VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS

18 septembre 2007
VIRUS, SPYWARE et AUTRES LOGICIELS
MALVEILLANTS
Depuis l'avènement de la micro-informatique, les logiciels malveillants ont de tout temps existé, du virus propagé par
disquette aux méthodes les plus modernes de contamination par internet. Ce petit dossier fait un tour rapide des
logiciels malveillants avant de mettre en avant quelques principes et des solutions à connaître pour se protéger.
Quelques définitions :
- Qu'est ce qu'un virus ?
Au sens strict, un virus informatique est un programme informatique écrit dans le but de se propager à d'autres
ordinateurs en s'insérant dans des programmes légitimes appelés « hôtes ». Il peut aussi avoir comme effet,
recherché ou non, de nuire en perturbant plus ou moins gravement le fonctionnement de l'ordinateur infecté. Il peut
se répandre à travers tout moyen d'échange de données numériques comme l'internet, mais aussi les disquettes, les
cédéroms, les clefs USB, etc.
Son appellation provient d'une analogie avec le virus biologique puisqu'il présente des similitudes dans sa manière
de se propager en utilisant les facultés de reproduction de la cellule hôte. On attribue le terme de « virus
informatique » à l'informaticien et spécialiste en biologie moléculaire Leonard Adleman (Fred Cohen, Experiments
with Computer Viruses, 1984).
- Qu'est ce qu'un trojan ?
Un trojan, ou cheval de troie ou encore troyen, est un programme informatique qui s'installe en se masquant dans un
autre programme sain. Il ne se reproduit généralement pas et sert de base (en tant que serveur) afin de permettre
des intrusions sur une machine. Le nombre de trojans est aussi impressionnant que la variété des actions qu'ils
permettent. Certains ouvrent simplement un accès aux fichiers de la machine infestée, d'autres permettent une
interaction complète avec celle-ci de la même manière que si l'intrus se trouvait devant-elle.
- Qu'est ce qu'un ver ou worm ?
C'est un virus particulier qui se reproduit par le biais d'Internet. Il utilise en général le courrier électronique pour se
reproduire de machine en machine de façon autonome et le plus souvent furtif. Ces virus se servent des programmes
de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à
tout ou partie des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de
messagerie, mais ils peuvent également avoir des actions destructrives pour les ordinateurs contaminés. Ils sont
particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du
destinataire, qui ouvre alors plus facilement le fichier joint contaminé.
Dans le même temps, le terme « virus » est de plus en plus flou, les virus à proprement parler sont loin d'être les
menaces les plus importantes auxquelles ces logiciels ont à faire. Le temps du virus qui se propageait par disquette
est depuis longtemps révolu. Le virus, tel qu'il est officiellement défini, est un fragment de code qui a besoin d'un
programme hôte pour se reproduire. A l'inverse, les vers n'ont besoin de personne et se propagent automatiquement.
En consultant les listes des « virus » les plus répandus, on se rend compte que ce sont aujourd'hui les vers qui
squattent en permanence le haut du triste tableau. Le terme « virus » est donc de plus en plus utilisé de manière
générique, dépassant le virus au sens propre du terme, pour désigner toute forme de programme malveillant
(malware).
Le nombre total de programmes malveillants connus serait de l'ordre 95 000 selon Sophos (tous types de malwares
confondus). Cependant, le nombre de virus réellement en circulation ne serait pas supérieur à quelque milliers selon
la Wildlist Organisation, chaque éditeur d'antivirus ayant intérêt à « gonfler » le nombre de virus qu'il détecte pour des
raisons commerciales. La très grande majorité touche la plate-forme Windows et, à un degré moindre, les différentes
distributions de Unix/Linux.
Les virus font souvent l'objet de fausses alertes que la rumeur propage, encombrant les messageries. Certaines
d'entre elles, jouant sur l'ignorance en informatique des utilisateurs, leur font parfois détruire des éléments de
système d'exploitation totalement sains.
VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS – MRES 2007
1/6
A noter que certains virus sont des virus polymorphes. A chaque fois que l'un d'eux infecte un fichier, il se crypte
différemment. Résultat, il faut que l'antivirus analyse la technique d'encryptage de chaque virus pour déceler, dans
les fichiers contaminés, une sorte de "manie" caractéristique, une constante.
- Qu'est-ce qu'un logiciel espion ou spyware ?
Un logiciel espion (espiogiciel, mouchard ou en anglais spyware) est un logiciel malveillant qui s'installe dans un
ordinateur dans le but de collecter et transférer des informations sur l'environnement dans lequel il s'est installé, très
souvent sans que l'utilisateur n'en ait connaissance. L'essor de ce type de logiciel est associé à celui d'Internet, qui
lui sert de moyen de transmission de données.
Les logiciels espions accompagnent souvent les logiciels gratuits et s'installent généralement sans l'accord de
l'utilisateur. Les logiciels espions ne sont généralement actifs qu'après redémarrage de l'ordinateur. Certains, comme
Gator, sont furtifs et ne se retrouvent donc pas dans la table des processus.
Il est permis de penser que les logiciels espions sont développés principalement par des sociétés proposant de la
publicité sur Internet. En effet, pour permettre l'envoi de publicité ciblée, il est nécessaire de bien connaître sa cible.
Cette connaissance peut être facilement obtenue par des techniques de profilage dont le logiciel espion fait partie.
Un logiciel espion est composé de trois mécanismes distincts :
 Le mécanisme d'infection, qui installe le logiciel. Ces mécanismes sont identiques à ceux des virus, des vers
ou des chevaux de troie. Par exemple, l'espiogiciel Cydoor utilise le logiciel grand public Kazaa ;
 le mécanisme assurant la collecte d'information. Pour le même exemple, la collecte consiste à enregistrer
tout ce que l'utilisateur recherche et télécharge via le logiciel Kazaa ;
 le mécanisme assurant la transmission à un tiers. Ce mécanisme est généralement assuré via le réseau
Internet. Le tiers peut être le concepteur du programme ou une entreprise.
Le logiciel espion peut afficher des offres publicitaires, télécharger un virus, installer un cheval de troie, capturer des
mots de passe en enregistrant les touches pressées au clavier (keyloggers), espionner les programmes exécutés à
telle ou telle heure, ou encore espionner les sites Internet visités.
Le logiciel espion attaque très souvent les systèmes Microsoft Windows du fait de leur popularité. Certaines pages
web peuvent, lorsqu'elles sont chargées, installer à l'insu de l'utilisateur un logiciel espion, généralement en utilisant
des failles de sécurité du navigateur de la victime.
Ils sont souvent présents dans des gratuiciels (différents des logiciels libres), ou des partagiciels, afin de rentabiliser
leur développement. Il est possible qu'un gratuiciel cesse de fonctionner après la suppression de l'espiogiciel
associé. On ne connaît pas de logiciel à code source libre — comme Mozilla Firefox — qui en contienne.
Enfin, certains administrateurs systèmes ou réseaux installent eux-mêmes ce type de logiciel pour surveiller à
distance l'activité de leurs ordinateurs, sans avoir à se connecter dessus.
- Qu'est-ce que le phishing ?
L'hameçonnage, appelé en anglais phishing, est une technique utilisée par des fraudeurs pour obtenir des
renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à
la victime qu'elle s'adresse à un tiers de confiance - banque, administration, etc. - afin de lui soutirer des
renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme
d'attaque informatique reposant sur l'ingénierie sociale. L'hameçonnage peut se faire par courrier électronique, par
des sites Web falsifiés ou autres moyens électroniques.
Les criminels informatiques utilisent généralement l'hameçonnage pour voler de l'argent. Les cibles les plus
populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay. Les adeptes de
l'hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles.
Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de
manière à ne pas alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent
utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne
sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page
Web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page trompeuse,
l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel.
VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS – MRES 2007
2/6
Quelques principes à connaître
Avant d'acheter ou de télécharger des logiciels qui vous assurerons une certaine protection mais pas à 100%, il
convient de prendre quelques mesures afin de limiter les risques :

