Professional Documents
Culture Documents
LES VIRUS
INFORMATIQUES
Dcembre 2005
Espace Menaces - Groupe Virus
REMERCIEMENTS
Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de ce
document, tout particulirement :
Michel
BERTIN
Olivier
GUERIN
CLUSIF
Olivier
ITEANU
Pascal
LOINTIER
ACE INSURANCE
Franois
PAGET
McAfee
Jean-Charles
SIMON
MICHELIN
CLUSIF 2005
HISTORIQUE....................................................................................................................................................... 1
2.
3.
4.
INTRODUCTION ............................................................................................................................................... 6
LES GRANDES FAMILLES D'INFECTIONS ........................................................................................................... 6
Programmes simples................................................................................................................................. 6
Programmes auto-reproducteurs............................................................................................................ 10
CLASSEMENT PAR CIBLE ............................................................................................................................... 10
Virus programme .................................................................................................................................... 11
Virus systme .......................................................................................................................................... 12
Virus multipartites .................................................................................................................................. 12
Virus interprts ..................................................................................................................................... 12
Les vers ................................................................................................................................................... 15
Les robots ............................................................................................................................................... 18
FONCTIONNALITS ....................................................................................................................................... 18
Modes d'infection.................................................................................................................................... 18
Gchette de dclenchement .................................................................................................................... 21
Charge virale .......................................................................................................................................... 22
Fonctionnalits supplmentaires ............................................................................................................ 22
Principes d'identification........................................................................................................................ 24
LES AUTRES ENVIRONNEMENTS .................................................................................................................... 25
Virus sur Macintosh................................................................................................................................ 25
Linux et les systmes dexploitation Unix............................................................................................... 25
LES AUTRES LMENTS PERTURBATEURS ..................................................................................................... 26
Farces ..................................................................................................................................................... 26
Rumeurs (hoaxes) ................................................................................................................................... 26
Le courrier non sollicit (spam) ............................................................................................................. 28
Les arnaques financires ........................................................................................................................ 29
Les lettres chanes................................................................................................................................... 30
5.
II
CLUSIF 2005
5.4.2
Directive europenne 2000/31................................................................................................................ 49
5.5
QUELQUES CONSEILS ................................................................................................................................... 49
6.
7.
CONCLUSION ................................................................................................................................................... 55
III
CLUSIF 2005
1. HISTORIQUE
1940 -1949 - La thorie
Le mathmaticien John Von Neumann dveloppe le principe thorique des automates et des
machines reproductrices. Sa thorie se fonde sur les principes de la machine de Turing o le
concept de machine calculer est tendu celui de machine construire.
1960 - 1980 - Les premiers vers
Dans un but ludique, divers informaticiens dveloppent un nouveau concept de jeu
informatique (Core War). Pour chacun d'entre eux, il s'agit d'crire un programme (qu'ils
appellent organisme ) capable de crer des copies de lui-mme tout en cherchant
liminer les programmes adverses.
Dautres chercheurs mettent au point des programmes de dmonstration et des utilitaires
capables de raliser des tches rptitives sur diverses machines dun mme rseau. Ces
programmes nont rien de malveillant. Certains experts redoutent cependant une mauvaise
utilisation ou un dysfonctionnement. Les prdictions se ralisent, elles marquent la fin des
expriences.
1980 -1988 - La gense des virus
A partir de 1981, quelques exemples de diffusion de codes auto-reproducteurs sont signals
sur APPLE-II. A cette poque, il n'est pas fait mention du terme virus informatique .
Dans le contexte qui nous intresse, celui-ci est utilis pour la premire fois par Fred Cohen
en 1984.
En 1986, les premiers cas d'infections font leur apparition dans le monde PC. Certains
auteurs sont identifis : Basit et Amjad Farooq Alvi pour le virus Brain, Ralf Burger pour
Virdem. Les universits sont en premire ligne avec lapparition de Lehigh Lehigh (USA),
Jrusalem Technion (Isral), Stoned Wellington (Nouvelle-Zlande), Ping-Pong Turin
(Italie).
A cette mme priode, apparaissent les premiers vers spcifiquement malveillants. Le plus
fameux dentre eux atteint Internet le 2 novembre 1988 et porte les initiales de son crateur :
RTM (Robert Tappan Morris). 5% des machines du rseau sont touches, et lincident est
lorigine de la cration des CERT (Computer Emergency Response Team).
1989 -1992 - Les choses srieuses commencent
Alors quapparaissent les premiers anti-virus, aucune rgion du monde n'est pargne par le
phnomne. La propagation se fait principalement par lentremise de disquettes, cest une
propagation lente.
Le printemps 1989 est marqu par l'alerte au virus Datacrime et sa forte rsonance
mdiatique. Aux Pays-Bas, la police prend le problme au srieux, laction de Datacrime est
considre comme un acte criminel. Elle demande un programmeur dcrire un dtecteur
et le met ensuite la disposition du public dans les commissariats contre une somme
minime.
Cette anne l, on recense une cinquantaine de virus. En Bulgarie, un inconnu se faisant
appeler Dark Avenger en imagine de nouveaux. Les procds quil met au point augmentent
la capacit de propagation et la difficult de dtection. Certains de ses outils sont qualifis
Les Virus Informatiques
CLUSIF 2005
CLUSIF 2005
Alors quapparaissent en 1998 les premiers virus de script, les virus systme disparaissent et
80% des alertes virales concernent des macro-virus.
Les systmes dexploitation Windows redeviennent petit petit le terrain de prdilection des
auteurs de virus. Toutes les techniques de furtivit et de cryptage qui sappliquaient la
plate-forme DOS sont actualises pour fonctionner aussi bien en environnement 16 bits que
32 bits.
1999 2000 Linvasion des mass-mailers
L'utilisation des disquettes se rarfie. Les changes informatiques par e-mail prennent le
relais. Le premier virus mondialement connu qui exploite la messagerie lectronique
apparat en janvier 1999. Il s'agit de W32/Ska@M. Il ne cible quun destinataire chaque
activation. Il lui faudra plus de 6 mois pour faire son premier tour du monde.
En mars 1999, 2 jours auront suffit W97M/Melissa@MM. Il cible d'un coup 50
destinataires.
Les macro-virus sont toujours d'actualit ; ils laissent cependant de plus en plus la place
des virus utilisant des langages de script (VBScript et JavaScript) ou la programmation en
assembleur 32 bits.
Avec VBS/Loveletter@MM, la vitesse de propagation sacclre encore. S'attaquant
chaque activation l'ensemble des destinataires des divers carnets d'adresses, il ne mit que
quelques heures pour envahir la plante (mai 2000).
Ces nouveaux venus que l'on nomme aujourd'hui des mass-mailers se propagent par
lentremise dune pice jointe. En octobre 1999 JS/Kak@M dmontre quun virus peut sen
affranchir. Au format HTML, une simple prvisualisation suffit infecter la machine.
Au 1er janvier 2000, on recense plus de 56000 virus.
Les quipements nomades, tels que les assistants numriques (PDA, Personal digital
Assistant) et les tlphones portables, offrent de nouvelles plates-formes de recherche. Une
vingtaine de virus ou chevaux de Troie, Proof of Concept (PoC), sont conus pour les
systmes dexploitation des organiseurs de lpoque : PoC correspond la faisabilit
technique mme si, ensuite, le programme malveillant nest pas rpandu. En juin 2000,
VBS/Timofonica@MM nest quun mass-mailer de plus. Il retient cependant lattention du
public, car il est capable denvoyer des messages SMS aux utilisateurs du service de
portable espagnol Telefonica. En aot apparat Liberty, le premier Cheval de Troie ddi
aux assistants Palm. Les systmes dexploitation de ces nouveaux quipements ne sont pas
encore suffisamment sophistiqus mais les auteurs de virus cherchent de nouvelles voies.
Parmi les mass-mailers , les virus programmes (W32) vont petit petit simposer. Les
techniques de dtection gnrique et heuristique sont de plus en plus efficaces face aux virus
de macro et de script. Plus complexes, les virus programmes peuvent mettre en uvre des
processus rendant plus difficile la dtection. Au travers dun mme fichier, ils peuvent
largir leurs techniques de propagation.
Chaque mois, de nouvelles vulnrabilits sont mises jour. Sils ne les dcouvrent euxmme, les auteurs de virus sempressent de les utiliser pour augmenter les capacits de
propagation.
CLUSIF 2005
CLUSIF 2005
retiendront entre autre les batailles que se livrrent les auteurs de Netsky et Bagle durant le
premier semestre 2004. On notera aussi l'apparition du ver Witty ds le lendemain de la
publication de la faille qu'il utilise. On s'approche ainsi de l'exploitation immdiate des
vulnrabilits publies (zero day attack).
Trs logiquement, les concepteurs de virus PoC sattaquent des modles trs rpandus afin
daugmenter les opportunits de propagation. Le systme dexploitation des tlphones
Nokia devient une cible privilgie. Il existe deux modes opratoires pour la contamination
et la propagation :
-
CLUSIF 2005
des courriers non sollicits, plouriels, en anglais spam : messages caractre commercial
sappuyant ventuellement sur une usurpation dadresse lectronique,
des arnaques financires tel que le scam : messages vous proposant un montage financier
attractif derrire lequel se cache une escroquerie qui sarticule autour dune demande
davance de fonds de la part de la victime,
des rumeurs, en anglais hoaxes : informations malveillantes et non fondes qui sont
diffuses pour inquiter les destinataires ou discrditer une personne ou un organisme,
des lettres chanes : messages sappuyant sur la crdulit des destinataires faisant appel la
pit, la gnrosit et/ou la superstition et proposant ventuellement un enrichissement
personnel,
Nous verrons plus loin que ces attaques ont de nombreux points communs avec certains chevaux de
Troie ou virus.
