Virus : généralités
et protection
Par Frédéric
BOURGEOIS (mis à jour en mai 2000)
Fléau majeur de l'informatique, les virus sont aussi présents
sur internet. Qu'ils s'attaquent au secteur d'amorce de vos
disques, aux fichiers exécutables ou aux documents incluant
des macros, leur but est toujours le même : proliférer en cachette,
se faire subitement remarquer, puis souvent détruire vos données.
La meilleure protection reste la prévention : méfiez-vous des
disquettes introduites dans des ordinateurs peu sûrs, et des
fichiers douteux téléchargeables sur internet ou reçus en pièce
jointe d'un courrier.
Les virus sont un fléau majeur de l'informatique, et pas
seulement sur internet : un simple échange de disquettes entre
copains ou collègues de travail peut contaminer votre
disque dur, sans même éveiller vos soupçons. Car la bestiole
est souvent rusée. Autopsie.
Qu'est-ce qu'un virus?
Un virus est un petit programme conçu pour se cacher dans
votre ordinateur, puis se multiplier, se répandre de par le
monde et enfin déclencher une action (message, destruction,
petite musique, etc.). On dénombre plusieurs catégories de
virus, en fonction de la cible visée dans l'ordinateur.
Les différentes familles de virus
La première catégorie regroupe les virus de secteur d'amorce
(= virus de "boot sector", c'est-à-dire affectant
la zone du disque qui est lue en premier au démarrage) tels
que Form, jack the ripper, french boot, parity boot... Ces
virus remplacent le secteur d'amorce du disque infecté par
une copie d'eux-mêmes, puis déplacent le secteur original
vers une autre portion du disque. Le virus est ainsi chargé
en mémoire bien avant que l'utilisateur ou un logiciel ne
prenne le contrôle de l'ordinateur.
Les virus d'applications infectent les fichiers exécutables,
c'est-à-dire les programmes (.exe, .com ou .sys). Pour simplifier,
disons que le virus remplace l'amorce du fichier, de manière
à ce qu'il soit exécuté avant le programme infecté, puis il
lui rend la main, camouflant ainsi son exécution aux yeux
de l’utilisateur.
Les virus macro sont des virus qui infectent uniquement
des documents (Word, Excel...), en utilisant le langage Visual
Basic pour Application. Ces virus se propagent actuellement
dans de fortes proportions et peuvent malheureusement causer
de grands dégâts (formatage du disque dur par exemple).
Enfin, il y a les virus de mail, également appelés vers.
Ces virus se servent des programmes de messagerie (notamment Microsoft
Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement
à tout ou partie des personnes présentes dans le carnet d'adresses.
Leur premier effet est de saturer les serveurs de messagerie, mais
ils peuvent également avoir des actions destructrives pour les ordinateurs
contaminés. Ils sont particulièrement redoutables, car le
fait de recevoir un mail d'une personne connue diminue la méfiance
du destinataire, qui ouvre alors plus facilement le fichier joint
contaminé.
A noter que certains virus sont des virus polymorphes. A
chaque fois que l'un d'eux infecte un fichier, il se crypte
différemment. Résultat, il faut que l'antivirus analyse la
technique d'encryptage de chaque virus pour déceler, dans
les fichiers contaminés, une sorte de "manie" caractéristique,
une constante.
Il ne faut pas confondre les virus avec les troyens ou les
emails bombs. Contrairement
à son cousin le virus, qui profite de toute occasion pour
se multiplier, le troyen véritable ne se reproduit pas (pour
plus d'informations, consultez le dossier
Secuser.com sur les troyens). Par ailleurs, plusieurs
vulnérabilités dans les logiciels Internet Explorer
/ Outlook font que certains virus peuvent infecter votre ordinateur
à la simple ouverture du message ou lors de sa lecture dans
la fenêtre de visualisation voire en consultant une
page web si Internet Explorer n'a pas été patché
contre cette vulnérabilité.
Fonctionnement d'un virus
Quel que soit le type de virus, aucun ne contamine - pour
l'instant - les fichiers compressés. Cela ne garantit pas
qu'un fichier compressé soit exempt de virus : il peut très
bien avoir été infecté avant compression, et se révélera donc
dangereux une fois décompressé.
Pour bien comprendre le mode de fonctionnement d'un virus,
il faut se souvenir de l'analogie avec le virus biologique.
Comme lui, le virus informatique essaie de contaminer tout
ce qu'il peut, de se dissimuler aux yeux de l'organisme infecté,
et de se répandre le plus largement possible. Les virus infectent
un maximum de fichiers puisqu'ils demeurent en mémoire dès
le démarrage de l'ordinateur. Ils interceptent les commandes
du Bios, et agissent ainsi selon leur humeur...