Faire les mises à jour des logiciels, qui corrigent le plus souvent des failles de sécurité, que ce soient des
logiciels de Microsoft windows ou d'autres éditeurs comme Acrobat PDF.

Attention aux messages provenant de personnes inconnues. N'ouvrir ni les messages, ni les fichiers
joints, et encore moins accepter de télécharger des images ou des programmes.

Ne téléchargez pas des programmes d'origine douteuse, qui peuvent vous être proposés sur des sites
persos ou la messagerie instantanée, eux-mêmes plus ou moins douteux;

En surfant sur internet, lisez bien les messages d'alerte qui peuvent être trompeurs en vous faisant croire
à un message de votre antivirus.

Réfléchissez bien avant de dévoiler des informations personnelles. Dans le meilleur des cas, les
conditions d'utilisation sont généralement conformes au droit américain, donc beaucoup moins protectrices
en matière de vie privée qu'en Europe. Notamment ne donnez pas votre adresse email permanente chez
votre fournisseur d'accès mais plutôt un compte d'email gratuit qui pourra être fermé en cas de spamming.

Gardez à l'esprit qu'installer un logiciel n'est jamais une opération anodine : cela revient à autoriser le
programme à effectuer toutes les opérations qu'il souhaite sur votre disque dur. Outre un spyware, un
programme douteux peut contenir un virus ou un troyen, donc un minimum de précaution s'impose.

Procédez régulièrement à des sauvegardes du contenu important de votre disque dur après avoir vérifié
l'absence de virus : cela peut paraître fastidieux, mais en cas d'infection (ou même simplement en cas de
crash de disque dur), ça vous sauvera la mise...

Les filtres antipourriels aident aussi à protéger l’utilisateur des criminels informatiques en réduisant le
nombre de courriels que les utilisateurs reçoivent et qui peuvent être infectés. Le logiciel client de
messagerie Mozilla Thunderbird comporte un filtre bayesien très performant (filtre anti-pourriel autoadaptatif).

En règle générale, utilisez plutôt des logiciels libres, moins ciblés par les pirates et moins riches en failles
de sécurité où peuvent s'introduire virus et autres.

Enfin, tenez-vous au courant des apparitions de nouveaux virus. (cf fin du dossier – Aller plus loin).
Concernant l'hameçonnage, pas vraiment un « malware » mais un nouveau mode de malveillance :

Si le message ou la page web vous paraît douteux, vérifiez bien l'adresse vers laquelle vous êtes redirigés.
Si c'est votre banque qui vous écrit et que vous vous retrouvez sur une page qui ressemble à celle de votre
banque mais que l'adresse ne correspond pas, n'allez pas plus loin.

Il faut savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité
avec l'un de ses clients.