CLUSIF 2005
Ces programmes permettent dobtenir un accs non autoris sur les quipements qui les
contiennent.
On utilise le terme de cheval de Troie lorsquil sagit dune fonction cache et rajoute au sein dun
programme lgitime quelconque. Le terme de porte drobe sapplique tout programme
malveillant spcifiquement ddi cet effet.
Il s'agit en fait de lun des lments dune application client/serveur permettant la prise de contrle
distance dun PC. Deux ordinateurs entrent en jeu. Le premier contient l'lment client, il pilotera
le processus. Le second est la machine cible ; il contient l'lment serveur le cheval de Troie ou la
porte drobe. Il devra tre actif sur la machine pour pouvoir initier la connexion avec le client. Le
pirate interroge le rseau, au travers d'une adresse IP. Si celle-ci est joignable, la connexion
s'effectue.
Une telle prise de contrle distance peut tre lgitime (opration de tlmaintenance) ou non.
Dans le cas d'un acte malveillant, le propritaire de la machine visite a excut son insu
llment serveur ; il ignore que son poste peut tre visit.
Avant 1998, ces programmes ne faisaient gure parler d'eux. Cette anne l, toute une srie d'outils
furtifs de prise de main distance ont t mis disposition sur le Web. Les plus connus furent Back
Orifice et Socket23.
Back Orifice (en rfrence Back Office de Microsoft) fut cr par un groupe de hackers baptis
le culte de la vache morte (The cult of the Dead cow - cDc). Voici les premires lignes d'un texte
qui fut disponible sur leur site :
Back Orifice is a remote administration system which allows a user to control a computer
across a tcpip connection using a simple console or GUI application. On a local LAN or
across the internet, BO gives its user more control of the remote Windows machine than the
person at the keyboard of the remote machine has.
CLUSIF 2005
Avec de tels outils, un pirate est mme de prendre le contrle total de sa cible. A titre d'exemple,
notons qu'il peut :
-
Les techniques de collecte dinformation sont diverses. Il est possible de classifier les outils utiliss
en fonction de linformation recherche.
2.2.1.3.1 Renifleur de clavier et de mots de passe
Un renifleur de clavier (en anglais keylogger) est un programme permettant d'enregistrer les frappes
au clavier. Son rle ne se limite pas lenregistrement dventuels mots de passe. Il peut tre
slectif ou enregistrer lintgralit des informations qui transitent sur le priphrique de saisie. Les
outils spcifiquement ddis la capture de mots de passe prennent souvent la dnomination
anglaise de Password-Stealer (PWS).
La plupart de ces dispositifs sont invisibles. Les frappes clavier sont gnralement crites dans un
fichier temporaire chiffr et envoy automatiquement, par courrier lectronique, l'espion.
Beaucoup de virus actuels diffusent ces diffrents outils. Ils profitent du mode de propagation viral
pour sinstaller plus aisment sur de nombreuses machines qui deviennent ainsi vulnrables ce
type dattaque.
Certains keyloggers sont en vente libre (exemple: Ghost Keylogger ou Keylogger pro).
2.2.1.3.2 Publiciel et espiogiciel
Au fil de la navigation sur le Web, divers programmes sont installs sur lordinateur linsu de
lutilisateur. Ils sont plus communment connus sous leurs terminologies anglaises dadware et de
spyware.
Un adware (Advertising Supported Software) est un logiciel qui permet d'afficher des bannires
publicitaires. La plupart des annonceurs sont juridiquement lgitimes et leur socit commerciale
reconnue. Les programmes ne diffusent pas dinformation vers lextrieur mais permettent la
planification cible de messages daccroche.
Les spywares sont des adwares qui installent sur le poste de l'utilisateur un logiciel espion et
envoient rgulirement et, sans accord pralable, des informations statistiques sur les habitudes de
celui-ci. Certains spywares ne se contentent pas de diffuser de linformation. Ils modifient les
paramtres systme leur avantage pour imposer, lutilisateur qui en est la victime, un certain
Les Virus Informatiques
CLUSIF 2005
mode de navigation sur le Web. Ces logiciels peuvent aussi capturer vos habitudes en consultation
hors ligne. Ils expdient les rsultats de leur collecte chaque ouverture du navigateur.
Certaines rumeurs font tat dune utilisation de la carte son des fins dcoute. Cette technique est
tout fait envisageable mais aucun cas concret na pu tre tabli.
Pour contrer tout cela, il existe aujourdhui des solutions spcifiques de dtection-radication, mais
les nouvelles versions des logiciels antivirus prennent aussi en compte les spywares. Plus que
jamais, la mise jour de la base de signatures est ncesaire.
2.2.1.4 Outils dattaque rseau
2.2.1.4.1 Attaque en Dni de Service (DoS, Denial of Service)
En terme de serveur et, plus rarement de poste client, une attaque de type DoS est une activit
consistant empcher quelqu'un d'utiliser un service. Pour ce faire, lattaquant utilise un
programme qui cherche rendre le systme cibl indisponible en le faisant se suspendre ou en le
surchargeant.
En terme de rseau, une attaque de type DoS consiste submerger la victime d'un flot de trafic
suprieur sa capacit de traitement. La bande passante est alors sature et le rseau devient
indisponible.
2.2.1.4.2 Attaque en Dni de Service Distribu (DDoS)
Il sagit dune attaque de type DoS qui utilise un grand nombre de machines simultanment.
Ce type d'attaque se droule gnralement en deux temps. L'attaquant tente dabord dinstaller son
outil sur le plus grand nombre de machines possibles. Celui-ci est programm pour se dclencher
soit sur commande (cas des botnets), soit un instant prdfini. Il doit ainsi provoquer une
surcharge bien plus importante que dans le cas dune attaque unique.
2.2.1.5 Outils dappropriation de ressources
2.2.1.5.1 Numroteur furtif
Un numroteur furtif (en anglais dialer) est un programme grant une connexion rseau distance.
Il s'agit souvent de faciliter une liaison vers un site au contenu licite par le biais dun numro
tlphonique surtax. Ces programmes s'installent gnralement de manire silencieuse lors de la
navigation Web.
Dans certains cas, le programme dialer dmarre en mme temps que l'ordinateur sans que
l'utilisateur en ait la connaissance. Il tablit la liaison automatiquement et reste en ligne aussi
longtemps que la session est ouverte. Ils concernent essentiellement les connexions en bas dbit via
la ligne tlphonique, lADSL impliquant un autre mode daccs Internet.
2.2.1.5.2 Relais de spam
Installs sur la machine linsu de son propritaire, ces mini-serveurs permettent lmission du
courrier non-sollicit (spam) vers les victimes de spammeurs. Cette technique leur vite de se faire
eux-mmes dtecter et bloquer directement par leur fournisseur daccs. Cette pratique quivaut
un dtournement de ressources.
CLUSIF 2005
10
CLUSIF 2005
- Les vers qui, comme nous lavons vu, sont les infections typique des rseaux.
De nombreux virus cumulent les cibles et renforcent ainsi leur capacit de contamination. Ils
prennent alors les noms de virus multipartites ou multifonction.
Une nouvelle classe de programmes malveillants se dveloppe depuis 2003 : il sagit des robots. Ils
cumulent souvent une fonctionnalit de type ver et une activit dappropriation de ressources,
dattaque rseau et/ou despionnage.
2.3.1 Virus programme
Les virus programme cherchent infecter les excutables binaires compils. Le principe de
fonctionnement est le suivant :
1) le virus est prsent dans un fichier excutable,
2) lorsque celui-ci est excut, le virus choisit et contamine un ou plusieurs autres fichiers,
3) il agit gnralement par ajout entranant une augmentation de taille,
4) sil se maintient rsident en mmoire, il infecte d'autres fichiers l'excution, ou simplement
lors d'une manipulation.
Il existe plusieurs types de programmes, et chacun d'eux peut faire l'objet d'une attaque virale
spcifique :
Programmes DOS. Jusquen 1999, la majorit des virus programmes fonctionnaient sous DOS et
ciblaient les fichiers excutables par ce systme d'exploitation. Dj limite cette poque, la
proportion des infections dues ces virus DOS na cess de diminuer pour tre presque inexistante
aujourdhui. Les plus courants dentre eux taient rsidents en mmoire et utilisaient la technologie
par ajout. Ils taient souvent furtifs, crypts et polymorphes.
Application Windows 16 bits. Ces programmes sont aussi appels New Executable (NE EXE).
On les rencontre dans les environnements Windows 3.x. Une trentaine de virus ciblant cette plateforme ont t recenss. Leur diffusion a t quasi nulle.
Application Windows 32 bits. Ces programmes sont aussi appels Portable Executable (PE
EXE). Les fichiers VxD sont appels Linear Executable (LE). On les rencontre dans les
environnements Windows actuels. En forte expansion, certains utilisent des fonctions non
documentes du noyau de Windows et tout comme leurs prdcesseurs, ils peuvent prsenter des
caractristiques de furtivit, et de polymorphisme. Ils pourront tre - ou non - rsidents en mmoire.
A lorigine, des CD-ROM de jeu furent le principal vecteur de leur diffusion. Cette nouvelle
technique reprsentant un nouveau challenge pour les auteurs de virus, de nombreux sites
Internet les proposaient au tlchargement grand renfort de publicit.
