LES VIRUS ET ANTIVIRUS

POURQUOI METTRE EN PLACE DES ANTIVIRUS ?

LES VIRUS

• Il s’apparente au fonctionnement du virus biologique, par un code malveillant, il se propage

d’ordinateur en ordinateur, en utilisant le réseau informatique, les périphériques externes ou les fichiers
plus ou moins sûre. A la différence du Vers informatique, le virus a besoin d’une action de l’extérieur pour
pouvoir se déclencher et se propager et en général l’action est d’origine « humaine ».

• Les virus peuvent être inoffensif et simplement afficher des images ou destructeurs, modifiant ou
supprimant des données. Ils sont en général propagés par des disques amovibles, partage réseau ou e-
mail.
LES VIRUS

• Comment fonctionne-t-il ?
• Il contient ce que l’on appelle « une bombe logique ou une charge utile" : une action prédéterminée
qui peut aller du message simple à la détérioration de fichiers, détérioration des fonctions du SE ou
destruction de toutes les données de l’ordinateur.
LES DIFFÉRENTS TYPES DE VIRUS

• Les virus classiques

-> écrit en assembleur , intégrer à un programme normal, pouvant contenir une charge utile (bombe logique).

• Les virus de Boot

➔ s’installe sur le MBR (Master Boot Record, son rôle est de charger le SE).
➔ Infecte le code situé sur le secteur bootable d’un disque pour faire un saut qui exécute un code malveillant
➔ Laisse une signature détectable

Secteur boot modifié

appartenant au virus
Secteur boot

Codification du virus
LES DIFFÉRENTS TYPES DE VIRUS
• Les virus de fichiers exécutables
• S’attache aux fichiers .exe
• En écrasant le code : détectable…
• En s’insérant dans le code : détectable aussi
• Préfère les exécutables liés au système
• Peut s’exécuter à chaque redémarrage
• propagation plus élevée

• Les macrovirus
-> fichiers Pack-Office contenant VBA
• Des programmes sont conçus pour pouvoir eux aussi exécuter du code
• macro Excel écrites en VBA
• Programme Java exécuté dans un navigateur
• Pire : les codes lus à l’ouverture d’un mail (propagation par carnet d’adresse)
LE POLYMORPHE

• Les virus sont souvent détectables par leur signature (un schéma qui se répète)
• Une façon de se répliquer
• Une façon de se cacher
• Leur code même
• Le virus peut changer sa forme :
• Il réduit sa signature détectable (quelques octets)
• Des kits de programmation pour virus polymorphe… Aïe!
LES VIRUS – MODE DE PROPAGATION

• 1er mode : à chaque réplication, le virus est chiffré pour dissimuler ses instructions.
• 2ème mode : le polymorphisme : la routine de déchiffrement du virus est capables de changer certaines
de ses instructions au fil des réplications et le rendre ainsi plus difficile à la détection
• 3ème mode : le métamorphisme : en plus du polymorphisme, ce virus est capable de changer sa
structure qui le compose
• 4ème mode : le virus trompe le SE et ses Anti-virus sur l’état des fichiers infectés. Les rootkits permettent
de créer ces virus.
LES PLUS CÉLÈBRES VIRUS

Chernobyl 1998 à 2002 : Tchernobyl est l’un des plus destructeur, détruisant l’ensemble des informations du système
attaqué et rendant parfois la machine quasiment inutilisable.

MyDoom.A en 2004

Psybut en 2009 : premier et seul virus capable d’attaquer les routeurs et modem haut Débit

Cabir , virus sur téléphone mobile

Zeus Bot – 4 millions d’infections – démantelé par le FBI, vulnérabilité dans les logiciels Acrobat Reader et Adobe
Flash pour infecter les machines - 70 millions de dollars de perte - 2014
CHAMPS DES POSSIBILITÉS DES VIRUS
• En pratique, les virus peuvent afficher des messages. C’était le cas du virus WM97/Jerk, qui affichait le message
suivant « I think (nom d’utilisateur) is a big stupid jerk! », c’est-à-dire un message d’insulte envers l’utilisateur. Les
virus peuvent également s’installer sur des systèmes d’exploitation de mobiles. C’est le cas du virus Hiddad,
découvert en 2017, et qui diffusait des annonces afin de générer des gains publicitaires.
• Les virus peuvent également vous faire entendre des voix, ou en l’occurrence de la musique dans le cas du virus
Yankee. Ce dernier jouait la musique « Yankee Doodle Dandy » à 17 heures tous les jours.
• Dans des cas plus graves, un virus peut affecter les données. Le virus WM97/Nightshade verrouillait le document
en cours d’utilisation à l’aide d’un mot de passe, tous les vendredis 13. Il était donc impossible d’accéder de
nouveau aux fichiers qui étaient en cours de rédaction. Le virus XM/Compatable, quant à lui, modifiait les fichiers
Excel, alors que le virus Michelangelo écrasait les données contenues dans les fichiers.
• Le matériel peut également être impacté par un virus. C’était le cas du virus Chernobyl (W95/CIH-10xx) qui
effaçait les données inscrites dans le BIOS de la machine. Cela rendait impossible le redémarrage, et donc
l’utilisation de l’ordinateur.
• Un virus peut également récupérer des informations personnelles. C’était ce que faisait le virus Troj/Lov Let-A. Ce
dernier récupérait des informations sur l’utilisateur en cours, mais également sur la machine elle-même, pour les
envoyer par e-mail à son malfaiteur.
LES ANTIVIRUS

• Attention, un seul antivirus doit être installé sur votre ordinateur, les conflits entre différents antivirus
peuvent rendre instable votre système.