Il faut être particulièrement vigilant lorsque l'on rencontre une adresse contenant le symbole « @ », par
exemple http://[email protected]/. Ce genre d'adresse va essayer de connecter
l'internaute en tant qu'utilisateur « www.mabanque.com » sur le serveur « members.unsite.com ». Il y a de
fortes chances que cela se réalise même si l'utilisateur indiqué n'existe pas réellement sur le serveur, mais
par cette méthode la première partie de l'adresse semble être tout à fait innocente (www.mabanque.com). De
même, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sousdomaines, par exemple http://www.mabanque.com.unsite.net/.
Des navigateurs récents, tels que Firefox, Opera et Internet Explorer 7, possèdent un système permettant d'avertir
l'utilisateur du danger et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses. Netscape 8
intègre également des technologies permettant de tenir à jour une liste noire de sites dangereux de ce type.
VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS – MRES 2007
3/6
Quelques moyens de protection
En complément de ces règles de prévention, la meilleure protection - et le principal remède en cas de contamination consiste à installer des logiciels de protection spécifique, certains faisant 3 en 1. Une solution qui reste toute relative,
car de nouveaux virus et spyware apparaissent chaque jour.
Antivirus : mettez un gilet pare-balles
Aucun programme ne peut garantir une efficacité absolue, même s'il le prétend. On peut comparer un antivirus à un
gilet pare-balles : celui-ci n'empêche pas la possibilité de blessures à la tête ou aux membres, mais il réduit fortement
les risques. Aucun produit ne détecte 100% des virus, 100% du temps : d'où l'importance de la prévention.
On peut identifier dans le code de la plupart des virus des morceaux caractéristiques de ce virus qu'on appelle
signature de détection. Beaucoup d'antivirus détectent les virus en recherchant systématiquement ces signatures
dans le secteur d'amorçage et les fichiers. Il est évident que chaque virus (ou famille de virus) possède sa propre
signature. En conséquence, on doit fournir une liste de signatures aux antivirus utilisant cette méthode.
On ne peut détecter que des virus déjà connus et c'est pourquoi la liste des signatures doit être mise à jour
régulièrement, sinon posséder un antivirus n'a que peu d'intérêt. Les antivirus doivent en effet être mis à jour au
moins toutes les semaines, tous les jours si possible en téléchargeant sur Internet les nouveaux fichiers de définitions
virales. Cette opération peut être automatisée sur la plupart des antivirus actuels. Ceci montre l'aspect illusoire des
antivirus piratés.
Divers virus posent de gros problèmes à cette méthode de détection, car ils sont cryptés et auto-mutants. On les
appelle généralement virus polymorphes. À chaque réplication le virus se crypte lui-même avec une clé aléatoire. On
ne peut donc définir aucune signature stable qui permette de le reconnaître. Pour être efficace l'antivirus doit faire
une analyse du contenu pour rechercher d'éventuels mécanismes de cryptage.
Quelques exemples de logiciels antivirus :
 des payants : Kasperky, Maccaffee, Norton...
 des gratuits qui n'ont rien à envier aux payants :
- Antivir : http://www.clubic.com/telecharger-fiche10821-antivir-personal-edition-7.html
Antivir Personal Edition est un des (très) rares antivirus gratuits pour une utilisation personnelle.
Cet antivirus développé par une société allemande n'a pourtant pas grand chose à envier aux ténors du
genre. Il reconnaît 50.000 virus, contient un analyseur et un agent de protection permanente et la mise à jour
des définitions se fait directement par Internet. Il est un peu lourd.
L'interface, en anglais, est simple d'accès. Pour une utilisation commerciale, il faut souscrire une licence
auprès de l'éditeur de la version professionnelle.
- Avast : http://www.clubic.com/telecharger-fiche11113-avast.html
Comme AntiVir Personnal Edition est un anti-virus entièrement gratuit pour une utilisation personnelle. Doté
d'une interface très sympathique et originale, cet anti-virus se distingue de son concurrent AntiVir par le fait
qu'il n'a pas besoin de re-télécharger le programme entièrement pour mettre à jour sa base de virus depuis
Internet. Outre cela, avast! offre aussi l'avantage d'être légèrement plus rapide que ses rivaux gratuits. C'est
certainement l'un des plus utilisés.
Important : Pour profiter de la gratuité de cet anti-virus, il est nécessaire après installation du logiciel de
remplir ce formulaire pour recevoir gratuitement une clé d'enregistrement par mail.
 un libre, léger mais peu riche en signatures :
- Clamwin : http://www.clubic.com/telecharger-fiche12167-clamwin-antivirus.html
