Nous dirons ici que tout Code Parasite Autopropageable (CPA) est un virus informatique (définition de Mark Ludwig, tirée de The Little Book of Computers Viruses, 1991). Le terme « code » fait bien évidemment référence à des instructions rédigées dans un langage de programmation évolué ou non. Le mot « parasite » souligne le caractère insidieux du code viral : il est là où on ne devrait normalement pas le trouver. Il constitue un ajout non-voulu par l'utilisateur. Quant à « autopropageable, il renvoie à cette caractéristique de duplication qu'ont les virus : la capacité à se multiplier en infectant d'autres fichiers. Ils recopient leurs propres instructions (code) au sein de celles d'un autre programme. L'efficacité de la duplication se mesure au fait que l'exécution du programme hôte n'est pas altérée, alors que ses fonctionnalités ont été modifiées. C'est une définition parmi tant d'autre d'un virus informatique mais intéressons nous maintenant aux différents types qui existent.
Types de virus :
On peut classer les virus selon leur mode de déclenchement ou leur mode de propagation. On distingue alors plusieurs catégories de virus :
Les vers : il s'agit de programmes possédant la faculté de s'autoreproduire et de se déplacer à travers un réseau en utilisant des mécanismes de communication classiques, comme les RPC (Remote Procedure Call, procédure d'appel à distance) ou le rlogin (connexion à distance), sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...) pour se propager. Un ver est donc un virus réseau. Ces virus se servent des programmes de messagerie (notamment Microsoft Outlook) pour se répandre à grande vitesse, en s'envoyant automatiquement à des personnes présentent dans le carnet d'adresses. Leur premier effet est de saturer les serveurs de messagerie, mais ils peuvent également avoir des actions destructrices pour les ordinateurs contaminés. Ils sont particulièrement redoutables, car le fait de recevoir un mail d'une personne connue diminue la méfiance du destinataire, qui ouvre alors plus facilement le fichier joint contaminé.
• Les bombes logiques: elles sont de véritables bombes à retardement. Ce sont de petits programmes restant inactifs tant qu'une condition n'est pas remplie, une fois la condition remplie (une date par exemple), une suite de commandes est exécutée (dont le but, le plus souvent, hélas, est de faire le plus de dégâts possible).
Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise !
Un exemple célèbre est le virus Michelangelo qui devait se déclencher à la date anniversaire de la naissance de l'artiste (Michel-Ange) ;
• Les chevaux de Troie : par analogie avec la mythologie grecque, ce sont des programmes dont l'aspect malveillant est caché au premier abord. Un cheval de Troie permet généralement de préparer une attaque ultérieure de la machine infectée. Par exemple, ils agissent en laissant ouverts des ports de communication qui peuvent être ensuite utilisés par des programmes d'attaque. Ils sont difficiles à détecter par un utilisateur non averti.
Un cheval de Troie est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté.
Un cheval de Troie peut par exemple :
voler des mots de passe
copier des données sensibles
exécuter tout autre action nuisible
...
• Les macrovirus : ce sont des virus écrits sous forme de macros (une macro est une série de commandes destinée à effectuer automatiquement quelques tâches d'une application spécifique) exécutables dans des applications bureautiques (traitement de texte, tableur, etc.) ou des logiciels clients de messagerie électronique. Ces macrovirus vont détourner tous les appels des macros standards. La propagation se fait généralement par l'opération de sauvegarde. Comme de plus en plus de logiciels intègrent ces notions de macros, les macrovirus sont devenus les virus les plus fréquents et les plus redoutables pouvant malheureusement causer de grands dégâts (formatage du disque dur par exemple).
Un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows).
• Les virus de secteur d'amorce (aussi appelés virus « boot sector ») : cette catégorie regroupe les virus infectant le secteur d'amorçage du disque (disque dur, disquettes, disque zip, ...). Il s'agit d'un type de virus infectant la partie faisant démarrer l'ordinateur.
Ce type de virus est de nos jours peu contagieux. Pour qu'un ordinateur soit infecté, il doit être démarré avec un secteur d'amorçage infecté, ce qui était courant sur les premiers ordinateurs mais qui est rare aujourd'hui. Pourtant ce genre de virus est fort dangereux. En effet, il se trouve dans le premier secteur du disque et est donc chargé à chaque allumage de l'ordinateur. Le secteur d'amorçage du disque est le premier secteur lu au démarrage de l'ordinateur.
Ce genre de virus a donc un contrôle complet de la machine, puisqu'il est chargé en premier. Ce peut être un des virus les plus difficiles à déceler et/ou à éradiquer, vu l'« incrustation » du virus dans le système. Ce genre de virus est actif à partir du moment où on allume l'ordinateur, jusqu'au moment où on l'éteint.
Mais pourquoi le secteur d'amorçage d'un ordinateur n'est pas protégé contre l'écriture ? Le secteur d'amorçage est typique au système d'exploitation, donc variable. Il est du coup nécessaire de pouvoir le modifier si l'utilisateur désire changer de système d'exploitation. Ceci dit ce genre de virus est en voie de disparition : il est de plus en plus rare d'amorcer sa machine avec une disquette ou un disque dur de quelqu'un d'autre.
• Les virus fichiers :
Virus Non résidents :
C'étaient les virus les plus répandus il y a quelques années. Lors de l'infection, il cherche un fichier cible, et remplace, par sa section virale, le premier segment du programme. La section originale est alors ajoutée en fin de programme. Au moment de l'exécution du fichier, c'est le code viral qui est d'abord lancé. Ce code viral cherche d'autres programmes à infecter, il les infecte. Ensuite il restitue la première section du programme infecté et l'exécute celui-ci. La boucle est bouclée. Le virus a pu se propager de façon tout à fait invisible. Il s'agit donc d'un virus fort contagieux. La détection de ce genre de virus est pourtant assez aisée, le fichier infecté étant plus grand que le fichier sain, puisqu'il contient le virus en plus du programme.
Virus résidents :
Il s'agit de virus qui restent présent dans la mémoire de l'ordinateur (RAM, à ne pas confondre avec le disque dur qui peut aussi être appelé mémoire). Fonctionnement : Une fois un fichier infecté exécuté (NB : ce fichier infecté vient soit d'une source infectée, une source douteuse, soit d'un autre fichier infecté précédemment), le virus se loge dans la mémoire vive, ou il reste actif. Dès qu'un programme est exécuté et qu'il n'est pas infecté, le virus l'infecte. La différence avec celui vu précédemment est qu'il n'y a pas besoin de procédure pour trouver une cible, puisque c'est l'utilisateur qui la désigne en exécutant le programme cible. Ce genre de virus est actif à partir du moment où un programme infecté est exécuté jusqu'à l'arrêt complet de la machine. Certains d'entre eux peuvent résister au simple redémarrage (c-à-d : CTRL – ALT – DEL).
Virus multiformes :
Virus regroupant les caractéristiques des virus parasites et des virus du secteur d'amorçage.
Les autres caractéristiques des virus :
* Virus furtifs (intercepteurs d'interruptions) : ce sont des virus modifiant complètement le fonctionnement du système d'exploitation. Ces virus le modifient tellement qu'il semble sain aux antivirus. Ceci les rend très difficiles à détecter, puisque les antivirus sont trompés, croyant le système d'exploitation sain.
* Virus polymorphes (mutants) : ce virus est différent à chaque infection. Il doit ceci à son encryption (Il existe un algorithme reprenant une valeur au hasard, permettant d'avoir un fichier crypté à chaque fois différent ne dérangeant cependant pas le décryptage). Le programme entier et le virus sont encryptés, excepté le premier segment destiné à la décryption. Ce genre de virus est donc beaucoup plus difficile à détecter que les précédents et presque impossible à détruire sans supprimer le fichier infecté, vu qu'il est crypté.
* Virus réseau : Ces virus se reproduisent dans les réseaux en prenant le contrôle des interruptions réseau (peu fréquents).
* Virus flibustiers (Bounty hunters) : virus visant la modification des antivirus les rendant non - opérationnels. Ce genre de virus est très rare mais très efficace.
Il faut savoir que un virus peut regrouper une, plusieurs, voire toutes les caractéristiques vues ci-dessus. Plus le virus a de caractéristiques, plus il sera dangereux, compliqué, vorace en ressources de l'ordinateur (du à sa complexité). Ce qui signifie gênant sans même être actif, et surtout difficile à détecter par un antivirus (trompé, rendu inactif, ...) mais aussi plus facilement repérable, et ce, dû à la baisse des performances de la machine.
• Les virus VBS script : Ce type de virus se propage par mail à l'aide d'un fichier attaché (type exe, vbs etc..) bien souvent en ayant un nom évocateur. Ces nombreux virus sont en langage Visual Basic. Ils sont de type Vbs (Visual Basic Script) ou plus simplement « script ». Par exemple, le désormais célèbre I Love You et le virus KakWorm sont écrits dans ce langage.
• Les canulars : Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax), c'est-à-dire des annonces reçues par mail propageant de fausses informations (par exemple l'annonce de l'apparition d'un nouveau virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement,...) accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a pour but l'engorgement des réseaux ainsi que la désinformation.
Ainsi, de plus en plus de personnes font suivre des informations reçues par courriel sans vérifier la véracité des propos qui y sont contenus. Le but des hoax est simple :
provoquer la satisfaction de son concepteur d'avoir berné un grand nombre de personnes