Les virus et le spamce qu’il faut savoir

1

ww

w.sophos.fr

Si vous êtes un administrateurréseau, si vous utilisez unordinateur au bureau ou sisimplement vous lisez descourriels, ce livret est pourvous. Nous vous exposons endes termes simples les faitsconcernant les virusinformatiques et le spam.

Sophos est l’un des principaux éditeurs mondiaux delogiciels antivirus et anti-spam, protégeant plus de 25millions d’utilisateurs professionnels dans le monde.Pour en savoir plus sur la gamme complète de solutionsSophos pour se protéger contre le spam et les virus etpour appliquer dans l’entreprise une politique de sécuritéde la messagerie, consultez notre site Web à l’adressewww.sophos.fr

Les virus et le spamce qu’il faut savoir

ww

w.s

opho

s.fr

2

Copyright © 2001, 2003, 2004 par Sophos Plc

Tous droits réservés. Aucune partie de cettepublication ne peut être reproduite, stockéedans un système de recherche documentaireou transmise, sous quelque forme ou parquelque moyen que ce soit, éléctronique,mécanique, photocopie, enregistrement ouautre sans le consentement préalable écrit dupropriétaire du copyright.

Sauf indication contraire, il est supposé quetout nom est une marque commerciale. Sophosest une marque déposée de Sophos Plc.

ISBN 0-9538336-3-1

Site Web : www.sophos.fr

3

ww

w.sophos.fr

Table des matièresVirus, chevaux de Troie et vers 5

Le spam 27

Canulars et escroqueries 41

Astuces pour une informatique sécurisée 49

Glossaire 53

Index 65

5

ww

w.sophos.fr

Virus, chevaux deTroie et versAu milieu des années 1980, deux frèrespakistanais s’aperçurent que despersonnes pirataient leurslogiciels. Ils réagirent enécrivant le premiervirus informatique,programme plaçant sapropre réplique et unmessage de copyright surchaque disquette copiée par leursclients. De cet événement simple aémergé toute une contre-culture duvirus. Aujourd’hui, les nouveaux viruspeuvent balayer la planète en quelques minuteset corrompre des données, ralentir les réseauxou porter atteinte à votre réputation.

6

ww

w.s

opho

s.fr

Qu'est-ce qu'un virus ?Un virus ou ver est un programme informatique quipeut se propager à travers les ordinateurs et les réseauxen créant ses propres copies, et cela, généralement àl’insu des utilisateurs.

Les virus peuvent avoir des effets néfastes : affichage de messagesagaçants, subtilisation de données ou transfert du contrôle de votreordinateur à d’autres utilisateurs.

Comment le virus infecte-t-ill’ordinateur ?Pour infecter votre ordinateur, un programme de virus doit aupréalable être exécuté. Les virus ont des moyens pour s’assurerque cela arrive. Ils peuvent se fixer sur d’autresprogrammes ou se dissimuler au sein d’un code deprogrammation qui s’exécute automatiquement àl’ouverture de certains types de fichiers. Ils peuventaussi exploiter des failles de sécurité présentes sur lesystème d’exploitation de votre ordinateur et se propagerautomatiquement.

Le fichier infecté peut provenir d’une pièce jointe decourriel, du Web lors d’un téléchargement ou d’une disquette.Dès que le fichier est lancé, le code du virus est exécuté. Le viruspeut ensuite se copier sur d’autres fichiers ou disquettes etmodifier votre ordinateur.

7

ww

w.sophos.fr

Chevaux de TroieEn se faisant passer pour des logiciels légitimes,les chevaux de Troie sont des programmes quiexécutent des fonctions cachéesnéfastes.

Par exemple, DLoader-L arrive dansune pièce jointe de courriel et prétendêtre une mise à jour urgente deMicrosoft pour Windows XP. Si vousl’exécutez, il télécharge unprogramme qui utilise votreordinateur pour se connecter àcertains sites Web dans le but de lessurcharger (cela s’appelle une attaque par dénide service).

Les chevaux de Troie ne peuvent pas sepropager aussi rapidement que les virus car ilsne font pas de copie d’eux-mêmes. Par contre, ilsfonctionnent désormais souvent en étroitecollaboration avec des virus. En effet, les viruspeuvent télécharger des chevaux de Troie quienregistrent des frappes de touches ousubtilisent des informations. D’autre part,certains chevaux de Troie sont utilisés par desvirus pour infecter un ordinateur.

VersLes vers sont semblables auxvirus mais ne nécessitent pas deprogramme ou de documentporteur.

Les vers ne font que créer leurréplique exacte et utilisent lestransmissions entre ordinateurspour se propager (voir la section“Vers Internet”).

De nombreux virus, telsMyDoom ou Bagle, secomportent comme des vers etutilisent la messagerie pours’expédier eux-mêmes.

8

ww

w.s

opho

s.fr

De quoi sont capables lesvirus ?Auparavant, les virus faisaient des farces ouinterrompaient le fonctionnement de l’ordinateur :maintenant, ils compromettent la sécurité defaçon beaucoup plus insidieuse. Voici certainesdes actions dont sont capables les virus.

■ Ralentir la messagerie. Les virus se propageantpar courriel comme Sobig peuvent générer untrafic de messagerie si important que cela peutentraîner le ralentissement ou l’arrêt brutal desserveurs. Même si cela ne se produit pas,l’entreprise peut tout de même réagir enéteignant les serveurs.

■ Subtiliser des données confidentielles. Lever Bugbear-D enregistre les saisies clavier de l’utilisateur, ycompris les mots de passe, et donne à l’auteur du virus l’accès àces données.

■ Utiliser votre ordinateur pour attaquer les sites Web.MyDoom utilisait des ordinateurs infectés pour inonder dedonnées le site Web de la société informatique SCO, rendantainsi le site inutilisable (une attaque par déni de service).

9

ww

w.sophos.fr

■ Permettre à d’autres utilisateurs de pirater votreordinateur. Certains virus placent des “Chevaux de Troie deporte dérobée” sur l’ordinateur, ce qui permet à l’auteur de virusde se connecter à votre ordinateur et de l’utiliser comme bon luisemble.

■ Corrompre des données. Le virus Compatable effectue deschangements dans les données des tableaux Excel.

■ Effacer des données. Le ver Sircam peut tenter un jour donnéde supprimer ou d’écraser le disque dur.

■ Désactiver des matériels. CIH, plus connu sous le nom deChernobyl, entreprend d’écraser le BIOS le 26 avril, rendant dece fait la machine inutilisable.

■ Faire des farces. Le ver Netsky-D fait émettre à l’ordinateur dessignaux sonores sporadiques pendant toute une matinée.

■ Afficher un message. Cone-F affiche unmessage politique s’il s’agit du mois de mai.

■ Nuire à la crédibilité. Si un virus s’expédie delui-même de votre ordinateur vers ceux de vosclients ou de vos partenaires commerciaux, cesderniers pourront refuser de collaborer avec vousou souhaiteront obtenir des compensations.

■ Mettre dans l’embarras. Par exemple, PolyPost place vosdocuments et votre nom sur des forums à caractère sexuel.

10

ww

w.s

opho

s.fr

Les risques d’infection virale ?Les virus peuvent atteindre votre ordinateur via tous les moyens indiquésci-dessous. De plus amples détails sont disponibles dans les pages quisuivent.

Programmes etdocuments

Les programmes et les documentspeuvent être infectés par des virus.Lorsque vous les partagez avecd’autres utilisateurs enles plaçant sur votreréseau ou Intranet ouen les envoyant,l’infection peut sepropager.

CourrielLe courriel peutinclure des piècesjointes infectées. Si vous cliquez deuxfois sur une pièce jointe infectée, vouscourez le risque d’infecter votremachine. Certains courriels contiennentdes scripts malveillants qui s’exécutentdès que vous voyez un aperçu ducourriel ou lisez son corps de texte.

InternetVous pouvez télécharger desprogrammes ou des documents

infectés.Les failles de sécurité de votre

système d’exploitation peuventaussi permettre aux virus

d’infecter votre ordinateur viala connexion Internet, cela

sans que vous ayez àintervenir.

CD-ROM et disquettesLes disquettes peuvent avoir un virusdans le secteur de démarrage. Ellespeuvent aussi contenir des programmesou des documents infectés. Les CD-ROM peuvent aussi contenir deséléments infectés.

11

ww

w.sophos.fr

Quels sont les fichiers infectables ?Les virus peuvent être rattachés à tout codefonctionnant sur votre ordinateur : programmes,documents ou fichiers lançant le système d’exploitation.

Secteurs dedémarrageLorsque vous mettez votre ordinateuren route, il accède à une partie dudisque appelée le “secteur dedémarrage” et exécute un programmequi lance le système d’exploitation. Lespremiers virus remplaçaient ce secteurde démarrage par leur propre versionmodifiée. Si l’utilisateur démarraitl’ordinateur à partir d’un disqueinfecté, le virus s’activait.

ProgrammesCertains virus infectent les programmes.Lorsque vous démarrez le programmeinfecté, le virus est lancé en premier. Cetype de virus a fait son apparition autout début de l’histoire des virus maisconstitue toujours une menace carInternet facilite la distribution desprogrammes.

DocumentsLes logiciels de traitement de texte ou lestableurs utilisent souvent des “macros”

pour automatiser les tâches. Certains

virus prennent la forme d’une macropouvant se propager d’un document à unautre. Si vous ouvrez un document quicontient le virus, il se copie dans lesfichiers de démarrage de l’application etinfecte les autres documents que vousouvrez avec cette application.