Clam Antivirus souffre un peu de la comparaison face aux ténors commerciaux mais au vu de la popularité
de la version Linux, ClamWin est clairement un logiciel à suivre. Le site du projet annonce 20.000 souches
reconnues alors que les logiciels commerciaux sont plus proche de 80.000.
Firewall personnel : mettez un videur à l'entrée de votre ordinateur
Lorsque Internet a été inventé, la performance des transmissions de données a été privilégiée au dépend de la
sécurité. Or aujourd'hui il faut compter avec un nombre croissant d'apprentis pirates qui passent leur temps à scruter
les ordinateurs des autres dans l'espoir d'y déceler une faille, afin de provoquer un plantage ou de tenter une
intrusion. Un firewall permet de s'en prémunir, en filtrant les données entrantes et sortantes dans l'ordinateur par
ADSL.
Il convient simplement de configurer au préalable votre firewall, afin de lui dire ce qu'il doit laisser passer et ce qu'il
doit bloquer : ce sont les règles de filtrage. Vous pouvez ainsi interdire l'accès à certains sites depuis votre ordinateur,
ou empêcher l'envoi sur internet d'informations confidentielles définies à l'avance. Réciproquement, vous pouvez
décider de bloquer la réception de données envoyées par certains serveurs, par exemple un serveur de mails utilisé
par des spammers, ou encore de refuser les paquets contenant certains mots-clés.
VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS – MRES 2007
4/6
Windows contient par défaut un firewall qui n'est pas réputé pour sa performance. Mieux vaut le désactiver et en
utiliser un autre gratuit.
Quelques firewalls gratuits
 Sunbelt Personal Firewall : http://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-exkerio.html
Simple d'utilisation, léger, gratuit pour une utilisation personelle (malgré quelques limitations), largement
plébiscité pour son efficacité et sa fiabilité, que certains estiment supérieure à celle de ZoneAlarm, Sunbelt
Personal Firewall est un très bon pare-feu.
 Zone alarm : le firewall le plus utilisé, complet mais gourmand en ressources et un peu difficile d'utilisation
pour un néophyte.
Antispyware : supprimer les espions venus de l'internet
Les antispywares ont été conçus sur le modèle des antivirus, afin de détecter les spywares sur la base de signatures.
Utilisables facilement même par des non initiés, ils permettent de détecter un spyware même s'il n'est pas actif, mais
restent dépendants de la mise à jour du fichier des signatures.
Ce programme permet de scanner la mémoire de l'ordinateur, la base de registres et les différents disques à la
recherche des composants indiquant la présence d'un spyware connu. En version payante, il dispose même d'un
moniteur capable de surveiller le système en permanence et d'empêcher l'installation d'un spyware en temps réel.
Quelques antispyware :
 Ad-aware, Spybot - Search & Destroy, Spyware Blaster
Tous ces logiciels antitrucs sont des logiciels qui scannent votre ordinateur, surveille les logiciels que vous installez,
les processus qui tournent ou votre trafic sur internet. Ils sont donc relativement gourmands en ressources systèmes.
Un cas à part : Hijackthis
HijackThis est un programme qui vous offre la possibilité de trouver et corriger plus facilement les éléments néfastes
de votre système.
Ainsi, il va examiner des emplacements spéciaux de la base de registre et de votre disque dur et les comparer aux
réglages normaux. S'il y a quelque chose d'anormal de détecté sur votre ordinateur, HijackThis va les sauvegarder
dans un fichier. Pour découvrir quels éléments sont néfastes et ce qui a été installé par l'utilisateur, vous avez besoin
de quelques informations de base.
Un rapport n'est pas si facile à analyser, même pour un utilisateur avancé. Il existe donc sur internet un analyseur de
rapport qui vous signale quel logiciel paraît malveillant et quel autre ne l'est pas : http://www.hijackthis.de/fr
- téléchargement du logiciel : www.telechargement.zebulon.fr/hijackthis.html
- mode d'emploi : http://www.zebulon.fr/dossiers/56-analyse-rapports-hijackthis.html
En cas d'infection, que faire ?
Si malgré toutes ces précautions, vous êtes infectés, il y a plusieurs moyens d'actions :
si vous connaissez le virus qui vous infecte et que vous avez une connexion à internet, vous pouvez aller
télécharger un patch de sécurité sur www.secuser.com
 vous pouvez utiliser ClamWin Portable, un antivirus complètement autonome qui ne nécessite aucune
installation. L'intérêt d'une telle solution est de proposer un outil facilement téléchargeable et pouvant être
copié sur une clé USB depuis une autre machine afin de scanner et décontaminer votre machine.
http://www.zebulon.fr/dossiers/64-antivirus-clamwin-portable.html


