Les virus informatiques

Il y a une raison pour laquelle la définition d’un virus informatique est si similaire à celle d’un virus biologique : il est persistant, a besoin d’un hôte auquel s’accrocher, peut se répliquer, est conçu pour se propager et est difficile à tuer sans le bon médicament.

Qu’est-ce qu’un virus informatique ?

Un virus est un programme informatique malveillant capable d’infecter des fichiers en les modifiant afin d’y intégrer une copie de lui-même. Il fonctionne de manière analogue à un virus biologique. C’est un parasite, il doit utiliser un « programme hôte » pour se diffuser ; ce « programme hôte » peut être une application (par exemple un logiciel téléchargé), un fichier (par exemple un document Word ou une feuille de calcul Excel), un script, un secteur de démarrage, etc. Le virus ne peut pas agir de façon autonome, c’est-à-dire que l’application (programme) infectée doit être exécutée (lancée) ou le fichier infecté ouvert pour que le virus soit activé, exécute (accomplit) des actions préjudiciables pour lesquelles il a été programmé et se duplique dans un autre programme hôte. Plus longtemps le virus reste non détecté et plus le nombre de fichiers infectés augmente dans l’ordinateur.

INFORMATION

Les virus ont presque disparus. Ils représentent un minuscule pourcentage des menaces observées à l’échelle mondiale. Néanmoins, on assiste aujourd’hui à un retour des virus macro qui utilisent à des fins malveillantes le langage de programmation VBA proposé par (intégré dans) les programmes de Microsoft Office (Word, Excel, PowerPoint, Access et Outlook).

Les différents types de virus informatiques

Les virus de secteur d’amorçage :

Type de virus déréglant le processus d’amorçage.

Les virus de secteur d’amorçage infectent le secteur d’amorçage d’un disque dur. Le secteur d’amorçage « boot sector » en anglais, est un endroit sur le disque dur de votre ordinateur où se trouve un petit programme qui démarre l’ordinateur quand vous allumez celui-ci. Un virus de secteur d’amorçage remplace le secteur d’origine par une copie de lui-même, ce qui lui permet d’être exécuté en premier lors du démarrage de l’ordinateur. Puis, il déplace le secteur original vers une autre partie du disque. Lorsque vous démarrez l’ordinateur par la suite, le virus est ainsi chargé dans la mémoire vive (la RAM). Il charge ensuite le secteur d’amorçage d’origine et l’exécute. Tout semble normal.

Les virus de fichiers exécutables :

Type de virus touchant les fichiers exécutables.

Les virus de fichiers infectent les programmes exécutables (généralement les fichiers dont le nom est suivi d’une extension comme .COM ou .EXE) en insérant leur propre code à l’intérieur de ceux-ci (ces fichiers programmes). Le virus s’active dès que le fichier infecté est lancé (lorsque le programme infecté est exécuté) et se met à la recherche d’autres programmes exécutables à infecter. Le processus d’infection est la plupart du temps invisible par l’utilisateur, car une fois le virus exécuté, le programme infecté lancé continue à fonctionner normalement.

Les virus macro (macrovirus) :

Type de virus visant un langage de macro d’une application particulière.

Un virus macro est une macro malveillante. Un langage macro est un langage de programmation qui permet d’automatiser certaines tâches répétitives à l’intérieur des applications logicielles (traitement de texte, tableur, base de données…) dont il fait partie. Les virus macro sont écrits dans ces mêmes langages macros et se présentent comme un simple fichier de texte, une feuille de calcul… Si vous ouvrez ce fichier dans votre traitement de texte ou tableur et que vous acceptez aussi automatiquement les macros, il peut alors commencer son travail destructeur. Les virus macro visent principalement les programmes de Microsoft : Word, Excel, PowerPoint, Access et Outlook. Ils agissent lors de l’accès à ces documents infectés. L’ouverture d’un document infecté (contenant le virus macro) va contaminer le document par défaut de l’application, et ensuite tous les documents (fichiers) qui seront créés ou ouverts au sein de l’application (avec ce programme).

Les virus polymorphes :

Type de virus ayant la capacité de réécrire son propre code source chaque fois qu’il se réplique et infecte un nouveau fichier si bien qu’il n’y en a pas deux identiques.

