 |
|
|
|
| |
|
|
Fléau majeur de l'informatique, les
virus sont aussi présents sur internet. Qu'ils s'attaquent
au secteur d'amorce de vos disques, aux fichiers exécutables
ou aux documents incluant des macros, leur but est toujours
le même : proliférer en cachette, se faire
subitement remarquer, puis souvent détruire vos données.
La meilleure protection reste la prévention : méfiez-vous
des disquettes introduites dans des ordinateurs peu sûrs,
et des fichiers douteux téléchargeables sur
internet ou reçus en pièce jointe d'un courrier.
Les virus sont un fléau majeur de l'informatique,
et pas seulement sur internet : un simple échange
de disquettes entre copains ou collègues de travail
peut contaminer votre disque dur, sans même éveiller
vos soupçons. Car la bestiole est souvent rusée.
|
| Qu'est-ce qu'un virus ? |
 |
|
Un virus est un petit programme conçu
pour se cacher dans votre ordinateur, puis se multiplier,
se répandre de par le monde et enfin déclencher
une action (message, destruction, petite musique, etc.).
On dénombre plusieurs catégories de virus,
en fonction de la cible visée dans l'ordinateur.
|
| Les différentes familles
de virus |
|
|
La première catégorie regroupe
les virus de secteur d'amorce (= virus de "boot sector",
c'est-à-dire affectant la zone du disque qui est
lue en premier au démarrage) tels que "Form",
"jack the ripper", "french boot", "parity
boot"... Ces virus remplacent le secteur d'amorce du
disque infecté par une copie d'eux-mêmes, puis
déplacent le secteur original vers une autre portion
du disque. Le virus est ainsi chargé en mémoire
bien avant que l'utilisateur ou un logiciel ne prenne le
contrôle de l'ordinateur.
Les virus d'applications infectent les fichiers exécutables,
c'est-à-dire les programmes (.exe, .com ou .sys).
Pour simplifier, disons que le virus remplace l'amorce du
fichier, de manière à ce qu'il soit exécuté
avant le programme infecté, puis il lui rend la main,
camouflant ainsi son exécution aux yeux de l’utilisateur.
Les virus macro sont des virus qui infectent uniquement
des documents (Word, Excel...), en utilisant le langage
Visual Basic pour Application. Ces virus se propagent actuellement
dans de fortes proportions et peuvent malheureusement causer
de grands dégâts (formatage du disque dur par
exemple).
Enfin, il y a les virus de mail, également appelés
vers. Ces virus se servent des programmes de messagerie
(notamment Microsoft Outlook) pour se répandre à
grande vitesse, en s'envoyant automatiquement à tout
ou partie des personnes présentent dans le carnet
d'adresses. Leur premier effet est de saturer les serveurs
de messagerie, mais ils peuvent également avoir des
actions destructrives pour les ordinateurs contaminés.
Ils sont particulièrement redoutables, car le fait
de recevoir un mail d'une personne connue diminue la méfiance
du destinataire, qui ouvre alors plus facilement le fichier
joint contaminé.
A noter que certains virus sont des virus polymorphes.
A chaque fois que l'un d'eux infecte un fichier, il se crypte
différemment. Résultat, il faut que l'antivirus
analyse la technique d'encryptage de chaque virus pour déceler,
dans les fichiers contaminés, une sorte de "manie"
caractéristique, une constante.
Il ne faut pas confondre les virus avec les troyens ou
les emails bombs. Contrairement à son cousin le virus,
qui profite de toute occasion pour se multiplier, le troyen
véritable ne se reproduit pas. Par ailleurs, une
vulnérabilité Internet Explorer / Outlook
fait que certains virus de mail peuvent infecter votre ordinateur
à la simple ouverture du message ou lors de sa lecture
dans la fenêtre de visualisation si Internet Explorer
n'a pas été patché contre cette vulnérabilité.
|
| Fonctionnement d'un virus |
|
|
Quel que soit le type de virus, aucun ne
contamine - pour l'instant - les fichiers compressés.
Cela ne garantit pas qu'un fichier compressé soit
exempt de virus : il peut très bien avoir été
infecté avant compression, et se révélera
donc dangereux une fois décompressé.
Pour bien comprendre le mode de fonctionnement d'un virus,
il faut se souvenir de l'analogie avec le virus biologique.
Comme lui, le virus informatique essaie de contaminer tout
ce qu'il peut, de se dissimuler aux yeux de l'organisme
infecté, et de se répandre le plus largement
possible. Les virus infectent un maximum de fichiers puisqu'ils
demeurent en mémoire dès le démarrage
de l'ordinateur. Ils interceptent les commandes du Bios,
et agissent ainsi selon leur humeur...
|
| Règles générales
de protection |
|
|
La prévention paie toujours. Quelques
règles simples peuvent être appliquées
:
- ne téléchargez pas des programmes d'origine
douteuse, qui peuvent vous être proposés
sur des sites persos ou des chats eux-mêmes plus
ou moins douteux;
- méfiez-vous des fichiers joints aux messages
que vous recevez : analysez avec un antivirus à
jour tout fichier avant de l'ouvrir, et préférez
détruire un mail douteux plutôt que d'infecter
votre machine, même si l'expéditeur est connu;
- fuyez les disquettes d'origine douteuse (ou ayant transité
dans des lieux publics vulnérables comme les salles
de cours ou TP des écoles ou universités),
et protégez les vôtres en écriture;
- créez dès maintenant, si ce n'est pas déjà
fait, une disquette de boot saine contenant un antivirus
(la plupart des antivirus le proposent) pour une désinfection
d'urgence;
- procédez régulièrement à des
sauvegardes du contenu important de votre disque dur après
avoir vérifié l'absence de virus : cela peut
paraître fastidieux, mais en cas d'infection (ou même
simplement en cas de crash de disque dur), ça vous
sauvera la mise...