Aujourdhui, leur diffusion se fait par la messagerie lectronique, les disques partags et les
changes de fichiers sur le modle poste poste . Linfection locale des fichiers sur le poste de
travail nest quune fonctionnalit complmentaire aidant la propagation du virus au travers du
rseau.
Pour tre complet, il nous faut citer les applicatifs OS/2 (NE New Executables - LX) et Linux
(ELF Internal Format). Quelques virus existent galement dans ces domaines.
11
CLUSIF 2005
secteur de partitions (MBR, Master Boot Record) pour les disques durs,
secteur damorce (Boot, Dos Boot Record) pour les disques durs et les disquettes.
Pour sapproprier lun de ces 2 secteurs, le virus peut tre introduit via un programme spcifique
(dropper ou virus multipartite). Les auteurs ont cependant immdiatement compris quil tait
beaucoup plus simple de concevoir un virus directement sous la forme dun secteur de dmarrage
de disquette. Le principe de fonctionnement adopt est le suivant :
1) le virus est prsent dans le secteur de dmarrage dune disquette,
2) il contamine le PC lorsque le BIOS excute le code,
3) il dplace ou crase le code original du BOOT ou du MBR du disque dur,
4) il remplace ce code par lui-mme,
5) il sauvegarde ventuellement le code excdent (code complmentaire du virus) dans
dautres secteurs, libres ou occups,
6) ds lors et chaque nouveau dmarrage, il sera rsident en mmoire et capable dinfecter
dautres disquettes sur un simple accs.
Exemples dinfection du MBR : Jumper.B, Antiexe.
Exemple dinfection du BOOT : Form.
2.3.3 Virus multipartites
Un virus multipartite cherche infecter les zones systmes des disques durs ou des disquettes et les
fichiers excutables. Selon des critres propres chaque virus, lune ou lautre des techniques
dinfection est mise en uvre un instant donn. Le but recherch est une plus grande propagation.
De tels virus infectent, par exemple, le secteur de partition du systme puis, une fois rsidant en
mmoire vive, infectent les fichiers excutables situs sur des units logiques.
Exemples : Tequila, One-Half.
2.3.4 Virus interprts
2.3.4.1 Virus de macro
Les virus interprts regroupent principalement les virus de macro et les virus de script. Du fait de
la sophistication des outils de bureautique actuels, tout fichier de donnes doit tre considr
comme potentiellement dangereux. Mme si aujourdhui de nombreux standards de fichier
nacceptent pas lencapsulation de routines automatisables (macros ou scripts), cette technique tend
se dvelopper. Un type de fichier aujourdhui inoffensif pourra ainsi rapidement devenir
dangereux.
Jusqu larrive de WM/Concept en 1995, le grand public tait persuad quun virus, considr
juste titre comme un programme, ne pouvait tre vhicul et introduit dans un ordinateur quavec
Les Virus Informatiques
12
CLUSIF 2005
laide ventuelle dun autre programme. En clair, seuls les fichiers excutables ou les zones
systmes des disquettes pouvaient, aprs infection, propager leur tour le virus. A contrario, les
fichiers ne contenant que des donnes taient sans danger.
La sophistication des outils bureautiques avec lapparition des langages de macro a boulevers la
donne. Sans toujours en imaginer les consquences, les fichiers de donnes contenant textes ou
feuilles de calcul se sont trouvs enrichis de routines automatisables et programmables. Par l
mme, ils devenaient un nouveau terrain de jeu pour les auteurs de virus.
Lorsque apparat le virus Concept , de nombreuses sources annoncrent que les chercheurs antivirus lavaient depuis longtemps envisag. Certains en souponnaient mme lexistence en Europe
ds le milieu de lanne 1988. Un article fut publi ce sujet en aot 1989, dans la revue
Computers & Security .
Ciblant Word 6 de Microsoft, WM/Concept (WinWord.Concept) fut cependant, en Aot 1995, le
premier macro-virus in-the-wild (dans la nature). Deux ans aprs (aot 1997), on en comptait
plus de 1300.
Se propageant rapidement, les virus de macro ont vite retenu lattention. Avant leur apparition
(1994), les virus systme reprsentaient environ 80 % des cas de contaminations signals, et moins
dune dizaine de virus reprsentait galement environ 60 % des cas signals. Ces statistiques ont t
bouleverses en quelques mois. Ainsi, les virus WM/Concept, WM/Npad, WM/Mdma, WM/Wazzu et
leurs variantes reprsentrent en 1998 la majorit des infections recenses.
Deux ans aprs, la trs grande majorit des virus de macro infectait les diffrentes versions du
traitement de texte MS-Word et du tableur MS-Excel (depuis les versions Office-95, jusqu' celles
incluses dans le pack Office-2000). Des virus existaient cependant sous MS-Access et MSPowerPoint. Pour mieux atteindre ces cibles qui ne faisaient pas l'objet d'changes incessants entre
utilisateurs, le concept de multiapplications fut remis la mode.
Potentiellement, tout programme utilisant des macro-commandes ou un macro-langage peut faire
lobjet dune attaque par un virus cr pour cet environnement. On a ainsi dtect quelques virus
contaminant les plates-formes Lotus AmiPro/WordPro, Lotus 1-2-3, Corel 7-9 et Visio 5.
Aprs avoir t rudimentaires, les modes de reproduction des virus de macro se sont sophistiqus.
Ils firent appel d'autres langages de programmation de haut niveau et non plus seulement au
langage machine assembleur . Le but de cet artifice fut souvent l'activation d'une fonction
malveillante (payload) ou le contournement d'une scurit. VBScript est un parfait exemple de ces
techniques. Il permet la cration de script FTP (W97M/GROOV) ou encore une interaction avec
des outils de messagerie (W97M/COLDAPE.A). Les techniques de chiffrement et de polymorphie
devinrent de plus en plus courantes.
13
CLUSIF 2005
Plus besoin de connatre l'assembleur ! Une telle simplicit se traduisit, l'poque, par l'apparition
de plusieurs dizaines de virus de macro par mois.
Considrant que la grande majorit des virus de macro en circulation infecte Microsoft Word, une
sage prcaution consiste mettre en lecture seule le fichier NORMAL.DOT et en conserver un
exemplaire sain. Selon le virus prsent, la procdure de restauration s'en trouvera facilite.
Les variations autour du concept de virus de macro sont nombreuses. Les modifications peuvent
porter sur l'environnement : menus, barres d'outils, raccourcis clavier, boutons. Les effets de la
charge virale peuvent tre similaires ceux des virus d'excutables : modification d'environnement,
modification de contenu, effacement de fichiers, etc.
Exemples : WM/Concept, W97M/Class, X97M/Laroux, O97M/Tristate, W97M/Melissa@MM.
2.3.4.2 Virus de script
VBScript a t cr partir de VBA et de Visual Basic. Il repose sur du code source en clair et non
sur du code compil tel que celui des applets. Tout un chacun peut donc voir et modifier le code des
scripts qu'il rencontre.
VBScript doit tre aussi considr comme un langage autonome. Il dtrne les fichiers de
traitement par lots composs d'une srie de commande DOS (fichiers batch).
Les premiers virus purement VBScript datent d'octobre 1998. En raison de leurs capacits de
propagation hors du commun, l'un des alias donn au premier n de la famille fut "rabbit"
(traduction, lapin). Leur nombre a ensuite augment paralllement la gnralisation de ce nouveau
langage.
Les Virus Informatiques
14
CLUSIF 2005
Leur apoge fut atteinte en 2000 en utilisant la messagerie lectronique comme vecteur de
propagation. Les prcurseurs apparurent en juillet 1999. Il s'agissait de VBS/Freelink@MM,
VBS/Monopoly@MM et VBS/Triplesix@MM.
2.3.4.2.2 Java
JAVA est un langage cr par Sun Microsystems. Il est comparable au C++ et orient objet. Il est
indpendant de toute plate-forme. Son excution ne ncessite que la prsence du processeur virtuel
Java Virtual Machine . Java permet de raliser deux types de programmes : des applets et des
applications. Alors qu'un applet n'est qu'une forme hybride de programme incorpor un document
HTML, Java permet aussi la ralisation d'applications intgres compltes et autonomes qui
peuvent avoir le contrle total du systme.
Le virus JV/Strange Brew est apparu en Aot 1998. Il sagit du premier virus natif Java. Il est
capable dinfecter aussi bien les applets que les applications.
Cependant ses capacits dinfection sont limites, un applet infect ninfectera pas un autre applet
ni une application. Linfection et la propagation ne peuvent avoir lieu au travers du Web. Il ne peut
se propager que depuis une application locale infecte en utilisant JAVA.EXE (kit JDK Java
Developpers Kit) ou lun de ses quivalents.
JV/Strange Brew est parfois considr comme tant le premier virus vritablement multi platesformes car il est capable de svir sur nimporte quel environnement excutant une machine virtuelle
Java : depuis les PC Windows jusquaux serveurs Unix et aux super calculateurs Cray.
2.3.4.2.3 JavaScript
JavaScript n'est PAS Java ! En effet, si Java est un langage compil, JavaScript, dvelopp par la
socit Netscape, est interprt. Le code est inclus soit dans une page HTML, soit dans un fichier
l'extension standard .js .
Du point de vue viral, notez bien la distinction faite au niveau du prfixe (JV pour Java, JS pour
JavaScript). A titre d'exemple, JS/TheFly@MM est un ver JavaScript. Il est contenu dans un fichier
attach the_fly.chm (Compiled HTML Help File).