vous pouvez utiliser hijackthis pour supprimer les logiciels indésirables

si rien n'y fait, formatez votre disque dur et réinstallez vos données précédemment sauvegardées, après les
avoir scannées avec un antivirus.
VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS – MRES 2007
5/6
Pour plus de sécurité : utilisation des logiciels libres
Les logiciels libres, outre le fait qu'ils sont performants au même titre que les logiciels propriétaires, ne sont pas la
cible privilégiée des pirates. Et s'ils ne sont pas exempts de failles de sécurité, celles-ci sont corrigées plus
rapidement par la communauté d'utilisateurs et de développeurs que les logiciels d'éditeurs.
Le navigateur firefox intègre un filtre anti-phishing, le messager thunderbird également, ainsi qu'un filtre anti-spam.
Les logiciels libres ne comportent pas de virus ou de spyware intégrés car leur code source est à la disposition de
tous. Il serait donc aisé pour un développeur expérimenté de trouver ces « malwares » et d'en avertir la communauté
du libre.
Si vous voulez être débarrassé de tous ces logiciels « antitrucs », la phase ultime reste le passage sous GNU/Linux,
un environnement complet qui nécessite tout de même l'installation d'un firewall, mais très léger et utilisant peu de
ressources du système. L'une des distributions la plus populaire est ubuntu : www.ubuntu-fr.org.
Linux n'est pas à l'abri des virus qui commencent à sévir sur cet environnement, mais ils sont rares et les failles de
sécurité rapidement comblées. Il existe toutefois un antivirus pendant de clamwin pour windows, clamav.
Aller plus loin :
Sites d'information générale :
- site d'information sur la sécurité informatique pour le grand public, lettre d'info hebdomadaire, etc :
www.secuser.com
- dossier actualisé sur les virus et autres : http://www.journaldunet.com/solutions/dossiers/virus/sommaire.shtml
- article sur les antivirus sur clubic.com : http://www.clubic.com/article-77079-1-guide-comparatif-meilleurantivirus.html
- article sur les spyware sur clubic.com : http://www.clubic.com/article-18235-1-spyware-les-eviter-s-endebarrasser.html
VIRUS, SPYWARE et AUTRES LOGICIELS MALVEILLANTS – MRES 2007
6/6