Vers et virus informatiques

Vers et virus informatiques

Les vers informatiques

 

Dès 1949, John von Neumann publie un article dans lequel il affirme qu’il est possible d’écrire un programme informatique capable de s’autoreproduire. On appelle ver (en anglais logic worm) un tel programme. Il peut se dupliquer à grande vitesse dans un système et dans un réseau informatiques et parvenir ainsi à saturer toutes leurs ressources.

Le fonctionnement d’un ver informatique est le suivant :

– le ver est introduit sur une machine;

– il recherche alors et établit la liste des machines qui sont connectées;

– il force les mots de passe et se fait reconnaître par les autres machines;

– il introduit le programme-ver dans les machines découvertes;

– le programme introduit est à son tour actif et va rechercher d’autres machines; etc.

Depuis longtemps, écrire des programmes capables de s’autoreproduire est resté un jeu pour les étudiants doués et les chercheurs. Ce n’est que bien plus tard, dans les années 1980, avec la diffusion de la micro-informatique et le développement des réseaux, que sont apparus les virus.

Les virus informatiques

Les virus utilisent des fonctions d’autoreproduction similaires à celles des vers. Cependant, ce ne sont pas des programmes autonomes mais seulement des séquences d’instructions parasites qui s’introduisent et se cachent à l’intérieur d’autres programmes. Un virus se développe habituellement en trois phases: tout d’abord, le virus s’implante et se cache dans un programme sain; il n’y a pas de symptômes apparents. Ensuite, de proche en proche, par l’utilisation de disquettes infectées ou par le réseau, le virus s’implante dans d’autres programmes sains. Il est toujours invisible. Enfin, à une certaine date ou lors de l’utilisation d’un programme ou d’une instruction donnée, il se déclenche. Presque tous les virus peuvent ainsi rester silencieux pendant des mois ou même des années. Ils mettent en œuvre un déclenchement différé, ce qui leur permet d’infecter le maximum de programmes avant d’être détectés. Les effets des virus sont variés. Quelquefois, il s’agit simplement de l’affichage d’un message ou du déclenchement inopiné d’un périphérique. Parfois, ils sont catastrophiques. Ils peuvent provoquer alors l’effacement des mémoires, la destruction de fichiers et des programmes sur les disques.

En 1998, les éditeurs de logiciels antivirus estimaient à plus de 18 000 le nombre des virus existants ; en l’an 2000, ce nombre serait passé à plus de 50 000, et chaque jour voit apparaître une quinzaine de nouveaux virus. Les virus informatiques se répartissent en trois catégories :

les virus de fichier, qui s’attaquent aux fichiers exécutables (exe, bat, ini, etc.) ; ces virus sont des programmes qui peuvent infecter d’autres programmes en les modifiant de façon à y inclure une copie d’eux mêmes : un tel virus va corrompre un exécutable qui, à son tour va en corrompre un autre, et ainsi de suite. A ce jour, un des plus redoutables virus de ce type est CIH (surnommé Tchernobyl) qui s’attaque à tous les exécutables, mais est également capable de détruire le secteur de démarrage d’un disque dur et d’infecter le BIOS (Basic Imput/Basic Output) de la carte mère, où sont inscrites les instructions servant d’interface entre les composants du PC et son système d’exploitation.

les virus de boot, qui détruisent ou modifient le secteur de démarrage du disque dur ; transmis par des disquettes (et jamais par téléchargement ou réception de courrier électronique), ces virus sont moins dangereux que les précédents puisqu’on peut restaurer le secteur endommagé.

les macrovirus, qui s’attaquent aux documents contenant des macros (suites d’instructions permettant d’automatiser certaines fonctions, notamment dans les logiciels de bureautique), sont aujourd’hui les plus nombreux. Un macro-virus est obligatoirement au format du modèle de fichier qu’il va infecter ; son code va se cacher à l’intérieur du code du fichier et, lorsque ce dernier est lancé, le virus, grâce aux commandes macros, va s’implanter dans tous les fichiers de même format.

Avec le développement d’Internet, apparaissent aujourd’hui des vers d’un nouveaux type, sortes de macro-virus possédant la propriété de se transmettre à travers des réseaux ; ils peuvent ainsi se multiplier à l’infini, via par exemple, les fichiers attachés reçus par courrier électronique. Le plus connu d’entre eux est Melissa.

