46
6. Glossaire
6.1 Types d’infiltrations
Une infiltration est un morceau de logiciel malveillant qui tente de
s’introduire dans l’ordinateur d’un utilisateur ou de l’endommager.
6.1.1
Virus
Un virus est une infiltration qui endommage les fichiers existants de
votre ordinateur. Les virus informatiques sont comparables aux virus
biologiques parce qu’ils utilisent des techniques similaires pour se
propager d’un ordinateur à l’autre.
Les virus informatiques attaquent principalement les fichiers et
documents exécutables. Pour proliférer, un virus attache son « corps »
à la fin d’un fichier cible. En bref, un virus informatique fonctionne
comme ceci : après l’exécution du fichier infecté, le virus s’active lui-
même (avant l’application originale) et exécute sa tâche prédéfinie.
C’est après seulement que l’application originale peut s’exécuter.
Un virus ne peut pas infecter un ordinateur à moins qu’un utilisateur
exécute ou ouvre lui-même (accidentellement ou délibérément) le
programme malveillant.
L’activité et la gravité des virus varient. Certains sont extrêmement
dangereux parce qu’ils ont la capacité de supprimer délibérément des
fichiers du disque dur. D’autres en revanche ne causent pas de réels
dommages : ils ne servent qu’à ennuyer l’utilisateur et à démontrer les
compétences techniques de leurs auteurs.
Il est important de noter que les virus sont (par rapport aux chevaux
de Troie et aux logiciels espions) de plus en plus rares, parce qu’ils
ne sont pas commercialement très attrayants pour les auteurs de
programmes malveillants. En outre, le terme « virus » est souvent mal
utilisé pour couvrir tout type d’infiltrations. On tend aujourd’hui à
le remplacer progressivement par le terme « logiciel malveillant » ou
« malware » en anglais.
Si votre ordinateur est infecté par un virus, il est nécessaire de
restaurer les fichiers infectés à leur état original, c’est-à-dire de les
nettoyer à l’aide d’un programme antivirus.
Dans la catégorie des virus, on peut citer :
OneHalf, Tenga et Yankee
Doodle.
6.1.2
Vers
Un ver est un programme contenant un code malveillant qui attaque
les ordinateurs hôtes et se répand par un réseau. La différence de base
entre un virus et un ver est que les vers ont la capacité de se répliquer
et de voyager par eux-mêmes. Ils ne dépendent pas des fichiers hôtes
(ou des secteurs d’amorçage).
Les vers prolifèrent par le biais des courriels ou des paquets sur le
réseau. Ils peuvent ainsi être catégorisés de deux manières :
•
courriels
qui se distribuent eux-mêmes dans les adresses de
messagerie trouvées sur la liste de contacts d’un utilisateur;
•
réseau
exploitant les failles de sécurité de diverses applications.
Les vers sont ainsi susceptibles de vivre beaucoup plus longtemps que
les virus. Par le biais d’Internet, ils peuvent se propager à travers le
monde en quelques heures seulement et parfois même en quelques
minutes. Leur capacité à se répliquer indépendamment et rapidement
les rendent plus dangereux que les autres types de programmes
malveillants comme les virus.
Un ver activé dans un système peut être à l’origine de plusieurs
dérèglements : il peut supprimer des fichiers, dégrader les
performances du système ou même désactiver certains programmes.
De par sa nature, il est qualifié pour servir de « moyen de transport »
à d’autres types d’infiltrations.
Si votre ordinateur est infecté par un ver, il est recommandé de
supprimer les fichiers infectés parce qu’ils contiennent probablement
du code malicieux.
Parmi les vers les plus connus, on peut citer :
Lovsan/Blaster,
Stration/Warezov, Bagle et Netsky.
6.1.3
Chevaux de Troie
Dans le passé, les chevaux de Troie ont été définis comme une
catégorie d’infiltrations ayant comme particularité de se présenter
comme des programmes utiles pour duper ensuite les utilisateurs qui
acceptent de les exécuter. Il est cependant important de remarquer
que cette définition s’applique aux anciens chevaux de Troie.
Aujourd’hui, il ne leur est plus utile de se déguiser. Leur unique objectif
est de trouver la manière la plus facile de s’infiltrer pour accomplir
leurs desseins malveillants. « Cheval de Troie » est donc devenu un
terme très général qui décrit toute infiltration qui n’entre pas dans une
catégorie spécifique.
La catégorie étant très vaste, elle est souvent divisée en plusieurs
sous-catégories. Les plus connues sont :
•
téléchargeur : programme malveillant qui est en mesure de
télécharger d’autres infiltrations sur l’Internet.
•
injecteur : type de cheval de Troie conçu pour déposer d’autres
types de logiciels malveillants sur des ordinateurs infectés.
•
porte dérobée : application qui communique à distance avec les
pirates et leur permet d’accéder à un système et d’en prendre le
contrôle.
•
enregistreur de frappe (keystroke logger) : programme qui
enregistre chaque touche sur laquelle l’utilisateur appuie avant
d’envoyer l’information aux pirates.
•
composeur : programme destiné à se connecter aux numéros
à revenus partagés. Il est presque impossible qu’un utilisateur
remarque qu’une nouvelle connexion a été créée. Les composeur
ne peuvent porter préjudice qu’aux utilisateurs ayant des modems
par ligne commutée, qui sont de moins en moins utilisés.
Les chevaux de Troie prennent généralement la forme de fichiers
exécutables avec l’extension .exe. Si un fichier est identifié comme
cheval de Troie sur votre ordinateur, il est recommandé de le
supprimer car il contient sans doute du code malveillant.
Parmi les chevaux de Troie les plus connus, on peut citer :
NetBus,
Trojandownloader.Small.ZL, Slapper
6.1.4
Rootkits
Les rootkits offrent aux pirates un accès illimité à un système
tout en dissimulant leur présence. Après avoir accédé au système
(généralement en exploitant une faille), ces programmes utilisent
des fonctions du système d’exploitation pour se protéger des logiciels
antivirus : ils dissimulent des processus, des fichiers et des données
de la base de registre Windows. Pour cette raison, il est presque
impossible de les détecter à l’aide des techniques de test ordinaires.
Souvenez-vous donc que pour se protéger des rootkits, il existe deux
niveaux de détection :
1. Lorsqu’ils essaient d’accéder au système. Ils ne sont pas encore
installés et sont donc inactifs. La plupart des antivirus sont en
mesure de les éliminer à ce niveau (en supposant qu’ils détectent
effectivement les fichiers comme infectés).
2. Lorsqu’ils sont inaccessibles aux tests habituels. Les utilisateurs du
système antivirus ESET bénéficient de la technologie Anti-Stealth
qui permet de détecter et d’éliminer les rootkits actifs.