Les Virus Informatiques

LES DOSSIERS TECHNIQUES
LES VIRUS
INFORMATIQUES
Dcembre 2005
Espace Menaces - Groupe Virus
CLUB DE LA SECURITE DES SYSTEMES DINFORMATION FRANAIS

30, rue Pierre Semard, 75009 PARIS
Tl. : +33 153 25 08 80 Fax : +33 1 53 25 08 88
e-mail : clusif@clusif.asso.fr - Web : http://www.clusif.asso.fr
REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :
Michel
BERTIN
Olivier
GUERIN
CLUSIF
Olivier
ITEANU
ITEANU & ASSOCIES
Pascal
LOINTIER
ACE INSURANCE
Franois
PAGET
McAfee
Jean-Charles
SIMON
MICHELIN
Nous remercions aussi les membres ayant particip la relecture.
Les Virus Informatiques
CLUSIF 2005
TABLE DES MATIRES

1.
HISTORIQUE....................................................................................................................................................... 1
2.
TYPOLOGIE DES INFECTIONS INFORMATIQUES .................................................................................. 6

2.1
2.2
2.2.1
2.2.2
2.3
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.3.6
2.4
2.4.1
2.4.2
2.4.3
2.4.4
2.4.5
2.5
2.5.1
2.5.2
2.6
2.6.1
2.6.2
2.6.3
2.6.4
2.6.5
3.
ORGANISATION DUNE DFENSE EN PROFONDEUR .......................................................................... 31

3.1
3.2
3.3
3.4
3.5
3.6
3.7
4.
INTRODUCTION ............................................................................................................................................... 6
LES GRANDES FAMILLES D'INFECTIONS ........................................................................................................... 6
Programmes simples................................................................................................................................. 6
Programmes auto-reproducteurs............................................................................................................ 10
CLASSEMENT PAR CIBLE ............................................................................................................................... 10
Virus programme .................................................................................................................................... 11
Virus systme .......................................................................................................................................... 12
Virus multipartites .................................................................................................................................. 12
Virus interprts ..................................................................................................................................... 12
Les vers ................................................................................................................................................... 15
Les robots ............................................................................................................................................... 18
FONCTIONNALITS ....................................................................................................................................... 18
Modes d'infection.................................................................................................................................... 18
Gchette de dclenchement .................................................................................................................... 21
Charge virale .......................................................................................................................................... 22
Fonctionnalits supplmentaires ............................................................................................................ 22
Principes d'identification........................................................................................................................ 24
LES AUTRES ENVIRONNEMENTS .................................................................................................................... 25
Virus sur Macintosh................................................................................................................................ 25
Linux et les systmes dexploitation Unix............................................................................................... 25
LES AUTRES LMENTS PERTURBATEURS ..................................................................................................... 26
Farces ..................................................................................................................................................... 26
Rumeurs (hoaxes) ................................................................................................................................... 26
Le courrier non sollicit (spam) ............................................................................................................. 28
Les arnaques financires ........................................................................................................................ 29
Les lettres chanes................................................................................................................................... 30
LES RESSOURCES PROPRES LUTILISATEUR ................................................................................................ 32

LES RESSOURCES PARTAGES ....................................................................................................................... 33
LES PASSERELLES ......................................................................................................................................... 33
LE MONDE EXTRIEUR .................................................................................................................................. 34
LA DIMENSION HUMAINE .............................................................................................................................. 35
LA POLITIQUE DE MISES JOUR .................................................................................................................... 35
LA POLITIQUE DE PARAMTRAGE ................................................................................................................. 36
TYPOLOGIE DES PRODUITS ANTIVIRUS................................................................................................. 37

4.1
LES MTHODES DE DTECTION ..................................................................................................................... 37
4.1.1
La recherche par signature .................................................................................................................... 37
4.1.2
La recherche gnrique .......................................................................................................................... 37
4.1.3
Le contrle dintgrit ............................................................................................................................ 38
4.1.4
La recherche heuristique ........................................................................................................................ 39
4.1.5
Le monitoring de programmes................................................................................................................ 39
4.2
LRADICATION............................................................................................................................................ 40
5.
LASPECT JURIDIQUE ................................................................................................................................... 41

5.1
5.2
5.3
5.3.1
5.3.2
5.4
5.4.1
LES ACTIONS JURIDIQUES POSSIBLES ............................................................................................................ 41

PRISE EN CHARGE DE LATTAQUE ................................................................................................................. 41
LARSENAL JURIDIQUE EN FRANCE............................................................................................................... 42
La responsabilit civile........................................................................................................................... 42
La responsabilit pnale......................................................................................................................... 43
REGARD SUR LINTERNATIONAL ................................................................................................................... 47
Convention du Conseil de lEurope sur la cybercriminalit .................................................................. 47
II
CLUSIF 2005
5.4.2
Directive europenne 2000/31................................................................................................................ 49
5.5
QUELQUES CONSEILS ................................................................................................................................... 49
6.
LASSURANCE CONTRE LES VIRUS .......................................................................................................... 52

6.1
6.2
6.3
6.4
7.
PRINCIPES DASSURANCE ............................................................................................................................. 52

SOUSCRIPTION DUN CONTRAT ..................................................................................................................... 52
APPEL EN GARANTIE ..................................................................................................................................... 53
EVOLUTION DE LA GARANTIE ....................................................................................................................... 53
CONCLUSION ................................................................................................................................................... 55
III
CLUSIF 2005
1. HISTORIQUE
1940 -1949 - La thorie
Le mathmaticien John Von Neumann dveloppe le principe thorique des automates et des
machines reproductrices. Sa thorie se fonde sur les principes de la machine de Turing o le
concept de machine calculer est tendu celui de machine construire.
1960 - 1980 - Les premiers vers
Dans un but ludique, divers informaticiens dveloppent un nouveau concept de jeu
informatique (Core War). Pour chacun d'entre eux, il s'agit d'crire un programme (qu'ils
appellent organisme ) capable de crer des copies de lui-mme tout en cherchant
liminer les programmes adverses.
Dautres chercheurs mettent au point des programmes de dmonstration et des utilitaires
capables de raliser des tches rptitives sur diverses machines dun mme rseau. Ces
programmes nont rien de malveillant. Certains experts redoutent cependant une mauvaise
utilisation ou un dysfonctionnement. Les prdictions se ralisent, elles marquent la fin des
expriences.
1980 -1988 - La gense des virus
A partir de 1981, quelques exemples de diffusion de codes auto-reproducteurs sont signals
sur APPLE-II. A cette poque, il n'est pas fait mention du terme virus informatique .
Dans le contexte qui nous intresse, celui-ci est utilis pour la premire fois par Fred Cohen
en 1984.
En 1986, les premiers cas d'infections font leur apparition dans le monde PC. Certains
auteurs sont identifis : Basit et Amjad Farooq Alvi pour le virus Brain, Ralf Burger pour
Virdem. Les universits sont en premire ligne avec lapparition de Lehigh Lehigh (USA),
Jrusalem Technion (Isral), Stoned Wellington (Nouvelle-Zlande), Ping-Pong Turin
(Italie).
A cette mme priode, apparaissent les premiers vers spcifiquement malveillants. Le plus
fameux dentre eux atteint Internet le 2 novembre 1988 et porte les initiales de son crateur :
RTM (Robert Tappan Morris). 5% des machines du rseau sont touches, et lincident est
lorigine de la cration des CERT (Computer Emergency Response Team).
1989 -1992 - Les choses srieuses commencent
Alors quapparaissent les premiers anti-virus, aucune rgion du monde n'est pargne par le
phnomne. La propagation se fait principalement par lentremise de disquettes, cest une
propagation lente.
Le printemps 1989 est marqu par l'alerte au virus Datacrime et sa forte rsonance
mdiatique. Aux Pays-Bas, la police prend le problme au srieux, laction de Datacrime est
considre comme un acte criminel. Elle demande un programmeur dcrire un dtecteur
et le met ensuite la disposition du public dans les commissariats contre une somme
minime.
Cette anne l, on recense une cinquantaine de virus. En Bulgarie, un inconnu se faisant
appeler Dark Avenger en imagine de nouveaux. Les procds quil met au point augmentent
la capacit de propagation et la difficult de dtection. Certains de ses outils sont qualifis
CLUSIF 2005
de rvolutionnaires . Ils sont toujours source dinspiration pour de nombreux auteurs de

virus actuels.
La seule recherche d'une signature n'est plus efficace, certains virus, comme la srie des
V2Px de Mark Washburn possdent un algorithme de chiffrement qui rend leur apparence
diffrente sur chacune de leur copie. Ces virus polymorphes rendront la vie difficile
nombre de produits anti-virus. Ils devront mettre au point des outils de dcryptage
gnriques.
En 1991, les grands diteurs, Symantec, McAfee, Docteur Solomon proposent dj leurs
produits. Le nombre de virus passe de 250 1000. Parmi eux, on retiendra les noms de Flip,
Tequila et Maltese Amoeba.
Des serveurs ddis lchange de virus voient le jour dans le monde entier. Le premier
dentre eux est Bulgare, il participera fortement la notorit des auteurs de lEst de
lEurope. Dark Avenger l'utilisera pour diffuser le premier gnrateur de chiffrement qui
permet de rendre polymorphe un virus cr par ailleurs.
On dcouvre en Australie une nouvelle variante de Stoned. Elle est destructrice le 6 mars de
chaque anne, jour anniversaire de la naissance de Michelangelo (1475). Ce virus
provoquera en 1992 le principal vnement mdiatique du domaine.
1992 1995 Gnrateurs et sophistication
Le premier virus ciblant Windows est diffus en septembre 1992. Il nest pas performant
mais tient compte de la structure segmente des fichiers.
Dautres virus se dotent de fonctionnalits de protection contre les logiciels anti-virus (antidebug, greffe sans point d'entre en dbut de programme, contamination lente...). On assiste
la multiplication des groupes d'auteurs de virus, des gnrateurs de virus, gnrateurs de
chiffrement et des sources.
Les virus ne cessent de se complexifier. Natas, One-Half, Tremor et Monkey en sont
quelques exemples.
Ce sont cependant les virus systme qui se propagent le plus en reprsentant 80% des
infections recenses. Les principaux portent les noms de Form, Jumper.B et Antiexe.
1995 1999 - Les virus de macros
Avec WM/Concept, les virus de macros font leur apparition en aot 1995. L'ide n'est pas
nouvelle, mais cette mise en circulation contraint les entreprises rviser leur politique de
scurit. En effet, le virus ne se propage plus exclusivement via un programme excutable
mais aussi par le biais dun fichier bureautique que lon avait tendance considrer comme
un simple fichier de donnes.
Un an plus tard, XM/Laroux est le premier virus oprationnel sous Excel. Toute la suite
Office de Microsoft sera bientt atteinte dans ses diffrentes versions. Malgr quelques
tentatives, les autres plates-formes telles que Lotus AmiPro/WordPro, Corel 7-9 ou Visio 5
ne seront jamais une vritable cible. Les auteurs de virus prfrent sacharner sur le leader
mondial.
En 1996, Boza est le premier virus spcifiquement cr pour Windows 95. Issu du mme
groupe dauteurs, Staog sera le premier virus ciblant Linux.
Les langages de macro font de nombreux adeptes. On compte plus de 1000 macro-virus en
juin 1997. En un an, le nombre total de virus connus passe de 15000 40000.
CLUSIF 2005
Alors quapparaissent en 1998 les premiers virus de script, les virus systme disparaissent et
80% des alertes virales concernent des macro-virus.
Les systmes dexploitation Windows redeviennent petit petit le terrain de prdilection des
auteurs de virus. Toutes les techniques de furtivit et de cryptage qui sappliquaient la
plate-forme DOS sont actualises pour fonctionner aussi bien en environnement 16 bits que
32 bits.
1999 2000 Linvasion des mass-mailers
L'utilisation des disquettes se rarfie. Les changes informatiques par e-mail prennent le
relais. Le premier virus mondialement connu qui exploite la messagerie lectronique
apparat en janvier 1999. Il s'agit de W32/Ska@M. Il ne cible quun destinataire chaque
activation. Il lui faudra plus de 6 mois pour faire son premier tour du monde.
En mars 1999, 2 jours auront suffit W97M/Melissa@MM. Il cible d'un coup 50
destinataires.
Les macro-virus sont toujours d'actualit ; ils laissent cependant de plus en plus la place
des virus utilisant des langages de script (VBScript et JavaScript) ou la programmation en
assembleur 32 bits.
Avec VBS/Loveletter@MM, la vitesse de propagation sacclre encore. S'attaquant
chaque activation l'ensemble des destinataires des divers carnets d'adresses, il ne mit que
quelques heures pour envahir la plante (mai 2000).
Ces nouveaux venus que l'on nomme aujourd'hui des mass-mailers se propagent par
lentremise dune pice jointe. En octobre 1999 JS/Kak@M dmontre quun virus peut sen
affranchir. Au format HTML, une simple prvisualisation suffit infecter la machine.
Au 1er janvier 2000, on recense plus de 56000 virus.
Les quipements nomades, tels que les assistants numriques (PDA, Personal digital
Assistant) et les tlphones portables, offrent de nouvelles plates-formes de recherche. Une
vingtaine de virus ou chevaux de Troie, Proof of Concept (PoC), sont conus pour les
systmes dexploitation des organiseurs de lpoque : PoC correspond la faisabilit
technique mme si, ensuite, le programme malveillant nest pas rpandu. En juin 2000,
VBS/Timofonica@MM nest quun mass-mailer de plus. Il retient cependant lattention du
public, car il est capable denvoyer des messages SMS aux utilisateurs du service de
portable espagnol Telefonica. En aot apparat Liberty, le premier Cheval de Troie ddi
aux assistants Palm. Les systmes dexploitation de ces nouveaux quipements ne sont pas
encore suffisamment sophistiqus mais les auteurs de virus cherchent de nouvelles voies.
Parmi les mass-mailers , les virus programmes (W32) vont petit petit simposer. Les
techniques de dtection gnrique et heuristique sont de plus en plus efficaces face aux virus
de macro et de script. Plus complexes, les virus programmes peuvent mettre en uvre des
processus rendant plus difficile la dtection. Au travers dun mme fichier, ils peuvent
largir leurs techniques de propagation.
Chaque mois, de nouvelles vulnrabilits sont mises jour. Sils ne les dcouvrent euxmme, les auteurs de virus sempressent de les utiliser pour augmenter les capacits de
propagation.
CLUSIF 2005
2001 2002 Le vrai retour des vers

Plus de 80% des virus recenss sont des mass-mailers, ce sont aussi des virus programmes.
La frontire entre auteurs de virus et hackers samenuise. De nombreux virus, tels que
W32/Sircam@MM et W32/Bugbear@MM, transportent des portes drobes et des outils de
collecte dinformation.
En septembre 2001, W32/Nimda@MM est le premier virus pouvant se prvaloir du titre de
virus Internet . Ses multiples modes de propagation lui permettent une propagation
optimale via la messagerie, les serveurs IIS, les partages rseaux et les consultations Web. Il
infecte les serveurs mais galement les stations de travail.
Les virus cherchent utiliser Internet pour se mettre jour. W32/Babylonia@M et
W32/Hybris@MM en sont deux exemples.
W32/CodeRed.A voit le jour en juillet 2001, cest un vritable ver, uniquement en mmoire
dans sa version initiale, il infecte 350.000 machines autour du monde en 24 heures. Cest
beaucoup plus que Loveletter !
2003 2004 - De nouveaux moyens de propagation et de nouveaux objectifs
Le nombre total de virus et autres programmes malveillants dpasse maintenant les 100 000.
Un an et demi aprs CodeRed, le 25 janvier 2003, apparat W32/SQLSlammer.worm. Les
leons apprises nont pas vraiment servi. Le correctif de scurit bloquant la faille utilise
par le virus tait connu depuis juillet 2002, mais de nombreuses machines taient toujours
vulnrables cette attaque. En 10 minutes, 90% des machines vulnrables taient atteintes.
Selon les sources cest entre 75.000 et 350.000 machines qui furent infectes. Le chiffre le
plus lev est sans doute le plus probable.
Les mass-mailers continuent denvahir nos botes aux lettres. Ceux de la famille
W32/Klez@MM sont particulirement persistants.
Lchange de fichiers musicaux et vido est une pratique de plus en plus courante sur le
Net. Divers logiciels gratuits permettent ces changes de fichiers entre les internautes. Le
nombre de virus utilisant comme moyen de propagation cette technologie dchange, dite
poste poste, augmente trs rapidement. On en compte plus de 300 au dbut de 2003 et
plusieurs milliers la fin de cette mme anne. Ciblant plus particulirement le grand
public, cette nouvelle technique de propagation se rajoute aux autres. Associe aux
prcdentes, elle offre un mme virus une meilleure capacit de propagation.
Des liens stablissent entre les auteurs de virus et les autres acteurs lis la criminalit
informatique. Les virus diffusent toutes sortes doutils dattaque qui exploitent au mieux les
ressources de lInternet. La mise en place de serveurs relais parasites permet la diffusion
massive et anonyme de courriers non sollicits. Des robots, programmes malveillants
permettant une prise de contrle distance de machines vulnrables se propagent et forment
des rseaux dattaque cachs (ou botnet). Diverses tentatives de capture de code
confidentiels lis, entre autre, aux activits bancaires sont exprimentes
(W32/Bugbear@MM, W32/Sobig@MM, W32/Mimail@MM). Mme si les rsultats
semblent peu concluants, ils rvlent le changement de cap qui samorce : le virus quitte le
monde ludique pour servir des intrts frauduleux.
En janvier 2004 apparat W32/Mydoom@MM. Se propageant principalement au travers de
la messagerie lectronique, il est aussi capable dinvestir le rseau dchange de fichiers
KaZaA. Depuis cette date bien dautres virus ont suscit le trouble. Les mmoires
CLUSIF 2005
retiendront entre autre les batailles que se livrrent les auteurs de Netsky et Bagle durant le
premier semestre 2004. On notera aussi l'apparition du ver Witty ds le lendemain de la
publication de la faille qu'il utilise. On s'approche ainsi de l'exploitation immdiate des
vulnrabilits publies (zero day attack).
Trs logiquement, les concepteurs de virus PoC sattaquent des modles trs rpandus afin
daugmenter les opportunits de propagation. Le systme dexploitation des tlphones
Nokia devient une cible privilgie. Il existe deux modes opratoires pour la contamination
et la propagation :
-
Sappuyer sur la technologie Bluetooth et solliciter du possesseur du tlphone

linstallation dun logiciel. La dmarche est identique celle qui incitait au doubleclic pour excuter un programme sur un PC. Toutefois, les messages ne sont encore
trs attractifs : Install Kill Saddam , Install CommWarrior , etc.
Utiliser la technologie MMS pour transporter puis faire installer un programme

excutable malveillant.
Rsultat de linfection dun tlphone portable par le virus SymbOS.Skull2
CLUSIF 2005
2. TYPOLOGIE DES INFECTIONS INFORMATIQUES