12

ww

w.s

opho

s.fr

Virus de messagerieLa plupart des virus les plus prolifiques sont dits “demessagerie” : ils se distribuent automatiquement parcourriel.

En général, les virus de messagerie comptent surl’utilisateur pour qu’il clique sur le documentjoint. Cette action exécute un script quipeut réacheminer les documentsinfectés vers d’autrespersonnes. Par exemple, levirus Netsky recherche surl’ordinateur les fichiers pouvantcontenir des adresses électroniques (comme desfichiers EML ou HTML), puis utilise le logiciel demessagerie présent sur l’ordinateur pours’envoyer à ces adresses. Certains virus, commeSobig-F, n’ont même pas besoin de ce logiciel demessagerie puisqu’ils ont leur propre “moteurSMTP” pour envoyer des courriels.

Les virus de messagerie peuventcompromettre la sécurité de votre ordinateur ousubtiliser des données, mais leur effet le plusrépandu reste une création excessive de trafic demessagerie et l’arrêt brutal des serveurs.

Pièces jointesde courrielsToute pièce jointe que vousrecevez par courriel peut porterun virus ; le lancement d’unetelle pièce jointe peut infectervotre ordinateur.

Même une pièce jointe quisemble être un fichier sain avec,par exemple, une extension .txtpeut constituer une menace. Eneffet, ce fichier peut être un scriptVBS malveillant dont le véritabletype (.vbs) est caché.

13

ww

w.sophos.fr

Puis-je recevoir un virusrien qu'en lisant uncourriel ?Il n’est pas nécessaire d’ouvrir une pièce jointe pour êtreinfecté par courriel. Visualiser son courriel constituedéjà un risque.

Certains virus, comme Kakworm etBubbleboy, peuvent infecterl’utilisateur à la lecture d’un courriel.Ressemblant à n’importe quel autremessage, ils contiennent un scriptcaché qui s’exécute dès que vousouvrez le courriel et même lorsque vous le consultez dans le voletde prévisualisation (dans la mesure où vous utilisez Outlook avecla version correcte d’Internet Explorer). Ce script peut changer lesparamètres système et envoyer par courriel le virus à d’autresutilisateurs.

Microsoft publie des correctifs qui éliminent cette faille desécurité ainsi que d’autres de même type. Pour en savoir plus surles correctifs dont vous avez besoin, consultez le sitewindowsupdate.microsoft.com. Pour vous tenir informé descorrectifs à paraître, vous pouvez vous inscrire à une liste dediffusion à l’adresse www.microsoft.com/technet/security/bulletin/notify.asp

14

ww

w.s

opho

s.fr

Vers InternetSans même ouvrir de courriel suspect, vous courez unrisque chaque fois que vous êtes connecté à Internet.

Puis-je recevoir unvirus provenantd’un site Web ?Les pages Web sont écrites enlangage HTML (HypertextMarkup Language). Ce langagene peut pas lui-mêmetransporter de virus mais peutappeler des programmes ou desfichiers qui eux en transportent.Vous ne pouvez pas être infectéen consultant une page HTML àmoins qu’il n’y ait sur votreordinateur une faille de sécuritépermettant l’exécution d’unprogramme qui lui vous infectera.

Les vers Internet parviennent à voyager entreordinateurs connectés en exploitant les “trous” desécurité du système d’exploitation del’ordinateur.

Le ver Blaster, par exemple, profite d’unefaille dans le service Remote Procedure Callexécuté sur les ordinateurs Windows NT,2000 et XP pour envoyer uneréplique de lui-même sur unautre ordinateur. Au fur et àmesure que le ver se propage,il crée beaucoup de trafic sur Internet etprovoque le ralentissement des communicationsou l’arrêt brutal des ordinateurs. Ce ver enparticulier utilise par ailleurs l’ordinateur pourinonder de données le site Web de Microsoft aveccomme objectif de rendre le site inaccessible.

Microsoft (ainsi que d’autres distributeurs desystèmes d’exploitation) publient des correctifscontre les failles de sécurité de leurs logiciels.Mettez régulièrement à jour votre ordinateur envisitant le site Web du distributeur.

15

ww

w.sophos.fr

Chevaux de Troie de portedérobéeUn cheval de Troie de porte dérobée est un programmequi permet à une personne de prendre le contrôle del’ordinateur d’une autre personne via Internet.

A l’instar de n’importe quel cheval de Troie, le cheval de Troie deporte dérobée peut apparaître comme un logiciel légitime pour quel’utilisateur puisse l’exécuter. Aujourd’hui,et cela est de plus en plus fréquent, unvirus peut placer un cheval de Troie deporte dérobée sur un ordinateur. Une foisque le cheval de Troie est exécuté, il s’ajouteà la routine de lancement de l’ordinateur. Ilpeut alors surveiller l’ordinateur jusqu’à ceque l’utilisateur soit connecté à Internet.Une fois l’ordinateur en ligne, la personnequi a envoyé le cheval de Troie peutexécuter des programmes sur l’ordinateurinfecté, accéder à des fichiers personnels,modifier et charger des fichiers, traquer lessaisies clavier de l’utilisateur ou envoyer uncourriel de spam. Les chevaux de Troie deporte dérobée les plus connus sontSubseven, BackOrifice et Graybird, lequel fut déguisé en correctifpour le fameux ver Blaster.

16

ww

w.s

opho

s.fr

CookiesLorsque vous visitez un siteWeb, il peut placer surl’ordinateur un petit ensemblede données appelé un “cookie”.Le site se rappelle ainsi desdétails vous concernant etpossède une trace de vos visites.

Les cookies ne constituent pasune menace pour vos données.En revanche, ils menaçent votreconfidentialité. Si vous préférezrester anonyme, utilisez lesparamètres de sécurité de votrenavigateur pour désactiver lescookies.

Logiciel espion (spyware)Le logiciel espion ou spyware est unlogiciel qui permet aux publicitaires derassembler des informations sur leshabitudes des utilisateurs de PC.

Les logiciels espions ne sont pas des virus (vous nepouvez pas les propager sur d’autres ordinateurs),mais ils peuvent avoir des effets indésirables.

Des logiciels espions peuvent s’installer sur votreordinateur lorsque vous visitez certains sites Web.Un message contextuel peut vous inviter àtélécharger un logiciel utilitaire dont vous pouvez“avoir besoin” ou un logiciel peut à votre insu setélécharger automatiquement.

Le logiciel espion fonctionne alors surl’ordinateur, suit à la trace vos actions (par exemple,les visites sur les sites Web) et en fait un compte-rendu destiné par exemple à un annonceur. Il peutaussi changer la page d’accueil qui apparaît lorsquevous lancez votre navigateur Internet et utiliser unmodem à composition automatique pour appelerdes numéros de téléphone de type 0900 (tarifssurtaxés).

Le logiciel espion utilise la capacité mémoire etde traitement, et peut ralentir l’ordinateur oul’arrêter brutalement.

Il existe des logiciels qui permettent de détecterles programmes espions connus et de les supprimer.

17

ww

w.sophos.fr

Peut-on recevoir un virus sur untéléphone mobile ?Les mobiles peuvent être infectés par des vers qui sepropagent via le réseau de téléphonie mobile bien qu’àl’heure où nous écrivons, les risques semblent limités.

En 2004, le premier ver de téléphone mobile est écrit. Le ver Cabir-A affecte les téléphones qui utilisent le système d’exploitationSymbian et se transmet sous la forme d’un fichier de jeutéléphonique (un fichier SIS). Si vous lancez le fichier, unmessage apparaît à l’écran et le ver est exécuté chaque foisque vous mettez par la suite le téléphone en route. Cabir-A recherche dans son voisinage immédiat d’autrestéléphones portables dotés de la technologieBluetooth et s’envoie au premier qu’il trouve. Ce verdémontre qu’une infection est possible, mais il n’apas fait l’objet d’une diffusion sur un réseaupublic.

Il existe aussi des virus conventionnels quienvoient des messages aux téléphonesportables. Par exemple, Timo-A utilise les modems desutilisateurs pour envoyer des messages textuels (SMS) à desnuméros de mobiles sélectionnés, mais dans ce cas-là, le virus nepeut pas infecter ou nuire au téléphone mobile.

Pour le moment, les téléphones mobiles courent peu de risquescar ils utilisent des systèmes d’exploitation différents et car lescaractéristiques des logiciels et des périphériques changent trèsrapidement.

18

ww

w.s

opho

s.fr

Court-on des risques avecBluetooth ?La technologie Bluetooth pour téléphones portables,ordinateurs et autres systèmes peut être la porte ouverteaux virus, à la violation de la sécurité ou aux canulars.

Cette technologie permet aux ordinateurs, aux téléphones mobileset même aux magnétoscopes ou aux réfrigérateurs de localiser lesappareils les plus proches et d’établir de manière transparente desliens avec ceux-ci.

Bluetooth a déjà été exploité par un ver de téléphone mobile quil’utilise pour rechercher des téléphones se trouvant à proximitéauxquels il peut se réexpédier.

Les technologies basées sur Bluetoothcomme Jini permettent également uncontrôle à distance des services. Bluetoothet Jini sont conçues de manière à ce queseul le code fiable puisse exécuter desopérations sensibles ; cependant, cestechnologies ouvrent de nouvellespossibilités pour du code malveillant d'interférer avec les services.

Les téléphones activés par Bluetooth peuvent aussi servir àlocaliser à proximité d’autres utilisateurs de téléphones et à leurenvoyer des messages inattendus et parfois offensants.