- tenez-vous au courant des apparitions de nouveaux virus.
Connaître l'existence du virus, c'est déjà
le tuer à moitié...
En complément de ces règles de prévention,
la meilleure protection - et le principal remède en
cas de contamination - consiste à installer un antivirus.
Une solution qui reste toute relative, car aucun produit ne
détecte 100% des virus, 100% du temps : d'où
l'importance de la prévention. Par ailleurs, de nouveaux
virus apparaissant chaque jour, il faut veiller à régulièrement
actualiser la base de données virales du logiciel :
la plupart des éditeurs proposent une mise à
jour au minimum mensuelle, mais pas toujours gratuite...
|
| Comment savoir si mon ordinateur
est contaminé ? |
|
|
Tout comme les troyens, les virus sont le
plus souvent repérés trop tard, par les conséquences
potentiellement désastreuses de leur activité
: affichage de messages intempestifs, émission de
sons ou de musiques inattendus, mais aussi plantage de l'ordinateur,
formatage du disque dur, etc.
Pourtant, de nombreux indices peuvent mettre la puce à
l'oreille de l'internaute vigilant : mémoire système
disponible inférieure à ce qu'elle devrait
être, changement du nom de volume d'un disque, programmes
ou fichiers subitement absents, apparition de programmes
ou de fichiers inconnus, ou encore comportement anormal
de certains programmes ou fichiers.
Si vous êtes sous Windows 95 ou 98 et que vous avez
un doute sur votre micro, vous pouvez vérifier vous-même
le niveau de la mémoire système : ouvrez une
fenêtre DOS, tapez la commande CHKDSK puis la touche
Entrée, et examinez le contenu des informations listées.
Un message semblable au texte suivant devrait apparaître,
avec cependant les caractéristiques propres à
votre machine (nom de volume, espace disque, etc.) :
Le numéro de série du volume est 1827-00E6
446 190 080 octets d'espace disque total
862 758 400 octets disponibles sur le disque
4 096 octets dans chaque unité d'allocation
841 355 unités d'allocation sur le disque
454 775 unités d'allocation disponibles sur le disque
655 360 octets de mémoire totale
590 528 octets libres
Au lieu d'utiliser CHKDSK, essayez la commande SCANDISK.
SCANDISK peut détecter et corriger un plus grand
éventail de problèmes de disque.
Normalement vous devriez avoir 655 360 octets de mémoire
totale. Ce test n’est malheureusement pas sûr
à 100 %, mais si le chiffre est différent
sur une configuration standard, cela sent le virus de boot...
|
| Que faire en cas de contamination
? |
|
|
La solution la plus simple reste de vous
procurer un logiciel antivirus. La plupart propose une procédure
permettant de désinfecter le contenu du disque avant
d'installer le logiciel, mais le mieux est d'installer l'antivirus
avant toute contamination afin de bénéficier
de l'ensemble de ses fonctionnalités (surveillance
des transferts de fichiers ou de l'accès aux fichiers
sensibles, inoculation des fichiers pour repérer
tout changement de taille suspect, etc.).
Vous pouvez également utiliser un antivirus gratuit
en ligne pour procéder immédiatement à
l'analyse ainsi qu'à l'éradication de virus
éventuellement présents sur vos disques.
|
| Pour ceux qui sont très
à l'aise au niveau technique |
|
|
En cas de contamination par un virus de boot
ou un virus de fichier :
- Si votre machine n'est pas configurée en multi-boot,
allez sous DOS et entrez
'fdisk/mbr' pour
supprimer le Master Boot Record (= secteur d'amorce du
PC, automatiquement régénéré
au prochain démarrage);
- Eteignez l'ordinateur (pas reset, ni redémarrage);
- Démarrez à partir d'une disquette de boot
saine, protégée en écriture, et contenant
un antivirus;
- Lancez l'antivirus (le reste dépend de l'antivirus).
Pour les virus macro, je conseille de rechercher le fichier
'normal.dot' et de le supprimer, puis ensuite de détruire
tous vos documents. Cette méthode supprime les virus
macro définitivement, mais aussi malheureusement
votre travail. Une solution consiste à utiliser un
"bloqueur" lorsque vous chargez un document inconnu
: ce type de programme empêche le transfert de nouveaux
virus dans vos autres documents.
Certains virus ne font qu'effacer la partition, ce qui
fait que l'utilisateur débutant (ou le technicien
incompétent) n'arrive plus à reformater son
disque dur et par conséquent le change, alors qu'il
suffit d'exécuter la commande 'fdisk'
(avec une disquette de boot saine) et de recréer
une partition. Attention cependant : si vous êtes
un complet débutant, faites-vous aider par un ami
ou un collègue plus expérimenté, sans
quoi vous risqueriez de faire pire que le virus...
|
| |
 Sommaire
|
| |