2.1 Introduction
Les infections informatiques sont des programmes ou des sous-ensembles de programmes
malveillants qui, linsu de lutilisateur, sont destines perturber, modifier ou dtruire tout ou
partie des lments indispensables au fonctionnement normal de lordinateur. On diffrencie les
programmes simples et les programmes auto-reproducteurs.
Lorganisation de lactivit et le bon fonctionnement du systme dinformation peuvent galement
tre perturbs par la diffusion de courriers ou dlments non sollicits tels que :
-
des farces, en anglais jokes : programmes inoffensifs et ddis, le plus souvent,

l'amusement,
des courriers non sollicits, plouriels, en anglais spam : messages caractre commercial
sappuyant ventuellement sur une usurpation dadresse lectronique,
des arnaques financires tel que le scam : messages vous proposant un montage financier
attractif derrire lequel se cache une escroquerie qui sarticule autour dune demande
davance de fonds de la part de la victime,
des rumeurs, en anglais hoaxes : informations malveillantes et non fondes qui sont
diffuses pour inquiter les destinataires ou discrditer une personne ou un organisme,
des lettres chanes : messages sappuyant sur la crdulit des destinataires faisant appel la
pit, la gnrosit et/ou la superstition et proposant ventuellement un enrichissement
personnel,
Nous verrons plus loin que ces attaques ont de nombreux points communs avec certains chevaux de
Troie ou virus.
2.2 Les grandes familles d'infections

2.2.1 Programmes simples
Un programme simple contient une fonctionnalit malveillante (payload) cache qui se dclenche
ou sinitialise lors de son excution. Il n'y a pas propagation. En un seul exemplaire, ce programme
doit tre introduit dans l'ordinateur cibl. Cest souvent lutilisateur lui-mme qui, par manque de
discernement, introduit le programme. Ce processus peut galement tre le travail dun virus.
Laction induite peut avoir un caractre destructif ou simplement perturbateur. Elle peut tre
immdiate ou retarde dans le temps. Dans de nombreux cas, le programme appel sinstalle
linsu de lutilisateur et modifie les paramtres du systme pour ensuite sexcuter chaque
dmarrage de la machine. Il agit alors de manire discrte et continue.
On retrouve dans cette catgorie :
-
les bombes logiques,
CLUSIF 2005
les chevaux de Troie,
les portes drobes,
les outils de capture dinformation,
les outils dattaque rseau,
les outils dappropriation de ressource.
2.2.1.1 Bombe logique
Cest un programme contenant une fonction destructrice cache et gnralement associe un

dclenchement diffr. Cette fonction a t rajoute de faon illicite un programme hte qui
conservera son apparence anodine et son fonctionnement correct jusqu'au moment choisi par le
programmeur malveillant. Elle peut tre conue pour frapper au hasard ou de manire cible.
Exemple de bombe logique cible : un programmeur insre dans le programme de paie de
lentreprise qui lemploie une fonction de destruction dont lexcution est dclenche si son nom
disparat du fichier du personnel.
Exemple de bombe logique aveugle : un programmeur insre dans un logiciel public distribu
gratuitement sur Internet une routine de destruction qui se dclenche chaque 1er avril.
2.2.1.2 Chevaux de Troie et portes drobes (en anglais backdoors)
Ces programmes permettent dobtenir un accs non autoris sur les quipements qui les
contiennent.
On utilise le terme de cheval de Troie lorsquil sagit dune fonction cache et rajoute au sein dun
programme lgitime quelconque. Le terme de porte drobe sapplique tout programme
malveillant spcifiquement ddi cet effet.
Il s'agit en fait de lun des lments dune application client/serveur permettant la prise de contrle
distance dun PC. Deux ordinateurs entrent en jeu. Le premier contient l'lment client, il pilotera
le processus. Le second est la machine cible ; il contient l'lment serveur le cheval de Troie ou la
porte drobe. Il devra tre actif sur la machine pour pouvoir initier la connexion avec le client. Le
pirate interroge le rseau, au travers d'une adresse IP. Si celle-ci est joignable, la connexion
s'effectue.
Une telle prise de contrle distance peut tre lgitime (opration de tlmaintenance) ou non.
Dans le cas d'un acte malveillant, le propritaire de la machine visite a excut son insu
llment serveur ; il ignore que son poste peut tre visit.
Avant 1998, ces programmes ne faisaient gure parler d'eux. Cette anne l, toute une srie d'outils
furtifs de prise de main distance ont t mis disposition sur le Web. Les plus connus furent Back
Orifice et Socket23.
Back Orifice (en rfrence Back Office de Microsoft) fut cr par un groupe de hackers baptis
le culte de la vache morte (The cult of the Dead cow - cDc). Voici les premires lignes d'un texte
qui fut disponible sur leur site :
Back Orifice is a remote administration system which allows a user to control a computer
across a tcpip connection using a simple console or GUI application. On a local LAN or
across the internet, BO gives its user more control of the remote Windows machine than the
person at the keyboard of the remote machine has.
CLUSIF 2005
Avec de tels outils, un pirate est mme de prendre le contrle total de sa cible. A titre d'exemple,
notons qu'il peut :
-
analyser la configuration de la machine et du rseau sy rattachant,
modifier la base de registre,
naviguer dans les rpertoires,
envoyer/recevoir des fichiers,
excuter un programme sur la machine,
rebooter, verrouiller lordinateur,
visualiser laffichage et surveiller les frappes au clavier,
mettre des sons.
2.2.1.3 Outils de capture dinformation
Les techniques de collecte dinformation sont diverses. Il est possible de classifier les outils utiliss
en fonction de linformation recherche.
2.2.1.3.1 Renifleur de clavier et de mots de passe
Un renifleur de clavier (en anglais keylogger) est un programme permettant d'enregistrer les frappes
au clavier. Son rle ne se limite pas lenregistrement dventuels mots de passe. Il peut tre
slectif ou enregistrer lintgralit des informations qui transitent sur le priphrique de saisie. Les
outils spcifiquement ddis la capture de mots de passe prennent souvent la dnomination
anglaise de Password-Stealer (PWS).
La plupart de ces dispositifs sont invisibles. Les frappes clavier sont gnralement crites dans un
fichier temporaire chiffr et envoy automatiquement, par courrier lectronique, l'espion.
Beaucoup de virus actuels diffusent ces diffrents outils. Ils profitent du mode de propagation viral
pour sinstaller plus aisment sur de nombreuses machines qui deviennent ainsi vulnrables ce
type dattaque.
Certains keyloggers sont en vente libre (exemple: Ghost Keylogger ou Keylogger pro).
2.2.1.3.2 Publiciel et espiogiciel
Au fil de la navigation sur le Web, divers programmes sont installs sur lordinateur linsu de
lutilisateur. Ils sont plus communment connus sous leurs terminologies anglaises dadware et de
spyware.
Un adware (Advertising Supported Software) est un logiciel qui permet d'afficher des bannires
publicitaires. La plupart des annonceurs sont juridiquement lgitimes et leur socit commerciale
reconnue. Les programmes ne diffusent pas dinformation vers lextrieur mais permettent la
planification cible de messages daccroche.
Les spywares sont des adwares qui installent sur le poste de l'utilisateur un logiciel espion et
envoient rgulirement et, sans accord pralable, des informations statistiques sur les habitudes de
celui-ci. Certains spywares ne se contentent pas de diffuser de linformation. Ils modifient les
paramtres systme leur avantage pour imposer, lutilisateur qui en est la victime, un certain
CLUSIF 2005
mode de navigation sur le Web. Ces logiciels peuvent aussi capturer vos habitudes en consultation
hors ligne. Ils expdient les rsultats de leur collecte chaque ouverture du navigateur.
Certaines rumeurs font tat dune utilisation de la carte son des fins dcoute. Cette technique est
tout fait envisageable mais aucun cas concret na pu tre tabli.
Pour contrer tout cela, il existe aujourdhui des solutions spcifiques de dtection-radication, mais
les nouvelles versions des logiciels antivirus prennent aussi en compte les spywares. Plus que
jamais, la mise jour de la base de signatures est ncesaire.
2.2.1.4 Outils dattaque rseau
2.2.1.4.1 Attaque en Dni de Service (DoS, Denial of Service)
En terme de serveur et, plus rarement de poste client, une attaque de type DoS est une activit
consistant empcher quelqu'un d'utiliser un service. Pour ce faire, lattaquant utilise un
programme qui cherche rendre le systme cibl indisponible en le faisant se suspendre ou en le
surchargeant.
En terme de rseau, une attaque de type DoS consiste submerger la victime d'un flot de trafic
suprieur sa capacit de traitement. La bande passante est alors sature et le rseau devient
indisponible.
2.2.1.4.2 Attaque en Dni de Service Distribu (DDoS)
Il sagit dune attaque de type DoS qui utilise un grand nombre de machines simultanment.
Ce type d'attaque se droule gnralement en deux temps. L'attaquant tente dabord dinstaller son
outil sur le plus grand nombre de machines possibles. Celui-ci est programm pour se dclencher
soit sur commande (cas des botnets), soit un instant prdfini. Il doit ainsi provoquer une
surcharge bien plus importante que dans le cas dune attaque unique.
2.2.1.5 Outils dappropriation de ressources
2.2.1.5.1 Numroteur furtif
Un numroteur furtif (en anglais dialer) est un programme grant une connexion rseau distance.
Il s'agit souvent de faciliter une liaison vers un site au contenu licite par le biais dun numro
tlphonique surtax. Ces programmes s'installent gnralement de manire silencieuse lors de la
navigation Web.
Dans certains cas, le programme dialer dmarre en mme temps que l'ordinateur sans que
l'utilisateur en ait la connaissance. Il tablit la liaison automatiquement et reste en ligne aussi
longtemps que la session est ouverte. Ils concernent essentiellement les connexions en bas dbit via
la ligne tlphonique, lADSL impliquant un autre mode daccs Internet.
2.2.1.5.2 Relais de spam
Installs sur la machine linsu de son propritaire, ces mini-serveurs permettent lmission du
courrier non-sollicit (spam) vers les victimes de spammeurs. Cette technique leur vite de se faire
eux-mmes dtecter et bloquer directement par leur fournisseur daccs. Cette pratique quivaut
un dtournement de ressources.
CLUSIF 2005
2.2.2 Programmes auto-reproducteurs

La finalit d'un programme auto-reproducteur est identique celle d'un programme simple. Il s'agit
dexploiter, de perturber ou de dtruire.
A sa premire excution, le programme cherche se reproduire. Il sera donc gnralement rsident
en mmoire et, dans un premier temps, discret.
Si elle existe, la fonctionnalit malveillante (payload) s'effectuera dans un dlai plus ou moins court
et sur un critre quelconque prdfini (trigger).
Pour de nombreux virus la perturbation se limite la reproduction et tous les ennuis qu'elle
engendre. Il n'y a pas proprement parler de fonction malveillante (absence de payload).
Les vers et les virus forment eux seuls la famille des programmes auto-reproducteurs, on les
retrouve au premier rang des infections informatiques.
A l'poque du ver RTM (du nom de son auteur: Robert Tappan Morris), la distinction entre ver et
virus est gnralement acquise mme si elle apparat parfois des plus fines :
- Un ver (daprs la dfinition de Peter Denning en 1990) est un programme capable de
fonctionner de manire indpendante. Il se propage de machine en machine au travers des
connexions rseau. Un ver ne modifie aucun programme, il peut cependant transporter avec
lui des portions de code qui pourront, par la suite, effectuer une telle activit (virus par
exemple).
o La terminologie anglaise worm est drive du mot tapeworm imagin par
John Brunner dans une de ses uvres de science-fiction Sur londe de choc .
- Un virus (daprs Fred Cohen en 1984/87) est un programme capable d'infecter d'autres
programmes en les modifiant pour y inclure une copie de lui-mme qui pourra avoir
lgrement volu. Le virus ne peut pas fonctionner d'une manire indpendante.
L'excution du programme hte est ncessaire son activation. Par analogie avec son cousin
biologique, il se multiplie au sein de l'environnement qu'il cible et entrane corruption,
perturbation, et/ou destruction.
Tout code malveillant mme de se propager est souvent considr comme un virus. Selon cette
thorie, les vers ne sont alors quun sous-ensemble dans la famille des virus. Cest le parti pris que
nous prendrons dans la suite de ce document. Notons cependant quil nexiste pas de consensus ce
sujet dans la communaut anti-virale et diverses autres dfinitions circulent.
2.3 Classement par cible

Il existe quatre catgories principales de virus. Elles ont chacune une cible bien prcise :
- Les virus programme, dont le vecteur de contamination principal est constitu par les
excutables,
- Les virus systme, dont le vecteur de contamination est le secteur de partition ou le secteur
de dmarrage (Boot Sector),
- Les virus interprts qui regroupent les virus de macro sur les documents et les virus de
Script utilisant un langage de programmation particulier qui se rapprochent de la
programmation par lot (batch),
10
CLUSIF 2005
- Les vers qui, comme nous lavons vu, sont les infections typique des rseaux.
De nombreux virus cumulent les cibles et renforcent ainsi leur capacit de contamination. Ils
prennent alors les noms de virus multipartites ou multifonction.
Une nouvelle classe de programmes malveillants se dveloppe depuis 2003 : il sagit des robots. Ils
cumulent souvent une fonctionnalit de type ver et une activit dappropriation de ressources,
dattaque rseau et/ou despionnage.
2.3.1 Virus programme
Les virus programme cherchent infecter les excutables binaires compils. Le principe de
fonctionnement est le suivant :
1) le virus est prsent dans un fichier excutable,
2) lorsque celui-ci est excut, le virus choisit et contamine un ou plusieurs autres fichiers,
3) il agit gnralement par ajout entranant une augmentation de taille,
4) sil se maintient rsident en mmoire, il infecte d'autres fichiers l'excution, ou simplement
lors d'une manipulation.
Il existe plusieurs types de programmes, et chacun d'eux peut faire l'objet d'une attaque virale
spcifique :
Programmes DOS. Jusquen 1999, la majorit des virus programmes fonctionnaient sous DOS et
ciblaient les fichiers excutables par ce systme d'exploitation. Dj limite cette poque, la
proportion des infections dues ces virus DOS na cess de diminuer pour tre presque inexistante
aujourdhui. Les plus courants dentre eux taient rsidents en mmoire et utilisaient la technologie
par ajout. Ils taient souvent furtifs, crypts et polymorphes.
Application Windows 16 bits. Ces programmes sont aussi appels New Executable (NE EXE).
On les rencontre dans les environnements Windows 3.x. Une trentaine de virus ciblant cette plateforme ont t recenss. Leur diffusion a t quasi nulle.
Application Windows 32 bits. Ces programmes sont aussi appels Portable Executable (PE
EXE). Les fichiers VxD sont appels Linear Executable (LE). On les rencontre dans les
environnements Windows actuels. En forte expansion, certains utilisent des fonctions non
documentes du noyau de Windows et tout comme leurs prdcesseurs, ils peuvent prsenter des
caractristiques de furtivit, et de polymorphisme. Ils pourront tre - ou non - rsidents en mmoire.
A lorigine, des CD-ROM de jeu furent le principal vecteur de leur diffusion. Cette nouvelle
technique reprsentant un nouveau challenge pour les auteurs de virus, de nombreux sites
Internet les proposaient au tlchargement grand renfort de publicit.
Aujourdhui, leur diffusion se fait par la messagerie lectronique, les disques partags et les
changes de fichiers sur le modle poste poste . Linfection locale des fichiers sur le poste de
travail nest quune fonctionnalit complmentaire aidant la propagation du virus au travers du
rseau.
Pour tre complet, il nous faut citer les applicatifs OS/2 (NE New Executables - LX) et Linux
(ELF Internal Format). Quelques virus existent galement dans ces domaines.
11
CLUSIF 2005
2.3.2 Virus systme

