INTRODUCTION

Le “marché” des VIRUS s’est énormément développé dans le monde des PC qui
font tourner les Systèmes d’exploitation DOS, OS/2… ou UNIX. En général, la
faculté d’être envahis par des virus est beaucoup plus facile pour le système
monotâche et monoutilisateur tel le DOS (Windows 3.x, Windows 95),
contrairement aux autres systèmes comme OS/2 ou UNIX qui sont bien mieux
protégés au niveau de la sécurité. De plus la conception de ces derniers est
beaucoup plus complexe, ce qui diminue le risque d’être facilement
compréhensible par les auteurs de virus.
Cet exposé fera en premier partie, le tour des principaux types de virus, de vers
et d’autre programme malveillant, de la manière dont ils s’introduisent dans
l’ordinateur, des dégâts et nuisances qu’ils peuvent causer sur les fichiers ainsi
que sur le système d’exploitation. Ces connaissances sont indispensables pour
apprendre à se protéger, ce qui fera l’objet de la deuxième partie
 I- GENERALITE ET DEFINITION DES VIRUS
INFORMATIQUES

A- GENERALITE
La destruction, l’altération, la modification accidentelles ou délibérées, ou
encore le détournement frauduleux de l’information, ont existé depuis
longtemps, mais le traitement automatisé des informations et la puissance
conférée aux spécialistes par la connaissance des méthodes de programmation,
ont donné naissance à un nouveau type de délinquance. Certains de ces délits se
proposent d’altérer ou détruire l’information, ou de perturber le fonctionnement
du système informatique.
Ces fonctionnalités font partie des caractéristiques essentielles d’un nouveau
type d’agression en informatique : les virus informatiques
B- DEFINITION
Un virus est un programme parasite, caché, codé, qui doit être lu, interprété et
exécuté par le système d'exploitation ou un autre programme et qui se reproduit.
Il provoque des facéties ou la destruction totale des informations sans
l'approbation de l'utilisateur. En 1998, plus de 15000 virus ont été identifiés et
200 nouvelles variétés font leur apparition à chaque mois..
Sur une disquette infectée, le virus attend d'être lu pour s'installer en mémoire
vive et ou s'insérer dans un programme de la famille des EXE ou COM ou dans
le secteur d'amorce ou la partition d'un disque et récemment dans des fichiers
texte ou format tableur qui contiennent des macro-commandes. Souvent, le code
inséré dans un programme augmente un peu sa taille. On le constate en
comparant la taille du fichier infecté à l'original. Par la suite, à chaque fois que
ce fichier (EXE ou COM) infecté est utilisé, le virus cause le dommage ou
contamine une autre disquette ou un autre programme (EXE ou COM).
L'exécution du fichier, un événement ou une date déclenche plus tard les
conséquences néfastes prévues par le malfaiteur. La phase contamination peut
être très longue. L'agression peut se faire attendre. Pour que virus contamine le
plus grand nombre d'ordinateurs, l'auteur ne doit pas attaquer tout de suite le
disque rigide, car il se ferait repérer immédiatement par une analyse de la cause
du problème. Ce délai permet aux logiciels anti-virus d'agir.
 II- TYPOLOGIE ET CLASSIFICATION