Pour vous protéger contre toutes sortes de menaces Bluetooth,qu’il s’agisse de programmes malveillants ou de messages nondésirés, désactivez sur votre téléphone le paramètre Bluetooth“visible pour les autres”.

19

ww

w.sophos.fr

Peut-on recevoir un virussur un palmtop ?Bien que les palmtops ou les assistants électroniquesconstituent de nouvelles opportunités pour les virus, lesauteurs de virus leur ont jusqu’à présent manifesté peud’intérêt.

Les palmtops ou les assistants électroniquesexécutent des systèmes d'exploitationparticuliers tels que Palm et MicrosoftPocketPC. Ces derniers sont vulnérables aucode malveillant, mais jusqu'à présent lesrisques n'ont pas été très sérieux.

Il existe seulement un virus écrit pourPalm, ainsi qu’un cheval de Troie, mais nil’un ni l’autre ne semblent avoir été diffusés.

Les auteurs de virus préfèrent cibler les postes de travail, peut-être parce qu’ils sont plus populaires et permettent aux virus de sepropager rapidement par courriel et par Internet.

Actuellement, le véritable risque est que votre palmtop serve deporteur. Lorsque vous le reliez à un PC à domicile ou au bureaupour synchroniser les données, un virus inoffensif sur le palmtoppeut se propager sur le PC où il peut être nuisible. Pour éviter cela,suivez les “Conseils pour une informatique sécurisée” et assurez-vous qu’un logiciel antivirus est installé sur votre ordinateur.

20

ww

w.s

opho

s.fr

Logiciel antivirusLe logiciel antivirus peut détecter lesvirus, empêcher l’accès aux fichiersinfectés et souvent éliminer l’infection.

Scanneur de virusLe scanneur de virus détecte etprocède la plupart du temps à ladésinfection des virus qu’il connaît. Ilest de loin la forme la plus populairede logiciel antivirus et doit êtrerégulièrement mis à jour pour reconnaître lesnouveaux virus.

Le scanneur peut être sur accès ou à lademande. De nombreuses solutions offrent lesdeux.

Le scanneur sur accès reste actif sur votremachine chaque fois que vous l’utilisez. Il vérifieautomatiquement les fichiers au fur et à mesureque vous essayez de les ouvrir ou de les exécuteret peut vous empêcher d’utiliser des fichiersinfectés.

Le scanneur à la demande vous permet delancer ou de planifier un contrôle de fichiers oude lecteurs spécifiques.

LogicielheuristiqueLe logiciel heuristique tente dedétecter les virus connus commeinconnus en utilisant les règlesgénérales de reconnaissance desvirus.

C’est un logiciel non basé surdes mises à jour fréquentes. Enrevanche, il peut aussi fairel’objet de fausses alertes.

21

ww

w.sophos.fr

Qui écrit les virus ?Si votre ordinateur ou votre réseau est touché par unvirus, votre première réaction, en dehors de quelquesjurons, est de vous demander pourquoi des individusécrivent des virus.

Les auteurs de virus désirent parfois diffuser un message politiqueou nuire à une entreprise de laquelle ils ont une opiniondéfavorable (de nombreux virus et vers ont par exemple critiquéou ciblé Microsoft). Ils peuvent aussi pénétrer de force sur lesordinateurs d’autres utilisateurs ou recueillir des adressesélectroniques, puis vendre ces informations auxspammeurs.

Les auteurs de virus sont plus souvent motivéspar la notoriété que leurs exploits peut leur apporter.

Les auteurs de virus sont, en général, des hommes,célibataires et âgés de moins de 25 ans. L’estime qu’ilsont d’eux-mêmes est fortement liée à la reconnaissance deleurs pairs, ou tout au moins d’une petite communauté defanas d’informatique. L’écriture de virus, comme le graffiti,est une sorte de performance qui permet à son auteurd’accéder à un certain statut.

Par ailleurs, les virus donnent à leurs auteurs des pouvoirsvirtuels qu’ils ne peuvent avoir dans le monde réel. C’est sansdoute pour cette raison que les auteurs de virus choisissent desnoms inspirés de la musique Heavy Metal ou de la littératurefantastique, lesquelles se nourrissent aussi des illusions deprouesse et de puissance.

22

ww

w.s

opho

s.fr

Rappel historique des virusAnnées Les laboratoires Bell mettent au point un jeu50 expérimental où les joueurs utilisent des

programmes malveillants pour attaquer leursordinateurs respectifs.

1975 L’auteur de science-fiction John Brunner imagine un“ver” informatique qui se répandrait à travers lesréseaux.

1984 Fred Cohen introduit le terme “virus informatique”dans une thèse consacrée à ces programmes.

1986 Le premier virus informatique, Brain, serait écrit pardeux frères pakistanais.

1987 Le ver Christmas tree paralyse leréseau mondial d’IBM.

1988 Le ver Internet se propage àtravers le réseau internetaméricain DARPA.

1992 Même si très peu d’ordinateurssont infectés, le virusMichelangelo provoque unepanique mondiale.

1994 Apparition de Good Times, premier grand canular devirus.

23

ww

w.sophos.fr

1995 Apparition de Concept, premier virus de document.

1998 CIH ou Chernobyl devient le premier virus à paralyser le matérielinformatique.

1999 Propagation de Melissa, un virusqui s’expédie lui-même parcourriel. Apparition de Bubbleboy,le premier virus à infecter unordinateur lorsqu’on visualise uncourriel.

2000 Love Bug devient à ce jour le virusde messagerie le plus efficace. Lepremier virus apparaît pour lesystème d’exploitation Palm, mais aucun utilisateur n’est infecté.

2001 Un virus prétendant contenir des photos de la joueuse de tennis AnnaKournikova infecte des centaines de milliers d’ordinateurs dans le monde.

2002 David L Smith, l’auteur de Melissa, est condamné à 20 mois de prison par lestribunaux américains.

2003 Le ver Blaster se propage sur Internet en profitant d’une faille de sécuritédans les logiciels Microsoft. Avec le virus de messagerie Sobig, ils font dumois d’août 2003 l’une des périodes les plus difficiles en matière d’incidentsviraux.

2004 Les créateurs de la série de vers Netsky et Bagle se font concurrence poursavoir qui fera le plus de dégâts.

24

ww

w.s

opho

s.fr

L'écriture de virus est-ellerépréhensible ?Il va de soi pour la plupart des gens que les virus sontnuisibles, mais est-ce forcément vrai ?

Les virus dedémonstration

Parfois, des virus sont écritspour prouver qu’on peuttoujours en créer des nouveaux.On les appelle des virus dedémonstration (ou “proof-of-concept”). Ils sont généralementdépourvus d’effets secondaireset n’ont pas vocation à êtrediffusés sur d’autres ordinateurs.

Recherchevirale ?

Les auteurs de virus aimentclamer qu’ils font de larecherche. Pourtant, les virussont souvent des programmes depiètre qualité, lancés àl’aveuglette vers des utilisateurspris au dépourvu, et il n’existeaucun moyen d’en analyser lesrésultats. Ce n’est guère ce qu’onpeut appeler de la recherche.

De nombreux virus sont “inoffensifs” ou revêtentl’apparence d’une blague. D’autres nous alertentsur des failles de sécurité existantes dans certainslogiciels. Certains soutiennent que les viruspourraient même s’avérer utiles, en prodiguant parexemple des correctifs pour les bogues.Malheureusement, l’innocuité supposée des virusne résiste pas à un examen plus approfondi.

Premièrement, les virus opèrent deschangements sur les ordinateurs sans leconsentement de l’utilisateur. Que l’intention soitbonne ou mauvaise, cette activité est amorale etillégale dans de nombreux pays. Comme il neviendrait à l’idée de personne d’emprunter lavoiture de quelqu’un sans lui en demanderl’autorisation, on ne doit pas s’immiscer dansl’ordinateur d’autrui.

Deuxièmement, le virus ne réalise pas toujoursce qui est prévu par l’auteur. Si un virus est malprogrammé, il peut causer des dégâtsimprévisibles. Il a beau être inoffensif sur unsystème, il peut très bien être nuisible sur d’autres.

Troisièmement, les virus se propagent sans fairede distinction : l’auteur n’a aucun contrôle sur lesdestinataires de son virus.

25

ww

w.sophos.fr

Prévention des virusDes mesures simples existent pour éviter l’infection ou se débarrasser devirus en cas d’infection. Pour plus de détails, consultez le chapitre intitulé“Conseils pour une informatique sécurisée”.

Sensibilisez les utilisateurs aux risques qu’ils encourent

Avertissez votre entourage qu’il s’expose à des risques en cas d’ouverture de pièces jointesà des courriels, de téléchargement de fichiers depuis des sites Web ou d’échange dedisquettes.

Installez un logiciel antivirus et mettez-le à jour régulièrement

Les programmes antivirus peuvent détecter et souvent supprimer les virus par désinfection.Si le logiciel inclut la vérification virale sur accès, n’hésitez pas à l’utiliser.

Utilisez des correctifs logiciels contre les failles de sécurité

Soyez toujours à l’affût des “correctifs” correspondant à votre systèmed’exploitation. Ils permettent souvent de colmater les failles qui vous fragilisentvis-à-vis des virus.

Utilisez des pare-feu

Un pare-feu peut empêcher un accès non autorisé à votre réseau, maisaussi empêcher les virus d’expédier des informations.

