Virus et Prévention
Cet article est la traduction d’un article écrit dans le magazine gratuit What-Computer . Vous pouvez aussi consulter la version fichier doc un peu mieux présentée.
Virus
Le virus ‘I Love You’ laisse un souvenir amer.
Vous ne savez jamais quand ils vont frapper, et quels dégâts ils peuvent faire s’ils frappent. Le virus informatique est une méchante petite bête, mais que pouvons nous faire pour limiter les dégâts ? Billy Williams, de Norman Data Defense, les spécialistes en matière d’anti-virus, fait un bilan de ce qui s’est passé et donne un avis crucial sur comment combattre les virus.
Il suffit de jeter un œil à la couverture médiatique accordée au virus ‘I Love You’ pour se rendre compte des dégâts que peut causer un seul virus. Cela est, cependant, rien de nouveau : le virus Mélissa a mis à genoux des milliers de serveurs mails en mars 99, et depuis, les particuliers et es professionnels attendent la prochaine attaque.
Mais qui doit on blâmer ? Nous pourrions commencer par Microsoft, mais ce ne serait pas tout à fait juste. Microsoft a écrit de nombreuses fonctionnalités dans ses systèmes d’exploitation récents, qui donne aux utilisateurs des possibilités dont ils n’auraient pu rêver qu’environ il y a deux ans. Enlever soudainement ces fonctionnalités et appliquer des mesures de sécurité à la place donnerait aux utilisateurs le sentiment de conduire une version Ford modèle T de leur précédente voiture de sport VS Turbo. C’est le vieux débat : fonctionnalités contre sécurité.
Les interfaces actuellement disponibles sur la plupart des PC existent pour tirer profit de ces performances, et permettant des interactions entre les différentes applications. Pour la majorité des programmes, ce sont d’excellentes nouvelles; nos ennuis résident dans la présence d’une faible minorité de programmeurs de virus inconscients.
Alors d’où vient la menace ? Simplement, quiconque sachant écrire un script VBS peut causer le désordre sur Internet, parce que le code écrit peut accéder directement au système d’exploitation de votre machine. Jusqu’à maintenant, les dégâts ont été minimaux car les attaques ont été criardes et découvertes presque immédiatement. ‘I Love You’ est un bon exemple de la facilité qu’il y a à créer des problèmes. Ce virus a été écrit par un étudiant en Malaisie qui l’envoya à quelque contacts; quelques minutes plus tard le virus se répliquait sur les réseaux du monde entier.
Ce qui est inquiétant est que l’auteur du script aurait facilement pu retarder beaucoup des effets du virus, rendant les dégâts apparents uniquement après de nombreux jours ou semaines, temps pendant lequel le virus aurait très facilement pu infecter la plupart des machines connectées à Internet. De plus, il est connu qu’il existe des failles de sécurité dans les réglages des applications, comme Outlook Express, qui font qu’un virus peut s’ajouter lui même de manière invisible sur le PC.
Le virus ‘I Love You’ n’était pas si dangereux que ça. Certaines variantes, par contre, étaient modifiées pour effacer des fichiers de votre disque dur si le script était exécuté. Cette fois-ci, la plupart des personnes étaient beaucoup plus conscientes de la menace, et se sont montrées beaucoup plus prudent à l’égard du email non attendu.
Les utilisateurs devraient être prudents à l’égard des emails qui arrivent avec des fichiers attachés qu’ils n’attendent pas. En cas de doute, contactez l’expéditeur en premier lieu pour l’interroger, et assurez-vous de garder vos fichiers de détection d’anti-virus à jour. Si l’anti-virus ne connaît rien d’un virus, il va lui être très dur, voire impossible de le détecter.
Bien qu’il y ait plus de 40 000 virus connus, seuls environ 160 sont actuellement enregistré comme étant “dans la nature”. Ces virus sont constamment rapportés avoir été détectés sur Internet, mais cela pose la question évidente : Pourquoi ? Sûrement tout le monde utilise un anti-virus ?
Inexact. La plupart des infections viennent d’utilisateurs soit sans anti-virus, ou soit ayant des logiciels périmés. L’infection est seulement détectée lorsque les fichiers attachés infectés sont envoyés à des utilisateurs correctement protégés. Ce sont ces utilisateurs qui évitent la diffusion massive de virus.
Réfléchissez-y. La seule raison pour laquelle le virus ‘I Love You’ est mort est que tous les serveurs passerelles recherchent maintenant activement ce code, et l’efface avant de permettre à un email blanc de passer.
Alors, d’après nos précédents dires, tout le monde sait qu’on ne doit pas ouvrir de fichiers attachés non attendus sans rien vérifier avant, mais qu’arrive-t’il s’il n’y a pas de fichier attaché à exécuter, si le message est de quelqu’un que vous connaissez et n’a rien d’attaché ?