A- LES TYPES
On classe les virus par leurs modes de reproduction, leurs modes d’infection,
leurs mode d’activation et par leurs effets pour chaque cible. Ainsi, on
distingue :
- les virus programmes dont le vecteur de contamination est constitué par
les exécutables,
- les virus systèmes dont le vecteur de contamination est constitué par le
secteur de partition ou le secteur de démarrage,
- les virus interprétés regroupant les virus macro sur les documents et les
virus de script utilisant un langage de programmation particulier qui se
rapproche de la programmation par lot (batch),
- Les virus multipartites ou multifonctions qui regroupent plusieurs cibles et
renforcent leurs capacités de contamination,
B- CONTENU PAR TYPE
a)Les virus Programmes
Ces virus ont pour cible les exécutable binaire compilé. En générale leurs
infections se font par étape. Tout d’abords ils se logent dans un fichier
exécutable. Lorsque ce fichier est lancé, c’est les virus programmes qui
exécutent leurs codes en premier, ils passent alors dans la mémoire de
l’ordinateur et recherche sur le disque un (des) nouveau(x) programme(s) à
contaminer. La contamination se fait donc de proche en proche. Tant que la
fonction d’agression de ce type de virus n’est pas activée, aucune manifestation
de la présence du virus n’est perceptible pour un utilisateur non averti.
 Principe de fonctionnement
Les virus programmes agissent par deux manières soit: par ajout de leurs codes
au programme cible soit par remplacement d’une partie du code de ce
programme.
- par ajout de leurs codes au programme cible
Dans ce mode d’infection, les virus insèrent leur code dans celui du programme
donc la longueur de celui-ci va augmenter de la longueur de celle du virus. Mais
comme la longueur d’un virus peut être trop petite (peut descendre jusqu’à
l’ordre de 135 octets), il est parfois difficile de savoir si le programme
contaminé a une taille plus longue que celle d’origine.
- par remplacement d’une partie du code de ce programme
Pour ce mode d’infection, la taille du fichier contaminé ne change pas mais on
observera probablement assez vite des dysfonctionnements ou des blocages
correspondant aux parties du programme remplacées (toutefois s’il s’agit d’une
partie du programme qui est rarement utilisée le problème tardera à se
manifester).
b) Les virus systèmes
Il n’y a pas que les fichiers de programmes qui peuvent contenir du code
exécutable. Mais en raison de la manière dont le système d’exploitation démarre
et prend le contrôle des disques et disquettes, le premier secteur de la disquette
(secteur d’amorçage ou secteur de boot/ Boot et DBR) ou les premiers secteurs
du disque dur (secteur de la table de partition et secteur d’amorçage/ Boot et
MBR) peuvent contenir un bout de code exécutable.
 Principe de fonctionnement
Les virus du système (appelé aussi virus de boot) s’installent dans un ordinateur
généralement par démarrage de celui-ci avec une disquette contaminée ou par
les virus de programme.
- Par démarrage de l’ordinateur avec une disquette contaminée Par défaut,
le BIOS tente normalement de lire le contenu du secteur d’amorçage de
A: avant celui de la partition C: cet effet facilite l’introduction du virus
dans le secteur de d’amorçage (DBR) de la disquette via une disquette
contaminée (qui peut ne pas contenir de programme) présente dans le
lecteur A: (que cette disquette contienne ou non le DOS).

- Par les virus programmes

Toutefois, les virus du type programme peuvent être également conçus pour
aller infecter secondairement le secteur de boot. Le virus se loge d’abord dans
un fichier exécutable et il ne fait qu’attendre le prochain démarrage. Dès que
l’ordinateur redémarre c’est à dire lorsque le BIOS exécute le code, le virus
prend le contrôle du BOOT ou MBR du disque dur et exécute les instructions
que son auteur a programmées.
Exemples: Infection du MBR : Jumper.B, Antiexe.
Infection du Boot : Form.
 c)Les virus interprétés
Les virus interprétés regroupent les virus macro et les virus de script.
- Les virus macro
Les applications sophistiquées de l’informatique bureautique, telles que le
traitement de texte Word ou le tableur Excel, contiennent un langage de
programmation qui permet d’automatiser des opérations complexes grâce à
l’écriture de macroinstructions (connues sous le nom de macros) exécutées par
l’application. Ces macros sont enregistrées dans les documents..
- Les virus de script
Le langage script est un langage de programmation destiné à contrôler
l’environnement d’un logiciel. Lorsqu’il est interprété, on peut l’exécuter sur
tout ordinateur disposant de l’interprétateur approprié. Deux les plus utilisés
sont les VBScript et les Javascript.
d) Les virus multipartites
Ces sont des virus qui cumulent les cibles et renforcent ainsi leur capacité de
contamination. Ils cherchent souvent à infecter les zones mémoire du disque dur
ou des autres secteurs de masse et les fichiers exécutables. Leur but étant une
plus grande propagation et tente de faire planter l’ordinateur. Certains virus de
ce type infectent par exemple le secteur de partition du système puis, une fois
résident en mémoire vive, infectes les fichiers exécutables sur d’autre unité
logique.
e)Les virus polymorphes
Ces sont des virus qui peuvent prendre plusieurs formes. Les formes à prendre
sont relatives en fonction de l’antivirus que l’utilisateur utilise. Cette relativité
est réalisée en dotant les virus de fonction de chiffrement et de déchiffrement de
leur signature (la succession de bits qui les identifie), de façon
f) Les rétrovirus
On appelle « rétrovirus » ou « virus flibustier » (en anglais bounty hunter) un
virus doté la faculté de déchiffrer et de modifier les signatures de l’antivirus afin
de les rendre inopérants.
g) Les autres infections informatiques
Une infection informatique est un programme malveillant qui peut produire des
nuisances sur les systèmes informatiques alors qu’elle n’est pas
autopropageable, ni autoduplicable : ce n’est donc pas des VIRUS. Il existe
plusieurs types d’infection informatique dont nous allons voir ci-après.
- Le ver : Un ver est un programme malveillant qui a une existence
autonome (ce n’est pas un parasite). Ainsi, contrairement aux virus les
vers ne doivent pas se loger dans des programmes (ou autres informations
exécutables) pour agir.

