Suivez-nous

Divers

Le point sur les virus (4/4)

Calmusac

Publié le

 

Par

©Campbell

<<-- Page 3

Les cas particuliers

Macro virus
Les macro-virus sont une vraie plaie pour tout traitement bureautique, et sont dûs sans doute autant à l’acharnement de programmeurs contre l’entreprise Microsoft qu’aux failles de sécurité et défaut de conception de la suite bureautique de cet éditeur. Ils constituent une famille à part, très riche, et active sur toutes les plateformes.

Un macro-virus est très prosaïquement un programme écrit en macro-langage, intégrés dans certains systèmes de traitement de données (éditeurs de texte, feuille de calcul, tableurs, etc.), qui leur offrent, par leurs fonctions, de quoi se propager facilement d’un fichier à l’autre. La quasi-totalité des macro-virus touchent aujourd’hui la suite Office et la base de données Access de Microsoft, les anciens se souviendront que dans le temps on en trouvait également pour AmiPro.
Pour permettre à un virus d’être efficace, le macro-langage doit permettre :
– la liaison d’un macro-programme à un fichier,
– la possibilité de copier des macro d’un fichier à un autre,
– la possibilité d’agir sans intervention de l’utilisateur.

Ce qui est le cas dans les logiciels cités. Les macro-virus prennent le contrôle lorsqu’un fichier infecté est ouvert ou fermé le plus souvent. Ils interceptent les fonctions standards du fichier puis infectent le moindre fichier vers lesquel ils trouvent un appel. La plupart de ces macro-virus peuvent être considérés comme résidants : ils ne sont pas seulement actifs lorsqu’un fichier est ouvert ou fermé, mais aussi durant toute la durée pendant laquelle le logicel d’édition est actif.

La localisation physique des virus au sein du fichier dépend du format du fichier en question, ce qui, concernant les produits Microsoft, est extrêmement compliqué à déterminer (il s’agit de séquences de blocs de données, chacun ayant son propre format en sus, liés ensemble au sein d’une énorme quantité de données auxilliaires – OLE2, pour Object Linking and Embedding). Par ailleurs certaines versions des programmes de la suite Office permettent le cryptage des macros au sein d’un docuement, ce qui permet aux virus d’être présents au sein d’un fichier sous forme cryptée (Execute only). Il n’est par ailleurs pas possible de se fier non plus à la taille du fichier, puisque, dû au format particulier et à une gestion particulière des données, il arrive que la taille d’un fichier augmente alors que des caractères en ont été ôtés, ou bien qu’elle diminue alors qu’on ajoute y copie un autre fichier. Ainsi, la présence du virus n’est pas détectable par ce biais.

La présence et l’activation des macro-virus est facilitée par des mécanismes automatisés exécutés par l’application bureautique après ou avant certains événements. Ainsi l’ouverture d’un document lance-t-elle la macro AutoOpen et l’exécute, etc. Par ailleurs, les virus font le lien entre les noms de fonctions en anglais et en langue étrangère, ce qui ne protège plus les versions non-anglophones contre ces virus.

La plupart des macro-virus utilise soit une auto-macro présente dans le fichier, soit l’une des macros standards du programme (associée à un item d’un menu), soit encore une combinaison particulière de touches pressées sur le clavier. C’est pourquoi l’une des préventions minimum est la désactivation de la fonction d’activation automatique des macros.

©Campbell

©Campbell

Chevaux de Troie
Cette catégorie est également une sous-famille importante. Leur but est généralement de provoquer des problèmes relativement graves (de la destruction d’information au « plantage » de système). La plupart des trojans sont des programmes qui imitent le comportement d’applications utiles, et se présentent sous la forme d’utilitaires, de nouvelles versions, etc. Les troyens ne sont pas très répandus, par rapport aux autres familles de virus, pour la bonne et simple raison qu’ils se détruisent eux-mêmes, avec l’ensemble des autres données, ou bien révèlent leur présence et sont ensuite effacés par l’utilisateur.

Une variété connexe aux chevaux de Troie sont les droppers. Il s’agit de fichiers infectés de telle manière que les anti-virus (connus au moment de leur conception) ne détectent pas leur présence. Par exemple, un fichier est encrypté d’une façon particulière, ou mis en package avec un archiveur très rarement utilisé, empêchant l’anti-virus de voir l’infection.

Le nouveau système d’Apple, de fondation Unix, fonctionne sur un mode multi-utilisateur avec un système de permissions qui empêchent l’utilisateur lambda de provoquer des opérations destructives. Dans un tel système, les exécutables et applications ne peuvent être lancés que par certains utilisateurs, moyennant certains droits. C’est la raison pour laquelle un virus “classique” ne peut pas effectuer de trop grave dommages. Il est impossible par exemple d’effacer des fichiers du système si vous n’êtes pas le root, super-administrateur, de la machine[[Cela est cependant possible si vous possédez un mot de passe administrateur, donc faites TRÈS ATTENTION lorsqu’un programmen, notamment un installeur, vous demande d’entrer ce mot de passe, à savoir EXACTEMENT d’où vient ce programme et POURQUOI il vous demande d’entrer ce mot de passe.]]. Par contre, un tel système reste très sensible à des attaques de chevaux de Troie de type backdoor, qui ne font pas de mal directement, mais permettent à des pirates avertis de se connecter à votre machine et de l’utiliser, à votre insu.

Conclusion

Voici pour finir les régles élémentaires pour se prémunir contre les virus :

  • ne pas télécharger de programme venant de n’importe où, dont on ne connait pas l’origine ni le serveur (et notamment, pas d’AppleScript dont vous ne connaissiez la provenance !),
  • ne jamais ouvrir de fichier joint à un courrier électronique si l’on n’en connait pas l’expéditeur (et même dans ce cas, ne pas le faire si on n’attendait rien de particulier),
  • effacer immédiatement toute chaine de courriel [[Par exemple, les histoires de petite fille qui ne sera soignée que si vous renvoyez ce mail à 10 de vos connaissances…]] et tout courriel non sollicité[[Souvenez-vous qu’il n’y a pas de miracle…]],
  • mettez votre antivirus à jour fréquemment ou mieux, choisissez Virus Barrier, qui le fait pour vous,
  • Effectuer des sauvegardes fréquentes,
  • en cas de doute, montrez l’exemple aux agro-politico-industriels et appliquez le principe de précaution : jetez.

Le bon côté du Mac est qu’il empêche d’infecter des PC et inversement les virus PC sont de simples fichiers inutiles sur Mac. Pourvu que ça dure…
Nous verrons prochainement comment utiliser VirusBarrier, de la société Intego, pour se prémunir efficacement contre les virus.

Test du MacBook Pro 16"
Dernière vidéo Abonnez-vous