En novembre 1998, certains parlrent de virus HTML. Il s'agissait en fait de code VBScript capable
de se propager via des fichiers HTML sur une machine locale.
Exemple : JS/Kak@M.
2.3.4.2.4 Traitement par lot
Bien avant lapparition des langages interprts modernes, certains auteurs se sont appliqus crer
des virus utilisant les commandes DOS au sein de fichiers batch (extension .bat). Mme sils sont
peu courants, certains dentre eux sont trs sophistiqus et peuvent tre rsidents en mmoire.
Exemple : BatMan.
2.3.5 Les vers
Il est possible de sparer les vers en deux grands groupes selon quils utilisent les rseaux locaux ou
quils sappuient sur Internet. A ces deux groupes, et de par la dfinition des vers, il faut rajouter
cette famille les vers de disquettes qui ne font que se recopier de rpertoires en rpertoires en
passant par le lecteur A:
Les Virus Informatiques
15
CLUSIF 2005
Il est facile de franchir le pas entre disques locaux (physiques ou logiques) et disques rseaux et la
technique des vers de disquettes sest trs vite tendue lensemble des disques partags ou
partageables. Linfection se droule gnralement de la manire suivante :
1) Recherche de disques accessibles .
2) Affectation de noms de lecteurs (mapping).
3) Copie du ver.
4) Excution.
Dans de nombreux cas lexcution est diffre. Le ver cherche par exemple se recopier dans un
rpertoire de dmarrage et attend son heure. De ce point de vue, VBS/Netlog dcouvert en fvrier
2002 en est un intressant exemple.
2.3.5.2 Vers de messagerie (mass-mailers)
On retrouve dans cette famille, des virus programme, des macro-virus et des virus de Script. Le
point commun est l'utilisation de la messagerie lectronique comme moyen privilgi de
propagation.
La notion de mass-mailer apparat en 1999 avec W97M/Melissa@MM. Dans une courte priode
de temps, les virus de ce type qui apparaissent expdient un nombre impressionnant de mails. Il a
fallu plus de six mois W32/Ska.A@M pour faire le tour du monde, Melissa n'a mis que deux
jours ; quelques heures suffirent VBS/LoveLetter.A@MM (virus de script).
Pour ces nouveaux venus, il fallait un signe de reconnaissance qui alerte le public. Sous l'impulsion
de Vesselin Bontchev et de Franois Paget, le CARO (Computer Anti-virus Research Organization)
adopta l'utilisation du suffixe @MM puis celui du suffixe @M :
A) Le suffixe @M est ddi aux virus/vers qui possdent un processus oprationnel de
propagation par messagerie et qui ciblent une seule bote aux lettres chacune de leur
activation.
B) Le suffixe @MM est ddi aux virus/vers qui possdent un processus oprationnel de
propagation par messagerie et qui ciblent plusieurs botes aux lettres chacune de leur
activation.
Mme si pour d'obscures raisons le caractre - remplace @ , compter de septembre 2000, la
WildList1 utilise ce standard.
2.3.5.3 Vers de lInternet
Organisme international qui a pour but de recenser l'ensemble des virus dans la nature (In-The-Wild) au niveau
mondial. La collecte seffectue grce de nombreux chercheurs rpartis sur les cinq continents. Les statistiques sont
mensuelles. Site internet : http://www.wildlist.org/
16
CLUSIF 2005
Illgal lorsque non libres de droits, l'change de fichiers musicaux et vido est une pratique de plus
en plus courante sur le Web. Plusieurs logiciels gratuits permettent ces changes de fichiers entre
les internautes.
Depuis mai 2002 de nombreux virus utilisent les rseaux poste poste (P2P - PEER TO PEER)
d'changes de fichiers. Le virus se copie gnralement dans lun des rpertoires systme de
Windows, modifie la base de registre pour pouvoir sexcuter chaque dmarrage et place de
nombreuses autres copies de lui-mme dans le dossier de tlchargement utilis par le logiciel
dchange. Afin d'attirer lattention, les noms retenus correspondaient des titres de chansons, de
films des jeux informatiques ou des fichiers caractre sexuel.
Aujourdhui, plusieurs centaines de vers ciblant KaZaA et/ou Morpheus sont connus.
Exemple : W32/Benjamin.worm, W32/Kazmor.worm.
2.3.5.5 Vers mIRC
Une de ces premires formes d'attaque est apparue en dcembre 1997 sur Internet, et notamment sur
IRC ( INTERNET RELAY CHAT ). L'une des plus connues, cible le fichier de configuration SCRIPT.INI
du logiciel mIRC (prononciation murk ).
Par dfaut, ce fichier se situe dans le rpertoire ddi au tlchargement. De plus, un excutable
list dans ce fichier s'excutera lors de la fermeture du logiciel.
Dans les versions mIRC infrieures V5.3, il est alors possible d'craser discrtement le fichier
SCRIPT.INI original par une version infecte. Une fois cette manipulation faite, lorsque l'utilisateur
rejoint le canal de discussion, il envoie son tour le virus toute personne qui rejoint ce mme
canal.
Tout comme les SCRIPT.INI, les nombreuses variantes de
Send en infectant entre autres MIRC.INI.
DMSETUP.EXE
Le ver UNIX/Admw0rm est apparu en Russie en mars 1998. Il est capable de se propager d'un
environnement Linux un autre en utilisant une faille des serveurs BIND (Berkeley Internet Name
Domain). Dans son environnement original et sa version actuelle, ce ver contient diverses
limitations. Une adaptation un environnement de type INTEL n'est cependant pas carter.
17
CLUSIF 2005
2.4 Fonctionnalits
2.4.1 Modes d'infection
Les diffrentes techniques dcrites ci-dessous sappliquent principalement aux virus programmes.
Certaines dentre elles sappliquent nanmoins aux virus interprts. Il existe en effet des virus
par recouvrement et par ajout parmi les macro-virus et les virus de script.
2.4.1.1 Recouvrement
18
CLUSIF 2005
Un virus par ajout modifie un programme sans le dtruire. Ayant altr le point d'entre, le virus
sexcute chaque fois que le programme est lanc, puis lui rend la main . Celui-ci fonctionne
alors de faon normale. La force dun virus par ajout est que le programme infect semble
fonctionner correctement ce qui peut retarder la dtection du virus. La faiblesse dun virus par ajout
est que la taille du programme est augmente de la taille du virus, ce qui rend un reprage fond sur
la variation de la taille des programmes possible.
Exemples: Cascade, Jrusalem, W95/Anxiety, W32/Chiton, VBS/Daydream.
Connaissant la structure spcifique du type des programmes contaminer, le virus modifie le point
d'entre du programme et insre tout ou partie de son code dans diffrentes zones non utilises. Le
fichier COMMAND.COM fut longtemps la cible privilgie de ce genre de virus ; dans ce cas, le code viral
pouvait se situer entre le bloc de code, le bloc des donnes, le bloc de pile stack . Cette technique
est maintenant rgulirement rencontre dans les environnements Windows.
Exemple : W95/Caw.
19
CLUSIF 2005
Le virus morcelle son code en modules insrs dans les espaces inoccups du programme hte
2.4.1.4 Point d'entre obscur
Avant infection, l'analyse du programme cible permet un positionnement du point d'entre du code
viral en un lieu variable au sein du fichier. Le point dentre du programme et les instructions qui
sy situent sont inchangs. Lorsque cette technique est associe une infection par cavit et un
codage polymorphique, la dtection devient trs problmatique. Cette technique est maintenant
rgulirement rencontre dans les environnements Windows. Elle est trs pnalisante pour les antivirus qui doivent parfois largir fortement leur zone de recherche.
Exemple : W95/Orez.
Le virus place son point d'entre dans un endroit variable du programme hte
2.4.1.5 Par virus compagnon
Il existe une prsance d'excution pour les fichiers excutables : les .BAT, puis les .COM, puis les
.EXE. Le virus compagnon va donc crer de toute pice un fichier du mme nom que le programme
choisi pour cible mais avec une extension diffrente. Si, lors de son appel excution, le nom seul
est utilis (ce qui est gnralement le cas), ce sera le code viral qui sexcutera en premier. Il
donnera ensuite la main au programme original pour ne pas risquer dalerter lutilisateur.
Pour durcir son ventuelle dtection, certains virus placent leur code dans un autre rpertoire,
prioritaire au sein de la variable systme PATH.
Exemple : BAT/bx.cmp, W95/Spawn.cmp.
20
CLUSIF 2005
Le programme hte est inchang, un programme de mme nom est ajout sur le disque
2.4.1.6 Par virus dlocalis
Le virus exploite le principe de fonctionnement de la table d'allocation des fichiers pour faire
pointer tous les fichiers excutables contamins vers le groupe (ou cluster ) contenant le code du
virus. Une fois le code excut, celui-ci rend la main au programme initial.
Ces virus sont peu nombreux mais peuvent savrer dangereux pour lintgrit des supports quils
infectent. En effet, les utilitaires testant lintgrit dun disque dcouvriront des anomalies (fichiers
croiss) et se proposeront de les corriger en entranant des destructions irrmdiables.
Exemple : Dir-II.