Les virus polymorphes sont des virus capables de s’automodifier. A chaque fois qu’ils infectent un nouveau fichier, le code du virus est modifié. Ces virus peuvent ainsi modifier l’ordre d’exécution de leurs instructions ou en ajouter des fausses. Chaque copie est donc différente, ce qui les rend difficiles à détecter par les antivirus qui se réfèrent à une base de signatures de virus connus. Beaucoup de virus polymorphes sont aussi encryptés. Le virus encryptera son code et ne le décryptera que lorsqu’il doit infecter un nouveau fichier, le rendant encore plus difficile à détecter. Pour information, polymorphe est un mot provenant du grec signifiant « qui peut prendre plusieurs formes ».

Les virus furtifs :

Type de virus capable de masquer la contamination qu’il a produite et d’échapper ainsi à la détection.

Les virus furtifs sont capables de détourner les interruptions pour devenir invisibles. Ils surveillent les appels aux fonctions de lecture des fichiers ou des clusters du disque et modifient les données renvoyées par ces fonctions. Ils envoient de fausses informations au programme en cours de lecture afin de dissimuler les modifications qu’ils ont effectués aux fichiers. Le programme reçoit ainsi des informations qui indiquent, de manière erronée, que tout va bien. Lors de l’analyse de l’antivirus, les virus furtifs masquent leurs présences en présentant une version saine (non modifiée) du fichier infecté, la version endommagée restant ainsi « invisible ».

Les virus compagnons :

Type de virus qui n’infecte pas un programme, mais se sert d’un nom similaire et exploite les règles de priorité d’exécution des programmes pour s’associer à un programme cible.

Les virus compagnons sont des virus portant le même nom qu’un autre programme et qui utilisent une fonctionnalité du Dos qui permet aux programmes avec le même nom, mais avec des extensions différentes, de fonctionner avec des priorités différentes. Lorsque plusieurs fichiers portant le même nom de base, mais des extensions différentes, se trouvent dans le même répertoire, le fichier doté de l’extension .COM est exécuté en premier car il a une priorité plus élevée que les autres extensions. Cela se produit uniquement lorsque l’entrée de la ligne de commande ne mentionne pas l’extension. Les virus compagnons tirent parti de cette fonction en sélectionnant un fichier .EXE et en créant un fichier .COM portant le même nom dans le même répertoire. Ainsi, un virus peut voir qu’un système contient le fichier PROGRAMME.EXE et créer un fichier appelé PROGRAMME.COM. Lorsque l’ordinateur exécute PROGRAMME à partir de la ligne de commande, sans précision de l’extension par l’utilisateur, le virus (PROGRAMME.COM) s’exécute avant le programme légitime PROGRAMME.EXE. Souvent, le virus va exécuter le programme d’origine (réel) ensuite pour simuler un fonctionnement normal du système.

Les virus défensifs (rétrovirus) :

Type de virus prenant pour cible les programmes antivirus.

Les rétrovirus s’attaquent aux logiciels antivirus des ordinateurs dans le but de les tromper, voire même de les rendre inefficaces. Ces virus sont capables de désactiver ou de détruire certains logiciels antivirus. Ils peuvent par exemple modifier les signatures des antivirus afin de les rendre inopérants ou rechercher des fichiers appartenant aux antivirus et les supprimer.

Les virus de script :

Type de virus écrits en VBScript ou JavaScript.

Les virus de script utilisent les différents langages de script qui permettent de contrôler l’environnement d’un logiciel. Ils sont créés à partir des langages de script les plus répandus (utilisés) : JavaScript et VBScript. Ils se diffusent (propagent) surtout par l’intermédiaire des messageries électroniques ou de scripts intégrés dans les pages HTML.

Quel est le virus informatique le plus dangereux ?

Vous ! « Le virus le plus destructeur se trouve entre le clavier et la chaise : c’est l’utilisateur ». Il est le maillon faible en matière de sécurité et il n’y a pas encore d’antivirus pour empêcher l’utilisateur d’avoir un comportement à risque.

De quoi sont capables les virus informatiques ?

Un virus présent sur votre ordinateur peut :

  • Perturber plus ou moins gravement le fonctionnement de l’ordinateur infecté (problème de mémoire, réduction des performances générales de votre ordinateur, redémarrages intempestifs…).
  • Permettre à d’autres utilisateurs de pirater votre ordinateur en prenant son contrôle. Certains virus placent des « Chevaux de Troie de porte dérobée » sur l’ordinateur, ce qui permet à l’auteur du virus (un pirate) de se connecter à votre ordinateur et de l’utiliser comme bon lui semble.
  • Modifier et effacer des données.
  • Corrompre des données. Le virus « Compatable » modifie les données dans les feuilles de calcul Excel.
  • Formater votre disque dur.
  • Désactiver des matériels. « CIH », plus connu sous le nom de « Chernobyl », entreprend d’écraser le BIOS le 26 avril, rendant de ce fait la machine inutilisable.
  • Faire des farces.
  • Afficher un message politique ou tout autre message agaçant.
  • Nuire à votre réputation. Si un virus s’expédie de lui-même de votre ordinateur vers ceux de vos amis, ces derniers pourront refuser de communiquer avec vous à l’avenir via Internet.
  • Mettre dans l’embarras. Par exemple, le virus « PolyPost » place vos documents et votre nom sur des forums à caractère sexuel.