Certainement vous ouvririez le message, pourquoi ? Téléphoneriez vous à quelqu’un qui vous envoie un email sans pièces attachées visible, pour vérifier si cela n’est pas une infection ? Vous pouvez maintenant voir le problème. KAK est justement un virus qui ressemble à cela. Utilisant une commande Windows, il est en fait contenu dans la signature, donc il n’y a pas de pièce attachée à exécuter. Cependant, ouvrez le mail, ou prévisualisez-le dans Outlook, et la prochaine chose que vous savez est que vous avez été infecté.
Microsoft est conscient de cela et des correctifs sont disponibles sur son site ouaibe. Allez faire un tour sur www.microsoft.com pour plus d’information.
Mais quelles sont les possibilités des virus ? Il y a tellement de risques possibles que c’est uniquement une question de temps avant que la simple connexion sur un site malintentionné n’actionne une de ces fonctionnalités, entraînant des modifications et la mise à disposition de vos fichiers sur Internet. Ce sont toutes des menaces potentielles, et doivent être surveillées de près.
Dans tous les problèmes soulevés ici, et ils ne sont qu’une petite partie, il y a une règle simple à lire entre les lignes. Si vous ne gardez pas à jour vos fichiers d’anti-virus, alors cela revient à inviter simplement un problème quelque part le long de la barrière. Et le sens commun doit prévaloir avec les emails, comme exécuter des fichiers attachés sans y réfléchir avant ne peut que vous jeter dans l’eau bouillante.
Ayez du bon sens
Ce qui suit est un article fictif sur un anti-virus inexistant, écrit par Ian Higginbotham, directeur de Norman Data Defende Systems (UK). Cependant, le message qu’il contient
est tout à fait réel. Au réveil du virus ‘I Love You’, on a trouvé très facile de critiquer les entreprises d’anti-virus pour les vagues de malheurs qui ont déferlées. En fait les utilisateurs en joué un rôle important dans la propagation rapide de ces virus, en ne tenant pas compte des avertissements distribués pas les services informatiques et par l’industrie des anti-virus. Ce n’est pas la faute des utilisateurs finaux : le reproche est à faire à ceux qui ont échoué à faire passer le message et à le faire retenir.
Introduction
Ce produit est la solution la plus répandue d’anti-virus disponible, et pourtant est actuellement la moins utilisée. Cela est probablement dû au fait que beaucoup de personnes pensent que ce produit est trop compliqué à utiliser et à comprendre. Cet article a pour but de dissiper quelques-unes de ces craintes, fournissant un aperçu quant à l’utilisation de cette application.
Installation et apprentissage
L’installation peut prendre jusqu’à cinq minutes, et l’apprentissage va prendre autant de temps qu’il faut à chacun pour lire cet article.
Comment marche le produit
Ce produit utilise un système basé sur quelques règles pour identifier un virus. Ce système n’est pas infaillible, et peut de temps en temps faillir à cause d’une perte de mémoire, nécessitant de temps en temps une mise à jour.
Comprendre le pourquoi des règles
Avant que nous expliquions les règles d’utilisation du produit ‘Bon sens’, nous devons comprendre comment les virus font pour trouver leur chemin dans un ordinateur. En ce moment, 60% des virus viennent des emails (voir figure 1). C’est en très forte augmentation depuis les années précédentes, et ceci est largement dû aux virus envoyant des emails en masse, comme les virus Melissa ou ‘I Love You’. La seconde source de virus est toujours par les disquettes, dont les deux tiers viennent des foyers. Cela est une bonne raison pour avoir deux licences du ‘Bon Sens’ pour pouvoir l’utiliser aussi à la maison.
La deuxième chose à considérer est que 63% des virus sont des virus macro, mais ces virus ne sont pas ceux qui ont tendances en causer le plus d’infections, comme nous allons le voir.
Comme deux tiers des infections viennent des emails, nous devons nous pencher un peu plus sur comment ils font pour nous infecter. Jusqu’à quelques années, on disait : “Vous ne pouvez pas être infecté en ouvrant un mail; vous serez uniquement infectés si vous exécutez un fichier attaché.” Cela changea lorsque les virus de type Bubbleboy sont apparus, infectant votre machine sous certaines conditions si vous prévisualisiez le message.
Cependant, ce n’était pas le cas avec le virus ‘I Love You’, qui arriva une année après le premier Melissa, et quelques mois après ExploreZip. Les personnes infectées par Melissa avaient été éduquées sur comment ne pas devenir infectées, mais avaient immédiatement oublié tout ce qu’elles avaient appris lorsque ExploreZip arriva. Alors les départements informatiques apprirent une fois de plus à ces personnes, et elles oublièrent rapidement tout une fois de plus, lorsque le virus ‘I Love You’ frappa. Le message ne passe pas !