Découvrir :  Quelle est l’importance de la technologie en entreprise ?

Le cheval de Troie

Un cheval de Troie, qui peut également transiter par courrier électronique, se comporte comme un programme de commande à distance : installé à l’insu de l’utilisateur, il se lance automatiquement au démarrage du système d’exploitation de l’ordinateur et pénètre ainsi dans la totalité du système, de la configuration au registre, en passant par les mots de passe, etc. dont il permet de prendre le contrôle à distance. Le code supplémentaire introduit dans un programme réputé sain se déroule lors de l’exécution du programme sain. Il peut par exemple faire une liste des fichiers d’un ordinateur, puis les effacer.

 

La bombe logique

C’est un programme qui est lancé par un événement particulier dans le but d’occasionner des nuisances. Le déclenchement peut se faire à date et heure précise, au lancement d’une commande ou lors d’une demande de service au système d’exploitation.

 

Quelques exemples d’attaques

Par exemple dans les années 1970, le réseau américain Arpanet fut infecté par un ver affichant: «Je suis Creeper, attrapez-moi si vous le pouvez.» Le 13 avril 1988, veille du jour anniversaire de la proclamation de l’État d’Israël, un virus «sabotage palestinien» devait détruire d’importants fichiers. L’attaque fut déjouée. L’infection la plus importante eut lieu en novembre 1988 sur le réseau américain Internet: en moins de cinq heures, 6 000 ordinateurs Unix furent contaminés, provoquant la paralysie du réseau, dont l’ensemble des ressources était absorbé par les processus parasites.

Fin 1999, de nombreux serveurs Internet ont été bloqués après avoir été submergés par des demandes en masse générées par des ordinateurs exterieurs.

Les «hackers»

Les virus sont souvent l’œuvre d’individus isolés passionnés d’informatique, les hackers ceux qui hachent menu les programmes informatiques. Ceux-ci fabriquent aussi des «chevaux de Troie», programmes qui se présentent extérieurement sous forme de jeux ou d’utilitaires mais qui, comme leur nom l’indique, permettent de s’introduire frauduleusement dans les systèmes informatiques.

L’échange et la copie de disquettes et de logiciels infectés, en particulier les jeux, sont des modes importants de la diffusion des virus.

Les antivirus

Un antivirus est un logiciel qui est capable de détecter et éventuellement de détruire les virus répertoriés ayant infecté un programme. Pour détecter un virus, l’antivirus compare les fichiers avec des fichiers sains et recherche la «signature logique» du virus. On peut associer un antivirus au système d’exploitation, mais la liste des virus répertoriés dans l’antivirus doit fréquemment être actualisée car chaque mois de nouveaux virus apparaissent. Des antivirus dits «génériques», permettent, depuis peu, de détecter certains virus non répertoriés.

 

La sécurité externe des données en informatique

Tant que l’on a fait de l’informatique centralisée, la sécurité des données vitales des entreprises n’a pas posé trop de problèmes sérieux. Les barrages étaient plus concentrés autour de la confidentialité et des droits des utilisateurs, qu’autour d’un piratage éventuel. Certains bâtiments militaires, ou de recherche avancée, étaient blindés de manière à ce qu’aucune personne extérieure ne parvienne à lire par exemple le contenu des écrans, à l’aide d’un matériel approprié.

Les problèmes de sécurité deviennent plus sensibles dès lors qu’il existe des possibilités d’accès externes au système d’information de l’entreprise ou de l’administration. Tant que le réseau utilise des lignes louées, une identification à l’aide du couple «identifiant de l’utilisateur mot de passe» est généralement suffisante. L’utilisation du réseau commuté pose déjà davantage de problèmes car, en plus de l’utilisateur, il faut reconnaître l’unité qui se connecte.

Avec l’avènement de l’Internet, tout serveur de données est exposé aux plus grands dangers si l’on n’y prend pas garde. Des personnes malintentionnées (hackers, crackers,). peuvent faire des intrusions dans les systèmes pour espionner ou endommager, voire même détruire des données. Le réseau Internet n’étant pas sécurisé, et à la disposition de tout le monde, toutes les données qui transitent en clair sur ce réseau peuvent être interceptées. Le particulier, utilisateur du Web, lorsqu’il fait du commerce électronique, doit s’assurer, lorsqu’il donne son numéro de carte bancaire, que la transaction est sécurisée.

