Assiste.com
Virus : logiciel caché et autorépliquant, malicieux. À l’origine, se propage sur la même machine, sans capacité à se déplacer d'une machine à une autre.
cr 01.04.2012 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
| Sommaire (montrer / masquer) |
|---|
Le terme « Virus » désigne un type très précis de codage logiciel, en informatique, donnant à ce code la capacité de s'auto-reproduire en s'auto-injectant dans d'autres « cellules » (d'autres programmes exécutables ) du même organisme (le même ordinateur).
Souvent, mais pas toujours, le virus contient une charge active qui a une action malveillante.
Le terme de « Virus » est une analogie avec les virus biologiques :
- Leurs capacités à infester complètement un organisme
- La nécessité que cet organisme infesté (ou son environnement infesté, comme l'air ambiant) rencontre un autre organisme pour l'infester, le virus ne pouvant se déplacer tout seul.
Le terme de « Virus » pour nommer ces codes logiciels auto-répliquant est attribué, par Fred Cohen, dans son document de 1984 "Experiments with Computer Viruses", à un chercheur américain en informatique théorique et professeur en informatique et en biologie moléculaire : Leonard Adleman.
|
Un virus n'a aucune capacité de se déplacer d'une machine à une autre, contrairement aux Vers (Worms) qui sont capables de se projeter et se dupliquer par leurs propres moyens.
Pour infecter d'autres machines, le « Virus » :
- Doit être transporté en utilisant un support physique (clé USB, CD, DVD, etc. ... (historiquement par disquette) infecté)
- Doit y être exécuté.
Propagation des virus
Un virus n'a pas la capacité d'infecter d'autres machines sans être transporté sur un support physique (clé USB, CD, DVD, etc. ... (historiquement par disquette) infecté) ou être téléchargé volontairement (et probablement à son insu) par l'utilisateur.
Les virus se propagent à l'intérieur d'un organisme (un ordinateur) et n'en sortent pas. Ils se multiplient dans cet organisme en infectant les fichiers et programmes de cet organisme et rien d'autre.
Pour "sauter" dans un autre organisme (un autre ordinateur) :
- Une copie d'un programme infecté doit être faite sur un support amovible (historiquement, les disquettes d'ordinateurs), ou le support amovible doit être inséré dans un ordinateur infecté et le virus va se propager aux programmes déjà présents sur ce support.
- Ce support doit ensuite être inséré dans un autre ordinateur et le programme infecté y doit être exécuté. Si le programme infecté n'est pas exécuté sur la nouvelle machine, il ne se passe rien, d'où la dangerosité des exécutions automatiques qu'il convient de toujours désactiver.
La vitesse de propagation des virus est alors la vitesse de déplacement de son transporteur (un étudiant traversant à pied le campus d'une université pour rejoindre sa chambre où se trouve l'autre ordinateur qui va être infecté à son tour, puis le copain à qui on va passer le support infecté, etc. ...). Parfois, la vitesse de déplacement du virus, sur la disquette ou, plus récemment, la clé USB, peut être plus rapide : en voiture, vélo, moto, métro, etc. ...
Tout cela est trop lent. Il faut propager les virus plus rapidement. Les réseaux informatiques, l'Internet et le Web, sont là pour le permettre et les vers (worms) ont remplacés les virus (même si leur charge active est la même, leur moyen de propagation est différent).
Pour attaquer un ordinateur qui n'est pas connecté à l'Internet, il n'y a que les virus qui peuvent le faire. C'est ainsi qu'en 2010, le virus StuxNet (considéré comme le virus le plus sophistiqué au monde à cette époque) à réussi à pénétrer les ordinateurs SCADA de pilotage des centrifugeuses du programme nucléaire iranien et à détruire ces centrifugeuses.
|
L'erreur ne devient pas vérité parce qu'elle se répand et se multiplie : les utilisateurs traitent de Virus tout et n'importe quoi dès lors que quelque chose les gène ou est inhabituel ou paraît surprenant.
- Une barre d'outils qui apparaît de manière inattendue dans un navigateur Web est qualifiée de Virus. C'est faux !