2.4.2 Gchette de dclenchement
De nombreux virus nont aucun module de dclenchement. Ils ne font que se propager en induisant
des perturbations que daucuns pourraient considrer trop rapidement comme mineures. Dautres
mettent immdiatement en uvre une fonctionnalit perturbatrice ou destructrice. Il serait trs
dangereux de considrer les seules phmrides comme moment de dclenchement de la charge
virale. Il existe une grande varit de gchettes, voire la combinaison de plusieurs ou un
dclenchement alatoire !
-
heure,
21
CLUSIF 2005
Qualificatif appliqu aux virus utilisant des sries dinstructions ou algorithmes rendant impossible
un dsassemblage via les outils ddis cet effet. Le chercheur devra neutraliser ces fonctions avant
de pouvoir entreprendre sa recherche.
2.4.4.2 Crypt
Le terme crypt est historiquement utilis de manire impropre en lieu et place du terme chiffr.
Dans tout ce document, nous avons pris le parti de ne pas droger cette habitude. Un tel virus se
dcompose donc en 2 parties : un programme de dcryptage et une suite d'instructions cryptes qui
forment le corps du virus. L'algorithme utilis est stable mais peut rendre le dsassemblage plus
dlicat.
2.4.4.3 Dfensif
Qualificatif sappliquant aux virus ayant des fonctions de protection, voire d'attaque, contre les
logiciels anti-virus non jour au moment de leur apparition.
2.4.4.4 Furtif
Qualificatif sappliquant aux virus camouflant leur prsence en renvoyant chaque requte du
systme dexploitation une information errone mais conforme celle qui serait retourne dans un
environnement sain.
2.4.4.5 Gnrateur de chiffrement
Les Virus Informatiques
22
CLUSIF 2005
Programme permettant de rajouter une fonction de cryptage, plus ou moins volue, au sein d'un
virus ne possdant pas cette fonction. Il existe aujourd'hui de nombreux programmes de la sorte.
Mme sil est considr comme simpliste aujourdhui, le plus mdiatique dentre eux fut crit par
Dark Avenger en 1991.
MuTation Engine <tm>
Version 0.90 (17-08-91)
(C) 1991 CrazySoft, Inc. written by Mad Maniac.
1.
License
You are free to include this Engine in viruses. Using it in another ways is
prohibited. You are free to give it to people that will only use it in this way.
MuTaion engine is free.
2.
How it works
Please read the whole document before trying to do something with the Engine.
If you have never written a virus in Assembler, DONT start with the Engine.
First do this, then return back to the Engine.
MuTation Engine is an object module that could be linked to any virus.It has been
written in Assembler and assembled under Turbo Assembler 2.5. We recommend that you
use this assembler to compile the viruses that will carry the Engine.
Linking it to an object file produced by other assemblers, or high-level languages
compilers is theoretically possible, but we never tried and do not recommend it.
We decided NOT to give up the Engines source code at this time.
The Engine will encrypt your code each time with a different encryption key. It
will also generate a routine to decrypt it, which will also differ each time. Both
the decryption routine and the encrypted code will have variable lengths.
Thus your virus will be hardly detectable.
believe this is not too big.
8. Final Notes
Well, thats for now.
No time for more. Look at the demo virus and other sample
files included here to get an idea how can you use it. After you include it in your
virus, please check carefully if the Engine does what you expect it to do. Feel
free to experiment with it. If you have problems using it, or have any comments or
suggestions about it, write a message to Dark Avenger at the:
Virus eXchange BBS in Sofia
Phone number: (+359)-2-??-????
Working hours: 20:00 - 06:00 GMT (in the winter)
19:00 - 05:00 GMT (in the summer)
The latest release of the Engine should also be available at that BBS.
Pass the Engine (all files together in an archive) to virus programmers only.
Greetings to all virus programmers
CrazySoft, Inc.
Bulgaria
23
CLUSIF 2005
Genvirus
2.4.4.7 Infecteur rapide (fast infector)
Virus qui n'attend pas l'excution d'un programme pour le contaminer. En mmoire, une simple
opration d'ouverture d'un fichier sain (exemple de la commande DIR) suffit pour qu'il puisse tre
infect.
2.4.4.8 Polymorphe
Qualificatif appliqu aux virus changeant leurs instructions ou simplement leur ordre chaque
infection. Il correspond en fait un virus crypt ayant intgr dans son programme de dcryptage
un algorithme de mutation. Il devient ainsi difficile de dtecter le virus par une chane d'octets sans
avoir pralablement dcrypt son code.
2.4.5 Principes d'identification
Malgr les efforts du CARO (Computer Antivirus Research organization), il n'existe pas
aujourd'hui dorganisme centralisateur unique pour l'identification de nouveaux virus. Le chercheur
qui dtecte une infection essaye de trouver un nom significatif, sans toujours suivre des rgles
prcises.
2.4.5.1 Les diffrents critres
On utilise couramment la taille en octets (4096), un extrait du message qui apparat soit l'cran
(Stoned), soit dans le corps du virus (Tequila), un nom rappelant l'effet principal du virus (Disk
Killer) ou encore un numro associ un nom lorsqu'il existe de nombreuses variantes (V2P6).
Cette anarchie est parfois source de confusion lorsque deux diteurs anti-virus appellent
diffremment un mme virus (Jerusalem = Israelian = PLO = Friday the 13th), ou lorsqu'un mme
virus est appel diffremment d'une version l'autre d'un mme produit anti-virus.
2.4.5.2 Essai de normalisation du CARO
Le CARO est une association internationale informelle regroupant un certain nombre de chercheurs
anti-virus. Cest un lieu dchanges privs entre spcialistes. Lun de ses rles est lunification des
noms des virus ; il permet aussi aux spcialistes des changes rapides et scuriss. Il na aucune
ouverture vers le public et les mdias.
Le CARO a dit en 1991 un document explicitant cette normalisation dans le choix et la forme du
nom des virus. Ce document a t remis jour en 1993 (il est disponible sur demande auprs du
CLUSIF). En 1996, le CARO, et plus particulirement Vesselin Bontchev, proposrent la
normalisation du nom des macros virus. C'est cette rgle qui est gnralement utilise par la
profession.
Les Virus Informatiques
24
CLUSIF 2005
Le dernier document public du CARO fut tabli avant l'apparition des macro-virus, des virus de
Script, des vers, etc. Certains membres de cette association militent aujourd'hui pour sa mise jour
qui interviendra peut-tre en 2005.
Un intrt moindre pour les auteurs de virus par rapport au nombre beaucoup plus important
de machines installes sous Windows.
On notera que les systmes dexploitation Macintosh font plus lobjet dattaques de type cheval de
Troie ou exploitation dune faille de scurit au niveau systme dexploitation ou au niveau
applicatif.
Parmi les virus Macintosh, on peut citer : MacMag, nVIR, Hpat et Init29.
2.5.2 Linux et les systmes dexploitation Unix
La grande nouveaut offerte par le systme Linux ft la stabilit du systme dexploitation.
Toutefois, il nest pas intrinsquement scuris et encore moins de manire permanente. De
nombreuses failles, parfois critiques, sont rendues publiques mais lenvironnement du logiciel libre
permet une grande ractivit au niveau mondial dans la mise disposition de correctifs de scurit.
Le mythe qui consiste dire quUnix est insensible aux virus persiste toujours. Signalons tout
dabord que les virus systme ddis au DOS peuvent tout fait affecter une machine fonctionnant
sous Unix. Il ny aura pas propagation mais activation ventuelle de la charge virale (si elle existe)
ou corruption du processus de dmarrage.
Les projecteurs sont souvent braqus sur Linux, quelques virus existent cependant dans les
environnements BSD et SunOS. Les virus possdant dans leur intitul le prfixe Unix sont multi
plates-formes.
Les virus Unix existent depuis longtemps. Le premier dentre eux date de 1997 et se nomme
Linux/Bliss. Dans un premier temps ils furent simples et non-rsidents en mmoire. Ils sont
maintenant aussi performants que les virus 32bits Windows. Ils mettent en uvre des techniques
pointues de polymorphie et utilisent, pour certains, la technique du point dentre obscur qui rend
leur dtection plus difficile que par le pass.
En juin 2002, exploitant sans imperfection ces dernires techniques, apparat {W32, Linux}/Etap.D.
Cette notation indique que ce virus, premier du genre, est mme dinfecter aussi bien les machines
Windows que les machines Linux. Egalement connu sous le nom de {Win32, Linux}/Simile.D, il
vrifie, sa premire excution, la date du jour. Sil sagit du 17 mars ou du 17 septembre (sous
Les Virus Informatiques
25
CLUSIF 2005
Windows) ou du 17 mars ou du 17 mai (sous Linux), il affiche une bote de dialogue prcisant son
crateur : un certain Mental Driller, du groupe 29A (concepteurs de virus).
A Moment Of Silence
26
CLUSIF 2005
Buddylst.zip
Deeyenda
Good Times
Irina
Penpal Greetings
Win a Holiday
Elles sont souvent d'origine anglo-saxonne mais, pour la plupart, elles ont t traduites en franais
pour une meilleure (!) diffusion dans l'hexagone.
On retrouve dans l'exemple ci-aprs la plupart des critres quune rumeur doit remplir pour russir
leurrer son monde :
-
Sensationnalisme. La rumeur est de nature appter les mdias qui en sont avides
(recherche de scoop), lopinion publique qui y est sensible ou une communaut Internet
particulire. La prsentation est accrocheuse .
Existence dembryons de preuve pour que la rumeur ne soit pas rejete demble
mais, dans le doute, bien prise en compte.
Incitation la propagation.