Si aucune précaution n’est prise, tout PC, dès lors qu’il est connecté au Web, peut être visité par quelqu’un en quête d’espionnage ou de malveillance. C’est pourquoi toute une panoplie d’outils a été mise en œuvre pour remédier aux attaques externes et renforcer la sécurité des réseaux informatiques. Pour éviter les intrusions indésirables, la première solution consiste à exiger l’identification de l’utilisateur au moyen de son identifiant et de son mot de passe. Ce dernier, pouvant être volé ou prêté, la sécurité à ce niveau est faible. C’est pourquoi, on a vu apparaître des moyens plus sûrs qui fournissent des pseudos mots de passe non rejouables, et identifiables par le serveur. Une autre solution consiste à utiliser une reconnaissance biométrique de l’utilisateur (empreintes digitales, signature, fond de l’œil, voix,).

Découvrir :  Les différentes composantes d’un parc informatique

Mais l’identification des utilisateurs accédant aux applications ne suffit pas. La topologie d’un réseau interne ne doit pas être connue de l’extérieur. Il faut donc isoler le réseau d’entreprise vis à vis de l’extérieur. Pour cela, on utilise les coupe-feux (firewall).

En plus de l’accès au serveur, il faut aussi s’assurer qu’aucune personne mal intentionnée ne puisse examiner le contenu des données sur le réseau. À ce niveau, il faut utiliser la cryptographie, qui consiste à modifier le contenu des données, à l’aide d’un algorithme à clé secrète partagée par les deux extrémités. La cryptographie peut être en fonction pendant toute la durée d’une session, ou seulement lors des transactions sensibles. Par exemple, pendant la saisie et l’envoi d’un numéro de carte bancaire. Dans ce dernier cas de figure, on utilise généralement les concepte SSL (Secure Socket Layer) et SET (Secure Electronic Transactions). L’utilisateur saura que sa transaction est sécurisée en s’assurant qu’une clé ou qu’un cadenas fermé s’affiche en bas à gauche de son écran. Les données qui parviendront au destinataires seront cryptées, donc confidentielles.

Le mot de passe

Dans les réseaux informatiques, le mot de passe associé au nom d’un utilisateur est le premier rempart contre les tentatives d’intrusions frauduleuses. Le mot de passe permet l’authentification d’une personne; c’est une protection, certes faible (car un mot de passe peut être prêté ou volé), mais généralement suffisante. Si l’authentification doit être renforcée, on préférera au mot de passe l’utilisation de pseudo mots de passe non re jouables et générés par une sorte de calculette, grâce à un algorithme, basé par exemple, sur le nom de l’utilisateur, l’heure, et une clé secrète partagée avec le serveur. Pour s’assurer que la personne qui se présente est bien autorisée, une autre solution consiste à utiliser des lecteurs bio métriques reconnaissant à coup sûr une empreinte digitale, le fond de l’œil, la voix, la signature

Un mot de passe saisi par l’utilisateur peut être envoyé en clair, ou, mieux, crypté. Il est conseillé de ne pas envoyer le couple «identifiant de l’utilisateur mot de passe», simultanément. Un mot de passe doit être changé régulièrement, et ne pas être trivial: prénom, mot suivi du numéro du mois, suite de chiffres consécutifs, Il doit être assez long (huit caractères), et composé d’un mélange de chiffres et de lettres, afin de multiplier le nombre de combinaisons possibles. Les mots de passe utilisés pour les besoins personnels (consultation d’un compte bancaires, accès à Internet,) doivent suivre les même règles que celles citées ci-dessus.

Le coupe-feu (firewall)

Un coupe feu dans le domaine informatique est un système qui permet de sécuriser un réseau local vis à vis de l’extérieur. Généralement, un coupe-feu est une passerelle entre le réseau intranet d’une entreprise et Internet, qui contrôle les flux entrant et sortant. Cette passerelle est constituée d’un ensemble de matériel et de logiciel. On peut aussi trouver des coupe-feux à l’intérieur d’une entreprise pour isoler certains services sensibles. Bien que certains routeurs soient munis de capacité de filtrage, la solution proposée n’est pas suffisamment sécurisante. C’est pourquoi, les entreprises installent des coupe-feux.

On trouve deux types de coupe-feux :

– les passerelles filtrant les paquets (Packet Filtering Firewall);

– les passerelles applicatives (Application Proxy Firewall).