En fin de compte, nous avons à comprendre que les logiciels anti-virus commerciaux répandus nous ont donné une fausse impression de sécurité. Nous attendons d’un logiciel de piéger les virus pour nous, et alors nous ouvrons nos emails sans plus de précautions.
Avant l’avènement des virus de mail en masse, cette pratique était souvent adaptée, car les entreprises d’anti-virus partagent les informations sur les virus, et que donc, les protections étaient disponibles avant que le virus soit trop répandu et incontrôlable.
La situation actuelle est telle que si un logiciel anti-virus sotrait un correctif avant que le virus soit dans la nature, il ne se passerait pas beaucoup de temps avant que l’on crie à la tromperie et que l’on dise que tel ou tel entreprise d’anti-virus écrit un virus et met à disposition l’antidote en même temps. Si je gagnait dix francs à chaque fois que j’entends cet argument je serais directeur d’une société d’anti-virus… Je suis directeur d’une telle société. Enfin je vous ai dit ça.
Bien sûr cela est faux, mais nous avons tous une confiance aveugle dans un produit qui demande de sérieuses évolutions pour atteindre le niveau de protection que nous attendions de ces produits il y a tout juste un an.
C’est pourquoi le ‘Bon Sens’ marche si bien. Cela vous donne une couche supplémentaire de défense dans notre lutte contre les virus, et bonne nouvelle : le ‘Bon Sens’ peut coexister sur n’importe quel PC équipé de n’importe quel autre logiciel anti-virus, sans aucun problème ou conflit. Vous n’avez donc pas besoin de changer votre logiciel actuel, contre un compatible avec le ‘Bon Sens’.
Les dix règles du Bon Sens
- Avant toute chose, démarrez l’ordinateur et allez dans le CMOS (le manuel de l’ordinateur vous explique comment le faire si vous ne l’avez jamais fait avant) et changez la séquence de boot de ‘A puis C’ vers ‘C puis A’ ou plutôt ‘C seulement’. Cela vous évitera donc de devenir infecté par tous les virus de type secteur Boot, et de tous les virus qui infectent les partitions (cependant, cela n’empêchera pas les virus multi-partition d’infecter le secteur boot).Si vous avez besoin de démarrer depuis une disquette, cela vous prendra 30 seconde pour remettre ‘A puis C’, pourvu que vous vous souveniez de le remettre en mode sécurisé lorsque vous avez fini d’utiliser votre disquette.
- Si vous n’utilisez pas Windows Scripting Host (WSH) alors désinstallez le. (voir le diagramme 2). Allez dans le ‘Panneau de configuration’ et ensuite dans ‘Ajout/Suppression de programmes’. Sélectionnez l’onglet ‘Installation Windows’, puis ‘Accessoires’ et ensuite appuyez sur le bouton ‘Détails’. Décochez la case Windows Scripting Host si elle est sélectionnée, puis appuyez sur OK. Cela arrêtera la plus grande partie des nouveaux virus de type Melissa ou ‘I Love You’, car ils ont besoin de cette fontcionnalité pour infecter. Si vous n’êtes pas sûrs de ne pas utiliser WSH, alors il n’y a aucun risque à le retirer, regarder si tout fonctionne, et le remettre par l’opération inverse, si vous en avez vraiment besoin, pourvu que vous ayez votre cédérom Windows. En règle générale, WSH n’est pas requis.
- Téléchargez et installez les visionneuses Office pour Word, Excel et Powerpoint (fournies gratuitement par Microsoft). Une copie de chaque est contenue dans le cédérom d’Office. Au cours de l’installation, on vous demandera si vous désirez les utiliser comme programme par défaut pour les documents Word. Si vous répondez Oui, à chaque fois que vous cliquerez sur un document Word, vous le visualiserez dans cette visionneuse et ainsi n’exécuterez aucun programme dangereux.Si vous voulez éditer le document, un clic sur le document avec le bouton droit ouvrira un menu qui comporte les deux possibilités ‘WordView’ ou ‘Ouvrir’, ce dernier permettant d’ouvrir le document dans Word (voir diagramme 3
- Si vous n’êtes pas grand utilisateur de macros ou si le document n’en contient pas, changez le type de vos documents en RTF (Rich Text Format). RTF ne supporte pas les macros, et donc les macros dangereuses ne peuvent pas passer de documents en documents. Vous n’enverrez pas de virus de type macro si vous envoyez le document sous cette forme là.