Pralablement l'apparition des macro-virus, les virus systmes taient -de loin- les plus rpandus.
Ils infectent les zones systmes des disques durs ou des disquettes :
-
secteur de partitions (MBR, Master Boot Record) pour les disques durs,
secteur damorce (Boot, Dos Boot Record) pour les disques durs et les disquettes.
Pour sapproprier lun de ces 2 secteurs, le virus peut tre introduit via un programme spcifique
(dropper ou virus multipartite). Les auteurs ont cependant immdiatement compris quil tait
beaucoup plus simple de concevoir un virus directement sous la forme dun secteur de dmarrage
de disquette. Le principe de fonctionnement adopt est le suivant :
1) le virus est prsent dans le secteur de dmarrage dune disquette,
2) il contamine le PC lorsque le BIOS excute le code,
3) il dplace ou crase le code original du BOOT ou du MBR du disque dur,
4) il remplace ce code par lui-mme,
5) il sauvegarde ventuellement le code excdent (code complmentaire du virus) dans
dautres secteurs, libres ou occups,
6) ds lors et chaque nouveau dmarrage, il sera rsident en mmoire et capable dinfecter
dautres disquettes sur un simple accs.
Exemples dinfection du MBR : Jumper.B, Antiexe.
Exemple dinfection du BOOT : Form.
2.3.3 Virus multipartites
Un virus multipartite cherche infecter les zones systmes des disques durs ou des disquettes et les
fichiers excutables. Selon des critres propres chaque virus, lune ou lautre des techniques
dinfection est mise en uvre un instant donn. Le but recherch est une plus grande propagation.
De tels virus infectent, par exemple, le secteur de partition du systme puis, une fois rsidant en
mmoire vive, infectent les fichiers excutables situs sur des units logiques.
Exemples : Tequila, One-Half.
2.3.4 Virus interprts
2.3.4.1 Virus de macro
Les virus interprts regroupent principalement les virus de macro et les virus de script. Du fait de
la sophistication des outils de bureautique actuels, tout fichier de donnes doit tre considr
comme potentiellement dangereux. Mme si aujourdhui de nombreux standards de fichier
nacceptent pas lencapsulation de routines automatisables (macros ou scripts), cette technique tend
se dvelopper. Un type de fichier aujourdhui inoffensif pourra ainsi rapidement devenir
dangereux.
Jusqu larrive de WM/Concept en 1995, le grand public tait persuad quun virus, considr
juste titre comme un programme, ne pouvait tre vhicul et introduit dans un ordinateur quavec
12
CLUSIF 2005
laide ventuelle dun autre programme. En clair, seuls les fichiers excutables ou les zones
systmes des disquettes pouvaient, aprs infection, propager leur tour le virus. A contrario, les
fichiers ne contenant que des donnes taient sans danger.
La sophistication des outils bureautiques avec lapparition des langages de macro a boulevers la
donne. Sans toujours en imaginer les consquences, les fichiers de donnes contenant textes ou
feuilles de calcul se sont trouvs enrichis de routines automatisables et programmables. Par l
mme, ils devenaient un nouveau terrain de jeu pour les auteurs de virus.
Lorsque apparat le virus Concept , de nombreuses sources annoncrent que les chercheurs antivirus lavaient depuis longtemps envisag. Certains en souponnaient mme lexistence en Europe
ds le milieu de lanne 1988. Un article fut publi ce sujet en aot 1989, dans la revue
Computers & Security .
Ciblant Word 6 de Microsoft, WM/Concept (WinWord.Concept) fut cependant, en Aot 1995, le
premier macro-virus in-the-wild (dans la nature). Deux ans aprs (aot 1997), on en comptait
plus de 1300.
Se propageant rapidement, les virus de macro ont vite retenu lattention. Avant leur apparition
(1994), les virus systme reprsentaient environ 80 % des cas de contaminations signals, et moins
dune dizaine de virus reprsentait galement environ 60 % des cas signals. Ces statistiques ont t
bouleverses en quelques mois. Ainsi, les virus WM/Concept, WM/Npad, WM/Mdma, WM/Wazzu et
leurs variantes reprsentrent en 1998 la majorit des infections recenses.
Deux ans aprs, la trs grande majorit des virus de macro infectait les diffrentes versions du
traitement de texte MS-Word et du tableur MS-Excel (depuis les versions Office-95, jusqu' celles
incluses dans le pack Office-2000). Des virus existaient cependant sous MS-Access et MSPowerPoint. Pour mieux atteindre ces cibles qui ne faisaient pas l'objet d'changes incessants entre
utilisateurs, le concept de multiapplications fut remis la mode.
Potentiellement, tout programme utilisant des macro-commandes ou un macro-langage peut faire
lobjet dune attaque par un virus cr pour cet environnement. On a ainsi dtect quelques virus
contaminant les plates-formes Lotus AmiPro/WordPro, Lotus 1-2-3, Corel 7-9 et Visio 5.
Aprs avoir t rudimentaires, les modes de reproduction des virus de macro se sont sophistiqus.
Ils firent appel d'autres langages de programmation de haut niveau et non plus seulement au
langage machine assembleur . Le but de cet artifice fut souvent l'activation d'une fonction
malveillante (payload) ou le contournement d'une scurit. VBScript est un parfait exemple de ces
techniques. Il permet la cration de script FTP (W97M/GROOV) ou encore une interaction avec
des outils de messagerie (W97M/COLDAPE.A). Les techniques de chiffrement et de polymorphie
devinrent de plus en plus courantes.
13
CLUSIF 2005
Plus besoin de connatre l'assembleur ! Une telle simplicit se traduisit, l'poque, par l'apparition
de plusieurs dizaines de virus de macro par mois.
Considrant que la grande majorit des virus de macro en circulation infecte Microsoft Word, une
sage prcaution consiste mettre en lecture seule le fichier NORMAL.DOT et en conserver un
exemplaire sain. Selon le virus prsent, la procdure de restauration s'en trouvera facilite.
Les variations autour du concept de virus de macro sont nombreuses. Les modifications peuvent
porter sur l'environnement : menus, barres d'outils, raccourcis clavier, boutons. Les effets de la
charge virale peuvent tre similaires ceux des virus d'excutables : modification d'environnement,
modification de contenu, effacement de fichiers, etc.
Exemples : WM/Concept, W97M/Class, X97M/Laroux, O97M/Tristate, W97M/Melissa@MM.
2.3.4.2 Virus de script
Un langage de script est un langage de programmation spcialis destin contrler

l'environnement d'un logiciel. Interprt, il peut donc tre excut sur toute machine disposant de
l'interprteur appropri. Deux des plus utilises sont VBScript et JavaScript.
Pour s'excuter correctement, les fichiers de scripts font appel Windows Scripting Host (WSH).
Absent d'une configuration standard Windows 95 ou Windows NT4, ce logiciel est aujourdhui
install par dfaut avec les versions actuelles de Windows.
2.3.4.2.1 VBScript
VBScript a t cr partir de VBA et de Visual Basic. Il repose sur du code source en clair et non
sur du code compil tel que celui des applets. Tout un chacun peut donc voir et modifier le code des
scripts qu'il rencontre.
VBScript doit tre aussi considr comme un langage autonome. Il dtrne les fichiers de
traitement par lots composs d'une srie de commande DOS (fichiers batch).
Les premiers virus purement VBScript datent d'octobre 1998. En raison de leurs capacits de
propagation hors du commun, l'un des alias donn au premier n de la famille fut "rabbit"
(traduction, lapin). Leur nombre a ensuite augment paralllement la gnralisation de ce nouveau
langage.
14
CLUSIF 2005
Leur apoge fut atteinte en 2000 en utilisant la messagerie lectronique comme vecteur de
propagation. Les prcurseurs apparurent en juillet 1999. Il s'agissait de VBS/Freelink@MM,
VBS/Monopoly@MM et VBS/Triplesix@MM.
2.3.4.2.2 Java
JAVA est un langage cr par Sun Microsystems. Il est comparable au C++ et orient objet. Il est
indpendant de toute plate-forme. Son excution ne ncessite que la prsence du processeur virtuel
Java Virtual Machine . Java permet de raliser deux types de programmes : des applets et des
applications. Alors qu'un applet n'est qu'une forme hybride de programme incorpor un document
HTML, Java permet aussi la ralisation d'applications intgres compltes et autonomes qui
peuvent avoir le contrle total du systme.
Le virus JV/Strange Brew est apparu en Aot 1998. Il sagit du premier virus natif Java. Il est
capable dinfecter aussi bien les applets que les applications.
Cependant ses capacits dinfection sont limites, un applet infect ninfectera pas un autre applet
ni une application. Linfection et la propagation ne peuvent avoir lieu au travers du Web. Il ne peut
se propager que depuis une application locale infecte en utilisant JAVA.EXE (kit JDK Java
Developpers Kit) ou lun de ses quivalents.
JV/Strange Brew est parfois considr comme tant le premier virus vritablement multi platesformes car il est capable de svir sur nimporte quel environnement excutant une machine virtuelle
Java : depuis les PC Windows jusquaux serveurs Unix et aux super calculateurs Cray.
2.3.4.2.3 JavaScript
JavaScript n'est PAS Java ! En effet, si Java est un langage compil, JavaScript, dvelopp par la
socit Netscape, est interprt. Le code est inclus soit dans une page HTML, soit dans un fichier
l'extension standard .js .
Du point de vue viral, notez bien la distinction faite au niveau du prfixe (JV pour Java, JS pour
JavaScript). A titre d'exemple, JS/TheFly@MM est un ver JavaScript. Il est contenu dans un fichier
attach the_fly.chm (Compiled HTML Help File).
En novembre 1998, certains parlrent de virus HTML. Il s'agissait en fait de code VBScript capable
de se propager via des fichiers HTML sur une machine locale.
Exemple : JS/Kak@M.
2.3.4.2.4 Traitement par lot
Bien avant lapparition des langages interprts modernes, certains auteurs se sont appliqus crer
des virus utilisant les commandes DOS au sein de fichiers batch (extension .bat). Mme sils sont
peu courants, certains dentre eux sont trs sophistiqus et peuvent tre rsidents en mmoire.
Exemple : BatMan.
2.3.5 Les vers
Il est possible de sparer les vers en deux grands groupes selon quils utilisent les rseaux locaux ou
quils sappuient sur Internet. A ces deux groupes, et de par la dfinition des vers, il faut rajouter
cette famille les vers de disquettes qui ne font que se recopier de rpertoires en rpertoires en
passant par le lecteur A:
15
CLUSIF 2005
2.3.5.1 Vers de rseaux locaux
Il est facile de franchir le pas entre disques locaux (physiques ou logiques) et disques rseaux et la
technique des vers de disquettes sest trs vite tendue lensemble des disques partags ou
partageables. Linfection se droule gnralement de la manire suivante :
1) Recherche de disques accessibles .
2) Affectation de noms de lecteurs (mapping).
3) Copie du ver.
4) Excution.
Dans de nombreux cas lexcution est diffre. Le ver cherche par exemple se recopier dans un
rpertoire de dmarrage et attend son heure. De ce point de vue, VBS/Netlog dcouvert en fvrier
2002 en est un intressant exemple.
2.3.5.2 Vers de messagerie (mass-mailers)
On retrouve dans cette famille, des virus programme, des macro-virus et des virus de Script. Le
point commun est l'utilisation de la messagerie lectronique comme moyen privilgi de
propagation.
La notion de mass-mailer apparat en 1999 avec W97M/Melissa@MM. Dans une courte priode
de temps, les virus de ce type qui apparaissent expdient un nombre impressionnant de mails. Il a
fallu plus de six mois W32/Ska.A@M pour faire le tour du monde, Melissa n'a mis que deux
jours ; quelques heures suffirent VBS/LoveLetter.A@MM (virus de script).
Pour ces nouveaux venus, il fallait un signe de reconnaissance qui alerte le public. Sous l'impulsion
de Vesselin Bontchev et de Franois Paget, le CARO (Computer Anti-virus Research Organization)
adopta l'utilisation du suffixe @MM puis celui du suffixe @M :
A) Le suffixe @M est ddi aux virus/vers qui possdent un processus oprationnel de
propagation par messagerie et qui ciblent une seule bote aux lettres chacune de leur
activation.
B) Le suffixe @MM est ddi aux virus/vers qui possdent un processus oprationnel de
propagation par messagerie et qui ciblent plusieurs botes aux lettres chacune de leur
activation.
Mme si pour d'obscures raisons le caractre - remplace @ , compter de septembre 2000, la
WildList1 utilise ce standard.
2.3.5.3 Vers de lInternet
Crs grce une parfaite connaissance de lenvironnement rseau et lutilisation de nouvelles

failles de scurit, ces nouveaux venus sont rpertoris parmi les plus dangereux. Lattaque touche
ici les serveurs et non plus les stations de travail.
Tout dbute par lexploitation dune vulnrabilit. Celle-ci est gnralement connue, mais comme
les correctifs nont pas t appliqus sur de nombreuses machines, le nombre des serveurs
vulnrables est suffisant pour une forte propagation.
1
Organisme international qui a pour but de recenser l'ensemble des virus dans la nature (In-The-Wild) au niveau
mondial. La collecte seffectue grce de nombreux chercheurs rpartis sur les cinq continents. Les statistiques sont
mensuelles. Site internet : http://www.wildlist.org/
16
CLUSIF 2005
Avec W32/Codered.A.worm il sagit dun problme de dpassement de capacit de la mmoire

tampon pour lequel Microsoft proposa un correctif intitul MS01-033 . Il en est de mme avec
W32/SQLSlammer.worm, le patch de scurit MS02-039 tait connu depuis juillet 2002.
Aucun code viral nest crit sur le disque dur. La propagation se fait exclusivement en mmoire
vive et sa rapidit en est le point fort :
- W32/CodeRed.A.worm transmettait des paquets TCP-SYN : sa propagation tait limite par
le temps de latence ncessaire avant que narrivent les rponses de la cible.
- W32/SQLSlammer.worm ne transmet quun seul paquet UDP sans rien attendre en retour.
Cest la bande passante disponible qui limite sa vitesse de propagation.
2.3.5.4 Vers poste poste
Illgal lorsque non libres de droits, l'change de fichiers musicaux et vido est une pratique de plus
en plus courante sur le Web. Plusieurs logiciels gratuits permettent ces changes de fichiers entre
les internautes.
Depuis mai 2002 de nombreux virus utilisent les rseaux poste poste (P2P - PEER TO PEER)
d'changes de fichiers. Le virus se copie gnralement dans lun des rpertoires systme de
Windows, modifie la base de registre pour pouvoir sexcuter chaque dmarrage et place de
nombreuses autres copies de lui-mme dans le dossier de tlchargement utilis par le logiciel
dchange. Afin d'attirer lattention, les noms retenus correspondaient des titres de chansons, de
films des jeux informatiques ou des fichiers caractre sexuel.
Aujourdhui, plusieurs centaines de vers ciblant KaZaA et/ou Morpheus sont connus.
Exemple : W32/Benjamin.worm, W32/Kazmor.worm.
2.3.5.5 Vers mIRC
Une de ces premires formes d'attaque est apparue en dcembre 1997 sur Internet, et notamment sur
IRC ( INTERNET RELAY CHAT ). L'une des plus connues, cible le fichier de configuration SCRIPT.INI
du logiciel mIRC (prononciation murk ).
Par dfaut, ce fichier se situe dans le rpertoire ddi au tlchargement. De plus, un excutable
list dans ce fichier s'excutera lors de la fermeture du logiciel.
Dans les versions mIRC infrieures V5.3, il est alors possible d'craser discrtement le fichier
SCRIPT.INI original par une version infecte. Une fois cette manipulation faite, lorsque l'utilisateur
rejoint le canal de discussion, il envoie son tour le virus toute personne qui rejoint ce mme
canal.
Tout comme les SCRIPT.INI, les nombreuses variantes de
Send en infectant entre autres MIRC.INI.
DMSETUP.EXE
se propagent par DCC
De trs nombreux mass-mailers possdent galement une fonction vers mIRC

2.3.5.6 Autres vers
Le ver UNIX/Admw0rm est apparu en Russie en mars 1998. Il est capable de se propager d'un
environnement Linux un autre en utilisant une faille des serveurs BIND (Berkeley Internet Name
Domain). Dans son environnement original et sa version actuelle, ce ver contient diverses
limitations. Une adaptation un environnement de type INTEL n'est cependant pas carter.
17
CLUSIF 2005
2.3.6 Les robots

Lanne 2003 a t celle de la naissance des robots. Parmi les plus connus, citons les familles
Gaobot, Spybot et Randex. Pour simplanter, ils utilisent des mthodes classiques : sils ne sont pas
eux mme autoreproducteurs, ils sinstallent sur les machines non protges quils rencontrent par
le biais du courrier lectronique (spam) ou dune vulnrabilit exploite loccasion dune visite
sur un site Internet qui les diffuse.
Ce sont souvent des vers propagation lente. Chaque variante est cre dans un but prcis. La
diffusion se limite parfois une entreprise ce qui rend la dtection parfois difficile. Une fois sur la
machine, le robot attend des ordres venant dun serveur distant. Il peut alors capturer de
linformation, participer des attaques groupes (DDoS) et servir de relais de spamming, de
phishing et dmission de mails infects.
Leur dure de vie est courte, cest leur nombre qui fait leur force. Ils sont crs, distribus afin de
crer un rseau de robots (botnet) et rapidement utiliss. Ils attendent dtre sollicits par leur
concepteur ou par ceux qui louent leurs services. Certains outils commerciaux douteux sen servent
comme intermdiaires.
2.4 Fonctionnalits
2.4.1 Modes d'infection
Les diffrentes techniques dcrites ci-dessous sappliquent principalement aux virus programmes.
Certaines dentre elles sappliquent nanmoins aux virus interprts. Il existe en effet des virus
par recouvrement et par ajout parmi les macro-virus et les virus de script.
2.4.1.1 Recouvrement
Un virus par recouvrement se contente dcraser partiellement ou en totalit le programme quil

infecte. En consquence, il le dtruit au moins partiellement et rend son radication impossible.
Dans certains cas, la taille du programme infect nest pas modifie ; dans les cas contraires, celleci sajuste la taille du code viral et devient identique pour tout fichier infect.
La destruction, mme partielle, du code originel fait que celui-ci ne peut plus fonctionner
correctement. Ces virus ne sont gnralement pas rsident en mmoire. Ne ralisant plus la fonction
souhaite, lutilisateur les dtecte rapidement. Les virus agissant par recouvrement ne russissent
jamais se dissminer largement.
Exemple : BadGuy, W32/HLL.ow.Jetto, LINUX/Radix.ow, VBS/Entice.ow.
18
CLUSIF 2005
Le virus crase une partie du code du programme hte

2.4.1.2 Ajout
Un virus par ajout modifie un programme sans le dtruire. Ayant altr le point d'entre, le virus
sexcute chaque fois que le programme est lanc, puis lui rend la main . Celui-ci fonctionne
alors de faon normale. La force dun virus par ajout est que le programme infect semble
fonctionner correctement ce qui peut retarder la dtection du virus. La faiblesse dun virus par ajout
est que la taille du programme est augmente de la taille du virus, ce qui rend un reprage fond sur
la variation de la taille des programmes possible.
Exemples: Cascade, Jrusalem, W95/Anxiety, W32/Chiton, VBS/Daydream.
Le virus greffe son code sur le programme hte

