// - LES
VERS
Créés pour réguler le contrôle aérien
et les problèmes réseaux, les vers ont été
détournés de leur utilisation première.
Avec le développement d'Internet, ils sont devenus
le meilleur moyens pour les auteurs de virus de propager
très rapidement leur création et d'infecter
en un temps record des millions de machines
D'après la définition donnée par
le scientifique américain Peter J. Denning dans
son livre "The Internet Worm" en 1989, un ver est un programme
capable de fonctionner de manière indépendante.
Il peut propager une version fonctionnelle et complète
de lui-même vers d'autres machines. Le mot anglais
"Worm" est inspiré par un livre de science-fiction
publié en 1975.
Contrairement au virus, le vers n'a pas besoin d'infecter
et de parasiter un programme ou un support physique et
il est incapable de se reproduire sur le système
infecté. Il n'existe donc sur celui-ci qu'une seule
copie du ver. Le vers peut agir tout seul et se sert des
connexions réseaux, intranet ou Internet, pour
se propager. La plupart des vers sont intégralement
présents dans la machine sur laquelle ils se sont
copiés à travers le réseau. Mais il existe
aussi des vers constitués de plusieurs segments
qui fonctionnent sur des ordinateurs différents
et communiquent entre eux via les réseaux.
L'idée qu'on se fait des vers et leur utilisation
ont évolué avec le temps : à l'origine,
le premier programme apparenté à un ver répondait
au besoin des contrôleurs aériens qui souhaitaient
être avertis quand un avion passait de la zone de
contrôle d'un ordinateur à un autre. Puis, dans les années
80, les vers furent utilisés par des administrateurs
réseaux pour résoudre certains problèmes.
Les quelques vers nuisibles ont, à l'époque, pour
principal effet de saturer la bande passante à cause de
leur vitesse de reproduction. Mais avec le développement
d'Internet, le mode de propagation des vers est utilisé
par les auteurs de virus pour diffuser rapidement leurs
création à travers le monde. Au point d'aujourd'hui,
le ver est considéré comme un sous-ensemble
de la famille des virus.
Les vers actuels se servent généralement
des connexions sur les IRC (Internet Relay Chat) avec
les logiciels clients mIRC ou pIRCH ou des messageries
électroniques pour se propager . Dans ce dernier
cas, les vers récupèrent l'ensemble des
adresses de courriers contenues dans le carnet d'adresses
et les fichiers internet temporaires pour s'autodistribuer
aux correspondants, ce qui garantit une diffusion massive.
Très répandu, ce type de ver est désigné
par le terme "mass-mailer". On en trouve désormais
dans toutes les familles de virus à l'exception des virus
système.
En 2000, les virus de scripts de type ver, généralement
écrits en Visual Basic Script, ou VBS, connaissent
une croissance exponentielle. Ainsi, le virus "I Love
You" qui a fait de nombreuses victimes se présentait
sous la forme d'un script attaché en pièce
jointe à un courrier électronique. Le virus macro
de type ver appelé Melissa illustre également
les capacités de ces nouveaux virus. Il envoie
un message signalé comme important aux 50 premières
adresses des répertoires présents dans OutLook
avec une pièce jointe contenant le fichier infecté.
Un fois le document ouvert, le virus va infecter tous
les fichiers Word stockés dans l'ordinateur. En
deux jours, Melissa fait le tour du monde.
Depuis quelques temps, les vers s'attaquent aux programmes
comme Sircam ou Magistr, sont devenus prédominants.
Ils se propagent sur Internet et infectent les fichiers
exécutables en local. Certains vers n'utilisent
pas les ordinateurs de particuliers pour se propager,
ils se reproduisent directement par l'intermédiaire
des serveurs Web. C'est le cas de CodeRed qui utilise
une faille du logiciel IIS (Internet Information Server)
de Microsoft pour infecter un maximum de machines.
//
- LES CHEVAUX DE TROIE
On les appelle souvent des Troyens ou Trojans, mais c'est
une mauvaise transposition du terme anglais. Les chevaux
de Troie sont des programmes simples. Tout comme les vers,
ils sont incapables de se reproduire sur le système
infecté : l'utilisateur d'un système infecté
n'a donc en général qu'une seule copie à
trouver et détruire pour s'en débarrasser.
Ils sont également incapables de se propager par
eux-mêmes. Pour autant, ils s'avèrent des
armes redoutables. Tapis entre les lignes de code d'un
programme, ils attendent que vous double-cliquiez sur
l'icône du programme qui les héberge pour devenir
les maîtres de votre PC.
Pour gagner une machine, ces petits programmes doivent
être installés à partir d'un support physique
ou par téléchargement, A l'image de la légende
homérique relatant comment les Grecs ont provoqué
la destruction de la ville de Troie après s'être
cachés dans un cheval en bois, ils se dissimulent
avant d'agir. Les chevaux de Troie ou Trojans se nichent
ainsi à l'intérieur de programmes gratuits ou commerciaux
qui semblent anodins aux yeux de l'utilisateur : patchs
ou mises à jour, utilitaires, logiciels de jeux, écrans
de veille etc. La bombe logique est également soigneusement
dissimulée au sein du système d'exploitation
ou d'un logiciel quelconque. Une fois ledit programme
exécuté, ils sont prêts à effectuer
la tâche plus ou moins nuisibles pour laquelle ils ont
été programmés.
L'action la plus pernicieuse reste la prise de contrôle
à distance de l'ordinateur. En effet, un cheval de Troie
peut ouvrir un port de l'ordinateur à la communication
ou profiter d'une faille de sécurité sans
que l'utilisateur s'en aperçoive. Une fois installé,
le Trojan agit comme l'élément serveur d'un
logiciel de prise en main à distance classique. Ensuite,
tout est possible pour l'utilisateur distant : lire et
écrire des données, transférer des
fichiers, prendre le contrôle de la souris et du clavier,
etc. Mais le pirate doit toutefois connaître l'adresse
IP de la machine ciblée avant de pouvoir agir.
Le plus célèbre de ces Trojans est une application
client/serveur développée en 1998 par le
CdC (The Cult of the dead Cow), un groupe de hackers très
actif. Baptisée "Back Orifice" en référence
à la suite logicielle de Microsoft "Back Office", cette
application a été développée
pour mettre en évidence les failles de sécurité
de Windows. Utilisé à bon escient, "Back Orifice"
est un puissant outil d'administration à distance mais
il peut également être utilisé par
les pirates en étant intégré dans
un autre logiciel ou en étant renommé pour
laisser croire que c'est un programme inoffensif.
//
- LES BOMBES LOGIQUES
Les bombes logiques présentent des caractéristiques
similaires aux chevaux de Troie (incapacité de
se reproduire et de se propager). Mais à la différence
de ceux-ci qui sont immédiatement opérationnels
au lancement du logiciel hôte, les bombes logiques sont
programmées pour s'activer quand surviens un événement
précis (comme les bombes traditionnelles). Cet
évènement, déterminé par le
programmeur malveillant, peut être une date particulière,
une combinaison de touches, une action spécifique
ou un ensemble de conditions précises.
De manière générales, à l'insar des
bombes réelles, les bombes logiques visent à faire
le plus de dégâts possible sur le système
en un minimum de temps.
Ainsi la fameuse bombe logique Tchernobyl s'est activée
le 26 avril 1999, jour du 13ème anniversaire de
la catastrophe nucléaire en reformatant le disque
dur des malheureux utilisateurs qui étaient infectés...