• Un antivirus a pour rôle de détecter, d’éradiquer (supprimer) ou de mettre en quarantaine (empêcher

de nuire) les virus présents sur votre ordinateur.
LES ANTIVIRUS

Un antivirus peut utiliser plusieurs techniques pour rechercher et éradiquer les virus informatiques : Lesquelles ?

• Contrôle d’intégrité : l’antivirus vérifie régulièrement que les fichiers exécutables ou systèmes n’ont pas été modifiés et prévient
l’utilisateur en cas d’anomalie.

• Recherche de signatures : l’antivirus possède une base de signatures (suite d’octets caractéristiques) des virus déjà connus. Il
scanne les fichiers à la recherche de ces signatures.

• Recherche heuristique : l’Antivirus analyse le comportement global du système pour tenter de détecter les comportements
« anormaux » (accès répété à certaines ressource …)

• Il peut également surveiller les supports amovibles et créer des listes de renseignement des fichiers systèmes pour repérer
d’éventuelles modifications ultérieures fait par un virus.

• Du fait que de nouveaux virus apparaissent chaque jour, il est essentiel de mettre à jour son antivirus très régulièrement (l’idéal
serait tous les jours).
LES ANTIVIRUS

• Parmi les antivirus les plus performants, nous pouvons vous conseiller :

• Avira Free Antivirus (www.avira.com/fr/free-antivirus-windows) : est l’un des meilleurs antivirus (gratuit) à usage
personnel, il est capable de détecter plus de 80 000 virus, sa base de données virale est mise à jour
quotidiennement. Cet antivirus est également disponible pour Macintosh, Android et iOS.

Avast, AVG et les logiciels Bitdefender, McAffe, Norton AV et

Kaspersky sont également d’excellents AV proposant des màj
régulières
FONCTIONNEMENT DES AV

Lorsqu’un antivirus est actif, la vérification est automatique. Une icône située dans la barre de notification (à droite de la
barre des tâches) symbolise l’antivirus ; sur cet exemple, il s’agit de l’icône de l’antivirus Avira

Pour ouvrir l’antivirus, cliquez sur cette icône.

Pour fermer l’antivirus, faites un clic droit sur cette icône et
sélectionnez l’option Quitter ou Désactiver.
Pour scanner un ou plusieurs fichiers, sélectionnez-les puis cliquez
avec le bouton droit de la souris sur la sélection, choisissez l’option
correspondant à votre antivirus.
FONCTIONNEMENT DES AV
• Sur cet exemple, les fichiers sélectionnés vont être vérifiés par l’antivirus Windows Defender intégré à Windows 10 :

Lorsque Windows Defender commence l’analyse, cette

fenêtre s’affiche :

Puis, une fois l’analyse terminée, Windows Defender affiche le

rapport de l’analyse :
 CONTRE-MESURES
• Le bon sens (l’humain est le maillon faible)
• Politique de mot de passe
• Biométrie
• Politique de « prévention envers les utilisateurs »
• La technologie (les agents)
• NIDS Network Intrusion Detection System
IDS est l'acronyme de Intrusion Détection
System, ce qui se traduit en français par
Système de Détection d'Intrusion.
C'est un outil de sécurité informatique
conçu pour surveiller en permanence un
réseau ou un système informatique afin de
détecter toute activité suspecte ou
malveillante. Un peu comme un système
d'alarme pour votre ordinateur, il a pour
but de repérer les intrusions et les attaques
avant qu'elles ne causent des dommages.

• HIDS Host Intrusion Detection System

• Firewalls
• Anti-virus
• Sandbox (java, Vmware, processus Unix, …)
• Authentification cryptée
• Certificats
• Logs
• Désactivation des macros
 LOCALISATION DES PROTECTIONS

Antivirus
La question de la différence entre un NIDS
et un HIDS est fondamentale pour
comprendre les mécanismes de détection
d'intrusion.
Fonctionnement: Un NIDS surveille le NIDS
trafic réseau entrant et sortant pour
détecter des activités suspectes. Il analyse Firewall
les paquets de données à la recherche de
signatures d'attaques connues ou de
comportements anormaux.
Fonctionnement: Un HIDS surveille les
activités sur un système individuel. Il
analyse les fichiers journaux, les processus
en cours d'exécution, les événements
système et les changements de
configuration à la recherche d'activités
suspectes.

HIDS sur TCP/IP

C’EST TOUT POUR LA THÉORIE

Vous pouvez passer à la pratique