2.4.1.3 Cavit
Connaissant la structure spcifique du type des programmes contaminer, le virus modifie le point
d'entre du programme et insre tout ou partie de son code dans diffrentes zones non utilises. Le
fichier COMMAND.COM fut longtemps la cible privilgie de ce genre de virus ; dans ce cas, le code viral
pouvait se situer entre le bloc de code, le bloc des donnes, le bloc de pile stack . Cette technique
est maintenant rgulirement rencontre dans les environnements Windows.
Exemple : W95/Caw.
19
CLUSIF 2005
Le virus morcelle son code en modules insrs dans les espaces inoccups du programme hte
2.4.1.4 Point d'entre obscur
Avant infection, l'analyse du programme cible permet un positionnement du point d'entre du code
viral en un lieu variable au sein du fichier. Le point dentre du programme et les instructions qui
sy situent sont inchangs. Lorsque cette technique est associe une infection par cavit et un
codage polymorphique, la dtection devient trs problmatique. Cette technique est maintenant
rgulirement rencontre dans les environnements Windows. Elle est trs pnalisante pour les antivirus qui doivent parfois largir fortement leur zone de recherche.
Exemple : W95/Orez.
Le virus place son point d'entre dans un endroit variable du programme hte
2.4.1.5 Par virus compagnon
Il existe une prsance d'excution pour les fichiers excutables : les .BAT, puis les .COM, puis les
.EXE. Le virus compagnon va donc crer de toute pice un fichier du mme nom que le programme
choisi pour cible mais avec une extension diffrente. Si, lors de son appel excution, le nom seul
est utilis (ce qui est gnralement le cas), ce sera le code viral qui sexcutera en premier. Il
donnera ensuite la main au programme original pour ne pas risquer dalerter lutilisateur.
Pour durcir son ventuelle dtection, certains virus placent leur code dans un autre rpertoire,
prioritaire au sein de la variable systme PATH.
Exemple : BAT/bx.cmp, W95/Spawn.cmp.
20
CLUSIF 2005
Le programme hte est inchang, un programme de mme nom est ajout sur le disque
2.4.1.6 Par virus dlocalis
Le virus exploite le principe de fonctionnement de la table d'allocation des fichiers pour faire
pointer tous les fichiers excutables contamins vers le groupe (ou cluster ) contenant le code du
virus. Une fois le code excut, celui-ci rend la main au programme initial.
Ces virus sont peu nombreux mais peuvent savrer dangereux pour lintgrit des supports quils
infectent. En effet, les utilitaires testant lintgrit dun disque dcouvriront des anomalies (fichiers
croiss) et se proposeront de les corriger en entranant des destructions irrmdiables.
Exemple : Dir-II.
2.4.2 Gchette de dclenchement
De nombreux virus nont aucun module de dclenchement. Ils ne font que se propager en induisant
des perturbations que daucuns pourraient considrer trop rapidement comme mineures. Dautres
mettent immdiatement en uvre une fonctionnalit perturbatrice ou destructrice. Il serait trs
dangereux de considrer les seules phmrides comme moment de dclenchement de la charge
virale. Il existe une grande varit de gchettes, voire la combinaison de plusieurs ou un
dclenchement alatoire !
-
date (anniversaire, mensuelle, hebdomadaire),
heure,
comptage (nime duplication),
dlai coul depuis linfection initiale sur le systme,
prsence dun matriel ou dun logiciel,
combinaison de touches frappes au clavier.
21
CLUSIF 2005
2.4.3 Charge virale

Lpoque des animations graphiques et des actions de reformatage rudimentaire est rvolue. On
observe aujourd'hui des effacements de fichiers cibls et des dsactivations sournoises de logiciels
de scurit (anti-virus non jour, firewall).
Lutilisation du virus pour linstallation de portes drobes, latteinte la confidentialit des
donnes et la collecte de mots de passe sont de nos jours de pratique courante. Les auteurs de virus
se rapprochent des pirates informatiques isols ou organiss.
Remarquons tout de suite qu'il n'existe pas aujourd'hui de virus inoffensif. De par son caractre non
dsir, le virus cote de l'argent pour sa dsinfection (achat et mise en exploitation de logiciels de
scurit, temps-homme en sensibilisation et intervention). De plus, il y a toujours le risque d'un suraccident lorsqu'une dsinfection est effectue sans les comptences requises ; ou encore de gnrer
un dysfonctionnement en fonction dune spcificit des applications ou des quipements installs.
Un virus systme anodin conu pour un environnement FAT/DOS peut savrer minemment
destructeur sous NTFS ou Linux.
2.4.4 Fonctionnalits supplmentaires
Les fonctionnalits dcrites dans ce paragraphe sont gnralement mises en uvre pour tenter de
contrecarrer laction des logiciels anti-virus.
Ainsi, un virus polymorphe rend plus dlicat l'emploi d'un logiciel de dtection par signature. Un
virus utilisant la technique du point dentre obscur risquera de passer au travers d'un contrle
seulement effectu sur le dbut et la fin du programme surveill. Un virus dfensif dsactivera un
anti-virus actif en mmoire vive et non jour.
Fort heureusement, il existe toujours des solutions.
2.4.4.1 Anti-debug
Qualificatif appliqu aux virus utilisant des sries dinstructions ou algorithmes rendant impossible
un dsassemblage via les outils ddis cet effet. Le chercheur devra neutraliser ces fonctions avant
de pouvoir entreprendre sa recherche.
2.4.4.2 Crypt
Le terme crypt est historiquement utilis de manire impropre en lieu et place du terme chiffr.
Dans tout ce document, nous avons pris le parti de ne pas droger cette habitude. Un tel virus se
dcompose donc en 2 parties : un programme de dcryptage et une suite d'instructions cryptes qui
forment le corps du virus. L'algorithme utilis est stable mais peut rendre le dsassemblage plus
dlicat.
2.4.4.3 Dfensif
Qualificatif sappliquant aux virus ayant des fonctions de protection, voire d'attaque, contre les
logiciels anti-virus non jour au moment de leur apparition.
2.4.4.4 Furtif
Qualificatif sappliquant aux virus camouflant leur prsence en renvoyant chaque requte du
systme dexploitation une information errone mais conforme celle qui serait retourne dans un
environnement sain.
2.4.4.5 Gnrateur de chiffrement
22
CLUSIF 2005
Programme permettant de rajouter une fonction de cryptage, plus ou moins volue, au sein d'un
virus ne possdant pas cette fonction. Il existe aujourd'hui de nombreux programmes de la sorte.
Mme sil est considr comme simpliste aujourdhui, le plus mdiatique dentre eux fut crit par
Dark Avenger en 1991.
MuTation Engine <tm>
Version 0.90 (17-08-91)
(C) 1991 CrazySoft, Inc. written by Mad Maniac.
1.
License
You are free to include this Engine in viruses. Using it in another ways is
prohibited. You are free to give it to people that will only use it in this way.
MuTaion engine is free.
2.
How it works
Please read the whole document before trying to do something with the Engine.
If you have never written a virus in Assembler, DONT start with the Engine.
First do this, then return back to the Engine.
MuTation Engine is an object module that could be linked to any virus.It has been
written in Assembler and assembled under Turbo Assembler 2.5. We recommend that you
use this assembler to compile the viruses that will carry the Engine.
Linking it to an object file produced by other assemblers, or high-level languages
compilers is theoretically possible, but we never tried and do not recommend it.
We decided NOT to give up the Engines source code at this time.
The Engine will encrypt your code each time with a different encryption key. It
will also generate a routine to decrypt it, which will also differ each time. Both
the decryption routine and the encrypted code will have variable lengths.
Thus your virus will be hardly detectable.
believe this is not too big.
The Engines code is about 2KB; we
8. Final Notes
Well, thats for now.
No time for more. Look at the demo virus and other sample
files included here to get an idea how can you use it. After you include it in your
virus, please check carefully if the Engine does what you expect it to do. Feel
free to experiment with it. If you have problems using it, or have any comments or
suggestions about it, write a message to Dark Avenger at the:
Virus eXchange BBS in Sofia
Phone number: (+359)-2-??-????
Working hours: 20:00 - 06:00 GMT (in the winter)
19:00 - 05:00 GMT (in the summer)
The latest release of the Engine should also be available at that BBS.
Pass the Engine (all files together in an archive) to virus programmers only.
Greetings to all virus programmers
CrazySoft, Inc.
Bulgaria
Extrait de la documentation du Mutation Engine

2.4.4.6 Gnrateur de virus
Programme permettant la fabrication de virus sans avoir de connaissances particulires. Ces

applicatifs sont souvent conviviaux (souris et menus droulants). Ils ne reprsentent pas une
vritable menace, car une signature du gnrateur est gnralement dcelable sur chaque infection
cre. Il existe aujourd'hui de nombreux gnrateurs.
23
CLUSIF 2005
Genvirus
2.4.4.7 Infecteur rapide (fast infector)
Virus qui n'attend pas l'excution d'un programme pour le contaminer. En mmoire, une simple
opration d'ouverture d'un fichier sain (exemple de la commande DIR) suffit pour qu'il puisse tre
infect.
2.4.4.8 Polymorphe
Qualificatif appliqu aux virus changeant leurs instructions ou simplement leur ordre chaque
infection. Il correspond en fait un virus crypt ayant intgr dans son programme de dcryptage
un algorithme de mutation. Il devient ainsi difficile de dtecter le virus par une chane d'octets sans
avoir pralablement dcrypt son code.
2.4.5 Principes d'identification
Malgr les efforts du CARO (Computer Antivirus Research organization), il n'existe pas
aujourd'hui dorganisme centralisateur unique pour l'identification de nouveaux virus. Le chercheur
qui dtecte une infection essaye de trouver un nom significatif, sans toujours suivre des rgles
prcises.
2.4.5.1 Les diffrents critres
On utilise couramment la taille en octets (4096), un extrait du message qui apparat soit l'cran
(Stoned), soit dans le corps du virus (Tequila), un nom rappelant l'effet principal du virus (Disk
Killer) ou encore un numro associ un nom lorsqu'il existe de nombreuses variantes (V2P6).
Cette anarchie est parfois source de confusion lorsque deux diteurs anti-virus appellent
diffremment un mme virus (Jerusalem = Israelian = PLO = Friday the 13th), ou lorsqu'un mme
virus est appel diffremment d'une version l'autre d'un mme produit anti-virus.
2.4.5.2 Essai de normalisation du CARO
Le CARO est une association internationale informelle regroupant un certain nombre de chercheurs
anti-virus. Cest un lieu dchanges privs entre spcialistes. Lun de ses rles est lunification des
noms des virus ; il permet aussi aux spcialistes des changes rapides et scuriss. Il na aucune
ouverture vers le public et les mdias.
Le CARO a dit en 1991 un document explicitant cette normalisation dans le choix et la forme du
nom des virus. Ce document a t remis jour en 1993 (il est disponible sur demande auprs du
CLUSIF). En 1996, le CARO, et plus particulirement Vesselin Bontchev, proposrent la
normalisation du nom des macros virus. C'est cette rgle qui est gnralement utilise par la
profession.
24
CLUSIF 2005
Le dernier document public du CARO fut tabli avant l'apparition des macro-virus, des virus de
Script, des vers, etc. Certains membres de cette association militent aujourd'hui pour sa mise jour
qui interviendra peut-tre en 2005.
2.5 Les autres environnements

2.5.1 Virus sur Macintosh
Il existe moins d'une centaine de virus sous l'environnement Macintosh. Les virus du monde
Windows sont sans effet sous cet environnement l'exception de certains virus de macro.
Les raisons gnralement invoques pour expliquer ce faible nombre sont :
-
La scurisation de l'installation des applications sur OS X,
Un dveloppement en open source,
Un intrt moindre pour les auteurs de virus par rapport au nombre beaucoup plus important
de machines installes sous Windows.
On notera que les systmes dexploitation Macintosh font plus lobjet dattaques de type cheval de
Troie ou exploitation dune faille de scurit au niveau systme dexploitation ou au niveau
applicatif.
Parmi les virus Macintosh, on peut citer : MacMag, nVIR, Hpat et Init29.
2.5.2 Linux et les systmes dexploitation Unix
La grande nouveaut offerte par le systme Linux ft la stabilit du systme dexploitation.
Toutefois, il nest pas intrinsquement scuris et encore moins de manire permanente. De
nombreuses failles, parfois critiques, sont rendues publiques mais lenvironnement du logiciel libre
permet une grande ractivit au niveau mondial dans la mise disposition de correctifs de scurit.
Le mythe qui consiste dire quUnix est insensible aux virus persiste toujours. Signalons tout
dabord que les virus systme ddis au DOS peuvent tout fait affecter une machine fonctionnant
sous Unix. Il ny aura pas propagation mais activation ventuelle de la charge virale (si elle existe)
ou corruption du processus de dmarrage.
Les projecteurs sont souvent braqus sur Linux, quelques virus existent cependant dans les
environnements BSD et SunOS. Les virus possdant dans leur intitul le prfixe Unix sont multi
plates-formes.
Les virus Unix existent depuis longtemps. Le premier dentre eux date de 1997 et se nomme
Linux/Bliss. Dans un premier temps ils furent simples et non-rsidents en mmoire. Ils sont
maintenant aussi performants que les virus 32bits Windows. Ils mettent en uvre des techniques
pointues de polymorphie et utilisent, pour certains, la technique du point dentre obscur qui rend
leur dtection plus difficile que par le pass.
En juin 2002, exploitant sans imperfection ces dernires techniques, apparat {W32, Linux}/Etap.D.
Cette notation indique que ce virus, premier du genre, est mme dinfecter aussi bien les machines
Windows que les machines Linux. Egalement connu sous le nom de {Win32, Linux}/Simile.D, il
vrifie, sa premire excution, la date du jour. Sil sagit du 17 mars ou du 17 septembre (sous
25
CLUSIF 2005
Windows) ou du 17 mars ou du 17 mai (sous Linux), il affiche une bote de dialogue prcisant son
crateur : un certain Mental Driller, du groupe 29A (concepteurs de virus).
2.6 Les autres lments perturbateurs

2.6.1 Farces
Comme leur nom lindique, les canulars ou les farces (jokes en anglais) sont conus pour faire rire.
Ils ne se reproduisent pas et ne sont donc pas des virus. Ils nont aucune activit destructrice.
Certains sont cependant difficiles dsactiver, dautres nhsitent pas modifier la configuration de
lordinateur. La limite entre farce et programme indsirable ou malveillant est donc troite. Tout
le monde ne possde pas la mme dose dhumour et la classification peut varier dun diteur
lautre. Lorsquil peut savrer perturbateur, le canular est gnralement dtect par lanti-virus. Il y
aura parfois lieu dactiver certaines options particulires de recherche.
Les principaux effets des canulars sont :
-
affichage dun message, une image ou une animation,
manipulation du lecteur de CD-ROM,
simulation de leffacement de fichiers ou du formatage du disque,
retournement de lcran ou perturbation de laffichage,
perturbation de la souris ou de lusage du clavier,
simulation dun programme valide,
ouverture dune multitude de fentres.
2.6.2 Rumeurs (hoaxes)

Un hoax est une rumeur malveillante et non fonde qui est diffuse dans le but de leurrer ou de
nuire. Dans la vie courante, les rumeurs ont toujours exist dans diffrents contextes sociaux,
militaires, politiques ou conomiques.
Dans le domaine de la propagande, le rseau Internet est un vecteur de choix. La malveillance et la
navet ont entran depuis 1997 une multiplication des rumeurs. L'introduction massive des
messageries a fait le reste.
Les rumeurs qui perturbent le monde de l'informatique annoncent gnralement l'apparition de
nouvelles menaces imminentes et hautement destructrices qu'aucun outil de scurit ne peut
intercepter.
Certaines sont bien connues maintenant mais continuent nanmoins circuler. Notons par
exemples :
-
Join The Crew
A Moment Of Silence
Bud Frogs Screen Saver
26
CLUSIF 2005
Buddylst.zip
Deeyenda
Good Times
Guts to Say Jesus
Irina
Penpal Greetings
Win a Holiday
Elles sont souvent d'origine anglo-saxonne mais, pour la plupart, elles ont t traduites en franais
pour une meilleure (!) diffusion dans l'hexagone.
On retrouve dans l'exemple ci-aprs la plupart des critres quune rumeur doit remplir pour russir
leurrer son monde :
-
Existence dun enjeu ou intrt significatif.
Sensationnalisme. La rumeur est de nature appter les mdias qui en sont avides
(recherche de scoop), lopinion publique qui y est sensible ou une communaut Internet
particulire. La prsentation est accrocheuse .
Accrditation effective de la rumeur par ces mdias ou travers des internautes

(imitation de styles ou de dialectiques crdibilisant la rumeur aux yeux de la
communaut vise). Les relais sont connus et dignes de foi.
Existence dembryons de preuve pour que la rumeur ne soit pas rejete demble
mais, dans le doute, bien prise en compte.
Incitation la propagation.
27
CLUSIF 2005
MISE EN GARDE ..... URGENT ..... URGENT... URGENT
ATTENTION VIRUS !!! - ATTENTION!