Dans les situations les plus graves, les virus peuvent corrompre des fichiers informatiques importants, rendant le système inutilisable.

Comment les virus informatiques se propagent-ils ?

Ils peuvent se propager par le biais de presque tous les vecteurs de menaces :

  • Ouverture d’un email (courriel) accompagné d’une pièce jointe infecté.
  • Clic sur un lien trompeur sur les réseaux sociaux.
  • Téléchargement de fichiers exécutables ou de documents infectés.
  • Lecture d’une clé USB, disque dur USB, CD/DVD Rom infecté.

Signes indiquant que votre ordinateur est infecté

  • Impossibilité de démarrer (amorçage) l’ordinateur.
  • Messages de type « erreur fatale » (appelé également « écran bleu de la mort »).
  • L’ordinateur semble plus lent que d’habitude (délais de démarrage plus longs que la normale, dégradation des ressources du système…).
  • L’ordinateur ne fonctionne pas correctement (absence de réponse…) et se bloque fréquemment.
  • L’ordinateur redémarre sans préavis.
  • Les applications ne fonctionnent pas correctement.
  • Impossibilité de travailler avec certains programmes. Un virus peut avoir effacé tout ou partie des données nécessaires pour ouvrir le programme.
  • Vous n’êtes pas en mesure d’ouvrir certains fichiers. Les virus peuvent également modifier des fichiers, ce qui rend impossible leur lecture et cause l’affichage d’un message d’erreur lorsque l’utilisateur tente (essaie) de les ouvrir.
  • Modification inexplicable de la taille des fichiers.
  • Vous perdez régulièrement des données.
  • Des fichiers et des dossiers ont disparus.
  • Changement affectant les contenus affichés à l’écran et apparition de messages inattendus : blagues (jokes), insultes, obscénités, etc.
  • Les menus et les boîtes de dialogue ne s’affichent pas correctement.
  • Apparition de graphiques étranges à l’écran.

Comment protéger votre ordinateur des virus informatiques ?

Mettez régulièrement à jour votre système d’exploitation et vos logiciels. En installant les mises à jour de sécurité, vous corrigez ainsi les failles de sécurité qui pourraient être utilisées par des cybercriminels pour infecter votre appareil.

Installez un logiciel antivirus. Il est votre première ligne de défense contre les virus et tout un tas d’autres malwares. Optez toujours pour un antivirus d’une société de cybersécurité dont la réputation est bonne.

Exécutez régulièrement des analyses complètes de votre ordinateur avec votre logiciel antivirus, de préférence toutes les semaines. De plus, assurez-vous d’analyser tous les fichiers que vous téléchargez avant de les ouvrir.

Effectuer régulièrement une sauvegarde de tous vos fichiers importants. Ainsi, si vous êtes victime d’un virus informatique dont il est difficile de se débarrasser sans endommager vos fichiers, vous pouvez simplement effacer le contenu de votre appareil et le restaurer au point le plus récent avant l’infection.

N’activez pas les macros dans Microsoft Office.

Évitez les comportements à risque :

  • N’ouvrez aucune pièce jointe à un e-mail à moins de savoir à 100 % de quoi il s’agit.
  • Réfléchissez à deux fois avant de cliquer sur un lien.
  • Évitez les sites web douteux.
  • Téléchargez des fichiers et des logiciels uniquement à partir de sites Web fiables.

ANNEXE

Le virus Tchernobyl (alias CIH)

Tchernobyl est un des virus les plus destructeurs de l’histoire de l’informatique. Il a été le premier virus à endommager le matériel. Ce virus se déclenchait le 26 avril, date anniversaire de l’explosion de la centrale nucléaire de Tchernobyl qui eut lieu le 26 avril 1986. Il effaçait les données du disque dur puis essayait de réécrire la puce BIOS de l’ordinateur. Une fois le BIOS réécrit, l’utilisateur était dans l’incapacité d’utiliser son ordinateur. La seule façon de réutiliser celui-ci était de remplacer la puce BIOS par une nouvelle puce. Sur certains ordinateurs, la puce BIOS n’était pas amovible et demandait le remplacement de toute la carte mère.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *