Assiste.com
Virus - code malveillant auto-répliquant
Virus : logiciel caché et autorépliquant, malicieux. À l’origine, se propage sur la même machine, sans capacité à se déplacer d'une machine à une autre.
cr 01.04.2012 r+ 21.08.2020 r- 18.04.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Le terme « Virus » désigne un type très précis de codage logiciel, en informatique, donnant à ce code la capacité de s'auto-reproduire en s'auto-injectant dans d'autres « cellules » (d'autres programmes exécutables ) du même organisme (le même ordinateur).
Souvent, mais pas toujours, le virus contient une charge active qui a une action malveillante.
Le terme de « Virus » est une analogie avec les virus biologiques :
- Leurs capacités à infester complètement un organisme
- La nécessité que cet organisme infesté (ou son environnement infesté, comme l'air ambiant) rencontre un autre organisme pour l'infester, le virus ne pouvant se déplacer tout seul.
Le terme de « Virus » pour nommer ces codes logiciels auto-répliquant est attribué, par Fred Cohen, dans son document de 1984 "Experiments with Computer Viruses", à un chercheur américain en informatique théorique et professeur en informatique et en biologie moléculaire : Leonard Adleman.
Un virus n'a aucune capacité de se déplacer d'une machine à une autre, contrairement aux Vers (Worms) qui sont capables de se projeter et se dupliquer par leurs propres moyens.
Pour infecter d'autres machines, le « Virus » :
- Doit être transporté en utilisant un support physique (clé USB, CD, DVD, etc. ... (historiquement par disquette) infecté)
- Doit y être exécuté.
Propagation des virus
Un virus n'a pas la capacité d'infecter d'autres machines sans être transporté sur un support physique (clé USB, CD, DVD, etc. ... (historiquement par disquette) infecté) ou être téléchargé volontairement (et probablement à son insu) par l'utilisateur.
Les virus se propagent à l'intérieur d'un organisme (un ordinateur) et n'en sortent pas. Ils se multiplient dans cet organisme en infectant les fichiers et programmes de cet organisme et rien d'autre.
Pour "sauter" dans un autre organisme (un autre ordinateur) :
- Une copie d'un programme infecté doit être faite sur un support amovible (historiquement, les disquettes d'ordinateurs), ou le support amovible doit être inséré dans un ordinateur infecté et le virus va se propager aux programmes déjà présents sur ce support.
- Ce support doit ensuite être inséré dans un autre ordinateur et le programme infecté y doit être exécuté. Si le programme infecté n'est pas exécuté sur la nouvelle machine, il ne se passe rien, d'où la dangerosité des exécutions automatiques qu'il convient de toujours désactiver.
La vitesse de propagation des virus est alors la vitesse de déplacement de son transporteur (un étudiant traversant à pied le campus d'une université pour rejoindre sa chambre où se trouve l'autre ordinateur qui va être infecté à son tour, puis le copain à qui on va passer le support infecté, etc. ...). Parfois, la vitesse de déplacement du virus, sur la disquette ou, plus récemment, la clé USB, peut être plus rapide : en voiture, vélo, moto, métro, etc. ...
Tout cela est trop lent. Il faut propager les virus plus rapidement. Les réseaux informatiques, l'Internet et le Web, sont là pour le permettre et les vers (worms) ont remplacés les virus (même si leur charge active est la même, leur moyen de propagation est différent).
Pour attaquer un ordinateur qui n'est pas connecté à l'Internet, il n'y a que les virus qui peuvent le faire. C'est ainsi qu'en 2010, le virus StuxNet (considéré comme le virus le plus sophistiqué au monde à cette époque) à réussi à pénétrer les ordinateurs SCADA de pilotage des centrifugeuses du programme nucléaire iranien et à détruire ces centrifugeuses.
L'erreur ne devient pas vérité parce qu'elle se répand et se multiplie : les utilisateurs traitent de Virus tout et n'importe quoi dès lors que quelque chose les gène ou est inhabituel ou paraît surprenant.
- Une barre d'outils qui apparaît de manière inattendue dans un navigateur Web est qualifiée de Virus. C'est faux !
- Un adware qui s'implante et se révèle en diffusant de la publicité est qualifié de Virus. C'est faux !
- Etc. ...
Il n'existe quasiment plus de Virus informatique au sens formel du terme. Toutefois :
- L'utilisateur qualifie tout de Virus et recherche, sur le Web (avec les moteurs de recherche), comment effacer, supprimer, éradiquer, etc. ... le virus qui fait ceci ou cela dans sa machine.
- Conséquence : pour être trouvés par les moteurs de recherche qui répondent aux questions des utilisateurs, les conseils et solutions de décontamination (sites internet, forums d'entraide, éditeurs de solutions de décontamination, etc. ...), doivent utiliser les mêmes termes que ceux recherchés, même s'ils sont faux, car ils sont universellement répendus.
C'est ainsi que le terme de Virus est pérennisé et multiplié. Ainsi, si les utilisateurs posent la question suivante à leurs moteurs de recherche :
- Comment supprimer le virus Ask, qui n'est pas du tout un Virus mais une malveillance de type barre d'outils)
...les sites qui offrent une réponse à cette question (fausse) doivent avoir une réponse qui s'appelle :
La boucle infernale est bouclée et le terme de Virus est, à tord, partout (il en est de même pour le terme « Trojan » (Cheval de Troie), utilisé de manière totalement erronée (lire : Cheval de Troie (Trojan)).
Pourquoi ajouter un anti-malwares alors que j'ai déjà un antivirus ?
Parce que les virus classiques n'existent quasiment plus !
- Parce que, début 2012, les virus ne représentent plus que 0,5% des malveillances.
Déjà, au tout début des années 2000, Assiste prédisait la fusion inéluctable et rapide des anti-spywares et anti-trojans avec les antivirus.
Pourquoi ? Parce que les anti-spywares, anti-trojans, etc. fonctionnent sur exactement les mêmes principes et les mêmes technologies (bases de signatures, analyses heuristiques, sandboxing en machine virtuelle, etc.) que les antivirus qui, eux, savent le faire depuis bien plus longtemps qu'eux et ont une assise financière bien plus élevée.
Les antivirus avaient méprisé tout ce qui n'était pas « virus » (la « noblesse » des malveillances, à l’époque), mais la mutation des parasites était en route.
Nous annoncions également, depuis 2007, que les « virus » ne représentaient quasiment plus rien par rapport aux autres formes d'attaques et parasites.
Le terme « Virus » : Les « Virus classiques » n'existent plus.
L'éditeur d'une solution antivirus et anti-malwares, la société Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques (malwares), écrivait, en 2012 :
« Notre laboratoire d'analyse a calculé que les virus classiques constituent moins de 0,5 % de la totalité des menaces. Emsisoft anti-malware inclut toutes sortes de menaces, telles que :
- Les virus (0,5 %)
- Les logiciels de sécurité falsifiés (rogues) (0,5 %)
- Les publiciels (adwares) (2,7 %)
- Les applications probablement indésirables (PUP) (4,1 %)
- Les vers (worms) (4,6 %)
- Les malveillances (malwares) (5,3 %) dont :
- Les malveillances financiers : Phishing
- Les voleurs de mot de passe (password stealer)
- Les outils d'espionnage (Spywares)
- Les enregistreurs de frappes au clavier (keyloggers) (6,9 %)
- Les portes dérobées (backdoors) (13,3 %)
- Les chevaux de Troie (trojans) (61,3 %). »