Si vous recevez un e-mail intitule "
NE L'OUVREZ PAS.
WIN A HOLIDAY "
!!!!!!!!!!!
Le virus qu'il contient va effacer l'intgralit de votre disque

dur. Faites suivre ce message a autant de personnes de votre
connaissance. Ceci est un nouveau virus, trs nocif et peu de
gens connaissent son existence. Cette information a t rendue
publique par Microsoft.
A titre de prvention, changez cette information avec tous ceux
qui peuvent avoir accs a Internet.
Nous vous conseillons trs fortement d'adresser une copie de ce
message a tous les correspondants inscrits dans votre carnet
d'adresses, de telle sorte que le virus ne s'tende pas.
De mme, n'ouvrez pas ou ne regardez pas tout
"
message intitul
RETOURNE ou IMPOSSIBLE a DELIVRER " .
Ce virus se rpandra dans les composantes de votre ordinateur et

les empchera de fonctionner.
Dtruisez immdiatement tout message portant ces mentions.
Par ailleurs, AOL signale qu'il s'agit d'un virus extrmement
dangereux et qu'il n'y a aucun remde connu a ce jour.
Prenez des mesures de prcaution et faites passer le message
tous vos amis.
De nombreuses rumeurs peuvent tre regardes a posteriori, comme de simples farces. Cependant,
propages grande chelle au travers des messageries l'aide de listes de diffusion, elles peuvent
perturber, voire bloquer temporairement le systme de communication. Elles entranent aussi un
surcrot de travail consquent des quipes du centre d'assistance technique (help desk) qui doivent
traiter les appels des utilisateurs inquiets.
Jusqu' prsent, la plupart de ces rumeurs sont identifiables leur caractre excessif. Elles visent
toutes faire croire la prsence de faux virus sous une forme ou une autre. Il faut nanmoins
sattendre pour lavenir des morphologies de rumeurs beaucoup plus perverses et agressives. Plus
difficiles apprhender, certaines rumeurs d'aujourd'hui peuvent devenir demain des ralits.
Dans tous les cas, il convient de garder une attitude autocritique, lucide et de bon sens. Ne
transfrez pas ces messages votre entourage sans avoir au pralable consult le service
informatique de votre entreprise ou des institutions comptentes telles que le CIAC, le CERTIST ou le site www.hoaxbuster.com
2.6.3 Le courrier non sollicit (spam)
La Commission Nationale de l'Informatique et des Liberts (CNIL) donne du spam la dfinition
suivante : il s'agit de l'envoi massif et parfois rpt de courriers lectroniques non sollicits des
personnes avec lesquelles l'expditeur n'a jamais eu de contact, et dont il a capt l'adresse
lectronique de faon irrgulire.
28
CLUSIF 2005
Nous savons tous quil est extrmement facile et peu coteux datteindre des centaines dindividus
au travers du courrier lectronique. Cela na pas chapp aux publicitaires et divers individus peu
recommandables qui se cachent souvent derrire une adresse falsifie pour inonder nos botes aux
lettres. Lexpditeur ne connat pas les destinataires, il ne cible ni ses relations personnelles, ni ses
relations professionnelles. Les adresses ont t collectes grande chelle. On retrouve
principalement dans ces courriers :
- des messages caractre commercial,
- des incitations la visite de site Web,
- des incitations la prise de contact (pornographie).
2.6.4 Les arnaques financires
Cet aspect de la malveillance informatique nest pas prcisment classer dans la famille des
rumeurs ou du courrier non sollicit. Il tient directement de la fraude financire.
Le courrier lectronique en question prtend provenir du fils dun haut fonctionnaire, du frre dun
industriel ou encore de la femme dun ex-chef dtat africain. Il vous explique quune importante
somme dargent est bloque quelque part. Avec votre aide, et en utilisant votre surface financire
pour le transfert de fond, votre contact vous explique quil serait possible de dbloquer ces sommes,
et une rcompense substantielle vous est propose si vous acceptez ce contrat.
Si vous rpondez ces mails, votre correspondant vous demandera sans doute douvrir un compte
sur une banque africaine en y versant des liquidits pour payer des taxes, des frais davocats ou
encore des bakchichs qui pourront aider au bon droulement de laffaire. Il vous interrogera
galement sur votre environnement financier en vous en demandant les dtails. Il est donc
important de ne jamais rpondre ce type de message.
Le phishing est une autre technique lie au monde de la finance. Il sagit dobtenir des donnes
sensibles afin de commettre des impostures lidentit et des escroqueries financires. Limposture
dbute souvent par la rception dun courrier non sollicit, lescroc la ralise en 3 tapes :
1)
il se fait passer pour qui il nest pas (une entreprise connue) pour solliciter les donnes
convoites auprs des internautes.
2)
Il prsente des contenus fallacieux qui font illusion (motifs voqus, faux liens, fausses
pages web, etc.).
3)
Une fois les donnes convoites recueillies, il se fait passer pour qui il nest pas (les
internautes escroqus) afin de se procurer des services ou des biens (argent,
marchandises, papiers didentit et autres documents administratifs).
Des courriels sannonant en provenance deBay (site denchres sur Internet), circulent en avisant
les personnes que leur compte semble avoir t pirat. Les utilisateurs du site doivent suivre le lien
dans le message sils ne veulent pas que leur compte soit suspendu. Ils sont alors re-dirigs vers une
page web qui porte le logo deBay. Cette page demande tout dabord le pseudo et le mot de passe.
Une fois ceux-ci renseigns, un long questionnaire est propos et de nombreuses donnes prives
sont demandes.
29
CLUSIF 2005
2.6.5 Les lettres chanes

Par le pass, des lettres chanes circulaient par la poste. Elles taient souvent connues sous le nom
de chane de Saint Antoine. Elles prsentaient un texte de prire Saint-Antoine quil fallait
transmettre ses amis. Dans les pays anglo-saxons, elles se sont aussi nommes chane de Saint
Jude, en rfrence au patron des dsesprs.
Le courrier lectronique est aujourdhui mieux adapt cette forme de propagation avec
linstantanit des changes, son faible cot et sa capacit dexpdition des destinataires
multiples.
Lexpditeur est souvent lune de nos relations, proche ou lointaine, qui a retrouv nos coordonnes
dans son carnet dadresses.
Lappel la solidarit est le principal objet de ce type de message. Une situation dramatique vous
est par exemple expose. Le message vous encourage le rexpdier car des fournisseurs daccs
Internet sont censs les comptabiliser pour reverser une somme proportionnelle aux personnes en
difficult.
Dautres chanes utilisent la crdulit des gens face lapproche de malheurs annoncs ou de
bonheurs futurs selon le renvoi ou non du message en quantit. L aussi, la meilleure solution est la
suppression immdiate du message.
30
CLUSIF 2005
3. ORGANISATION DUNE DFENSE EN PROFONDEUR

Lorganisation de la lutte anti-virale passe par la mise en place doutils de dtection et de
prvention depuis le poste de travail jusqu la passerelle Internet. Il est possible didentifier 4
niveaux concentriques de risque :
1) le poste de travail et les ressources propres lutilisateur,
2) les ressources partages,
3) les passerelles (rseau et messagerie),
4) le monde extrieur, hors du primtre de lentreprise.
Lanti-virus comme seule parade aux virus informatiques actuels ne suffit plus. Certains virus/vers
utilisent de nouvelles mthodes de propagation et daction :
-
ils ne rsident quen mmoire vive et se propagent via le flux Internet,
ils exploitent des failles lies au systme dexploitation et au rseau,
ils sassocient des outils de piratage,
ils utilisent la technique du spam pour initialiser leur propagation.
Les particuliers et les entreprises doivent diversifier leurs dispositifs et amliorer ainsi leur niveau
de scurit. Ces autres outils scuritaires deviennent au fil du temps indispensables. Cette dfense
en profondeur est aussi une opportunit pour :
-
Une varit dans les ressources de scurit avec des antivirus de moteurs diffrents entre
ceux installs sur les postes de travail, les serveurs, les passerelles Internet quand la taille de
lentreprise devient consquente ou que sont activit en ligne est critique.
Le dploiement dune politique de correctifs qui intgre une phase de test, la surveillance
des failles au niveau systmes dexploitation et applications mais aussi, qui prend en compte
lensemble des quipements et ressources prsents sur le rseau routeurs, imprimantes,
solutions de scurit (antivirus, parefeu).
Laspect humain entre galement en jeu ; linformation et la sensibilisation des utilisateurs ne sont
pas ngliger. Une fois expliques et comprises, les rgles de base doivent tre formalises dans un
document reprenant les points cls de la rglementation interne. Le fait de dsactiver lanti-virus
doit tre prsent comme une faute grave.
Les tableaux suivants nous montrent aussi que les moyens de prvention et de protection diffrent
selon le niveau concentrique choisi. Une fois ceux-ci activs, la responsabilit des divers acteurs
nen est pas pour autant vacue. Ceux-ci doivent rester conscients des risques quun acte
inconsidr pourrait occasionner quelque niveau que ce soit.
31
CLUSIF 2005
3.1 Les ressources propres lutilisateur

Le poste de travail et les ressources propres lutilisateur
Equipements
Solutions/Mesure
s
Contraintes/Problmatiques
Poste utilisateur
fixe, poste
utilisateur
nomade,
organiseur et
tlphone IP
Anti-Virus et PareFeu (personnels ou

implants depuis le
rseau de
lentreprise)
Dploiement des produits et des mises jour
Politique de
correctifs
Responsabilit de chaque utilisateur face aux

actes quil commet.
Verrouillage de configuration
Responsabilit de lentreprise suite un acte
engag par un membre de son personnel.
La protection du poste de travail est dterminante. Chaque poste de travail doit tre muni de son
anti-virus. Mme si le virus pntre la passerelle Internet dans un format non reconnu, mme sil
nest pas dtect sur le serveur, il doit tre intercept avant que lutilisateur nait son poste infect.
Maintenir jour le logiciel anti-virus de la station de travail est lune des tches les plus ardues de
ladministrateur systme. Ceci est spcialement le cas sur les quipements nomades qui ne sont pas
connects en permanence au rseau. Les socits dveloppant des anti-virus offrent leurs propres
outils de dploiement. Ds quun parc informatique devient moindrement important, leur utilisation
devient indispensable.
Il est aussi impratif de pouvoir verrouiller la configuration choisie afin dviter une modification
de la configuration ou une dsactivation volontaire ou involontaire de lanti-virus.
Associ lanti-virus, le pare-feu personnel est indispensable sur un poste portable. Il permet le
passage slectif des flux d'information entre la machine et le rseau interne et/ou public. On le
trouve galement sur des postes dexploitation (process) qui sont interfacs avec les automates ou
les applications de fabrication industrielle ; et pour lesquels, le dploiement de correctifs est dlicat
de faon automatique en raison des conditions dexploitation.
Le pare-feu personnel sinstalle directement sur la machine de lutilisateur, quil soit un particulier
ou un employ nomade de lentreprise.
Les mises jour critiques qui sappliquent au systme dexploitation doivent tre appliques de
manire rigoureuse. Il faut aussi en apprcier les criticits :
-
Celle intrinsque la faille rendue publique,
Celle par rapport lusage de la ressource qui en fait dans lentreprise. Lanalyse de risque
dans lentreprise, pour prendre en compte ces nouvelles menaces peine caractrises doit
donc sappuyer une action de veille.
Pour le poste de travail, l'automatisation de l'installation des correctifs de scurit demeure loption
recommande. Les personnes ayant une connexion lente peuvent demander Microsoft lenvoi
dun kit qui contient l'ensemble des mises jour critiques pour Microsoft Windows.
Des offres de scurit existent aujourdhui pour les PDA. Elles protgent ces quipements contre
les quelques virus et chevaux de Troie actuels mais ne sattaquent pas aux menaces mergentes.
32
CLUSIF 2005
3.2 Les ressources partages

Les ressources partages
Equipements
Solutions
/Mesures
Le serveur de donnes, le Antivirus

serveur de fichiers,
Politique de
limprimante, le
photocopieur numrique correctifs
et le PABX
(autommutateur
tlphonique
Contraintes/Problmatiques
Outil de dploiement
Dgradation de la bande passante interne
Certains virus induisent des
dysfonctionnements dimprimante rseau
(W32/Codered)
Lapplication des mises jours critiques, des correctifs ( patchs ) et des mises jour applicatives
ou systmes s'tendent aussi aux ressources partages. Les administrateurs devront de prfrence
utiliser des outils ddis qui en greront le dploiement. Ces gestionnaires de correctif et de
configuration aideront et superviseront tous les processus de mise en place.
Rappelons quil est trs fortement dconseill de naviguer sur Internet partir dun serveur. Ce
procd semble trs pratique pour rcuprer un correctif, consulter une base de connaissances, mais
il vaut mieux le faire dune autre station, et obliger les intervenants extrieurs faire de mme.
Mme si lanti-virus risque dinduire une dgradation dans la vitesse du trafic, celui-ci est fortement
conseill en entre/sortie des serveurs de donnes.
Les priphriques modernes et les PABX actuels peuvent contenir un systme dexploitation
vulnrable et faire lobjet dattaques de tous ordres, y compris virales.
3.3 Les passerelles

Les passerelles
Equipements
Solutions/Mesures
Contraintes/Problmatique
s
Responsabilit de lentreprise
La passerelle Internet, le Anti-virus, pare-feu, antiserveur de messagerie et le spam, IDS/IPS et filtrage de en cas de pollution extrieure.
contenu, dURL, de port
routeur
Politique de correctifs
Nous sommes la porte dun monde qui peut savrer hostile. La mise en place dun anti-virus et
dun architecture de pare-feu est ici de la plus grande importance. Ces quipements complteront
les dispositifs prcdemment dcrits en protgeant le rseau interne de lentreprise lorsque celui-ci
dbouche vers lextrieur.
33
CLUSIF 2005
Les anti-virus pour passerelles devront traiter le plus grand nombre de types de trafic (FTP, HTTP,
SMTP) et savoir analyser un large panel de formats de documents. Ils devront aujourdhui
prendre en compte les flux de messagerie instantane ou ceux des tlchargements poste poste ou
encore de la tlphonie sur IP
Le contrle de contenu est une solution de surveillance ddie la messagerie lectronique et la
navigation Internet (HTTP, FTP). Outre le fait que certains de ces outils savent dtecter les virus
et autres codes malveillants, ils permettent une analyse lexicale par mots cls dans les mails ou dans
les URL.
Linstallation dun logiciel anti-spam permettra de bloquer ou de limiter la prolifration des
messages non-sollicits ou les phnomnes de mailbombing.
Fonctionnant comme des solutions anti-virus ou anti-spam, les systmes de dtection d'intrusions
(IDS, Intrusion Detection System) se rfrent une base de signatures d'attaques connues. Elles ne
peuvent dtecter que celles dont elles possdent la signature.
Afin de donner leur solution plus de ractivit lorsqu'une attaque surgit, certains diteurs ont
dcid de transformer leur offre en IPS (Intrusion Prevention System) et axent leur technologie vers
la prvention proactive, capable de ragir en temps rel lorsqu'une anomalie est dtecte ou qu'une
intrusion est avre. Lquipement fonctionne selon des rgles de comportement et de signatures
d'attaques : il surveille les attaques en dpassement de tampon (buffer overflow), les lvations de
privilges, les chargements en mmoire, les modifications critiques du systme dexploitation,
lutilisation excessive du CPU, la diminution soudaine de la bande passante, etc.
Les quipements signalent des divergences par rapport au fonctionnement normal des lments
surveills. Contrairement au pare-feu, qui traite des requtes et les interdit, de tels systmes les
analysent de faon continue et ne ragissent qu'en cas d'anomalie.
3.4 Le monde extrieur

Le monde extrieur
Equipements
Le poste domestique, les
fournisseurs d'accs
l'Internet (FAI), les autres
entreprises et leurs rseaux
Solutions/Mesures
Contraintes/Problmatique
s
Scanner de vulnrabilit
Responsabilit dun
inconnu lentreprise suite
un acte quil engage
volontairement ou non.
Une fois lentreprise scurise, le monde extrieur na pas disparu.