Conservez des sauvegardes de toutes vos données

Conservez des sauvegardes de toutes vos données et logiciels, y compris des systèmesd’exploitation. Si vous êtes touché par un virus, vous pourrez ainsi remplacer vos fichierset programmes par des copies saines.

27

ww

w.sophos.fr

Le spamIl vous est déjà très certainement arrivé derecevoir des courriels vous proposant desmédicaments sans prescription, des prêts ou desméthodes d’enrichissement personnel rapide,parfois habilement déguisés en courrielspersonnels. Représentant plus de la moitié dutrafic de courriels envoyés dans le monde, cesmessages “spam” obstruent les boîtes deréception et détournentl’attention del’utilisateur desmessagesessentiels.

28

ww

w.s

opho

s.fr

Qu'est-ce qu'un spam ?Le spam est un courriel commercial non sollicité,l’équivalent électronique de la “publicité” que l’on reçoitdans sa boîte aux lettres.

Les spams les plus répandus concernent :

■ la prescription de médicaments quiagrandissent ou perfectionnent des parties devotre corps, des remèdes à base d’herbes oudes médicaments pour vous aider à perdre dupoids

■ des méthodes pour s’enrichir rapidement

■ des services financiers comme des offresd’emprunts à taux préférentiel ou desméthodes de réduction des dettes

■ des qualifications comme un diplômeuniversitaire ou un titre professionnel àacheter

■ des jeux d’argent en ligne

■ des logiciels à prix défiant toute concurrenceou piratés.

Le spam apparaît parfois déguisé avec un objetdu type message personnel comme “Sorry aboutyesterday”, message commercial comme “Youraccount renewal now due” ou un message denon-distribution.

Pourquoi envoie-t-on un spam ?Le spammeur envoie un spamparce que c’est rentable.Concrètement, il peut, en uneseule campagne, envoyer desmillions de courriels pour uncoût négligeable (et s’il parvient àpirater les ordinateurs d’autrespersonnes pour envoyer lecourriel, le coût est encoremoindre). Même si undestinataire seulement sur les dixmille effectue un achat, celas’avère rentable pour lespammeur.

29

ww

w.sophos.fr

Le spam est-il un réelproblème ?Le spam ne menace pas vos données de la même façonque les virus, mais il est nuisible à votre entreprise.

■ Le spam représente une perte de temps pourle personnel. L’utilisateur sans protectionanti-spam doit vérifier si tel courriel est unspam avant de le supprimer.

■ L’utilisateur peut facilement ignorer ou mêmesupprimer un courriel important, leconfondant avec un spam.

■ Le spam, comme le canular ou le virus demessagerie, utilise la bande passante etremplit inutilement les bases de données.

■ Certains spams sont offensants pourl’utilisateur. Censé procurer unenvironnement de travail sain, l’employeurpeut être tenu pourresponsable.

■ Le spammeur utilisesouvent les ordinateursd’autres personnes pourenvoyer du spam(“piratage”).

PiratageSouvent, le spammeur pirate lesordinateurs d’autres utilisateurset les utilisent pour envoyer duspam. A leur insu, les victimesdu piratage bombardent ensuitede spam d’autres utilisateurs. Lespammeur fait en sorte de nepas être suivi à la trace pour quece soit l’entreprise possédantl’ordinateur piraté qui reçoive

les plaintes et voie saréputation ternie.

30

ww

w.s

opho

s.fr

Le spammeur sait ce quevous consultezAfin de cibler sa campagne suivante, le spammeur veutsavoir qui reçoit et qui ne reçoit pas ses messages.

Même si vous ne répondez pas au spam, le spammeur a desmoyens de savoir si vous l’avez reçu.

■ Si votre programme de messagerie est paramétré pourprévisualiser des messages (c’est-à-dire pour afficher lecontenu du message dans une fenêtre située au-dessous de laliste des courriels), le spammeur peut voir que le courriel a étéreçu.

■ Si vous cliquez sur un lien qui sert à sedésabonner d’une liste de diffusion, vousconfirmez que votre adresseélectronique est active. Le spammeurpeut alors vendre votre adresse à d’autres.

■ Le spammeur peut intégrer dans le courriel un "pixelinvisible". Il s'agit d'un lien qui se connecte au site Web duspammeur dès que le courriel est lu ou prévisualisé.

Si vous ne voulez pas que le spammeur sache que ses courriels sontarrivés à destination, suivez les conseils de la section “Commentéviter le spam”.

31

ww

w.sophos.fr

Logiciels anti-spamLes programmes anti-spam parviennent à détecter lescourriels non désirés et à les empêcher d’atteindre lesboîtes de réception des utilisateurs.

Ces programmes utilisent une combinaison de méthodesservant à déterminer la probabilité pour qu’un courrielsoit du spam. Ils parviennent à :

■ Bloquer les courriels provenant d’adresses figurant surliste noire. Il peut s’agir d’une liste disponible dans lecommerce ou une liste “locale” d’adresses qui ont par lepassé envoyé du spam dans votre entreprise.

■ Vérifier si le courriel provient d’un nom de domaine oud’une adresse Web authentique. Pour essayer d’éviter lesprogrammes anti-spam, les spammeurs utilisent souvent defausses adresses.

■ Retrouver des mots-clés ou des groupes de mots qui reviennentdans le spam (“carte de crédit” ou “perdre du poids”).

■ Retrouver des motifs qui suggèrent que l’expéditeur du courrielessaie de déguiser ses mots (comme “hardc*re p0rn”).

■ Retrouver le code HTML inutile (le code utilisé pour l’écrituredes pages Web) utilisé dans les courriels, les spammeursl’utilisant souvent pour essayer de cacher leurs messages etsemer la confusion dans les programmes anti-spam.

Ce type de programme combine toutes les informations qu’il trouvepour déterminer la probabilité qu’un courriel est du spam. Si cetteprobabilité est suffisamment élevée, il peut bloquer le courriel ou lesupprimer en fonction des paramètres que vous avez choisis.

32

ww

w.s

opho

s.fr

Un logiciel qui parvient àdéterminer quels sont lescourriels désirésCertains logiciels anti-spam sont “adaptatifs”, c’est-à-dire qu’ils apprennent à différencier les objets que vousjugez acceptables de ceux non désirés.

Supposons qu’une entreprise pharmaceutique installe un logicielanti-spam. Au début, le logiciel tente de détecter le spam enrecherchant, par exemple, les mots suivants : credit, free, consolidate,debt, mortgage, drugs, prescription, medication, doctor. Il bloque lescourriels contenant trop souvent ces mots-clés tout en permettantaux utilisateurs individuels de récupérer ceux qu’ils désirent lire.

Un employé du département recherche réalise qu’uncourriel authentique relatif à un nouveau médicament a étébloqué et demande qu’il soit libéré. Le logiciel va dans cecas mémoriser que cet utilisateur reçoit fréquemment descourriels sur des médicaments et, par conséquent,attribuer une pondération moindre aux termes relatifs auxmédicaments lorsqu’il vérifiera le spam.

Dans le service financier, certains utilisateurs reçoiventdes courriels contenant des termes financiers, ainsi lelogiciel apprend alors à attribuer une pondérationmoindre à ces mots tout en continuant à bloquer pources utilisateurs les courriels relatifs aux médicaments.

33

ww

w.sophos.fr

Les programmes anti-spampeuvent-ils bloquer descourriels authentiques ?De nombreux utilisateurs s’inquiètent du fait que lelogiciel anti-spam supprime des courriels personnelsou utiles. En réalité, votre courriel est en sécurité etvous pouvez même, si vous le souhaitez, voir le spamsélectionné.

Les programmes anti-spam peuvent être trèsprécis. Ils peuvent généralement bloquer moinsd’un courriel authentique sur dix mille, voiresur cent mille.

Même si le programme identifie de manièreincorrecte un courriel comme du spam, il peutêtre configuré pour, au lieu desupprimer ce courriel, le placerdans une zone de“quarantaine”.L’administrateur peut alorsdécider de libérer ou desupprimer le courriel.Certains programmespermettent à chaqueutilisateur de récupérerautant de courriels placésen quarantaine qu’ils ledésirent.

Je veux ce spam !Le spam de l’un peut être lalecture essentielle de l’autre.

Une personne travaillant pourune société financière peutsouhaiter consulter les tauxd’intérêt offerts par d’autressociétés. Ou bien une sociétéd’informatique peut souhaitersavoir si les spammeurs vendentdes produits piratés.Heureusement, vous pouvezpersonnaliser certains logicielsanti-spam pour qu’ils laissentpasser le spam qui vousintéresse.

34

ww

w.s

opho

s.fr

Les combines utilisées parles spammeursLes spammeurs cherchent en permanence des moyenspour déguiser leurs messages et tromper les logicielsanti-spam. Voici quelques-unes destechniques utilisées :

Perdu dans l’espaceLe spammeur place des espaces entre leslettres des mots qu’il souhaite cacher, parexemple “d r u g s”, en espérant que lelogiciel anti-spam ne lira pas les lettres enun mot. Cette combine est facile à détecter.

Le trou noirLe spammeur utilise du code HTML (le code utilisé pour écrireles pages Web) pour insérer un espace entre les lettres, maisparamètre aussi la taille de l'espace sur zéro.