- Assurez vous que l’Explorateur montre toutes les extensions en allant dans le menu ‘Affichage’ et ‘Options des dossiers’ et en déselectionnant ‘Cacher les extensions pour les types de fichiers connus’. Si quelqu’un a ajouté une extension ‘exe’ à la fin d’une autre extension, vous serez automatiquement en mesure de voir la bonne extension, et d’être averti que tout n’est pas comme il semble l’être
- Désactivez les options de votre navigateur que vous n’utilisez pas souvent, comme Java Script et ActiveX, ou au moins paramètrez le logiciel pour qu’il vous avertisse chaque fois qu’il détecte cela sur une page ouaibe. Vous avez le choix de l’exécuter ou non, selon la confiance que vous avez pour un site ouaibe personnel, et selon que vous considerez que le risque d’exécuter quelque chose éventuellement dangereux en vaut la peine.En même temps, désactivez le support HTML de votre logiciel de mail, pour qu’aucun code dangereux ne soit exécuté. Pendant que vous y êtes, faîtes de même pour le logiciel de Forums de discussions.
- Lorsque vous recevez un email avec une pièce attachée, réfléchissez avant de l’ouvrir. Est-ce un email avec un titre étrange ? Est-ce que le fichier attaché a un nom bizarre ? Est-ce que c’est quelque chose que j’attendais de cette personne ? Est-ce que je converse souvent par email avec cette personne ? (J’ai reçu le virus ‘I Love You’ par des personnes dont je n’ai pas la moindre idée de comment je suis arrivé sur leur liste d’adresses) Est-ce que le fichier attaché a une extension étrange ? Si vous ne détectez rien d’anormal, ouvrez le message, mais n’exécutez pas gaiement le fichier attaché. Détachez le dans un répertoire de quarantaine (le mien est appelé ‘Downloaded’ et se situe dans ‘Mes documents’). Une fois que vous l’avez détaché, assurez vous que ce n’est pas un virus connu par votre logiciel anti-virus.Certains vont dire : “Mais en le sauvant sur le disque le logiciel anti-virus en fond de tâche aura déjà examiné le fichier, alors pourquoi le faire à nouveau ? Cela pourrait être le cas, mais que se passe t’il si jamais celui-ci n’est pas en train de tourner ou s’il a été désactivé d’une façon ou d’une autre ? Je préfère être prudent qu’infecté. Je suis sûr que vous aussi. Maintenant assurez vous que l’extension du fichier sauvegardé est la même que l’extension du fichier attaché. Souvenez vous que si vous avez le moindre doute sur un email ou une pièce jointe, alors effacez la ou téléphonez à la personne qui vous l’a envoyé pour lui demander s’ils vous ont en effet envoyé ce fichier et ce qu’il contient. S’ils disent ne jamais vous avoir envoyé quoique ce soit, alors dites leur qu’il est possible qu’ils soient infectés et envoyez leur une copie du ‘Bon Sens’
- Arrêtez d’envoyer autant de pièces attachées vous-même et découragez les personnes qui vous en envoient. Je suis constamment bombardé par des pièces attachées qui pourraient très bien avoir été une URL. Le problème est que comme ma boîte aux lettres ne cesse de grossir, j’ai tendance à effacer les emails avec des pièces attachées en premier, et ainsi augmentent les chances de perdre une bonne information, alors que si cela avait été une adresse Internet, l’email ne prend pas de place, et je peux regarder l’information quand j’en ai besoin (pourvu que l’URL reste la même bien sûr !)
- Sauvegardez vos données régulièrement à différents endroits comme cela, si vous e^tes infectés par inadvertance et que vos fichiers sont corrompus, vous pourrez au moins avoir une copie de la plupart de vos fichiers quelque part.
- Méfiez-vous des canulars : qui sont-ils et comment les repérer ? Une bonne adresse pour commencer est www.kumite.com/myths. Vous voyez, vous utilisez déjà le ‘Bon Sens’ !
Aucune de ces règles n’est plus importante que les autres, donc vous devez les utiliser toutes pour que le ‘Bon Sens’ fonctionne correctement. Et souvenez-vous, vous devez aussi utiliser un bon logiciel anti-virus qui soit en même temps actuel et adapté.
Par cela je veux dire qu’il est doit être aussi à jour que vous pouvez, (je considère comme actuel un logiciel mis à jour il y a au plus une semaine) et est capable de faire le travail qu’il prétend qu’il peut faire. Vous pouvez jeter un œil quelque part comme www.virusbtn.com qui teste les logiciels anti-virus régulièrement et qui vous dit lesquels il considère comme logiciel capable de détecter les virus actuellement dans la nature.
Conclusion
J’accorde une note très élevée au logiciel Bon Sens’ et je le recommande à tout le monde sans la moindre hésitation. En ce qui concerne la robustesse du logiciel, il reste quelques interrogations quant à savoir s’il est aussi efficace un lundi matin ou un vendredi après-midi que le reste de la semaine. Tout ce que cela demande est un tout petit peu de réflexion, pour vous donner un niveau de protection supérieur à ce que vous pourriez déjà avoir. Ayant dit cela, ce logiciel donne de très bons résultats pour un débutant, encore plus s’il est couplé avec un autre logiciel anti-virus.