Tout ordinateur domestique est une source potentielle dattaque au regard du virus quil est
susceptible de contenir :
-
le virus peut contenir un module dattaque ciblant votre entreprise,
le virus peut retrouver sur la machine des URL et adresses de messagerie qui vous
correspondent.
34
CLUSIF 2005
Des scanners de vulnrabilit peuvent permettre de faire un audit en valuant la rsistance des
machines au sein dun rseau protg. Un outil efficace doit savoir dtecter les failles et prconiser
des solutions.
Au del des dispositifs techniques de scurit, il faut aussi utiliser toutes les dispositions
contractuelles ou lgales disponibles : des lois rcentes prcisent les responsabilits des acteurs,
accroissent les obligations des fournisseurs en matire de traabilit. On peut enfin noter un
renforcement du nombre de policiers ou de gendarmes spcialiss dans la lutte contre la
cybercriminalit.
3.5 La dimension humaine

En temps quutilisateur ou administrateur systme, lhomme se retrouve acteur et responsable tous
les niveaux. La formation et linformation doivent tre au cur du dispositif organisationnel. La
sensibilisation nest jamais dfinitivement acquise, elle doit faire lobjet de rappels priodiques et
adapts. Ces dispositions doivent se concrtiser dans :
-
une politique de charte,
un rglement intrieur.
Il est possible de nommer des correspondants scurit qui pourront servir de relais bidirectionnels
dans leur environnement proche.
En prise directe avec les utilisateurs, le centre d'assistance (help desk) doit travailler en lien troit
avec lquipe scurit. Celle-ci doit savoir comment ragir face aux interrogations des utilisateurs et
valuer la pertinence dune mise jour force et anticipe des outils de protection. Elle doit aussi
pouvoir valuer un risque ponctuel imposant un changement temporaire du niveau de scurit
appliqu (blocage dune nouvelle extension de fichier, passage au mode danalyse heuristique, etc.).
Les fiches dintervention ou de procdures seront adaptes pour prendre en compte la spcificit de
traitement pour lalerte en cours de traitement.
Selon limportance de lentreprise on envisagera ou non, la mise en place dquipes dastreinte
(pour la veille technologique et lintervention) pouvant aller jusquau 24/24 7 jours sur 7.
3.6 La politique de mises jour

Nous recommandons la mise en place de procdures automatiques qui se calquent sur la priodicit
des mises disposition de mises jour par le fournisseur de lanti-virus install. Seule cette
acceptation peut permettre une ractivit suffisante face aux menaces actuelles.
Ces mises jour automatiques pourront se faire de manire ordonnance en privilgiant le
primtre et les serveurs vitaux. Encore une fois, en prenant en compte le systmes dexploitation,
les applications et tous les quipements critiques prsents : routeurs, imprimantes, antivirus, parefeux, etc. Comme pour tout dploiement logiciel, une procdure de test incluant la non rgression
vis--vis de lenvironnement dexploitation permettra dviter le sur-accident dun
dysfonctionnement bloquant une ressource ou le rseau.
On noubliera pas dappliquer de manire rgulire les correctifs (patches) lis aux systmes
dexploitation. Il est souhaitable denvisager des mises jour mensuelles ou plus rapproches en
fonction de la criticit avre.
35
CLUSIF 2005
3.7 La politique de paramtrage

Les virus sattaquent souvent des logiciels ou leurs failles, ils sintroduisent parfois par le biais
de fonctionnalits inutilises en environnement professionnel. Dune manire gnrale, les
installations standards des OS sont singulirement vulnrables. Retirer certaines fonctionnalits
grand public telles que le partage de fichier ou le partage de bureau Netmeeting permet
dobtenir des postes plus performants et moins sensibles aux virus. Par ailleurs, les correctifs
appliquer en sont dautant moins nombreux et la gestion du parc sen retrouve affermie.
Le paramtrage des applications, en particulier la navigation Internet et la messagerie, doit faire
lobjet de procdures scrupuleuses. Le navigateur de Microsoft est particulirement vis par les
virus, au del des correctifs appliquer rgulirement, il faut renforcer la scurit en modifiant les
paramtres de navigation par dfaut qui sont parfois trs permissifs (exemple : ouverture
automatique de contenus actifs). Rappelons que dans les premires heures dapparition dun virus,
les anti-virus sont parfois inefficaces. Ne pas ouvrir automatiquement les pices jointes est donc la
meilleure des parades. Le principe de prudence serait de rendre passive une navigation sur
Internet, et de naccepter que le contenu actif (Java, scripts, ActiveX, cookies) de sites choisis.
Ce paramtrage pouvant tre bloquant sur certains sites mal dvelopps, lutilisateur doit tre form
comme cela a dj t indiqu plus haut.
Le client de messagerie standard Microsoft tant bas sur le paramtrage de scurit du navigateur,
on voit bien limportance de ce type daction.
36
CLUSIF 2005
4. TYPOLOGIE DES PRODUITS ANTIVIRUS

La plupart des anti-virus ne mettent pas en uvre une seule mthode de dtection, mais un
panachage de celles-ci. Ce sont la qualit des mthodes et le dosage de lune par rapport
lautre qui font la diffrence.
4.1 Les mthodes de dtection

Au nombre de 5, elles ont chacune leurs particularits et leurs limites.
A lexception du monitoring de programme, ces mthodes peuvent tre mises en uvre la
demande de lutilisateur ou sactiver automatiquement sur accs un fichier ou une ressource.
Ces modes sont aussi appels statique et dynamique.
Chaque mthode a ses limites. Les auteurs de virus en connaissent parfaitement le fonctionnement.
Au fil du temps, ils dcouvrent de nouvelles techniques qui peuvent leurrer les scanners
heuristiques, gnriques ou comportementaux. Ces moteurs intelligents sont, eux aussi,
rgulirement mis jour et l'utilisateur doit suivre ces volutions.
Ces mthodes sont galement sujettes des fausses alertes que les mises jour corrigent au fil du
temps.
4.1.1 La recherche par signature
Voici lun des premiers procds mis en uvre ds lorigine des virus. Cest la technique du
scanner base sur la recherche dune chane de caractres. Le procd est fiable mais ncessite
des mises jour frquentes. Face aux virus polymorphes et aux fichiers compresss, il requiert
souvent la mise en place dalgorithmes spcifiques, dont lefficacit a parfois t conteste.
Pour limiter les temps danalyse, seules les zones sensibles sont parcourues par le scanner. Elles
sont dtermines en fonction de la nature du fichier analyser et du virus rechercher.
La recherche par signature ne se limite pas celle dune chane de caractre stable. Elle sadapte
la complexit du virus dcouvrir. Associe des processus de dcryptage et de dcompactage,
elle est gnralement efficace. En 20 ans, moins dune trentaine de virus lont mise en chec. Pour
ces derniers, il a t ncessaire dinclure des programmes spcifiques comme complment de
dtection. Ladjonction de telles routines et le perfectionnement des techniques dmulation et de
dcompression font quil est priodiquement ncessaire de mettre jour le moteur et non pas
seulement les bases de signatures.
4.1.2 La recherche gnrique
En mode rsident ou la demande, la recherche gnrique peut tre considre comme une
recherche par signature que lon qualifiera de floue . Pour une mme famille de virus, il est
gnralement possible disoler des squences de code la structure identique. Elles sont souvent
lies au processus dinfection ou de camouflage (cryptage, polymorphie, anti-debug). Ces
squences peuvent correspondre du code compil ou des bribes dinstructions spcifiques
rencontres dans un langage interprt quelconque.
37
CLUSIF 2005
Un travail d'analyse permet d'isoler ces lments constants. Le rsultat se prsente sous la forme
dune ou plusieurs chanes hexadcimales accompagnes, ou non, de jokers (mta caractres tels
que * ). Celles-ci ne sont pas recherches un endroit prcis mais au sein dun intervalle que le
chercheur doit galement dfinir. La seule localisation de ces indices dans une zone adquate du
fichier indiquera la prsence du virus. Il pourra alors sagir dune variante connue ou encore
inconnue. Les souches dtectes sont alors annonces sous un nom gnral du type :
VBS/LoveLetter.gen@MM ou W32/Gara.gen@MM.
La recherche gnrique est galement trs efficace dans la recherche de programmes non-auto
reproducteurs inconnus.
4.1.3 Le contrle dintgrit
Tout comme les mthodes prcdentes, le contrle dintgrit est un procd capable de fonctionner
en mode statique ou dynamique. Sachant que toute action virale saccompagne dune
modification (des fichiers sont modifis, ou dautres sont crs) la surveillance dbute par
ltablissement dune photographie de rfrence ( code checksum , CRC : code de
redondance cyclique ). Celle-ci sopre dans un environnement rput sain. Les donnes sont
ensuite compares au fil du temps. Si le rsultat du CRC a chang (fichier modifi) ou sil est
absent (fichier ajout), une alerte est mise.
Cette mthode est en thorie infaillible. Des expriences ont cependant t menes par le pass
dmontrant quil tait possible dautomatiser la cration de couples de fichiers (avant et aprs
modification) rpondant au mme checksum. Il a ainsi t possible de tromper certains contrleurs
dintgrit pour peu quon en dcouvre la loi mathmatique interne.
Le procd a nanmoins t frquemment utilis dans les environnements MS-DOS et son abandon
na rien voir avec une ventuelle fragilit. Celui-ci peut tre durci par renforcement de
lalgorithme (CRC 32bits, CRC 64bits). Les raisons de la perte dintrt de la mthode sont
multiples.
En premier lieu, la technique suppose que le poste de travail ne soit pas infect linitialisation de
la base de rfrence. De nombreuses stations avec un virus systme ou un ver firent ainsi lobjet
dune vaccination . Il fallut attendre plusieurs mois, et lutilisation dun scanner jour pour
sapercevoir de linfection.
En second lieu, elle ne peut efficacement sappliquer que sur des quipements stabiliss, exempts
de modifications, dajouts et de suppressions frquentes de logiciels. Si ce nest pas le cas, seules
les zones systmes et quelques rpertoires pourront bnficier de la protection. Il faudra par ailleurs
la dsactiver chaque mise jour, et sassurer de la provenance et de la qualit des nouveaux
fichiers qui seront considrs comme sain.
Les ordinateurs sont aujourdhui interconnects, leurs utilisateurs tlchargent chaque jour des
dizaines de fichiers et installent de frquentes mises jour. Lespace stabilis au sein dune
machine samenuise inexorablement et explique la disparition de la mthode comme procd de
lutte anti-virale.
Plutt que de crer une base de rfrence, certains logiciels marquent les fichiers en leur
ajoutant, comme le font de nombreux virus, quelques octets. Cette mthode est dangereuse plus
dun titre : le retour en arrire nest pas toujours optimal et la modification du code excutable dun
programme peut rserver un jour ou lautre des surprises
38
CLUSIF 2005
4.1.4 La recherche heuristique

La recherche heuristique s'apparente une recherche de singularits au sein des fichiers analyss.
Elle ne s'appuie pas sur la connaissance particulire de lensemble des variantes dun mme virus,
mais sur la structure des fichiers analyss et sur la prsence en nombre plus ou moins consquent
dinstructions essentielles l'ensemble dune famille virale (macro-virus, excutables W32, etc.).
La mthode est aujourdhui fiable malgr quelques fausses alertes qui continuent parfois
dapparatre. La parade consiste reconnatre ces programmes lgitimes dont lexcution est
souhaite ou normale pour les liminer doffice avant, aprs ou pendant lanalyse.
Alors que la mthode gnrique semble suffisante pour la majorit des virus crits en langage
interprt, la recherche heuristique est particulirement utile face aux virus programmes. Pour des
fichiers excutables Windows (W32/PE), il est possible de rechercher :
-
un point d'entre dans la dernire section,
un point dentre avant la premire section,
un saut inter-section,
des caractristiques de sections inattendues,
un nom de section inattendu,
une boucle de dcryptage simple ou polymorphe au point dentre,
des instructions inattendues (fonctionnalits d'mission de mails, instructions lies des

exploits connus, squences anti-debug, etc.).
Tous les anti-virus modernes utilisent fortement cette mthode en complment de la dtection par
signature.
4.1.5 Le monitoring de programmes
Il sagit ici danalyse comportementale. Elle repose sur l'analyse dynamique des oprations de
lecture et d'criture en mmoire ou sur un support physique. Citons simplement titre dexemple
trois vnements majeurs quil semble bon de surveiller :
-
l'criture en mode physique sur un disque dur,
la recopie de fichiers entrants dans un rpertoire systme,
la modification de la base de registres par un programme non autoris.
Par le pass, cette mthode tait parfois directement couple lanti-virus. Son principal dfaut
tait le dclenchement dalertes intempestives quun utilisateur non averti ntait pas toujours
mme dinterprter : sagissait-il dune manifestation dun virus inconnu ou dun fonctionnement
normal ?
Aujourdhui, ce procd est mis en uvre au sein de produits spcifiques ce mode de dtection.
La phase dinstallation de ces logiciels ddis dbute par un apprentissage et une reconnaissance
des oprations lgitimes. La dtection qui en rsulte dpasse largement la sphre anti-virale pour
sattacher prvenir tout type dintrusion. Ces nouveaux produits deviennent indispensables alors
que la frontire entre auteurs de virus et criminels informatiques de tout bord samenuise de jour en
jour.
39
CLUSIF 2005
4.2 Lradication
Lorsquun virus a russi traverser les dfenses places sur son chemin, lentreprise contamine
doit avoir sa disposition des procdures efficaces pour contenir linfection et restaurer les
quipements infects pour rtablir leur configuration dorigine sans perte de donnes.
Face une infection, et dun point de vue thorique, un anti-virus doit savoir liminer tous les virus
quil rencontre. Les thoriciens indiquent quun virus fonctionnel doit tre capable dinfecter
successivement 2 environnements ou 2 fichiers. Si cest le cas, le virus est viable : il a su
sauvegarder les donnes qui permettent llment infect de fonctionner. Cest lanti-virus de
savoir les restituer.
Pour obtenir lradication lanti-virus doit lancer un processus automatis inverse. Le succs
sobtiendra aprs :
1) tude du code viral,
2) comparaison des fichiers sains et infects,
3) localisation des donnes dplaces et sauvegardes,
4) marquage des fichiers nouvellement crs,
5) recherche des modifications annexes induites sur le systme (par exemple la modification de
la base de registres).
En labsence dinfection locale sur des fichiers prexistants, lradication se limite la destruction
du processus en mmoire, leffacement des fichiers superflus et la suppression des cls de
lancement automatique.
Le travail se complique lorsque des fichiers sains ont t modifis pour accueillir le code viral. Si
ces fichiers sont encore oprationnels une fois infects, il est bon de rpter que lradication est
toujours techniquement possible. Elle est directement lie la comptence du chercheur qui doit
mettre au point la parade.
De nombreux virus endommagent des fichiers sans pour autant se propager correctement. Les
collections virales contiennent des milliers de codes de ce type. Leur excution entrane parfois une
erreur systme qui stoppe linfection avant quelle naboutisse. Le systme rend gnralement la
main et rien danormal ne semble stre produit. En anglais, ces virus supposs sont qualifis
dintended.
Si les premires tapes de linfection virale ont lieu, les fichiers atteints sont gnralement
corrompus et le retour en arrire par radication devient impossible.
Dautres virus ne savent pas correctement diffrencier les fichiers quils sauront infecter de ceux
quils dtrioreront. Pour les distinguer, certains anti-virus utilisent le suffixe dam ou cor
(en anglais, damaged ou corrupted) et effacent les souches quils ne peuvent restaurer. Lun des
exemples rcent est W32/Magistr@MM dont la dnomination W32/Magistr.dam sapplique de
nombreux fichiers dfinitivement perdus.
40
CLUSIF 2005
5. LASPECT JURIDIQUE
5.1 Les actions juridiques possibles
La cybercriminalit recouvre deux types dinfractions :
-
les infractions directement lies aux technologies de linformation et de la communication

dans lesquelles linformatique est lobjet mme du dlit,
les infractions dont la ralisation est lie ou facilite par les technologies de linformation et
de la communication et pour lesquelles l'informatique nest quun moyen.
Lexprience semble montrer que les dlits lis au Systme dInformation et raliss dans un but
acadmique ou ludique sont souvent traits au civil. Les dlits facilits par le Systme
dInformation (dlit de droit commun, vol, escroquerie, attaque de site commerciaux, DDoS (dni
de service distribu)) se retrouvent plutt au pnal.
La responsabilit civile dsigne lensemble des rgles qui obligent lauteur dun dommage caus
autrui rparer ce prjudice en offrant la victime une compensation. Elle se divise en deux
branches selon que les protagonistes sont unis ou non par un lien contractuel. La responsabilit
contractuelle est lobligation de rparer le dommage rsultant de linexcution dun contrat ; la
responsabilit dlictuelle suppose la rparation du dommage caus en dehors de toute relation
contractuelle.
La responsabilit civile soppose la responsabilit pnale qui vise sanctionner lauteur dune
infraction pnale portant atteinte lordre social. Lauteur dune infraction pnale et son complice
sont condamns des peines pcuniaires au profit de lEtat (lamende) et / ou des peines
privatives de libert (prison et droits civiques), tandis quau civil les condamnations pcuniaires
sont du ressort de la rparation (dommages et intrts).
5.2 Prise en charge de lattaque

Si lon souponne une attaque, sa prise en charge passe par :
-
lidentification de la victime. C'est l'entit responsable hirarchique ou fonctionnelle de

celle-ci qui dcide d'intenter, ou non, dventuelles poursuites.
lidentification du bien altr :

o un systme dexploitation ou un logiciel,
o un site Web,
o limage de marque de lentreprise,
o une srie dinformations confidentielles ou non (SGBD, information financire ou
intellectuelle),
o une autre cible. Face la technique du rebond, lentreprise intermdiaire se retrouve
dans le rle de lattaquant (involontaire). Elle doit pouvoir faire preuve de sa bonne
foi en dmontrant quelle avait correctement protg son systme. Les vers
41
CLUSIF 2005
informatiques (@MM ou .worm) peuvent tre assimils des programmes utilisant

la technique du rebond.
-
lanalyse de limpact. Cest au regard de cette valuation que se dcideront les ventuelles
poursuites (civil ou pnal).
5.3 Larsenal juridique en France

Larsenal juridique destin lutter contre les menaces informatiques sest enrichi de diverses
dispositions au cours des vingt dernires annes. En effet, il a fallu crer de nouvelles
incriminations, celles existantes ne permettant pas dapprhender les faits qui devaient tre rprims
ou le rgime des peines associes aux incriminations traditionnelles savrant inadapt. Il a fallu en
outre mettre la disposition des services de police et de justice des moyens permettant de
poursuivre efficacement le travail didentification des auteurs des faits incrimins.
Tout comme le reste de ce document, ce paragraphe est le rsultat dun travail collectif ralis au
sein du groupe virus du CLUSIF. Nous nous devons cependant dindiquer quil contient quelques
reprises de deux mmoires DESS quil nous a t possible de consulter sur Internet :
-
Sophie Revol, les logiciels espions, DESS Droit du multimdia et de linformatique,
Frdric Duflot, les infections informatiques bnfiques : chroniques dun anathme, Droit
du numrique et des nouvelles techniques.
5.3.1 La responsabilit civile

Suivant que les protagonistes sont unis ou non par un lien contractuel, lintroduction dun virus peut
engager la responsabilit dlictueuse ou contractuelle de lentreprise ou du particulier.
5.3.1.1 Responsabilit civile dlictuelle
Un virus pouvant tre considr comme un logiciel, sa mise en place doit tre signale. Elle
ncessite laccord pralable de lutilisateur du systme informatique qui va le recevoir.
Larticle 1382 du code civil prcise que la mise en uvre de la responsabilit dlictuelle ncessite
une faute, un dommage et un lien de causalit entre les deux. Il est envisageable de retenir la
responsabilit dlictuelle dune personne qui introduit un virus linsu dun utilisateur dans son
systme. Dans ce cas, la faute sapparente une intrusion dans un systme informatique linsu de
son utilisateur ou une installation de logiciel sans autorisation. Le dommage consiste en la perte
et/ ou laltration de donnes personnelles. Il peut entraner loctroi de dommages et intrts ds
lors que cette faute est rapporte, quun prjudice est prouv et quun lien de causalit est admis
entre cette faute et ce prjudice.
5.3.1.2 Responsabilit civile contractuelle
La mise disposition par un fournisseur dun logiciel contenant un virus peut entraner son
dysfonctionnement. La responsabilit civile du prestataire peut ainsi tre envisage.
Lintroduction du virus peut stre faite linsu de lutilisateur qui sest procur le logiciel chez son
fournisseur. Lacqureur peut engager la responsabilit contractuelle de lditeur en raison du nonrespect des obligations contractuelles.
Les propritaires de sites Internet accs payant peuvent aussi voir leur responsabilit engage si
un virus prsent sur leur site a pu sintroduire sur lordinateur de leur client.
42
CLUSIF 2005
5.3.2 La responsabilit pnale