Ce que lit le programme anti-spam

V<font size=0>&nbsp;</font>i<font size=0>

&nbsp;</font>a<font size=0>&nbsp:</font>g

<font size=0>&nbsp;</font>r<font size=0>

&nbsp;</font>a

Ce que vous voyezViagra

35

ww

w.sophos.fr

Les combines utilisées parles spammeurs

Encre invisibleParfois, le spammeur veut que le lecteur consulte un messagependant que le programme anti-spam, lui, en voie un autre, plusinnocent. Il utilise pour cela du code HTML pour insérer un messaged’apparence innocent, mais dans la même couleur que l’arrière-plan.

Ce que lit le programme anti-spam

<body bgcolor=white> Viagra

<font color=white>Hi, Johnny! It was really

nice to have dinner with you. See you soon,

love Mom</font></body>

Ce que vous voyezViagra

Le micropointLe spammeur insère une lettre supplémentaire au milieu du motqu’il veut déguiser, mais utilise une très petite taille de caractères. Leprogramme anti-spam voit la lettre et lit le mot de façon incorrecte,mais le destinataire du courriel, lui, le lit très bien.

Retour à l’expéditeurLe spammeur envoit volontairement son courriel à une adresseincorrecte, mais place votre adresse dans le champ “De”. Le courrielne peut pas être transmis, c’est pourquoi le fournisseur de servicespeut le renvoyer à ... vous.

36

ww

w.s

opho

s.fr

Les combines utilisées parles spammeursLe jeu des numérosUn spammeur peut écrire un mot en utilisant à la place de lettresordinaires des codes HTML spéciaux. Par exemple, la lettre "a"peut être écrite en saisissant &#97.

Ce que que lit le programme anti-spam

&#86;<font size=0>&nbsp;</font>&#105;<font

size=0>&nbsp;</font>&#97;<font size=0>&nbsp;

</font>&#103;<font size=0>&nbsp;</font>

&#114;<font size=0>&nbsp;</font>&#97

Ce que vous voyez

Viagra

Découpage du texteLe spammeur utilise des tableaux HTML pour découper le texte enfines colonnes verticales, comme si le message avait été passé autravers d’une déchiqueteuse.

Ce que que lit le programme anti-spam

V i a g r a

S a m p l e s

F r e e

Ce que vous voyezViagra

samples

free

37

ww

w.sophos.fr

Association du spam etdes virusIl arrive que les spammeurs et les auteurs de viruscollaborent pour créer encore plus de dégâts dans lesmessageries.

Les virus peuvent constituer de nouvellesopportunités pour le spam. Un auteur de virus peut, parexemple, écrire un virus qui permette à d’autresutilisateurs de prendre le contrôle d’un ordinateur à l’insude l’utilisateur légitime. Si ce virus réussit à infecter unordinateur, il envoie un message à l’auteur de virus, lequelpeut envoyer sa liste d’ordinateurs infectés à un spammeur.Les spammeurs n’ont plus alors qu’à utiliser ces ordinateurspour envoyer du spam.

Plus de 30 % du spam est maintenant envoyé par l’intermédiaired’ordinateurs compromis comme ceux-là. De cette manière, lesspammeurs deviennent plus difficiles à suivre à la trace.

Les techniques des spammeurs peuvent également servir auxcréateurs de virus. Un auteur de virus peut ainsi envoyer un viruspar courriel à un grand nombre d’utilisateurs en se servant de laliste d’adresses d’un spammeur. Avec autant de destinataires, il estfort probable qu’un grand nombre d’entre eux activeront le virus,garantissant ainsi un réacheminement et une propagation rapides.

Il semble qu’on ait des preuves de collusion entre les spammeurset les auteurs de virus. Le virus Mimail-L, par exemple, a tenté delancer une attaque par déni de service sur plusieurs sites Web anti-spam.

38

ww

w.s

opho

s.fr

Comment éviter le spam

Utilisez un logiciel anti-spam

Le logiciel anti-spam peut réduire le nombre de courriels non désirés,surtout s’il utilise vos commentaires pour “apprendre” àdifférencier les courriels authentiques du spam.

N’effectuez jamais d’achats à partir d’un spam

En effectuant un achat, vous aidez au financement du spam.Votre adresse électronique peut aussi être ajoutée dans deslistes vendues à d’autres spammeurs pour que vous receviezencore plus de courriers-poubelles. Pire encore, vous pouvezêtre victime d’une fraude.

En cas d’expéditeur inconnu, supprimez le courriel

Non seulement la plupart des spams sont une gêne, mais ils peuvent aussi parfoiscontenir un virus qui endommage l’ordinateur lorsque le courriel est ouvert.

Ne répondez jamais à un spam ou ne cliquez jamais sur les liens

Si vous répondez à un spam, même pour vous désabonner de la liste de diffusion, vousconfirmez que votre adresse électronique est valide, ce qui encourage davantage encorel’envoi de spam.

Choisissez de ne pas recevoir d’autres informations ou offres

Lorsque vous remplissez un formulaire sur n’importe quel site Web, recherchez toujours lacase à cocher qui permet de choisir d’accepter ou non d’autres informations ou offres.Cochez ou décochez cette case selon les besoins.

39

ww

w.sophos.fr

Comment éviter le spamN’utilisez jamais la prévisualisation de la visionneuse de courriels

La plupart des spammeurs parviennent à suivre à la trace la visualisation d’un message,même si vous ne cliquez pas sur le courriel. L’option de prévisualisation ouvreeffectivement le courriel et permet au spammeur de savoir que vous recevez sesmessages. Lorsque vous vérifiez votre courrier, essayez de déterminer d’après l’objetseulement s’il s’agit ou non d’un spam.

Utilisez le champ “cci” (“bcc” en anglais) lorsque vous envoyez uncourriel à plusieurs personnes à la fois

Le champ “cci” ou copie conforme invisible masque la liste de destinataires pour lesautres utilisateurs. Si vous placez les adresses dans le champ “A”, le spammeur peut lesrecueillir et les ajouter aux listes de diffusion.

Ne donnez jamais votre adresse électronique sur Internet

Ne mentionnez jamais votre adresse électronique sur les sites Web, listes de newsgroupsou autres forums publics en ligne car le spammeur utilise des programmes qui surfentsur Internet pour y trouver des adresses.

Ne donnez votre adresse principale qu’aux personnes de confiance

Ne confiez votre adresse électronique principale qu’à vos amis et collègues.

Utilisez une ou deux adresses électroniques “secondaires”

Si vous remplissez des formulaires d’inscription sur Internet ou participez à des enquêtessur des sites dont vous ne souhaitez pas recevoir d’autres informations, utilisez uneadresse électronique secondaire. Cette précaution protège votre adresse principale duspam.

41

ww

w.sophos.fr

Canulars etescroqueriesSi vous recevez un courriel qui vousprévient d’un nouveau virus auxconsonances improbables, vous offre untéléphone portable gratuit ouvous demande de mettre àjour les détails de votrecompte en banque, c’estque vous êtes la victimed’un canular. Lecourriel-canular peutinterrompre votreactivité, surchargerles systèmes demessagerie ou encore vous amener par laruse à donner à des criminels vos codesd’accès et vos mots de passe.

42

ww

w.s

opho

s.fr

Canular ou pas ?Un courriel intitulé Rush-

Killer virus alert a commencé àcirculer le 1er avril 2000. Ilprévenait de l’existence d’unvirus qui pouvait prendre lecontrôle de votre modem etcomposer le 911 (numéro desurgences aux Etats-Unis) etconseillait vivement de fairesuivre l’alerte. Le courrielprésentait tous les signesextérieurs d’un canular. Etpourtant, ce virus était réel.Distinguer un canular d’un vraivirus n’est pas chosefacile ; il est donc recommandéde suivre les conseils donnés à lafin de ce chapitre, dans la section“Comment éviter les canulars”.

Les canulars de virusLes canulars de virus signalent des virus quin’existent pas. Le canular type est un courriel qui :

■ Vous avertit de l’existence d’un nouveau virusindétectable et extrêmement destructeur.

■ Vous suggère d’éviter la lecture des courrielsavec des objets comme Join the Crew ouBudweiser Frogs.

■ Prétend que tel avertissement a été émis parune grande société informatique, unfournisseur d’accès Internet ou un organismed’Etat comme IBM, Microsoft, AOL ou la FCC(équiv. américain de l’ART, qui régule lestélécoms).

■ Prétend qu’un nouveau virus peut réaliser uneaction improbable. Par exemple, A moment ofsilence annonce “qu’aucun programme n’abesoin d’être échangé pour qu’un autreordinateur soit infecté”.

■ Emploie un jargon informatique pour décrireles effets d’un virus : par exemple, Good Timesannonce que le virus peut faire rentrer leprocesseur de votre PC dans une “boucle binaireinfinie de complexité”.

■ Vous conseille vivement de faire suivrel’avertissement aux autres utilisateurs.

43

ww

w.sophos.fr

Ne jamais négligerl'importance d'un canular

Les canularsinspirent-ils desvirus ?Un canular peut inspirer uneréelle menace virale et vice-versa. Lorsque le canular GoodTimes a fait les gros titres,certains programmeurs devirus ont attendu que cetterumeur soit entièrementétouffée pour écrire un vraivirus du même nom (certainséditeurs antivirus l’ont appeléGT-Spoof).

Le canular peut être aussi problématiqueet coûteux qu’un virus authentique.

Si un utilisateur fait suivre un avertissement-canular à ses amis et collègues, il peut s’ensuivre un déluge de courriels qui va submergerles serveurs et les faire tomber en panne. L’effetest donc semblable à celui du vrai virus Sobig, àla seule différence que l’auteur du canular n’a paseu besoin de programmer le moindre code.