Règles générales de protection
La prévention paie toujours. Quelques règles simples peuvent
être appliquées :
ne téléchargez pas des programmes d'origine douteuse,
qui peuvent vous être proposés sur des sites persos ou des
chats eux-mêmes plus ou moins douteux;
méfiez-vous des fichiers joints aux messages que vous
recevez : analysez avec un antivirus à jour
tout fichier avant de l'ouvrir, et préférez détruire un
mail douteux plutôt que d'infecter votre machine, même
si l'expéditeur est connu;
fuyez les disquettes d'origine douteuse (ou ayant transité
dans des lieux publics vulnérables comme les salles de cours
ou TP des écoles ou universités), et protégez les vôtres
en écriture;
créez dès maintenant, si ce n'est pas déjà fait, une disquette
de boot saine contenant un antivirus (la plupart des antivirus
le proposent) pour une désinfection d'urgence;
procédez régulièrement à des sauvegardes du contenu important
de votre disque dur après avoir vérifié l'absence de virus
: cela peut paraître fastidieux, mais en cas d'infection
(ou même simplement en cas de crash de disque dur), ça vous
sauvera la mise...
tenez-vous au courant des apparitions de nouveaux virus.
Secuser.com vous offre ce service en émettant des alertes
lorsqu'un virus connaît une diffusion importante. Les informations
(nom du virus, mode de transmission connu, etc.) sont alors
consultables en ligne dans sur
le site, ou par abonnement gratuit à la
lettre hebdomadaire Secuser News, ou encore en temps
réel via la liste
Secuser Alerte. Connaître l'existence du virus, c'est
déjà le tuer à moitié...
En complément de ces règles de prévention, la meilleure protection
- et le principal remède en cas de contamination - consiste
à installer un antivirus (certains sont gratuits, voir les
liens utiles en fin d'article). Une solution qui reste toute
relative, car aucun produit ne détecte 100% des virus, 100%
du temps : d'où l'importance de la prévention. Par ailleurs,
de nouveaux virus apparaissant chaque jour, il faut veiller
à régulièrement actualiser la base de données virales du logiciel
: la plupart des éditeurs proposent une mise à jour au minimum
mensuelle, mais pas toujours gratuite... Comment savoir si mon ordinateur
est contaminé ?
Tout comme les troyens, les virus sont le plus souvent repérés
trop tard, par les conséquences potentiellement désastreuses
de leur activité : affichage de messages intempestifs, émission
de sons ou de musiques inattendus, mais aussi plantage de
l'ordinateur, formatage du disque dur, etc.
Pourtant, de nombreux indices peuvent mettre la puce à l'oreille
de l'internaute vigilant : mémoire système disponible inférieure
à ce qu'elle devrait être, changement du nom de volume d'un
disque, programmes ou fichiers subitement absents, apparition
de programmes ou de fichiers inconnus, ou encore comportement
anormal de certains programmes ou fichiers.
Si vous êtes sous Windows 95 ou 98 et que vous avez un doute
sur votre micro, vous pouvez vérifier vous-même le niveau
de la mémoire système : ouvrez une fenêtre DOS, tapez la commande
CHKDSK puis la touche Entrée, et examinez le contenu des informations
listées. Un message semblable au texte suivant devrait apparaître,
avec cependant les caractéristiques propres à votre machine
(nom de volume, espace disque, etc.) :
Le numéro de série du volume est 1827-00E6
446 190 080 octets d'espace disque total
862 758 400 octets disponibles sur le disque
4 096 octets dans chaque unité d'allocation
841 355 unités d'allocation sur le disque
454 775 unités d'allocation disponibles sur le disque
655 360 octets de mémoire totale
590 528 octets libres
Au lieu d'utiliser CHKDSK, essayez la commande SCANDISK.
SCANDISK peut détecter et corriger un plus grand éventail
de problèmes de disque.
Normalement vous devriez avoir 655 360 octets de mémoire
totale. Ce test n’est malheureusement pas sûr à 100 %,
mais si le chiffre est différent sur une configuration standard,
cela sent le virus de boot...
Que faire en cas de contamination
?
La solution la plus simple reste de vous procurer un logiciel
antivirus. La plupart propose une procédure permettant de
désinfecter le contenu du disque avant d'installer le logiciel,
mais le mieux est d'installer l'antivirus avant toute contamination
afin de bénéficier de l'ensemble de ses fonctionnalités (surveillance
des transferts de fichiers ou de l'accès aux fichiers sensibles,
inoculation des fichiers pour repérer tout changement de taille
suspect, etc.).
Vous pouvez également utiliser un antivirus
gratuit en ligne pour procéder immédiatement à l'analyse
ainsi qu'à l'éradication de virus éventuellement présents
sur vos disques.
Pour ceux qui sont très à l'aise
au niveau technique
En cas de contamination par un virus de boot ou un virus
de fichier :
Si votre machine n'est pas configurée en multi-boot,
allez sous DOS et entrez fdisk/mbr pour supprimer le Master
Boot Record (= secteur d'amorce du PC, automatiquement régénéré
au prochain démarrage);
Eteignez l'ordinateur (pas reset, ni redémarrage);
Démarrez à partir d'une disquette de boot saine, protégée
en écriture, et contenant un antivirus;
Lancez l'antivirus (le reste dépend de l'antivirus).
Pour les virus macro, je conseille de rechercher le fichier
normal.dot et de le supprimer, puis ensuite de détruire tous vos
documents. Cette méthode supprime les virus macro définitivement,
mais aussi malheureusement votre travail. Une solution consiste
à utiliser un "bloqueur" lorsque vous chargez un
document inconnu : ce type de programme empêche le transfert de
nouveaux virus dans vos autres documents. Essayez donc Stealth Protect
: en plus, il est gratuit.