Au milieu des annes 80, les seuls textes qui ont pour objet la protection des systmes
dinformation sont la loi informatique et liberts (6 janvier 1978) et la loi sur la protection du droit
dauteur (3 juillet 1985).
Ces deux lois ne prvoient, ni ne permettent une rpression pnale spcifique des menaces
informatiques. La prise en compte de la problmatique virale et de la cybercriminalit apparat
avec :
-
la loi Godfrain relative la fraude informatique (loi n88-19 du 5 janvier 1988 relative la
fraude informatique,
la loi relative la scurit quotidienne (loi n 2001-1062 du 15 novembre 2001),
la loi pour la scurit intrieure (loi 2003-239 du 18 mars 2003),
la loi pour la confiance dans l'conomie numrique (loi n2004-575 du 21 juin 2004),
la loi relative aux communications lectroniques et aux services de communication

audiovisuelle (loi n 2004-669 du 9 juillet 2004),
Ce dispositif lgislatif est complt par des textes rglementaires en cours dlaboration, quil
sagisse du projet de dcret sur la conservation des donnes de communications lectroniques ou du
projet de dcret sur la conservation des donnes relatives aux contenus des services en ligne.
5.3.2.1 Prescriptions traditionnelles
La responsabilit pnale peut tre engage en raison datteintes aux droits de la personne ou
datteintes aux systmes informatiques eux-mmes. Le Livre III du Code Pnal Des crimes et
dlits contre les biens tudie notamment le vol, lescroquerie et labus de confiance.
Le vol dinformation n'existe pas en droit pnal. Seul subsiste le vol d'un objet, en l'occurrence un
support physique. Le vol ne sapplique donc qu une chose matrielle susceptible
dapprhension [physique] par lauteur du vol . Ni le vol de temps machine, ni le vol de
bande passante ne peuvent tre apprhends par les articles 311-1 et suivants du Code Pnal.
Une escroquerie peut avoir pour objet une chose immatrielle. On peut donc admettre quun
programme infectieux permettant de se faire remettre une donne ou facilitant sa remise entre dans
le champ de larticle L313-1.
Les biens immatriels semblent exclus des prescriptions lies labus de confiance. En matire de
dtournement dune chose remise volontairement, larticle 314-1 sapplique cependant un bien
quelconque et pas seulement un bien corporel. Il cite certaines valeurs mobilires au titre dun
crit constitu par linscription en compte, et les numros de carte bancaire. Il apparat donc quen
dehors dhypothses marginales o une donne a t confie un tiers et que celle-ci se trouve
dtruite par un organisme informatique viral, les interactions entre labus de confiance et les virus
sont inexistantes. Signalons cependant une tendance en jurisprudence qui commence saffirmer en
cas de fraude interne. Dans le cas o un salari, dpositaire des matriels, logiciels et accs Internet
mis sa disposition par son employeur, les dtourne abusivement et, semble-t-il, massivement, pour
la collecte de contenus pouvant crer un risque juridique pour son employeur (exemple type : la
visualisation voire le tlchargement dimages pdophiles), la Cour de Cassation vient, par deux
fois, dadmettre la condamnation du salari au titre du dlit dabus de confiance.
5.3.2.2 Loi informatique et liberts
43
CLUSIF 2005
Elle instaure des droits pour les personnes fiches et des obligations pour les responsables de
traitements automatiss. Elle sanctionne non lauteur dune attaque mais lexploitant qui en est la
victime sil peut lui tre reproch le fait de procder ou de faire procder un traitement
automatis dinformations nominatives sans prendre toutes les prcautions utiles pour prserver la
scurit de ces informations et notamment empcher quelles ne soient dformes, endommages ou
communiques des tiers non autoriss . Les dlits ainsi institus figurent au livre II, titre II,
chapitre VI, section V du code pnal sous lintitul Des atteintes aux droits de la personne
rsultant des fichiers ou des traitements informatiques . La lgislation tablit des dlits relatifs
linformation des personnes subissant le traitement nominatif et la collecte illicite de donnes
nominatives.
Proches des virus, les logiciels espions et les robots peuvent permettre la captation dinformations
nominatives. Larticle 25 de la loi prcise que la collecte de donnes opre par tout moyen
frauduleux, dloyal ou illicite est interdit .
La Commission Nationale de lInformatique et des Liberts considre, en se basant sur la directive
du 24 octobre 1995 et sur la loi de 1978 qui encadrent la collecte des informations personnelles, que
ladresse IP, savoir le numro didentification dun systme sur le rseau Internet via le protocole
TCP/IP, est une donne personnelle. Ds lors, un mcanisme viral qui collecterait ou scannerait et
utiliserait ces adresses IP afin dy installer, par exemple, un serveur proxy destin lui permettre
une propagation plus rapide ou favoriser lenvoi de courriers lectroniques non sollicits pourrait
tre apprhend par les articles 6 et suivants de la loi. Par ailleurs, on peut penser que les adresses
MAC (Media Access Control) des priphriques rseaux se verront appliquer la mme solution.
Cette notion est cependant conteste par certains experts qui considrent que l'adresse IP est avant
tout une donne technique au mme titre que le nom d'une rue et le numro dans la dite rue. En
effet, une adresse IP sans un minimum de datation n'est souvent d'aucune valeur dans le cadre d'une
enqute de police.
5.3.2.3 Loi sur la protection du droit dauteur
Elle comporte un chapitre sur la protection des logiciels. A ce titre, les mcanismes viraux peuvent
tre apprhends comme des programmes entranant la contrefaon du logiciel qu'ils pntrent et
modifient.
5.3.2.4 Loi Godfrain
Elle traite des dispositions du Livre III du Code Pnal Des crimes et dlits contre les biens . Elle
introduit un Chapitre III relatif aux atteintes aux systmes de traitement automatis de donnes
(acronyme : STAD). La loi ajoute les articles 323-1 et suivants qui rigent dsormais en dlit la
ralisation dun certain nombre de faits ou leur tentative par des personnes physiques ou par des
personnes morales.
La loi cite, en premier lieu, le fait daccder ou de se maintenir, frauduleusement, dans tout ou
partie dun systme de traitement automatis de donnes ; elle prcise que les peines encourues
sont aggraves lorsquil en est rsult soit la suppression ou la modification de donnes
contenues dans le systme, soit une altration du fonctionnement de ce systme .
Le fait de se brancher sans droits sur un rseau et den intercepter le trafic grce un programme
malveillant non autoreproducteur (un programme de type sniffer ou keylogger par
exemple), un code viral le vhiculant ou visant son insertion peut emporter une telle qualification
pnale. Il nest alors plus ncessaire de dmontrer un quelconque prjudice li cet accs.
44
CLUSIF 2005
Le dpt ou lactivation dun code malicieux sur un serveur public peut ainsi entrer dans le champ
du maintien si lacte ne rsulte pas dune simple erreur mais que son auteur a conscience de
lirrgularit de son acte.
Le simple maintien dans un systme, sil est frauduleux, est susceptible de constituer une infraction
mme sil rsulte dun accs rgulier antrieur, mme sil ny a pas intention de nuire.
En second lieu, elle mentionne le fait dentraver ou de fausser le fonctionnement dun systme de
traitement automatis de donnes ou encore, en troisime lieu, le fait dintroduire
frauduleusement des donnes dans un systme de traitement automatis ou de supprimer ou de
modifier frauduleusement les donnes quil contient . Les mmes peines sont en outre prvues
pour la participation un groupement form ou une entente tablie en vue de la prparation,
caractrise par un ou plusieurs faits matriels, dune ou plusieurs des infractions prvues (par la
prsente loi) .
Conu pour rprimer le sabotage informatique, ce second point sanctionne aussi bien le fait
dentraver que celui de fausser le systme. Lentrave rside dans le fait dempcher le
fonctionnement logiciel ou matriel du systme en provoquant une gne ou une paralysie partielle
ou totale, progressive ou instantane, temporaire ou dfinitive, ponctuelle ou permanente et enfin
simple ou rcurrente. Ltendue de cette disposition permet de couvrir les consquences de certains
virus mettant en uvre une charge virale (payload) entranant la consommation excessive des
ressources du systme ou le dysfonctionnement dun logiciel.
Le fait de fausser un systme revient laltrer, dnaturer son comportement de manire
insidieuse ou sournoise et lui faire produire un rsultat non attendu . Ds lors, toute activit non
dsire dun programme, sans exception, semble entrer dans le champ de cet article.
En troisime lieu, larticle 323-3 du Code Pnal incrimine les atteintes aux donnes dune manire
autonome. Lajout dun virus au sein dun systme dinformation, mme sans destruction constitue
une altration de lensemble des donnes de ce systme. Il apparat donc quun virus non activ,
constitue une altration des donnes du systme. Il peut tre considr comme une donne fausse
qui n'a pas lieu d'exister dans le systme d'information.
Par ailleurs, la loi Godfrain sanctionne lassociation de malfaiteur en matire informatique. Elle
vise ainsi les clubs de piratage et les clubs des codeurs de programmes malveillants. Il est prcis
quil y a groupement de malfaiteur ds lors quil y a concours de deux volonts ou plus, conscience
des infractions et concrtisation par un ou plusieurs faits matriels. La loi rprime la simple
tentative ; lincitation lentrave dun systme nest cependant pas rprime .
5.3.2.5 Loi relative la scurit quotidienne
Elle prvoit la conservation par les oprateurs de tlcommunication, pendant une priode dun an,
des donnes relatives une communication pour les besoins de la recherche, de la constatation et
de la poursuite des infractions pnales . Il est prcis que ces donnes ne peuvent en aucun cas,
porter sur le contenu des correspondances changes ou des informations consultes sous quelque
forme que ce soit . Elles concernent seulement lidentit des utilisateurs et les caractristiques
techniques des services fournis par les prestataires de communication (comme par exemple les
adresses IP, les adresses lectroniques envoyes ou reues, ainsi que les adresses de sites visits).
La loi modifie, par ailleurs, le code de procdure pnale en y insrant diverses dispositions
concernant la mise en clair des donnes chiffres ncessaires la manifestation de la vrit. Elle
met donc pratiquement la charge des fournisseurs des prestations de cryptologie et des diteurs de
logiciels de chiffrement lobligation de prvoir les moyens de procder au dchiffrement quand cela
leur est demand par les autorits comptentes.
5.3.2.6 La loi pour la scurit intrieure
45
CLUSIF 2005
Dans le domaine qui nous intresse, elle vient complter la loi relative la scurit quotidienne
(LSQ). En effet, le texte prvoit que les fournisseurs daccs Internet doivent mettre la
disposition de lofficier de police judiciaire, sur demande de celui-ci, les informations utiles la
manifestation de la vrit, l'exception de celles protges par un secret prvu par la loi, contenues
dans le ou les systmes informatiques ou traitements de donnes nominatives qu'ils administrent et
ce par voie tlmatique ou informatique dans les meilleurs dlais (art. 8.1).
L'officier de police judiciaire peut, en outre, intervenant sur rquisition du procureur de la
Rpublique pralablement autoris par ordonnance du juge des liberts et de la dtention, requrir
des oprateurs de tlcommunications de prendre, sans dlai, toutes mesures propres assurer la
prservation, pour une dure ne pouvant excder un an, du contenu des informations consultes par
les personnes utilisatrices des services fournis par les oprateurs.
Cette disposition vient complter larticle 29 de la LSQ qui prvoyait que la conservation des
donnes ne peut, en aucun cas, porter sur le contenu des communications.
Enfin, larticle 8 bis de la LSI permet aux officiers de police judiciaire de procder la perquisition
en ligne, en accdant par un systme informatique implant sur les lieux o se droule la
perquisition des donnes intressant l'enqute en cours et stockes dans ledit systme ou dans un
autre systme informatique, ds lors que ces donnes sont accessibles partir du systme initial ou
disponibles pour le systme initial .
Dans le cas o les donnes accessibles seraient situes en dehors du territoire national, les autorits
doivent se conformer aux engagements internationaux existants.
5.3.2.7 Loi pour la confiance dans lconomie numrique
Elle complte le dispositif mis en place par la loi Godfrain en insrant dans le code Pnal un article
323-3-1 qui rprime le fait, sans motif lgitime, dimporter, de dtenir, doffrir, de cder ou de
mettre disposition un quipement, un instrument, un programme informatique ou toute donne
conus spcialement adapts pour commettre une ou plusieurs des infractions .
La loi sanctionne donc le fait de dtenir un virus et plus seulement le fait de faire entrer le virus
dans le systme dinformation. Un programme viral install en connaissance de cause sur sa propre
machine pour raliser certaines tches semble ainsi de facto illgal car susceptible, sil tait
transmis un autre systme, de lentraver ou le fausser.
La loi, qui aggrave galement les peines encourues, a aussi pour but de favoriser le dveloppement
de la socit de l'information par le commerce par Internet. Elle prcise les rgles pour les
consommateurs et les prestataires aussi bien techniques que commerciales. La loi sinspire de
diverses directives europennes dont la convention de Budapest.
Les hbergeurs de sites Internet doivent assurer un minimum de surveillance sur les pages qu'ils
stockent, afin d'empcher la diffusion d'informations faisant l'apologie des crimes de guerre ou
des crimes contre l'humanit, incitant la haine raciale, ou ayant un caractre pdophile .
Pour le commerce lectronique, le marchand en ligne assume une responsabilit globale sur
l'ensemble de la vente, de la passation de commande la fourniture de biens, ou de prestations de
services.
La publicit non sollicite (le spamming) par messagerie lectronique, sans avoir obtenu le
consentement pralable des destinataires est interdite.
5.3.2.8 Loi relative aux communications lectroniques et aux services de communication
audiovisuelle
46
CLUSIF 2005
Ce texte sarticule autour de 3 principes essentiels :

-
la convergence entre les tlcommunications et laudiovisuel, qui sont regroups sous

lappellation de rseaux de communications lectroniques,
ladaptation du cadre de rgulation de ces rseaux de communication entre lART (Autorit

de rgulation des tlcommunications, devenue ARCEP, Autorit de rgulation des
Communications Electroniques et des Postes) et le CSA (Conseil suprieur de
laudiovisuel). Ce dernier a dsormais une comptence largie tous les modes de diffusion
de la radio et de la tlvision (hertzien, cble, satellite, ADSL, Internet).
La mise en place dun rgime favorisant la concurrence (assouplissement ou suppression des

obligations pesant sur les oprateurs de communications lectroniques).
5.3.2.9 Intrts fondamentaux de la nation
Quelques textes trs spcifiques rgissent latteinte aux intrts fondamentaux de la nation. Il sagit
des articles L. 410-1 et suivants du Code Pnal. Ils ne couvrent que des hypothses marginales o
les lments viraux ne pourraient tre apprcis queu gard un de leurs effets particuliers. Ils ne
font pas lobjet dune apprhension globale comme lors de la rforme de 1988 .
Citons nanmoins larticle 421-1. Il dicte que les vols, les extorsions, les destructions,
dgradations et dtriorations, ainsi que les infractions en matire informatique []
constituent des actes de terrorisme, lorsquelles sont intentionnellement en relation avec une
entreprise individuelle ou collective ayant pour but de troubler gravement lordre public par
lintimidation ou la terreur .
5.3.2.10 Secrets de la correspondance
Certains virus rmettent deux mme des courriers lectroniques personnels. Ils violent ainsi le
secret des correspondances appliqu depuis novembre 2000 au dit courrier lectronique tel quil est
prcis par la convention europenne des droits de lhomme dans son article 8.
5.4 Regard sur linternational

La criminalit informatique ne se cantonne pas un seul pays. La communaut internationale en a
pris conscience. Les enjeux lis au dveloppement des technologies numriques sont abords un
niveau international. Il nous est possible de citer :
-
la Convention du Conseil de lEurope sur la cybercriminalit (Convention de Budapest - 23

novembre 2001) et de son protocole additionnel relatif lincrimination dactes de nature
raciste et xnophobe commis par le biais de systmes informatiques (7 novembre 2002),
la directive europenne relative certains aspects juridiques des services de la socit de

linformation, et notamment du commerce lectronique, dans le march intrieur (directive
2000/31 du 8 juin 2000),
lensemble des travaux accomplis au sein du G8, dEUROPOL ou du groupe de travail sur
la criminalit lie aux technologies de linformation dINTERPOL.
5.4.1 Convention du Conseil de lEurope sur la cybercriminalit