27
CLUSIF 2005
!!!!!!!!!!!
message intitul
De nombreuses rumeurs peuvent tre regardes a posteriori, comme de simples farces. Cependant,
propages grande chelle au travers des messageries l'aide de listes de diffusion, elles peuvent
perturber, voire bloquer temporairement le systme de communication. Elles entranent aussi un
surcrot de travail consquent des quipes du centre d'assistance technique (help desk) qui doivent
traiter les appels des utilisateurs inquiets.
Jusqu' prsent, la plupart de ces rumeurs sont identifiables leur caractre excessif. Elles visent
toutes faire croire la prsence de faux virus sous une forme ou une autre. Il faut nanmoins
sattendre pour lavenir des morphologies de rumeurs beaucoup plus perverses et agressives. Plus
difficiles apprhender, certaines rumeurs d'aujourd'hui peuvent devenir demain des ralits.
Dans tous les cas, il convient de garder une attitude autocritique, lucide et de bon sens. Ne
transfrez pas ces messages votre entourage sans avoir au pralable consult le service
informatique de votre entreprise ou des institutions comptentes telles que le CIAC, le CERTIST ou le site www.hoaxbuster.com
2.6.3 Le courrier non sollicit (spam)
La Commission Nationale de l'Informatique et des Liberts (CNIL) donne du spam la dfinition
suivante : il s'agit de l'envoi massif et parfois rpt de courriers lectroniques non sollicits des
personnes avec lesquelles l'expditeur n'a jamais eu de contact, et dont il a capt l'adresse
lectronique de faon irrgulire.
Les Virus Informatiques
28
CLUSIF 2005
Nous savons tous quil est extrmement facile et peu coteux datteindre des centaines dindividus
au travers du courrier lectronique. Cela na pas chapp aux publicitaires et divers individus peu
recommandables qui se cachent souvent derrire une adresse falsifie pour inonder nos botes aux
lettres. Lexpditeur ne connat pas les destinataires, il ne cible ni ses relations personnelles, ni ses
relations professionnelles. Les adresses ont t collectes grande chelle. On retrouve
principalement dans ces courriers :
- des messages caractre commercial,
- des incitations la visite de site Web,
- des incitations la prise de contact (pornographie).
2.6.4 Les arnaques financires
Cet aspect de la malveillance informatique nest pas prcisment classer dans la famille des
rumeurs ou du courrier non sollicit. Il tient directement de la fraude financire.
Le courrier lectronique en question prtend provenir du fils dun haut fonctionnaire, du frre dun
industriel ou encore de la femme dun ex-chef dtat africain. Il vous explique quune importante
somme dargent est bloque quelque part. Avec votre aide, et en utilisant votre surface financire
pour le transfert de fond, votre contact vous explique quil serait possible de dbloquer ces sommes,
et une rcompense substantielle vous est propose si vous acceptez ce contrat.
Si vous rpondez ces mails, votre correspondant vous demandera sans doute douvrir un compte
sur une banque africaine en y versant des liquidits pour payer des taxes, des frais davocats ou
encore des bakchichs qui pourront aider au bon droulement de laffaire. Il vous interrogera
galement sur votre environnement financier en vous en demandant les dtails. Il est donc
important de ne jamais rpondre ce type de message.
Le phishing est une autre technique lie au monde de la finance. Il sagit dobtenir des donnes
sensibles afin de commettre des impostures lidentit et des escroqueries financires. Limposture
dbute souvent par la rception dun courrier non sollicit, lescroc la ralise en 3 tapes :
1)
il se fait passer pour qui il nest pas (une entreprise connue) pour solliciter les donnes
convoites auprs des internautes.
2)
Il prsente des contenus fallacieux qui font illusion (motifs voqus, faux liens, fausses
pages web, etc.).
3)
Une fois les donnes convoites recueillies, il se fait passer pour qui il nest pas (les
internautes escroqus) afin de se procurer des services ou des biens (argent,
marchandises, papiers didentit et autres documents administratifs).
Des courriels sannonant en provenance deBay (site denchres sur Internet), circulent en avisant
les personnes que leur compte semble avoir t pirat. Les utilisateurs du site doivent suivre le lien
dans le message sils ne veulent pas que leur compte soit suspendu. Ils sont alors re-dirigs vers une
page web qui porte le logo deBay. Cette page demande tout dabord le pseudo et le mot de passe.
Une fois ceux-ci renseigns, un long questionnaire est propos et de nombreuses donnes prives
sont demandes.
29
CLUSIF 2005
30
CLUSIF 2005
Les particuliers et les entreprises doivent diversifier leurs dispositifs et amliorer ainsi leur niveau
de scurit. Ces autres outils scuritaires deviennent au fil du temps indispensables. Cette dfense
en profondeur est aussi une opportunit pour :
-
Une varit dans les ressources de scurit avec des antivirus de moteurs diffrents entre
ceux installs sur les postes de travail, les serveurs, les passerelles Internet quand la taille de
lentreprise devient consquente ou que sont activit en ligne est critique.
Le dploiement dune politique de correctifs qui intgre une phase de test, la surveillance
des failles au niveau systmes dexploitation et applications mais aussi, qui prend en compte
lensemble des quipements et ressources prsents sur le rseau routeurs, imprimantes,
solutions de scurit (antivirus, parefeu).
Laspect humain entre galement en jeu ; linformation et la sensibilisation des utilisateurs ne sont
pas ngliger. Une fois expliques et comprises, les rgles de base doivent tre formalises dans un
document reprenant les points cls de la rglementation interne. Le fait de dsactiver lanti-virus
doit tre prsent comme une faute grave.
Les tableaux suivants nous montrent aussi que les moyens de prvention et de protection diffrent
selon le niveau concentrique choisi. Une fois ceux-ci activs, la responsabilit des divers acteurs
nen est pas pour autant vacue. Ceux-ci doivent rester conscients des risques quun acte
inconsidr pourrait occasionner quelque niveau que ce soit.
31
CLUSIF 2005
Solutions/Mesure
s
Contraintes/Problmatiques
Poste utilisateur
fixe, poste
utilisateur
nomade,
organiseur et
tlphone IP
Politique de
correctifs
Verrouillage de configuration
Responsabilit de lentreprise suite un acte
engag par un membre de son personnel.
La protection du poste de travail est dterminante. Chaque poste de travail doit tre muni de son
anti-virus. Mme si le virus pntre la passerelle Internet dans un format non reconnu, mme sil
nest pas dtect sur le serveur, il doit tre intercept avant que lutilisateur nait son poste infect.
Maintenir jour le logiciel anti-virus de la station de travail est lune des tches les plus ardues de
ladministrateur systme. Ceci est spcialement le cas sur les quipements nomades qui ne sont pas
connects en permanence au rseau. Les socits dveloppant des anti-virus offrent leurs propres
outils de dploiement. Ds quun parc informatique devient moindrement important, leur utilisation
devient indispensable.
Il est aussi impratif de pouvoir verrouiller la configuration choisie afin dviter une modification
de la configuration ou une dsactivation volontaire ou involontaire de lanti-virus.
Associ lanti-virus, le pare-feu personnel est indispensable sur un poste portable. Il permet le
passage slectif des flux d'information entre la machine et le rseau interne et/ou public. On le
trouve galement sur des postes dexploitation (process) qui sont interfacs avec les automates ou
les applications de fabrication industrielle ; et pour lesquels, le dploiement de correctifs est dlicat
de faon automatique en raison des conditions dexploitation.
Le pare-feu personnel sinstalle directement sur la machine de lutilisateur, quil soit un particulier
ou un employ nomade de lentreprise.
Les mises jour critiques qui sappliquent au systme dexploitation doivent tre appliques de
manire rigoureuse. Il faut aussi en apprcier les criticits :
-
Celle par rapport lusage de la ressource qui en fait dans lentreprise. Lanalyse de risque
dans lentreprise, pour prendre en compte ces nouvelles menaces peine caractrises doit
donc sappuyer une action de veille.
Pour le poste de travail, l'automatisation de l'installation des correctifs de scurit demeure loption
recommande. Les personnes ayant une connexion lente peuvent demander Microsoft lenvoi
dun kit qui contient l'ensemble des mises jour critiques pour Microsoft Windows.
Des offres de scurit existent aujourdhui pour les PDA. Elles protgent ces quipements contre
les quelques virus et chevaux de Troie actuels mais ne sattaquent pas aux menaces mergentes.
Les Virus Informatiques
32
CLUSIF 2005
Solutions
/Mesures
Contraintes/Problmatiques
Outil de dploiement
Dgradation de la bande passante interne
Certains virus induisent des
dysfonctionnements dimprimante rseau
(W32/Codered)
Lapplication des mises jours critiques, des correctifs ( patchs ) et des mises jour applicatives
ou systmes s'tendent aussi aux ressources partages. Les administrateurs devront de prfrence
utiliser des outils ddis qui en greront le dploiement. Ces gestionnaires de correctif et de
configuration aideront et superviseront tous les processus de mise en place.
Rappelons quil est trs fortement dconseill de naviguer sur Internet partir dun serveur. Ce
procd semble trs pratique pour rcuprer un correctif, consulter une base de connaissances, mais
il vaut mieux le faire dune autre station, et obliger les intervenants extrieurs faire de mme.
Mme si lanti-virus risque dinduire une dgradation dans la vitesse du trafic, celui-ci est fortement
conseill en entre/sortie des serveurs de donnes.
Les priphriques modernes et les PABX actuels peuvent contenir un systme dexploitation
vulnrable et faire lobjet dattaques de tous ordres, y compris virales.