- La bombe logique : Une bombe logique est une fonction illicite ajoutée
par un informaticien à un programme normal hébergé par un ordinateur

- Le Cheval de troie : Le cheval de Troie, au contraire, est un programme

entièrement conçu pour provoquer des dommages, mais en empruntant le
nom et l’apparence d’un programme ayant une autre fonction.

- Les backdoors : Le terme backdoor se traduit par « porte dérobée ». C’est

un moyen pour contourner la manière normale d’entrer dans un
programme.
- Les robots : Les robots, qui cumulent souvent les fonctionnalités de type
ver et une activité d’appropriation des ressources, d’attaque réseau et/ou
d’espionnage.

III- LES MOYENS DE PREVENTION CONTRE LES VIRUS

INFORMATIQUES

A- RECOMANDATIONS ET PRECAUTIONS NECESSAIRE

Face aux multiples fonctions ainsi qu’au type de virus très nombreux,
l’utilisation de logiciel antivirus ne suffit pas pour protéger contre les virus.
L’organisation de la lutte antivirale passe par la mise en place des mesures et
précautions à prendre pour l’utilisateur, suivi de la mise en place des outils de
détection et de préventions depuis le poste de travail jusqu’à la passerelle
internet.
a) Dimension humaine
Les préventions fondamentales contre les virus reposent sur les mains des
utilisateurs. Voici quelques-unes qui pourront être efficace.
Même si l’utilisation des disquettes n’est plus en vogue à nos jours, ils y en a
encore des simples utilisateurs qui travaillent avec ces support, pour eux il est
préférable de rendre le disque C: prioritaire avant le lecteur A: en modifiant un
réglage du BIOS. Cette approche diminue le risque d’être contaminé via une
disquette.
Faire des générations de sauvegarde régulière et successives (par exemple un jeu
de sauvegardes renouvelé journellement, un autre jeu qui sera renouvelé toutes
les semaines, un autre tous les mois... selon l’importance des fichiers et de la
fréquence de leur modification.) des fichiers importants sur des supports
extractibles (disque externe, CDROM R/W, etc..).
b) Mettre à jour régulièrement les correcteurs de sécurité des logiciels
Comme on le sait bien, tous les logiciels comportent souvent des failles de
sécurité. Pour pallier à ces failles, il est nécessaire de télécharger les patchs de
sécurité régulièrement mis à jour par les fabricants. Pour cela on a qu’à :
- Fermer toutes les applications et aller dans Windows Update. En cas de
gros problème, on trouvera un message illustrant quoi faire.
- Cliquer sur "Rechercher des mises à jours". Dans le cas où la mise à jour
qu’on cherche n'apparaît pas dans la liste, tant mieux. Cela signifie que
cette mise à jour est déjà installée dans l’ordinateur. (Configuration
automatique) sinon, on la télécharge.
- Regarder si d'autres mises à jour sont nécessaires.
- Installer les patchs concernant Outlook express et MS Explorer.