L’utilisateur final n’est pas le seul à réagir defaçon excessive. Les entreprises qui reçoiventfréquemment des canulars prennent parfois desmesures drastiques comme la fermeture de leurserveur de messagerie ou de leur réseau, ce qui apour effet de paralyser les transmissions plusefficacement que n’importe quel authentiquevirus, empêchant par là-même l’accès à descourriels potentiellement importants.

De faux avertissements peuvent aussidisperser les efforts dans la lutte contre les vraiesmenaces virales.

Par ailleurs, les canulars peuvent s’avérerremarquablement persévérants. Et les canularsn’étant pas des virus, votre logiciel ne peut ni lesdétecter ni les désactiver.

44

ww

w.s

opho

s.fr

Piratage de pages

SouricièreSupposons que vous soyezredirigé vers un faux site Web etque les boutons de retour ou defermeture ne vous permettentplus d’en sortir. Vous êtes victimedu coup de la souricière.

Pour quitter cette page,saisissez une adresse dans lechamp “Adresse”, utilisez unsignet ou ouvrez la liste desadresses récemment visitées etsélectionnez celle qui figure justeaprès la dernière visitée. Pourrécupérer l’utilisation desboutons de retour ou defermeture, fermez le navigateurou redémarrez l’ordinateur.

Le piratage de pages consiste à répliquer des pages Webde renom pour captiver l’attention de l’utilisateur et lerediriger vers d’autres sites Web.

Le pirateur de pages copie despages d’un site Web de renom etles place sur un nouveau site quisemble légitime. Il enregistreensuite ce nouveau site auprèsdes principaux moteurs derecherche afin que l’utilisateur effectuant unerecherche le retrouve et suive les liens présents.Lorsque l’utilisateur arrive sur le site Web, il estautomatiquement redirigé vers un site différentcontenant de la publicité ou des offres dedifférents services.

Généralement, le piratage de pages agacel’utilisateur et le met face à du contenu offensant.Il réduit par ailleurs les recettes des sites Weblégitimes et l’utilité des moteurs de recherche.

Dans certains cas, le piratage de pages peutêtre utilisé pour le “phishing” (voir pagesuivante).

Sachez que si vous utilisez un signet ou un“favori”, ou si vous entrez directement l’adressedu site Web (son URL), vous ne tomberez pasdans le piège du piratage de pages.

45

ww

w.sophos.fr

PhishingLe phishing consiste à employer des faux courriels etsites Web pour vous inciter à fournir des informationsconfidentielles ou personnelles.

En général, vous recevez un courriel semblant provenir d’uneorganisation reconnue, telle une banque. Le courriel contient ce quisemble être un lien vers le site Web de l’organisation. En revanche,si vous suivez le lien, vous vous retrouvez connecté à une répliquedu site Web. Tous les détails que vous saisissez alors, tels que lesnuméros de comptes, les numéros d’identification personnels oules mots de passe peuvent être volés et utilisés par les pirates quiont créé ce faux site.

Il faut toujours se méfier des liens envoyés dans des courriels. Aulieu de cliquer sur un lien, saisissez l’adresse dusite Web dans le champ “Adresse” ou utilisezun signet ou un lien “favoris”, et vousserez sûr de vous connecter auvéritable site.

Un logiciel anti-spam peut aussiaider à bloquer les courriels dephishing.

46

ww

w.s

opho

s.fr

Chaîne de lettresUne chaîne de lettres électronique est uncourriel qui vous incite à faire suivre descopies à d’autres personnes.

Les chaînes delettres sont-ellesréellementproblématiques ?

Les chaînes de lettres ne menaçentpas votre sécurité, mais ellespeuvent :■ Vous faire perdre du temps ou

détourner votre attention descourriels authentiques.

■ Créer inutilement du trafic decourriels et ralentir vos serveursde messagerie.

■ Diffuser de faussesinformations.

■ Encourager l’envoi de courrielsà certaines adresses de façon àce que ces dernières soientinondées de courriels nonsollicités.

Voici les principaux types de chaînes delettres :

■ Canulars. Les chaînes de lettrespeuvent avertir d’attaquesterroristes, d’escroqueriesimpliquant des numéros de téléphonesurtaxés ou de vols depuis des guichetsautomatiques. Toutes sont soit des canularsdélibérés soit des légendes urbaines.

■ Faux cadeaux gratuits. Certaines lettresprétendent à tort que des sociétés offrent desvoyages, des téléphones portables gratuits oubien des récompenses si vous faites suivre descourriels.

■ Pétitions. Il s’agit généralement de pétitionscontre les lois proposées. Même si elles sontauthentiques, elles continuent de circulerlongtemps après leur date d’expiration.

■ Blagues et farces. La lettre “Internet cleaning”prétendait qu’Internet serait hors d’usage le 1eravril pour cause de maintenance.

47

ww

w.sophos.fr

Comment éviter les canularsAdoptez une stratégie de sécurité concernant les alertes virales

Mettez en place dans l’entreprise une stratégie de sécurité à propos des alertes virales,par exemple :

“Faites suivre les alertes virales, quel qu’en soit le type, uniquement au responsablesécurité. Peu importe si cette alerte provient d’un distributeur antivirus ou si elle a étévalidée par une société d’informatique importante ou par votre meilleur ami. TOUTESles alertes virales doivent être transmises seulement au nom de la personne responsablequi doit ensuite avertir tout le monde. Une alerte virale provenant de toute autre sourcedoit être ignorée.”

Renseignez-vous régulièrement sur les canulars

Renseignez-vous sur les canulars en visitant sur notre site Web les pages qui leur sontconsacrées : www.sophos.fr/virusinfo/hoaxes

Ne faites jamais suivre une chaîne de lettres

Ne faites jamais suivre une chaîne de lettres, même si des récompenses sont offertes ou sion y prétend diffuser des informations utiles.

Ne faites confiance à aucun lien de courriel non sollicité

Si vous désirez visiter le site Web de votre banque ou tout site sur lequel vous saisissez desmots de passe ou des informations confidentielles, ne cliquez jamais sur les liens présentsdans les courriels non sollicités ou les forums. Saisissez vous-même votre adresse ouutilisez un signet ou un lien “favoris”.

49

ww

w.sophos.fr

Astuces pour uneinformatiquesécurisée

Mise à part l’utilisation d’unlogiciel antivirus, il existe denombreuses mesures simplespour se protéger soi-même et

son entreprise contre les viruset les vers. Voici nos principauxconseils pour une informatiquesans souci.

50

ww

w.s

opho

s.fr

Astuces pour une informatiquesécurisée

Ne lancez jamais de programmes ou de documents non sollicités

Quand vous ne savez pas si une entité contient ou non un virus, supposez qu’elle encontient un. Ordonnez à vos employés de ne pas télécharger depuis Internet desprogrammes ou des documents non autorisés, des économiseurs d’écrans ou desblagues. Adoptez une politique qui dicte que tous les programmes doivent être autoriséspar un responsable informatique et vérifiés avant leur utilisation.

N’utilisez jamais de documents au format .doc et .xls

Enregistrez les documents Word au format RTF et les feuilles Excel au format CSV carces formats ne prennent pas en charge les macros et ne peuvent donc pas diffuser devirus de document. Dites à vos correspondants de vous envoyer des fichiers RTF et CSV.Mais prenez garde ! Certains virus de document déguisent le format. Pour travailler entoute sécurité, utilisez des fichiers texte seulement.

Utilisez des correctifs logiciels pour colmater les failles de sécurité

Soyez à l’affût des actualités sur la sécurité et téléchargez les correctifs. De tels correctifscomblent souvent les trous de sécurité qui peuvent vous rendre vulnérables aux virus etaux vers Internet. Il est conseillé à tout directeur informatique de s’abonner aux listes dediffusion des éditeurs de logiciels comme celle présente sur www.microsoft.com/technet/security/bulletin/notify.asp. Les utilisateurs à domicile possédant desordinateurs Windows peuvent visiter windowsupdate.microsoft.com, où vous pouvezeffectuer un contrôle de votre PC pour y rechercher les failles de sécurité et savoir quels

correctifs installer.e a separate network for internet m

51

ww

w.sophos.fr

Astuces pour une informatiquesécurisée

Bloquez à la passerelle les fichiers avec extensions doubles

Certains virus déguisent le fait qu’ils sont des programmes en utilisant après leurs nomsde fichiers une extension double, comme .TXT.VBS. Par exemple, un fichier commeLOVE-LETTER-FOR-YOU.TXT.VBS ressemblait, à première vue, à un fichier texte ou à ungraphique inoffensif. Bloquez à la passerelle de messagerie tout fichier portant unedouble extension.

Bloquez à la passerelle de messagerie les fichiers non désirés

De nombreux virus utilisent maintenant les extensions VBS (Visual Basic Script) et SHS(Windows Scrap Object) pour se propager. Il y a de fortes chances pour que votreentreprise n’ait pas besoin de recevoir de l’extérieur ces types de fichiers, vous pouvezdonc les bloquer à la passerelle de messagerie.

Abonnez-vous à un service d’alerte par courriel

Un service d’alerte peut vous avertir des nouveaux virus et vous proposer des identitésvirales qui permettront à votre logiciel antivirus de les détecter. Sophos dispose d’unservice d’alerte gratuit. Pour plus de détails, reportez-vous à www.sophos.fr/virusinfo/notifications

Ayez un réseau distinct pour les machines Internet

Gérez des réseaux distincts pour les ordinateurs reliés à Internet et pour ceux qui ne lesont pas. Ainsi, vous réduisez le risque que l’utilisateur ne télécharge des fichiers infectéset diffuse des virus sur votre réseau principal.