Solutions/Mesures
Contraintes/Problmatique
s
Responsabilit de lentreprise
La passerelle Internet, le Anti-virus, pare-feu, antiserveur de messagerie et le spam, IDS/IPS et filtrage de en cas de pollution extrieure.
contenu, dURL, de port
routeur
Politique de correctifs
Nous sommes la porte dun monde qui peut savrer hostile. La mise en place dun anti-virus et
dun architecture de pare-feu est ici de la plus grande importance. Ces quipements complteront
les dispositifs prcdemment dcrits en protgeant le rseau interne de lentreprise lorsque celui-ci
dbouche vers lextrieur.
33
CLUSIF 2005
Les anti-virus pour passerelles devront traiter le plus grand nombre de types de trafic (FTP, HTTP,
SMTP) et savoir analyser un large panel de formats de documents. Ils devront aujourdhui
prendre en compte les flux de messagerie instantane ou ceux des tlchargements poste poste ou
encore de la tlphonie sur IP
Le contrle de contenu est une solution de surveillance ddie la messagerie lectronique et la
navigation Internet (HTTP, FTP). Outre le fait que certains de ces outils savent dtecter les virus
et autres codes malveillants, ils permettent une analyse lexicale par mots cls dans les mails ou dans
les URL.
Linstallation dun logiciel anti-spam permettra de bloquer ou de limiter la prolifration des
messages non-sollicits ou les phnomnes de mailbombing.
Fonctionnant comme des solutions anti-virus ou anti-spam, les systmes de dtection d'intrusions
(IDS, Intrusion Detection System) se rfrent une base de signatures d'attaques connues. Elles ne
peuvent dtecter que celles dont elles possdent la signature.
Afin de donner leur solution plus de ractivit lorsqu'une attaque surgit, certains diteurs ont
dcid de transformer leur offre en IPS (Intrusion Prevention System) et axent leur technologie vers
la prvention proactive, capable de ragir en temps rel lorsqu'une anomalie est dtecte ou qu'une
intrusion est avre. Lquipement fonctionne selon des rgles de comportement et de signatures
d'attaques : il surveille les attaques en dpassement de tampon (buffer overflow), les lvations de
privilges, les chargements en mmoire, les modifications critiques du systme dexploitation,
lutilisation excessive du CPU, la diminution soudaine de la bande passante, etc.
Les quipements signalent des divergences par rapport au fonctionnement normal des lments
surveills. Contrairement au pare-feu, qui traite des requtes et les interdit, de tels systmes les
analysent de faon continue et ne ragissent qu'en cas d'anomalie.
Solutions/Mesures
Contraintes/Problmatique
s
Scanner de vulnrabilit
Responsabilit dun
inconnu lentreprise suite
un acte quil engage
volontairement ou non.
le virus peut retrouver sur la machine des URL et adresses de messagerie qui vous
correspondent.
34
CLUSIF 2005
Des scanners de vulnrabilit peuvent permettre de faire un audit en valuant la rsistance des
machines au sein dun rseau protg. Un outil efficace doit savoir dtecter les failles et prconiser
des solutions.
Au del des dispositifs techniques de scurit, il faut aussi utiliser toutes les dispositions
contractuelles ou lgales disponibles : des lois rcentes prcisent les responsabilits des acteurs,
accroissent les obligations des fournisseurs en matire de traabilit. On peut enfin noter un
renforcement du nombre de policiers ou de gendarmes spcialiss dans la lutte contre la
cybercriminalit.
un rglement intrieur.
Il est possible de nommer des correspondants scurit qui pourront servir de relais bidirectionnels
dans leur environnement proche.
En prise directe avec les utilisateurs, le centre d'assistance (help desk) doit travailler en lien troit
avec lquipe scurit. Celle-ci doit savoir comment ragir face aux interrogations des utilisateurs et
valuer la pertinence dune mise jour force et anticipe des outils de protection. Elle doit aussi
pouvoir valuer un risque ponctuel imposant un changement temporaire du niveau de scurit
appliqu (blocage dune nouvelle extension de fichier, passage au mode danalyse heuristique, etc.).
Les fiches dintervention ou de procdures seront adaptes pour prendre en compte la spcificit de
traitement pour lalerte en cours de traitement.
Selon limportance de lentreprise on envisagera ou non, la mise en place dquipes dastreinte
(pour la veille technologique et lintervention) pouvant aller jusquau 24/24 7 jours sur 7.
35
CLUSIF 2005
36
CLUSIF 2005
37
CLUSIF 2005
Un travail d'analyse permet d'isoler ces lments constants. Le rsultat se prsente sous la forme
dune ou plusieurs chanes hexadcimales accompagnes, ou non, de jokers (mta caractres tels
que * ). Celles-ci ne sont pas recherches un endroit prcis mais au sein dun intervalle que le
chercheur doit galement dfinir. La seule localisation de ces indices dans une zone adquate du
fichier indiquera la prsence du virus. Il pourra alors sagir dune variante connue ou encore
inconnue. Les souches dtectes sont alors annonces sous un nom gnral du type :
VBS/LoveLetter.gen@MM ou W32/Gara.gen@MM.
La recherche gnrique est galement trs efficace dans la recherche de programmes non-auto
reproducteurs inconnus.
4.1.3 Le contrle dintgrit
Tout comme les mthodes prcdentes, le contrle dintgrit est un procd capable de fonctionner
en mode statique ou dynamique. Sachant que toute action virale saccompagne dune
modification (des fichiers sont modifis, ou dautres sont crs) la surveillance dbute par
ltablissement dune photographie de rfrence ( code checksum , CRC : code de
redondance cyclique ). Celle-ci sopre dans un environnement rput sain. Les donnes sont
ensuite compares au fil du temps. Si le rsultat du CRC a chang (fichier modifi) ou sil est
absent (fichier ajout), une alerte est mise.
Cette mthode est en thorie infaillible. Des expriences ont cependant t menes par le pass
dmontrant quil tait possible dautomatiser la cration de couples de fichiers (avant et aprs
modification) rpondant au mme checksum. Il a ainsi t possible de tromper certains contrleurs
dintgrit pour peu quon en dcouvre la loi mathmatique interne.
Le procd a nanmoins t frquemment utilis dans les environnements MS-DOS et son abandon
na rien voir avec une ventuelle fragilit. Celui-ci peut tre durci par renforcement de
lalgorithme (CRC 32bits, CRC 64bits). Les raisons de la perte dintrt de la mthode sont
multiples.
En premier lieu, la technique suppose que le poste de travail ne soit pas infect linitialisation de
la base de rfrence. De nombreuses stations avec un virus systme ou un ver firent ainsi lobjet
dune vaccination . Il fallut attendre plusieurs mois, et lutilisation dun scanner jour pour
sapercevoir de linfection.
En second lieu, elle ne peut efficacement sappliquer que sur des quipements stabiliss, exempts
de modifications, dajouts et de suppressions frquentes de logiciels. Si ce nest pas le cas, seules
les zones systmes et quelques rpertoires pourront bnficier de la protection. Il faudra par ailleurs
la dsactiver chaque mise jour, et sassurer de la provenance et de la qualit des nouveaux
fichiers qui seront considrs comme sain.
Les ordinateurs sont aujourdhui interconnects, leurs utilisateurs tlchargent chaque jour des
dizaines de fichiers et installent de frquentes mises jour. Lespace stabilis au sein dune
machine samenuise inexorablement et explique la disparition de la mthode comme procd de
lutte anti-virale.
Plutt que de crer une base de rfrence, certains logiciels marquent les fichiers en leur
ajoutant, comme le font de nombreux virus, quelques octets. Cette mthode est dangereuse plus
dun titre : le retour en arrire nest pas toujours optimal et la modification du code excutable dun
programme peut rserver un jour ou lautre des surprises
38
CLUSIF 2005
un saut inter-section,
Tous les anti-virus modernes utilisent fortement cette mthode en complment de la dtection par
signature.
4.1.5 Le monitoring de programmes
Il sagit ici danalyse comportementale. Elle repose sur l'analyse dynamique des oprations de
lecture et d'criture en mmoire ou sur un support physique. Citons simplement titre dexemple
trois vnements majeurs quil semble bon de surveiller :
-
Par le pass, cette mthode tait parfois directement couple lanti-virus. Son principal dfaut
tait le dclenchement dalertes intempestives quun utilisateur non averti ntait pas toujours
mme dinterprter : sagissait-il dune manifestation dun virus inconnu ou dun fonctionnement
normal ?
Aujourdhui, ce procd est mis en uvre au sein de produits spcifiques ce mode de dtection.
La phase dinstallation de ces logiciels ddis dbute par un apprentissage et une reconnaissance
des oprations lgitimes. La dtection qui en rsulte dpasse largement la sphre anti-virale pour
sattacher prvenir tout type dintrusion. Ces nouveaux produits deviennent indispensables alors
que la frontire entre auteurs de virus et criminels informatiques de tout bord samenuise de jour en
jour.
Les Virus Informatiques
39
CLUSIF 2005
4.2 Lradication
Lorsquun virus a russi traverser les dfenses places sur son chemin, lentreprise contamine
doit avoir sa disposition des procdures efficaces pour contenir linfection et restaurer les
quipements infects pour rtablir leur configuration dorigine sans perte de donnes.
