de données sensibles représentait déjà un enjeu important pour un particulier, une entreprise voyant ses ressources internes à la merci des pirates encourrait, pour sa part, un risque létal. UN VER, ÇA SUFFIT! Leur mode de propagation privilégié étant la messagerie électronique, éviter de contracter un ver de type mass mailling worm s avère globalement relativement aisé. S ils exploitent parfois des failles particulières des programmes de messagerie, qui leur permettent de se propager sans l intervention directe de leurs victimes, la plupart de ces vers doivent en effet être activés par l utilisateur notamment lorsque celui-ci clique sur une 15
pièce jointe infectée. Il revient donc à tout un chacun de prendre certaines précautions, afin de ne pas se muer en complice involontaire d un acte malveillant à l échelle planétaire. Au-delà de l activation nécessaire d un pare-feu, la première des précautions consiste à ne jamais ouvrir une pièce jointe reçue par courrier électronique sans s assurer au préalable de son innocuité, même si le message semble provenir d un expéditeur connu : rappelez-vous que les virus sont capables d usurper l identité de l un de vos contacts pour mieux vous duper. Une autre protection consiste à ne pas activer la fonction «Masquer les extensions des fichiers dont le type est connu» de Windows (accessible au travers du menu Outils, Options des dossiers de l Explorateur Windows, onglet Affichage), afin d être toujours en mesure de vérifier l extension d un fichier avant de l ouvrir. Enfin, les vers n étant finalement qu un type particulier de virus, la plupart des antivirus sont en mesure de procéder à leur éradication, en supprimant par exemple la pièce jointe dès réception d un e-mail contaminé (pour peu que les antivirus et autres pare-feux n aient pas été, auparavant, désactivés par le virus). Certains vers particulièrement coriaces, notamment Klez ou Nimda, ont en outre fait l objet de logiciels de suppression (dits antiworm) spécifiques, téléchargeables gratuitement sur Internet. Pour ce qui est des vers Internet, bloquer les sources de contamination implique de mettre à jour régulièrement son système d exploitation. Dans le cas de Windows XP et de Mac OS X, Microsoft et Apple proposent régulièrement des correctifs aux failles de sécurité identifiées et exploitées par les pirates. 16
Lorsque vous utilisez des applications sensibles, comme les navigateurs Internet ou les outils connectés en permanence au Net (messageries instantanées, logiciels peer-to-peer), vérifiez régulièrement s il existe une nouvelle version, dont certaines failles auront été corrigées. Enfin, l alliance efficace d un pare-feu et d un antivirus réduira de manière drastique les chances d infection, quelle que soit sa nature. QUELS SONT LES TYPES DE FICHIERS À SURVEILLER? Parmi les fichiers potentiellement dangereux, car directement interprétables par le système, figurent notamment ceux qui présentent une extension.bat (programme de traitement par lots),.com (programme exécutable MS-DOS),.doc (document Microsoft Word),.eml (message électronique Microsoft Outlook Express),.exe (programme exécutable Windows),.msi (package d installation Microsoft Installer),.pif (fichier Windows Program Information File),.scr (écran de veille),.vbs (script Microsoft Visual Basic),.xls (tableau Microsoft Excel) Mieux vaut dans tous les cas faire subir à toute pièce jointe un examen antivirus en bonne et due forme. D autres extensions, bien que moins exposées car non interprétables directement, peuvent néanmoins cacher un virus ver : entre autres, les fichiers de données.dat, les documents texte.txt, les fichiers image.jpg,.gif ou.bmp, les fichiers vidéo.avi,.asf,.mpg ou.ram, les fichiers audio.mid,.mp3,.rm ou.wav, etc. Ne tombez pas pour autant dans la paranoïa la plus complète : chaque pièce jointe ne représente pas forcément une menace. Simplement, en cas de doute, n hésitez pas à passer tout fichier suspect au crible d un logiciel antivirus à jour et correctement paramétré. 17
RCS Evry B327 733 184 - Réf. : GDSECUWEB - Illustrateur : Montagne - Impression Williams Lea - W