52

ww

w.s

opho

s.fr

Astuces pour une informatiquesécurisée

Utilisez des pare-feu et/ou des routeurs

Un pare-feu n’admet dans votre entreprise que le trafic autorisé. Un routeur contrôle le

flux de paquets d’informations provenant d’Internet.

Configurez votre navigateur Internet pour la sécurité

Désactivez les applets Java ou ActiveX, les cookies, etc., ou demandez à être averti si ducode comme celui-ci est en cours de fonctionnement. Par exemple, dans MicrosoftInternet Explorer, sélectionnez Outils|Options Internet|Sécurité|Niveau personnaliséet sélectionnez les paramètres de sécurité désirés.

Effectuez des sauvegardes de tous les programmes et données

Si vous êtes infecté par un virus, vous pourrez ainsi récupérer tous les programmes ettoutes les données perdues.

Changez la séquence de démarrage de votre ordinateur

La plupart des ordinateurs tentent tout d’abord de se lancer depuis le lecteur de disquette(le lecteur A:). Demandez au responsable informatique de changer les paramètres devotre ordinateur pour qu’il s’initialise tout d’abord depuis le disque dur. Ensuite, si unedisquette infectée reste dans l’ordinateur, ce dernier ne pourra être infecté par aucunvirus de secteur de démarrage.

Protégez toujours une disquette en écriture avant de la transmettre

Une disquette protégée en écriture ne peut pas être infectée.

53

ww

w.sophos.fr

Glossaire

54

ww

w.s

opho

s.fr

ActiveX Technologie Microsoft qui accroît les capacités de votrenavigateur Web.

Amorçage Processus de chargement du système d'exploitationdepuis le disque lors de la mise sous tension del'ordinateur.

Applet Petite application. On parle habituellement d’applets Java(voir ce nom).

Applet Java Petite application généralement utilisée pour créer deseffets sur les pages Web. Les applets sont exécutés par lenavigateur dans un environnement sûr (voir Sandbox) etne peuvent apporter de changements sur votre système.

Application Java Programme Java qui peut exécuter les fonctionscomplètes qu’on attend de lui, comme la sauvegarde defichiers sur un disque.

ASCII American Standard Code for Information Interchange.Système normatif de représentation de lettres et desymboles.

Attaque dictionnaire Programme qui bombarde un serveur de messagerie avecdes adresses électroniques générées par ordrealphabétique dans l’espoir de deviner correctementcertaines d’entre elles. La même méthode peut servir àdeviner des mots de passe.

Attaque par déni Tentative pour empêcher l’utilisation d’un système dede service messagerie ou d’un serveur Web en envoyant des

messages ou des pièces jointes inhabituels ou excessifs.BIOS Basic Input/Output System (système de base d’entrées/

sorties). Niveau inférieur du logiciel directement interfacéavec le matériel.

Canular Communication, souvent par courriel, intentionnellementtrompeuse.

55

ww

w.sophos.fr

CGI Common Gateway Interface. Mécanisme permettant auserveur Web d’exécuter des programmes ou des scripts etd’en envoyer le résultat à un navigateur Web.

Cheval de Troie Programme informatique ayant des effets (indésirables)non décrits dans ses spécifications.

Cheval de Troie de Programme de cheval de Troie (voir ce nom) qui donne àporte dérobée l’utilisateur distant un accès non autorisé à un ordinateur

et qui lui permet de le contrôler.Collecte Contrôle d’Internet à la recherche d’adresses électroniques

pouvant être placées sur les listes de diffusion desspammeurs.

Contrôle complexe Fonction du logiciel anti-spam qui retrouve les motsdu vocabulaire souvent utilisés dans le spam, même si des lettres ont été

remplacées par des nombres ou des caractères semblables(comme “1nterest r@te”).

Contrôle HTTP Contrôle en temps réel du trafic HTTP pour s’assurer queles pages Web que vous visualisez ou téléchargez necontiennent pas de virus.

Cookie Petit ensemble de données qui renferme des informationssur l’ordinateur de l’utilisateur. Les cookies sontgénéralement utilisés pour permettre à un site Web desuivre à la trace les visites et les caractéristiques desutilisateurs.

CSV Comma Separated Values. Format de fichier dans lequel lesvaleurs (par exemple, celles d’une feuille de calcul Excel)apparaissent séparées par des virgules. Ce format nesupporte pas les macros et ne peut donc pas propager devirus de macro.

Disque dur Disque magnétique scellé généralement placé à l’intérieurd’un ordinateur et servant à stocker des données.

56

ww

w.s

opho

s.fr

Disquette Disque magnétique amovible souple utilisé pour stockerdes données.

Enregistrement Aussi appelé secteur de partition. Il s’agit du premierd’amorçage maître secteur physique du disque dur à être chargé et exécuté

lorsqu’un PC est initialisé et aussi de la partie essentielledu code de démarrage.

Faux positif Rapport signalant qu’un virus a été trouvé (ou qu’uncourriel est du spam) alors que ce n’est pas le cas.

Filtrage bayésien Approche statistique consistant à déterminer si uncourriel est un spam (fondée sur la théorie de laprobabilité bayésienne).

FTP File Transfer Protocol. Système permettant auxutilisateurs d’Internet de se connecter à des sites distantspour télécharger des fichiers (d’un serveur Web auterminal ou dans le sens inverse).

Hacker Pirate. Personne qui tente délibérément de violer lasécurité informatique, généralement pour provoquer desperturbations ou récupérer des informationsconfidentielles comme des détails financiers. Au départ,le mot “hacker” faisait référence à toute personnepassionnée par la technologie informatique. Aujourd’hui,ce terme est fréquemment utilisé par le public et lesjournalistes pour désigner des personnes malintentionnées.

Ham Courriel qu’un destinataire ne considère pas comme duspam (voir ce nom).

HTML Hypertext Markup Language. Format de la plupart desdocuments sur le Web.

HTTP Hypertext Transport Protocol. Protocole utilisé par lesserveurs Web pour rendre les documents d’un sitedisponibles pour les navigateurs.

57

ww

w.sophos.fr

Identité virale Description des caractéristiques d’un virus utilisée pour sareconnaissance.

Internet Réseau composé de nombreux réseaux reliés entre eux.Internet est de loin le plus vaste de ces réseaux.

Java Langage de programmation indépendant des plates-formes développé pour le Web par Sun Microsystems. Lesprogrammes écrits en Java sont soit des applications soitdes applets (petites applications).

Liste blanche Liste d’adresses électroniques externes, d’adresses IP et dedomaines à partir desquels les courriels sont acceptés sansfaire l’objet d’aucune vérification de spam et/ou de virus.

Liste grise Les expéditeurs de courriels non placés en liste noire(exclus) ou en liste blanche (acceptés) peuvent être placésdans une liste grise et être sommés de prouver qu’ilsenvoient des courriels légitimes.

Liste noire Liste d’adresses électroniques et de domaines desquelsaucun courriel n’est accepté.

Liste “trou noir” Liste publiée, généralement commerciale, d’adressesconnues pour êtres des sources de spam. Voir aussi Liste“trou noir” en temps réel.

Liste “trou noir” Real-time blackhole list (RBL). Liste rejettant tout courriel,en temps réel valide ou non, provenant d’adresses connues pour envoyer

du spam ou accueillir des spammeurs. Ceci peut inciter lesfournisseurs de service Internet à prendre des mesuresanti-spam.

Macro Séries d’instructions au sein de fichiers de données quipeuvent réaliser automatiquement des commandes deprogramme, par exemple, l’ouverture ou la fermeture defichiers.

58

ww

w.s

opho

s.fr

Mail drop Adresse électronique conçue pour recevoir des réponses àdu spam. Afin d’éviter la détection, le spammeur annuleensuite le compte à partir duquel le spam a été envoyé.

Modem MOdulateur/DEModulateur qui convertit les donnéesinformatiques dans une forme adaptée à la transmissionpar ligne téléphonique, liaison radio ou satellite.

Mot de passe Suite de caractères donnant accès à un système.Munging Déguisement d’adresses électroniques afin qu’elles ne

puissent pas être collectées. On indique aux destinatairescomment décoder l’adresse.

Navigateur Web Programme utilisé pour accéder aux informations sur leWeb, il s’agit donc de la partie client du Web.

Newsgroup Forum électronique où les participants publient desarticles et des suivis d’articles sur des sujets donnés.

Obfuscation Tentative du spammeur pour cacher les messages demanière à ce qu’ils ne soient pas détectés. Parfois utilisépour désigner le déguisement des adresses électroniquespour que le spammeur puisse les collecter.

Open-relay Relais non protégé. Serveur de messagerie SMTPpermettant le relais de messages électroniques à un tiers.Les spammeurs peuvent pirater ces serveurs et les utiliserpour envoyer du spam.

Ordinateur palmtop Ordinateur suffisamment petit pour tenir dans la paume(palm) de la main.

Ordinateur portable Ordinteur portatif suffisamment petit pour être utilisé surles genoux.

Pare-feu Système de sécurité placé entre Internet et le réseau d’uneentreprise, ou au sein même d’un réseau, pour ne laisserpasser que le trafic réseau autorisé.

59

ww

w.sophos.fr

Passerelle Ordinateur servant au transfert de données (par exemple,d’une passerelle de messagerie, par laquelle transitent tousles courriels parvenant à une entreprise) ; il peut aussis’agir d’un ordinateur qui convertit des données d’unprotocole dans un autre.