- Un adware qui s'implante et se révèle en diffusant de la publicité est qualifié de Virus. C'est faux !
- Etc. ...
Il n'existe quasiment plus de Virus informatique au sens formel du terme. Toutefois :
- L'utilisateur qualifie tout de Virus et recherche, sur le Web (avec les moteurs de recherche), comment effacer, supprimer, éradiquer, etc. ... le virus qui fait ceci ou cela dans sa machine.
- Conséquence : pour être trouvés par les moteurs de recherche qui répondent aux questions des utilisateurs, les conseils et solutions de décontamination (sites internet, forums d'entraide, éditeurs de solutions de décontamination, etc. ...), doivent utiliser les mêmes termes que ceux recherchés, même s'ils sont faux, car ils sont universellement répendus.
C'est ainsi que le terme de Virus est pérennisé et multiplié. Ainsi, si les utilisateurs posent la question suivante à leurs moteurs de recherche :
- Comment supprimer le virus Ask, qui n'est pas du tout un Virus mais une malveillance de type barre d'outils)
...les sites qui offrent une réponse à cette question (fausse) doivent avoir une réponse qui s'appelle :
La boucle infernale est bouclée et le terme de Virus est, à tord, partout (il en est de même pour le terme « Trojan » (Cheval de Troie), utilisé de manière totalement erronée (lire : Cheval de Troie (Trojan)).
|
Pourquoi ajouter un anti-malwares alors que j'ai déjà un antivirus ?
Parce que les virus classiques n'existent quasiment plus !
- Parce que, début 2012, les virus ne représentent plus que 0,5% des malveillances.
Déjà, au tout début des années 2000, Assiste prédisait la fusion inéluctable et rapide des anti-spywares et anti-trojans avec les antivirus.
Pourquoi ? Parce que les anti-spywares, anti-trojans, etc. fonctionnent sur exactement les mêmes principes et les mêmes technologies (bases de signatures, analyses heuristiques, sandboxing en machine virtuelle, etc.) que les antivirus qui, eux, savent le faire depuis bien plus longtemps qu'eux et ont une assise financière bien plus élevée.
Les antivirus avaient méprisé tout ce qui n'était pas « virus » (la « noblesse » des malveillances, à l’époque), mais la mutation des parasites était en route.
Nous annoncions également, depuis 2007, que les « virus » ne représentaient quasiment plus rien par rapport aux autres formes d'attaques et parasites.
Le terme « Virus » : Les « Virus classiques » n'existent plus.
L'éditeur d'une solution antivirus et anti-malwares, la société Emsisoft, l'un des acteurs majeurs de la lutte contre les malveillances informatiques (malwares), écrivait, en 2012 :
« Notre laboratoire d'analyse a calculé que les virus classiques constituent moins de 0,5 % de la totalité des menaces. Emsisoft anti-malware inclut toutes sortes de menaces, telles que :
- Les virus (0,5 %)
- Les logiciels de sécurité falsifiés (rogues) (0,5 %)
- Les publiciels (adwares) (2,7 %)
- Les applications probablement indésirables (PUP) (4,1 %)
- Les vers (worms) (4,6 %)
- Les malveillances (malwares) (5,3 %) dont :
- Les malveillances financiers : Phishing
- Les voleurs de mot de passe (password stealer)
- Les outils d'espionnage (Spywares)
- Les enregistreurs de frappes au clavier (keyloggers) (6,9 %)
- Les portes dérobées (backdoors) (13,3 %)
- Les chevaux de Troie (trojans) (61,3 %). »
|
1 Tests et comparatifs des antivirus Windows
Certains antivirus (pas tous) sont testés régulièrement par des organismes crédibles de tests et comparatifs antivirus, dont c'est le métier, les autres étant des comparatifs critiquables, voire imbéciles.
2 Comparatif antivirus - Tests avec des virus inconnus
Il est impossible de soumettre un virus inconnu à un panel d'antivirus, lors d'un test comparatif, pour la bonne raison que, par essence, le virus inconnu (ou la menace inconnue [malware, exploit, etc.]) est... inconnu ! Le testeur n'en a pas plus connaissance que les produits testés ! Seul le développeur du virus sait quels systèmes d'exploitation, environnements et applications sont visés. Le code inconnu doit donc être testé dans un environnement inconnu, donc dans tous les environnements possibles. Ceci nécessite des plateformes (matériels, systèmes d'exploitation, versions des applications...) ciblées. Ceci n'est à la portée que de laboratoires professionnels.