B- UTILISATION DES LOGICIELS

a) Les antivirus, logiciels anti-espions et mise à jour
- Les antivirus
Pour commencer, il est intéressant de souligner que malgré les complexités et
facultés multiples que les virus possèdent tel le changement de son signature par
lui-même, les facultés de déchiffrer les codes de signature de l’antivirus, aucun
programme antiviral ne peut garantir une efficacité absolue, même s’il le
prétend. Cependant, il faudra envisager l'utilisation systématique d’un
programme antivirus ceci réduit fortement les risques. Il existe divers
programmes commerciaux tout à fait sérieux. Ils permettent de contrôler et,
lorsque c’est possible, de décontaminer les fichiers, disques infectés.
Posséder un antivirus a peu d’intérêt si on ne dispose pas de mises à jour
fréquentes. Les antivirus doivent en effet être mis à jour régulièrement (au
moins toutes les semaines, tous les jours si possible) en téléchargeant sur
Internet les nouveaux fichiers de définitions virales.
 b) Les logiciels anti-espion
Ils protégeront des logiciels espions appelés aussi les spywares qui sont des
logiciels qu'un "cyberpirate" installe sur un ordinateur cible sans en informer le
propriétaire. Son but étant de récolter des informations intéressantes (mots de
passe, no de carte de crédit…). Il faut faire attention, ces spywares sont rarement
détectés par de simples antivirus.
c) Les pare-feux (firewalls)
Lorsqu’un ordinateur est connecté à l’Internet il est susceptible de subir des
agressions variées en provenance du réseau. Ces tentatives d’intrusion utilisent
des portes d’entrées (ports) par lesquels les divers protocoles communiquent
avec d’autres ordinateurs (par exemple les serveurs Web communiquent à
travers le port 80).
Le rôle d’un programme pare-feu est de fermer tous les ports inutilisés et
d’ouvrir les ports nécessaires sur la base de critères bien précis.

C- REPARATION EN CAS D'INFECTION ET ASTUCES

La réparation en cas d’infection dépend totalement du type de virus et de la
plate-forme utilisée. Vu la complexité de déchiffrer les virus, la plupart des
opérations de réparation portant sur les fichiers ou le disque dur ne sont pas à la
portée de n’importe qui, même en ayant des connaissances de base en
informatique. Certaines tentatives maladroites causent plus de dommages que le
virus lui-même et contrairement à ce qu’on pense un formatage complet du
disque (dans l’espoir d’effacer toute trace de contamination) est inutile et même
ne détruit pas les virus de système contenus dans le premier secteur du disque
(table de partition ou MBR). Il ne suffit pas de désinfecter le disque dur. Il faut
aussi examiner toutes les supports utilisés ou gravés sur les ordinateurs
contaminés.
- Types et procédures d’intervention
On distingue deux types d’interventions. Dans certains cas, le virus ou vers sera
détecté avant le déclenchement de sa fonction de dommage. S’il s’agit d’un
virus du système, il suffit de remplacer le secteur d’amorçage par une copie
saine de celui-ci (idem si le virus est dans la table de partition, mais c’est plus
délicat). S’il s’agit d’un virus de programme, la solution la plus simple est de
détruire les programmes infectés et de les remplacer par une copie de réserve
saine.
Dans un certain nombre de cas il est possible de réparer le fichier en supprimant
le code du virus. Bien entendu, il ne faut pas que le virus ait détruit une partie du
code du programme
Le deuxième type d’intervention correspond aux cas où le virus a déjà causé des
dommages. Dans ce cas, il faudra détruire toute trace du virus mais également
essayer de réparer ce qui peut l'être, car toutes les situations peuvent se
rencontrer, depuis l’altération d’un petit nombre de fichiers jusqu’au formatage
du disque dur.
- Astuces pour combattre les infections des virus
Comme mentionné plus haut, les réparations des infections des virus dépendent
généralement du type des virus ainsi que de la plate-forme utilisée.
- Une autre méthode pour éradiquer un virus présent sur une machine, si on
sait le nom de virus, la meilleure méthode consiste tout d'abord à
déconnecter la machine infectée du réseau, puis à récupérer le kit de
désinfection adhoc. Pour cela redémarrer l'ordinateur en mode sans échec
et de lancer l'utilitaire de désinfection.
CONCLUSION

Actuellement, on trouve des logiciels qui agissent à la fois comme

pare-feu, antivirus, anti-spam et anti espion. Ils ne protègent pas
totalement mais diminuent considérablement les risques. Certains sont
gratuits d'autres payants.
S'il convient d'éviter la paranoïa, il faut également éviter de croire que
les virus ne touchent que les autres !
Un ordinateur non protégé = un appartement avec une porte grande
ouverte.
Rester vigilant, s'informer, se protéger
- avec un antivirus régulièrement mis à jour, un pare-feu et un
anti-espion
- mettre à jour les patchs des systèmes d'exploitation,
- trier son courrier avant de l'ouvrir,
- sauvegarder ses données sur un support externe.