PC Pour Personal Computer ou ordinateur personnel.Ordinateur de bureau ou portable pour une utilisationindividuelle.

PDA Personal Digital Assistant. Petit appareil informatiquemobile qui s’utilise la plupart du temps pour gérer lesdonnées des carnets d’adresses ou des calendriers.

Phishing Combine consistant à amener l’utilisateur par la ruse àsoumettre des informations confidentielles ou des mots depasse en créant une réplique d’un site Web légitime.

Pièce jointe Fichier document, feuille de calcul, graphique, programmejoint au message d’un courriel.

Pixel invisible Petit graphique inséré dans un courriel ou sur une pageWeb alertant le spammeur lorsqu’un message est lu ouprévisualisé.

Portable notebook Ordinateur encore plus petit qu’un ordinateur portable.Porte dérobée Moyen non documenté de contourner le système de

contrôle d’accès habituel d’un ordinateur. Voir cheval deTroie de porte dérobée.

Pot de miel Système informatique placé sur Internet pour attirer etpiéger les spammeurs et les pirates.

Programme Série d’instructions qui indique à un ordinateur les actionsà réaliser.

RAM Random Access Memory. Forme de mémoire temporaired’un ordinateur. Cette mémoire vive agit comme l’espacede travail de la machine mais, une fois l’ordinateur éteint,les données qui y sont stockées sont perdues.

60

ww

w.s

opho

s.fr

ROM Read Only Memory. Forme de mémoire permanente del’ordinateur. Cette mémoire morte s’utilise généralementpour stocker le logiciel de démarrage d’un ordinateur.

RTF Rich Text Format. Format de fichier document qui nesupporte pas les macros et ne peut donc pas propager devirus de macros.

Sandbox Mécanisme servant à exécuter des programmes enenvironnement contrôlé, en particulier au moyen d’appletsJava.

Sauvegarde Copie des données d’un ordinateur utilisée pour recréerdes données perdues, égarées, altérées ou effacées.

Scanner de virus Programme détectant les virus. La plupart des scannerssont spécifiques aux virus, c’est-à-dire qu’ils identifient lesvirus qu’ils connaissent déjà. Voir aussi Scannerheuristique.

Scanner heuristique Programme qui détecte les virus en utilisant des règlesgénérales sur ce que sont les virus ou sur leurcomportement.

Secteur de démarrage Partie du système d’exploitation qui est lue en premier parle disque lorsqu’un ordinateur est mis sous tension. Leprogramme stocké dans le secteur de démarrage estensuite exécuté, ce qui entraîne le chargement du reste dusystème d’exploitation.

Secteur de démarrage Secteur de démarrage qui charge le système d’exploitationDOS DOS dans la mémoire RAM du PC. Il s’agit d’un point

d’attaque courant des virus de secteur de démarrage.Serveur de fichiers Ordinateur fournissant un stockage centralisé de données

et, souvent, d’autres services aux postes de travail d’unréseau.

61

ww

w.sophos.fr

Serveur proxy Serveur qui envoie des requêtes à Internet au nom d’uneautre machine. Il se situe entre l’entreprise et Internet etpeut être utilisé pour des raisons de sécurité.

Serveur Web Ordinateur connecté à Internet qui met à disposition lesdocuments du Web, au moyen généralement du réseauHTTP.

SHS Extension des fichiers “scrap object” de Windows. Lesfichiers SHS peuvent renfermer du code de quasiment touttype et s’exécutent automatiquement si vous cliquezdessus. L’extension peut être cachée.

Signature numérique Moyen de s’assurer qu’un message n’a pas fait l’objet demanipulations et qu’il provient bien de l’expéditeurindiqué.

SMTP Simple Mail Transport Protocol. Système de distributiondes courriels Internet.

Somme des contrôles Valeur calculée à partir d’un ou de plusieurs élément(s) dedonnées pouvant être utilisée pour vérifier que ces donnéesn’ont pas été altérées.

Spam Courrier commercial non sollicité (UCE pour UnsolicitedCommercial Email) et courrier de masse non sollicité(UBE pour Unsolicited Bulk Email).

Spambot Programme que les spammeurs utilisent pour collecter desadresses électroniques sur Internet.

Spoofing Littéralement usurpation. Falsification dans un courriel del’adresse de l’expéditeur. L’usurpation peut servir à cacherl’origine du spam ou à convaincre les destinataires qu’uncourriel nuisible provient d’une source fiable.

Spyware Logiciel espion qui suit à la trace l’activité de l’utilisateur etrapporte les informations à d’autres entités comme desannonceurs. Le suivi est généralement caché del’utilisateur du logiciel.

62

ww

w.s

opho

s.fr

Station de travail Ordinateur pour utilisateur autonome souvent relié à unréseau.

Système d’exploitation Programme qui contrôle l’utilisation des ressourcesmatérielles de l’ordinateur et effectue des fonctions de basetelles que la maintenance des listes de fichiers etl’exécution des programmes.

Tarpit Serveur de messagerie délibérément lent dont le but est deprendre au piège les spammeurs qui collectent desprogrammes.

Tarpitting Surveillance du trafic de la messagerie pour identifier lesadresses suspectées d’envoyer un gros volume de courrielspouvant être du spam.

TCP/IP Transmission Control Protocol/Internet Protocol. Nomcollectif pour les protocoles Internet standard.

Téléchargement Transfert de données d’un ordinateur (serveur) vers unautre ordinateur (terminal).

URL Uniform Resource Locator. Adresse d’un site Web.VBS Visual Basic Script. Code incorporé à une application, un

document ou une page Web pouvant s’exécuter dès que lapage est visualisée.

Ver Programme qui se diffuse en multiples exemplaires. A ladifférence du virus, le ver ne requiert pas de programmehôte.

Vérification DNS Vérification de l’adresse de l’expéditeur du courriel dansinversée une base de données de systèmes de noms de domaines

pour s’assurer qu’elle provient d’un nom de domaine oud’une adresse Web valide.

Virus Programme qui a la capacité de se répandre sur lesordinateurs et sur les réseaux en se greffant sur un autreprogramme et en créant ses propres répliques.

63

ww

w.sophos.fr

Virus compagnon Virus exploitant le fait que que lorsque deux fichiersprogramme portent le même nom, le systèmed’exploitation utilise leur extension pour décider lequelexécuter. Par exemple, les ordinateurs sous DOS exécutentde préférence un fichier .com plutôt qu’un fichier .exe. Levirus crée donc un fichier .com qui contient le code viral etlui donne le même nom que le .exe existant.

Virus de programme Virus informatique qui se greffe sur un autre programmeinformatique et qui s’active lorsque ce programme estexécuté.

Virus de redirection Virus qui bouleverse les entrées d’un répertoire de façon àce qu’elles pointent vers le code du virus, permettant àcelui-ci de s’exécuter.

Virus de secteur Type de virus dérèglant le processus d’amorçage.de démarrageVirus furtif Virus dissimulant sa présence à l’utilisateur de l’ordinateur

et aux programmes antivirus, en déroutant généralementles services d’interruption.

Virus macro Virus employant les macros d’un fichier de données pours’activer et se greffer sur d’autres fichiers de données.

Virus multimode Virus qui infecte à la fois les secteurs et les fichiersprogramme.

Virus parasite Voir Virus de programme.Virus polymorphe Virus qui se modifie lui-même. En changeant son propre

code, le virus essaie de se rendre plus difficile à détecter.Virus résident en Virus restant en mémoire après s’être activé et après lamémoire fermeture de son programme hôte (à la différence des

autres virus qui sont activés seulement lorsqu’uneapplication infectée est exécutée).

64

ww

w.s

opho

s.fr

WAP Wireless Application Protocol. Protocole de type Internetqui fournit des informations aux téléphones mobiles et auxorganisateurs.

Web Voir World wide web.World wide web Système hypertexte distribué utilisé pour la lecture de

documents sur Internet.WWW Voir World wide web.Zombie Ordinateur peu sûr piraté et utilisé pour envoyer du spam

ou lancer une attaque par déni de service (voir ce nom).

65

ww

w.sophos.fr

IndexC

canular de virus 42effets secondaires 43

canulars 41canulars de virus 42, 43chaîne de lettres 46éviter 47phishing 45piratage de pages 44

chaîne de lettres 46cheval de Troie 7

de porte dérobée 15cookies 16

D

déni de service 8

F

filtre anti-spam 31adaptatif 32

H

HTMLet le spam 34, 36

J

Jini 18

L

logiciel adaptatif 32logiciel anti-spam 31

adaptatif 32logiciel antivirus 20

heuristique 20logiciel heuristique 20

O

ordinateur portable 19

P

phishing 45pièces jointes aux courriels 12piratage de pages 44pixel invisible 30PocketPC 19

R

règles de sécurité 49–52

66

ww

w.s

opho

s.fr

S

sites webfaux 44, 45piratage de pages 44

souricière 44spam

combines de déguisement 34–36défini 28effets secondaires 29et virus 37éviter 38–39

spyware 16

T

téléphones mobiles 17

V

ver 7internet 14

ver Internet 14virus

dans des pièces jointes 12dans un programme 11de démonstration 24de document 11

de messagerie 12, 13de programme 11de secteur de démarrage 11de téléphone mobile 17défini 6diffusé par messagerie 12, 13effets secondaires 8–9et spam 37historique 22"inoffensif " 24prévention 20, 25, 49–52secteur de démarrage 11sur ordinateur portable 19

virus macro, voir virus de document