Les passerelles filtrant les paquets

Les passerelles filtrant les paquets, appelés datagrammes en français, sont les plus économiques mais elles ne permettent pas d’identifier les utilisateurs. Le filtrage se fait sur quatre éléments du datagramme : l’adresse d’origine, l’adresse de destination, le type de datagramme et le numéro de port utilisé. Il n’y a pas de règle pour accéder aux applications. Seules les règles sur les adresses IP sont mises en œuvre. De ce fait, la sécurité, avec ce type de coupe-feu, a un niveau faible et souvent insuffisant.

Découvrir :  Quelle est la meilleure protection anti-spam ?

 

Les passerelles applicatives

Ce genre de coupe-feu a pour principal avantage de pouvoir contrôler et enregistrer tout le trafic entrant et sortant, et d’identifier les utilisateurs. Ces machines coupe-feu sont placées à la frontière du monde Internet et du réseau informatique de l’entreprise (intranet). Les données entrantes et sortantes ne traversent pas directement la passerelle, car cette dernière assure un relais entre les deux extrémités et isole donc les deux parties l’une de l’autre.

Vis à vis de l’extérieur de l’entreprise, le firewall d’applications isole le réseau de l’entreprise et ne permet pas à quelqu’un, situé à l’extérieur, d’en connaître la topologie interne. Tout se passe comme si les applications étaient dans cette machine coupe-feu, alors qu’en réalité elles se trouvent quelque part dans le réseau de l’entreprise. En fait, le coupe-feu se comporte comme un représentant (proxy) des ressources intranet.

Le paiement sécurisé sur Internet : SSL et SET

Avec le développement d’Internet, de nombreuses sociétés commerciales proposent des achats en ligne pour les particuliers. Il est possible d’acheter un billet de train ou d’avion auprès des compagnies de transport via le web. Les entreprises de vente par correspondance proposent leurs catalogues en ligne. Plusieurs producteurs de vins se sont groupés pour vendre sur Internet. Un grand constructeur automobile vendra bientôt ses voitures sur le web. On pourra bientôt faire tous les achats sans quitter son domicile. L’offre croît tous les jours, mais le chiffre d’affaires dégagé par le commerce électronique (e-commerce) reste encore modeste car le client n’a pas encore une confiante totale dans le paiement par carte bancaire. C’est pourquoi des techniques ont été mises en œuvre pour sécuriser le paiement. ces techniques sont au nombre de deux : le SSL ( Secure Socket Layer) et le SET ( Secure Electronic Transaction).

 

Le SSL

C’est un protocole développé à l’origine par Netscape. SSL fournit trois services :

– l’authentification du serveur;

– une session cryptée;

– l’authentification du client.

La session cryptée (on dit également chiffrée) est utilisée généralement lors de l’envoi du numéro de carte bancaire, mais elle peut l’être dans d’autres cas. Le chiffrement est réalisé soit avec l’algorithme DES ou l’algorithme RSA. SSL est utilisé par les navigateurs Netscape et Internet Explorer. On reconnaît qu’une transaction est sécurisée lorsque qu’une clé ou un cadenas fermé s’affiche dans la partie inférieure gauche de l’écran.

Le SET

C’est un protocole destiné spécialement à sécuriser les transactions Internet de paiement par carte bancaire. Il a été développé à l’origine par Visa International et Master Card, en 1996, avec l’aide des grandes compagnies informatiques de la planète.

Son champ d’application se réduit au cryptage des seules données bancaires, contrairement à SSL qui peut chiffrer les images et le texte. Le protocole SET implique trois parties: le client, le vendeur et la banque du vendeur. Ce système SET requiert des certificats auprès des trois parties. Les certificats du client et du vendeur sont fournis par leur banque respective après quoi la transaction commerciale peut avoir lieu. Avec le SET, le numéro de carte bancaire peut ne pas être connu du vendeur, donc ne sera pas stocké dans ses fichiers et être récupéré par une personne mal intentionnée. Le SET assure en principe une transaction de non répudiation, mais cette clause peut varier d’un pays à l’autre suivant la législation en vigueur.

Si le SSL et le SET assurent chacun un haut degré de confidentialité, seul le SET permet une pleine identification réciproque des deux parties grâce à un tiers de confiance, en l’occurrence la banque du vendeur. Ainsi, elle s’assure que la carte est bonne et qu’elle n’a pas été volée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.