Il y a une interminable liste de comparatifs d'antivirus sans aucune crédibilité (liste des comparatifs imbéciles d'antivirus).
Se souvenir, à tout jamais, du « Rosenthal antivirus test ».
3 Comparatif antivirus - Confrontation à la Wild List
La Wild List est la liste des virus réellement dans la nature au moment du test. Cette liste est maintenue et partagée par l'ensemble des grands acteurs cooptés du monde des antivirus. Les margoulins, vendeurs de rogues et fakes, ne peuvent approcher ce cercle très fermé de vrais professionnels. Par contre, certains développeurs de virus ou malveillances sont extrêmement brillants et peuvent tenir en échec des antivirus durant des années (voir, par exemple, Equation Group et Shadow Brokers).
Ces tests comparatifs sont effectués tous les mois sauf janvier et juillet où les moyennes des 5 mois précédents sont calculées.
Les graphiques suivants sont extraits de nos comparatifs antivirus. Il est important de lire nos sévères critiques de comparatifs antivirus imbéciles trouvés dans la presse et sur certains sites Web.
4 Comparatif antivirus - Confrontation à des malwares
Malwares est un mot générique pour nommer l'ensemble de toutes les classes de parasites et malveillances (on énumère des centaines de classes de malwares).
Ces tests sont effectués tous les 6 mois, en mars et septembre.
5 Comparatif antivirus - Impact sur le système (ralentissement)
Impact (ralentissement) sur le système. Dans ces histogrammes, plus la barre est haute, plus l'impact (le ralentissement) est important.
Ces mesures sont effectuées tous les 6 mois, en avril et octobre.
 Comparatif antivirus Impact sur le système Avril 2016 |  Comparatif antivirus Impact sur le système Octobre 2016 |  Comparatif antivirus Impact sur le système Juin 2017 |  Comparatif antivirus Impact sur le système Octobre 2017 |  Comparatif antivirus Impact sur le système Avril 2018 |
6 Services d'antivirus pour cybercriminels
Il existe une foule de services multiantivirus gratuits en ligne, agissants dans le darkweb, reprenant l'esprit de VirusTotal et autres services multiantivirus gratuits en ligne, dédiés à la cybercriminalité. Ces services naissent et meurent à toute vitesse, et renaissent aussi vite sous un autre nom. Le but est, pour les cybercriminels, de mettre au point un virus qui ne sera détecté par aucun antivirus et, si le virus en cours de mise au point est détecté (par un ou plusieurs antivirus), le corriger, alors que les antivirus et services multiantivirus pour cybercriminels ne communiquent pas sur les échantillons détectés, contrairement aux VirusTotal (plus de 70 antivirus en 2024) et autres services publics. Ces services multiantivirus en ligne pour cybercriminels sont payants (entre cybercriminels, on n'est pas là pour s'entraider, mais pour se faire du fric), permettent aux cybercriminels de vérifier que les virus ou les malveillances qu'ils sont entrain de développer et s'apprêtent à lancer dans la nature, NE SONT PAS DÉTECTÉS, y compris par les analyses heuristiques et dans les sandbox (ou la virtualisation) des antivirus / antimalwares.
Les faiseurs de virus sont nombreux et actifs :
Ils testent leurs fabrications de virus en les soumettant à tous les antivirus en s'adressant à des services du genre de VirusTotal mais qui ne communiquent pas leurs résultats d'analyses aux éditeurs d'antivirus.
De nombreux développeurs de virus et autres malveillances utilisent des versions silencieuses de services antivirus multimoteurs, mis à jour automatiquement toutes les 1/2 heures, voire plus fréquemment encore, bricolées par eux-mêmes ou dans des « services underground » payants, genre :Sandboxes gratuites en ligne et leur liste.
7 Typologies
|
Virus - code malveillant auto-répliquant
Les encyclopédies |
|---|