La rpression des infractions sur des rseaux transnationaux est entrave par la difficult identifier
les fraudeurs et la preuve en gnral. Cest dans loptique dune harmonisation que fut adopte la
47
CLUSIF 2005
convention dite de Budapest . Son objectif est dharmoniser les infractions au niveau europen
notamment concernant les infractions en matire de confidentialit et dintgrit des donnes des
systmes informatiques et de fraude informatique au sens large. A terme, tous les pays de lUnion
europenne devraient ainsi avoir le mme systme rpressif en matire de criminalit informatique.
Ce rsultat permettrait une lutte plus efficace.
La Convention dtermine trois principaux axes de rglementation :
-
lharmonisation des lgislations nationales concernant les incriminations,
la dfinition des moyens denqutes et de poursuites pnales adapts la mondialisation des

rseaux,
la mise en place dun systme rapide et efficace de coopration internationale.
La convention oblige tout dabord les Etats qui lont ratifie prendre des mesures propres pour
riger en infraction pnale un certain nombre de comportements et en particulier :
-
le fait intentionnel et sans droit, dendommager, deffacer, de dtriorer, daltrer ou de

supprimer des donnes informatiques (article 4 Atteinte lintgrit des donnes),
lentrave grave, intentionnelle et sans droit, au fonctionnement dun systme

informatique, par lintroduction, la transmission, lendommagement, leffacement, la
dtrioration, laltration ou la suppression de donnes informatiques (article 5 Atteinte
lintgrit des systmes),
la production, la vente, lobtention pour utilisation, limportation, la diffusion ou dautres

formes de mise disposition, [] la possession i) dun dispositif, y compris un
programme informatique, principalement conu ou adapt pour permettre la commission de
lune des infractions (prcdentes), ii) dun mot de passe, dun code daccs ou de donnes
informatiques similaires permettant daccder tout ou partie dun systme informatique,
[] dans lintention quils soient utilises afin de commettre lune ou lautre des
infractions (prcdentes) (article 6 Abus de dispositifs),
lintroduction, laltration, leffacement ou la suppression intentionnels et sans droit de

donnes informatiques, engendrant des donnes non authentiques, dans lintention quelles
soient prises en compte ou utilises des fins lgales comme si elles taient authentiques,
quelles soient directement lisibles ou intelligibles (article 7 Falsification informatique),
le fait intentionnel et sans droit de causer un prjudice autrui i) par toute introduction,
altration, effacement ou suppression de donnes informatiques ii) par toute forme
datteinte au fonctionnement dun systme informatique, [] dans lintention,
frauduleuse ou dlictueuse, dobtenir sans droit un bnfice conomique pour soi-mme ou
pour autrui (article 8 Fraude informatique).
Chaque Etat est tenu dadopter les mesures lgislatives et autres qui se rvlent ncessaires pour
habiliter ses autorits comptentes :
-
ordonner ou imposer dune autre manire la conservation rapide de donnes

lectroniques spcifies, y compris des donnes relatives au trafic, stockes au moyen dun
systme informatique, notamment lorsquil y a des raisons de penser que celles-ci sont
particulirement susceptibles de perte ou de modification (article 16 Conservation
rapide de donnes informatiques stockes),
ordonner : i) une personne prsente sur son territoire de communiquer les donnes
informatiques spcifies, en sa possession ou sous son contrle, qui sont stockes dans un
48
CLUSIF 2005
systme informatique ; et ii) un fournisseur de services offrant des prestations sur le

territoire, de communiquer les donnes en sa possession ou sous son contrle relatives aux
abonns et concernant de tels services (article 18 Injonction de produire),
-
perquisitionner ou accder dune faon similaire : i) un systme informatique ou

une partie de celui-ci ainsi quaux donnes informatiques qui y sont stockes ; et ii) un
support du stockage permettant de stocker des donnes informatiques [] sur son
territoire, [] saisir ou obtenir dune faon similaire les donnes informatiques
pour lesquelles laccs a t ralis (article 19 Perquisition et saisie de donnes
informatiques stockes),
collecter ou enregistrer par lapplication de moyens techniques existant sur son

territoire [] les donnes relatives au trafic associes des communications
spcifiques transmises sur son territoire au moyen dun systme informatique ou obliger
un fournisseur de services le faire ou prter son concours et son assistance pour le faire
(article 20 Collecte en temps rel des donnes relatives au trafic),
en ce qui concerne un ventail dinfractions graves [] collecter ou enregistrer,

en temps rel, les donnes relatives au contenu de communications spcifiques sur son
territoire, transmises au moyen dun systme informatique ou obliger un fournisseur de
services le faire ou prter son concours ou son assistance pour le faire (article 21
Interception de donnes relatives au contenu).
A ct des formes traditionnelles de coopration pnale internationale prvues notamment par les
conventions europennes dextradition et dentraide judiciaire en matire pnale, la Convention de
Budapest exige des formes dentraide correspondant aux pouvoirs dfinis pralablement par celleci. En consquence, les autorits judiciaires et les services de police dun Etat doivent pouvoir agir
pour le compte dun autre Etat dans la recherche de preuves lectroniques, sans toutefois mener
denqutes, ni de perquisitions transfrontalires. Les informations devront tre ensuite rapidement
communiques.
Un rseau de contacts disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept est mis
sur pied afin de fournir une assistance immdiate aux investigations en cours.
5.4.2 Directive europenne 2000/31
Ses dispositions sont transposes dans le droit franais par la loi pour la confiance dans lconomie
numrique. La directive prcise notamment la responsabilit des hbergeurs.
5.5 Quelques Conseils

Il est important de se pr constituer des indices ou des lments dinformation :
-
Gravure de CD.
Listing journaux,
Recherche de tmoins,
PV dhuissiers avec courriers recommands.
49
CLUSIF 2005
Tous ces lments seront, le moment venu, recevables ou non recevables par les instances
concernes. Ces dernires valideront la recevabilit des lments collects.
Dans le cas du dclenchement d'une instance judiciaire, seules les constatations effectues le plus
tt possible par un enquteur, avec ou sans l'appui d'un homme de l'art, auront valeur. Elles sont
primordiales ds le dbut de l'enqute.
Pensez faire un audit de votre contrat dassurance en vrifiant si les faits gnrateurs et les types
dindemnisation sont cits (matriel, perte dusage.).
Dans une dmarche de plainte simple, il est possible de contacter des organismes suivants :
-
La BEFTI : Brigade d'Enqutes sur les Fraudes aux Technologies de l'Information.

Anciennement SEFTI, elle a t cre en 1994. Elle est rattache la Sous-Direction des
Affaires Economiques et Financires de la Direction de la Police Judiciaire de la Prfecture
de Police de Paris. Son champ d'action se situe uniquement Paris et en petite couronne.
Sa mission premire consiste enquter sur les affaires d'intrusion et d'atteinte au SI. Elle
peut galement intervenir en matire de contrefaon logicielle ou de violation des droits de
proprit intellectuelle.
Elle a galement une mission de formation et d'information en interne ou l'extrieur sur le
thme des fraudes lectroniques. Elle dispense une assistance technique aux autres services
de police.
BEFTI : 122/126 rue du Chteau des Rentiers. 75013 Paris. tel : 01.55 75 26 19
LOCLCTIC : Office Central de la Lutte contre la Cybercriminalit lie au Technologies de

lInformation et de la Communication.
Remplaant de la BRCI, cet office appartient la Direction Gnrale de la Police Nationale
et dpend de Direction Centrale de la Police Judiciaire. Il a t cr en 2000 afin de lutter
contre la dlinquance lie aux nouvelles technologies l'chelle nationale et internationale.
Il est investi d'une double mission :
o La premire est lie l'activit oprationnelle proprement dite et rpond deux
objectifs essentiels :
la ralisation d'enqutes judiciaires de haut niveau technique menes son
initiative ou la demande des Magistrats de l'appareil judiciaire,
l'assistance technique l'occasion d'enqutes judiciaires menes par d'autres
services tels que les services de police, de gendarmerie, de la Douane ou de
la DGCCRF (Direction Gnrale de la Concurrence, de la Consommation et
de la Rpression des Fraudes).
o La seconde mission est en relation avec l'activit stratgique. Il sagit de :
la formation, l'animation et la coordination au niveau national de l'action des
autres services rpressifs, comptents en matire d'infractions lies aux
technologies de l'information et de la communication ;
la coopration internationale : l'OCLCTIC est point de contact national pour
la France pour les changes et la coopration policire internationale
(Europol, Interpol, G8) ;
50
CLUSIF 2005
la documentation oprationnelle : banque de donnes pour permettre le

rapprochement des affaires, statistiques annuelles sur les infractions lies aux
nouvelles technologies.
http://www.interieur.gouv.fr/rubriques/c/c3_police_nationale/c3312_oclctic/index_html
-
Le Ministre de lIntrieur : DST - Direction de la Surveillance du Territoire

La Direction de la Surveillance du Territoire est un service de renseignement de scurit
disposant de pouvoirs de police judiciaire spcialise. Ces missions sont traditionnellement
de trois types : contre-espionnage, contre-terrorisme, protection du patrimoine conomique
et scientifique. De nouvelles menaces de niveau stratgique apparaissent et sont d'ores et
dj prises en compte, il sagit de la prolifration des armes nuclaires, bactriologiques,
chimiques et balistiques ou de la grande criminalit organise.
La gendarmerie
Au niveau central, la gendarmerie possde plusieurs structures de lutte contre les nouvelles
formes de criminalit en rapport notamment avec lutilisation dInternet :
- Le dpartement cybercriminalit du service technique de recherches judiciaires et de
documentation (STRJD). Il assure la surveillance du rseau en recherchant les
infractions portant atteinte aux personnes et aux biens et relatives la transmission
de donnes caractre illicite sur Internet, les newsgroups et les rseaux poste
poste.
- Le dpartement informatique et lectronique de lIRCGN (Institut de Recherche
Criminelle de la Gendarmerie Nationale). Il dveloppe des mthodes, des outils et
des logiciels permettant de dtecter automatiquement des images pdophiles connues
ou dextraire des donnes.
- Le centre national dimages pdopornographiques (en collaboration avec la police
nationale).
- Le centre national de formation de police judiciaire. Il propose une formation
spcifique, dnomme N-TECH, dans le domaine des nouvelles technologies au
profit denquteurs spcialiss affects en units de recherches.
http://www.defense.gouv.fr/sites/gendarmerie/
judiciaire@gendarmerie.defense.gouv.fr
51
CLUSIF 2005
6. LASSURANCE CONTRE LES VIRUS

Nous prsenterons tout d'abord les principes qui rgissent l'assurance des biens de l'assur pour
ensuite dtailler les critres de souscription, puis le droulement d'un appel en garantie (demande
d'indemnisation). Enfin, nous prciserons quelques tendances relatives l'assurance des systmes
d'information contre la malveillance informatique et plus particulirement les virus informatiques.
Pour rappel, le deuxime grand volet d'assurance est la responsabilit civile : dommage accidentel
caus un tiers.
6.1 Principes dassurance

Dans le domaine de l'assurance des biens, il y a lieu de distinguer une assurance informatique de
lassurance des informations. Dans le premier cas, il sagit dassurer le matriel (serveurs, postes de
travail, connectique, etc.) qui sera rembours en cas de sinistre en valeur neuf ou vtust dduite.
Dans le second cas, il est difficile destimer la valeur financire dune information ; par contre, on
peut quantifier le cot de remise en tat dune information ou dun systme dinformation.
Avant de prsenter les options possibles, il existe quelques grands principes en matire
dassurance :
-
Existence dun ala, il doit exister une part de hasard dans la survenance de l'vnement.
Le fait gnrateur doit tre connu et partie intgrante du contrat. Si par exemple, le fait virus
n'est pas dfini (ou est exclu) alors la garantie ne peut s'activer.
En raison du principe indemnitaire, il ne doit pas y avoir denrichissement de lindemnis.

Le remboursement des frais ou le rachat d'quipement ne doit pas constituer un gain.
6.2 Souscription dun contrat

Assurer un systme dinformation, cest tablir un accord consensuel pour un montant de
remboursement et des options dassurance entre lassur et lassureur.
Les systmes dinformation tant extrmement varis dans leurs emplois ou dans leur dynamique
dvolution, il est difficile dtablir une mtrique du montant assurer en fonction dune
architecture donne. Cest donc plus la stratgie daversion aux risques et la capacit financire de
l'entreprise qui vont dterminer la politique dassurance.
En matire dassurance des systmes dinformation, il existe un module de base - la reconstitution
de linformation - laquelle peuvent sajouter diffrentes options de garantie :
- les frais supplmentaires comme par exemple les heures supplmentaires,
- les pertes dexploitation ou pertes dactivit bancaire, dans le cas prsent les charges fixes
et le bnfice non ralis,
- la carence de fournisseur ou la dficience de fourniture en moyens tels que l'lectricit,
- la fraude financire,
- le racket ou lextorsion,
- la gestion de crise et la reconstitution dimage,
52
CLUSIF 2005
- etc.
Au moment de la souscription, les lments suivant sont donc discuts :
- le primtre de garantie, cest dire les structures juridiques intgres dans le contrat ou
encore lexistence de limitations gographiques,
- les faits gnrateurs couverts,
- les options telles que sus nommes,
- Le montant assur (montant total d'indemnisation),
- La prime payer pour cette garantie,
- La franchise exprime en euro ou en jours dexploitation,
- Les sous limites pour certains faits gnrateurs (virus, hackers, etc.),
- Les exclusions, soit du fait du march de lassurance, soit du fait de la compagnie,
- Et enfin, les obligations contractuelles de lassur. Elles sont le plus souvent peu
contraignantes... et presque naturelles : ralisation de sauvegardes conserves hors site,
emploi d'un anti-virus oprationnel (mise jour de la base de signatures quand elle existe).
Pour terminer cette partie, rappelons que la garantie virus est bien souvent une option par rapport
une garantie plus globale, malveillance informatique qui couvre les prjudices des intrusions ou
le fait des employs .
6.3 Appel en garantie

Lorsque survient un incident, cest lassur - ventuellement conseill par son courtier - de
dterminer sil y a lieu de faire un appel en garantie. En fonction des contrats et des compagnies les
exigences peuvent tre diverses quant aux dlais ou aux pices fournir.
Dune manire gnrale, il sagira didentifier le fait gnrateur et son impact financier au regard
des options dassurance souscrites. En fonction de la complexit ou de limportance des montants
engags, un expert dassurance pourrait tre diligent pour apprcier ces lments. Un expert
dassur, reprsentant donc la dite personne pourra galement donner son apprciation sur les faits.
Concrtement il sagira :
- didentifier le fait gnrateur et son appartenance aux faits garanties,
- dhistoriser le droulement de lincident,
- de quantifier limpact en terme de prjudice ou de frais engags pour la remise en tat du
systme.
Comme le systme dinformation est un monde dynamique et volatile, la remise en tat doit tre
faite au plus tt et charge lassur de conserver les traces et lments permettant de caractriser le
prjudice.
6.4 Evolution de la garantie

Depuis les annes 80, les assureurs ont propos des garanties informatiques, notamment contre les
virus informatiques. Toutefois, loffre du march a considrablement vari avec le temps. En effet,
il y a quelques annes, le march de Londres (qui influe sur les grandes orientations en matire
dassurance) a dfini une clause cyber-data qui permettait lexclusion du virus du primtre de
53
CLUSIF 2005
garantie. Cette politique a notamment t suivie par les assureurs dorigine franaise. Cette
dmarche avait pour objet de limiter les consquences du risque sriel que reprsenterait une
contamination virale informatique lchelle mondiale et donc potentiellement chez tous les
assurs. Cette crainte, essentiellement fonde sur l'hypermdiatisation de virus catastrophe
(Datacrime, Michelangelo, Loveletter, Tchernobyl, etc.), tant renforce par labsence de matrise
du portefeuille dengagement, savoir si le fait virus pouvait tre appel en garantie dans une
assurance tout risque informatique (cest--dire le matriel) voire une assurance multirisques
bureau .
Nanmoins, des assureurs amricains ont continu proposer une garantie virus y compris sur
le march franais. Et aujourdhui, la tendance est laccroissement de cette offre considrant que
les rassureurs investissent nouveau dans ce type de garantie. Toutefois, lindemnisation au titre
du virus est gnralement sous limite dans une garantie de type malveillance informatique.
La confiance revenant ou en raison d'une nouvelle apprciation technique, on trouve mme
aujourd'hui une garantie virus en responsabilit civile pour Internaute, c'est--dire l'indemnisation
de dommages causs des tiers.
54
CLUSIF 2005
7. CONCLUSION
Au milieu des annes 1980, le grand public dcouvrait le phnomne virus. Alors que les
concepteurs d'anti-virus mettaient au point leurs premiers produits, de jeunes crateurs
s'appliquaient concevoir, pour se distraire ou par esprit de comptition, des nouveauts qu'ils
diffusaient avec le secret espoir de se faire un surnom. A l'approche de l'an 2000, c'tait encore le
jeu et la recherche d'une reconnaissance qui primaient. Aprs la mainmise des virus sur les outils
bureautiques, la messagerie lectronique devint, avec les mass-mailers, la cible atteindre.
En 2005, la donne a chang, l'appt du gain et l'argent facile sont le moteur des attaques actuelles.
On parle maintenant de cybercriminalit. Ce terme la mode couvre fois les crimes particuliers
faisant intervenir des ordinateurs et des rseaux (comme dans le cas du piratage), et la contribution
l'aboutissement de crimes traditionnels grce l'utilisation d'ordinateurs (pornographie, racket,
dtournement d'informations financires). Internet offre l'anonymat, l'instantanit et la multiplicit
des contacts. Pour les criminels, l'attrait du crime assist par ordinateur est de plus en plus
sduisant.
Les nombreux programmes malveillants qui circulent ne sont plus uniquement autoreproducteurs et
il existe maintenant des programmes commerciaux indsirables.
Nous retrouvons donc aujourdhui ct des vers et des virus :
Des chevaux de Troie : programmes malveillants en apparence inoffensif contenant une

fonction illicite cache et connue de l'attaquant seul.
Des adwares : programmes indsirables d'origine commerciale chargs de grer l'affichage

des publicits en fonction du profil de la cible,
Des spywares : programmes indsirables d'origine commerciale chargs de capturer de

linformation des fins de publicit ou despionnage. Ils agissent silencieusement sans le
consentement de lutilisateur.
Pour mieux atteindre leurs buts, tous ces programmes :
gagnent en sophistication ;
visent les particuliers, les administrations et les entreprises ;
rcuprent informations personnelles, financires ou commerciales.
Ils assistent toute une cohorte d'individus qui souhaitent gagner lgalement ou non - un maximum
d'argent en un minimum de temps.
Cette volution laisse prsager un avenir durable pour ces logiciels.
55
CLUSIF 2005

Les Virus Informatiques

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Les Virus Informatiques

Uploaded by

Copyright:

Available Formats

LES DOSSIERS TECHNIQUES

CLUB DE LA SECURITE DES SYSTEMES DINFORMATION FRANAIS

ITEANU & ASSOCIES

Nous remercions aussi les membres ayant particip la relecture.