Face une infection, et dun point de vue thorique, un anti-virus doit savoir liminer tous les virus
quil rencontre. Les thoriciens indiquent quun virus fonctionnel doit tre capable dinfecter
successivement 2 environnements ou 2 fichiers. Si cest le cas, le virus est viable : il a su
sauvegarder les donnes qui permettent llment infect de fonctionner. Cest lanti-virus de
savoir les restituer.
Pour obtenir lradication lanti-virus doit lancer un processus automatis inverse. Le succs
sobtiendra aprs :
1) tude du code viral,
2) comparaison des fichiers sains et infects,
3) localisation des donnes dplaces et sauvegardes,
4) marquage des fichiers nouvellement crs,
5) recherche des modifications annexes induites sur le systme (par exemple la modification de
la base de registres).
En labsence dinfection locale sur des fichiers prexistants, lradication se limite la destruction
du processus en mmoire, leffacement des fichiers superflus et la suppression des cls de
lancement automatique.
Le travail se complique lorsque des fichiers sains ont t modifis pour accueillir le code viral. Si
ces fichiers sont encore oprationnels une fois infects, il est bon de rpter que lradication est
toujours techniquement possible. Elle est directement lie la comptence du chercheur qui doit
mettre au point la parade.
De nombreux virus endommagent des fichiers sans pour autant se propager correctement. Les
collections virales contiennent des milliers de codes de ce type. Leur excution entrane parfois une
erreur systme qui stoppe linfection avant quelle naboutisse. Le systme rend gnralement la
main et rien danormal ne semble stre produit. En anglais, ces virus supposs sont qualifis
dintended.
Si les premires tapes de linfection virale ont lieu, les fichiers atteints sont gnralement
corrompus et le retour en arrire par radication devient impossible.
Dautres virus ne savent pas correctement diffrencier les fichiers quils sauront infecter de ceux
quils dtrioreront. Pour les distinguer, certains anti-virus utilisent le suffixe dam ou cor
(en anglais, damaged ou corrupted) et effacent les souches quils ne peuvent restaurer. Lun des
exemples rcent est W32/Magistr@MM dont la dnomination W32/Magistr.dam sapplique de
nombreux fichiers dfinitivement perdus.
40
CLUSIF 2005
5. LASPECT JURIDIQUE
5.1 Les actions juridiques possibles
La cybercriminalit recouvre deux types dinfractions :
-
les infractions dont la ralisation est lie ou facilite par les technologies de linformation et
de la communication et pour lesquelles l'informatique nest quun moyen.
Lexprience semble montrer que les dlits lis au Systme dInformation et raliss dans un but
acadmique ou ludique sont souvent traits au civil. Les dlits facilits par le Systme
dInformation (dlit de droit commun, vol, escroquerie, attaque de site commerciaux, DDoS (dni
de service distribu)) se retrouvent plutt au pnal.
La responsabilit civile dsigne lensemble des rgles qui obligent lauteur dun dommage caus
autrui rparer ce prjudice en offrant la victime une compensation. Elle se divise en deux
branches selon que les protagonistes sont unis ou non par un lien contractuel. La responsabilit
contractuelle est lobligation de rparer le dommage rsultant de linexcution dun contrat ; la
responsabilit dlictuelle suppose la rparation du dommage caus en dehors de toute relation
contractuelle.
La responsabilit civile soppose la responsabilit pnale qui vise sanctionner lauteur dune
infraction pnale portant atteinte lordre social. Lauteur dune infraction pnale et son complice
sont condamns des peines pcuniaires au profit de lEtat (lamende) et / ou des peines
privatives de libert (prison et droits civiques), tandis quau civil les condamnations pcuniaires
sont du ressort de la rparation (dommages et intrts).
41
CLUSIF 2005
lanalyse de limpact. Cest au regard de cette valuation que se dcideront les ventuelles
poursuites (civil ou pnal).
Frdric Duflot, les infections informatiques bnfiques : chroniques dun anathme, Droit
du numrique et des nouvelles techniques.
Un virus pouvant tre considr comme un logiciel, sa mise en place doit tre signale. Elle
ncessite laccord pralable de lutilisateur du systme informatique qui va le recevoir.
Larticle 1382 du code civil prcise que la mise en uvre de la responsabilit dlictuelle ncessite
une faute, un dommage et un lien de causalit entre les deux. Il est envisageable de retenir la
responsabilit dlictuelle dune personne qui introduit un virus linsu dun utilisateur dans son
systme. Dans ce cas, la faute sapparente une intrusion dans un systme informatique linsu de
son utilisateur ou une installation de logiciel sans autorisation. Le dommage consiste en la perte
et/ ou laltration de donnes personnelles. Il peut entraner loctroi de dommages et intrts ds
lors que cette faute est rapporte, quun prjudice est prouv et quun lien de causalit est admis
entre cette faute et ce prjudice.
5.3.1.2 Responsabilit civile contractuelle
La mise disposition par un fournisseur dun logiciel contenant un virus peut entraner son
dysfonctionnement. La responsabilit civile du prestataire peut ainsi tre envisage.
Lintroduction du virus peut stre faite linsu de lutilisateur qui sest procur le logiciel chez son
fournisseur. Lacqureur peut engager la responsabilit contractuelle de lditeur en raison du nonrespect des obligations contractuelles.
Les propritaires de sites Internet accs payant peuvent aussi voir leur responsabilit engage si
un virus prsent sur leur site a pu sintroduire sur lordinateur de leur client.
Les Virus Informatiques
42
CLUSIF 2005
la loi Godfrain relative la fraude informatique (loi n88-19 du 5 janvier 1988 relative la
fraude informatique,
la loi pour la confiance dans l'conomie numrique (loi n2004-575 du 21 juin 2004),
Ce dispositif lgislatif est complt par des textes rglementaires en cours dlaboration, quil
sagisse du projet de dcret sur la conservation des donnes de communications lectroniques ou du
projet de dcret sur la conservation des donnes relatives aux contenus des services en ligne.
5.3.2.1 Prescriptions traditionnelles
La responsabilit pnale peut tre engage en raison datteintes aux droits de la personne ou
datteintes aux systmes informatiques eux-mmes. Le Livre III du Code Pnal Des crimes et
dlits contre les biens tudie notamment le vol, lescroquerie et labus de confiance.
Le vol dinformation n'existe pas en droit pnal. Seul subsiste le vol d'un objet, en l'occurrence un
support physique. Le vol ne sapplique donc qu une chose matrielle susceptible
dapprhension [physique] par lauteur du vol . Ni le vol de temps machine, ni le vol de
bande passante ne peuvent tre apprhends par les articles 311-1 et suivants du Code Pnal.
Une escroquerie peut avoir pour objet une chose immatrielle. On peut donc admettre quun
programme infectieux permettant de se faire remettre une donne ou facilitant sa remise entre dans
le champ de larticle L313-1.
Les biens immatriels semblent exclus des prescriptions lies labus de confiance. En matire de
dtournement dune chose remise volontairement, larticle 314-1 sapplique cependant un bien
quelconque et pas seulement un bien corporel. Il cite certaines valeurs mobilires au titre dun
crit constitu par linscription en compte, et les numros de carte bancaire. Il apparat donc quen
dehors dhypothses marginales o une donne a t confie un tiers et que celle-ci se trouve
dtruite par un organisme informatique viral, les interactions entre labus de confiance et les virus
sont inexistantes. Signalons cependant une tendance en jurisprudence qui commence saffirmer en
cas de fraude interne. Dans le cas o un salari, dpositaire des matriels, logiciels et accs Internet
mis sa disposition par son employeur, les dtourne abusivement et, semble-t-il, massivement, pour
la collecte de contenus pouvant crer un risque juridique pour son employeur (exemple type : la
visualisation voire le tlchargement dimages pdophiles), la Cour de Cassation vient, par deux
fois, dadmettre la condamnation du salari au titre du dlit dabus de confiance.
5.3.2.2 Loi informatique et liberts
43
CLUSIF 2005
Elle instaure des droits pour les personnes fiches et des obligations pour les responsables de
traitements automatiss. Elle sanctionne non lauteur dune attaque mais lexploitant qui en est la
victime sil peut lui tre reproch le fait de procder ou de faire procder un traitement
automatis dinformations nominatives sans prendre toutes les prcautions utiles pour prserver la
scurit de ces informations et notamment empcher quelles ne soient dformes, endommages ou
communiques des tiers non autoriss . Les dlits ainsi institus figurent au livre II, titre II,
chapitre VI, section V du code pnal sous lintitul Des atteintes aux droits de la personne
rsultant des fichiers ou des traitements informatiques . La lgislation tablit des dlits relatifs
linformation des personnes subissant le traitement nominatif et la collecte illicite de donnes
nominatives.
Proches des virus, les logiciels espions et les robots peuvent permettre la captation dinformations
nominatives. Larticle 25 de la loi prcise que la collecte de donnes opre par tout moyen
frauduleux, dloyal ou illicite est interdit .
La Commission Nationale de lInformatique et des Liberts considre, en se basant sur la directive
du 24 octobre 1995 et sur la loi de 1978 qui encadrent la collecte des informations personnelles, que
ladresse IP, savoir le numro didentification dun systme sur le rseau Internet via le protocole
TCP/IP, est une donne personnelle. Ds lors, un mcanisme viral qui collecterait ou scannerait et
utiliserait ces adresses IP afin dy installer, par exemple, un serveur proxy destin lui permettre
une propagation plus rapide ou favoriser lenvoi de courriers lectroniques non sollicits pourrait
tre apprhend par les articles 6 et suivants de la loi. Par ailleurs, on peut penser que les adresses
MAC (Media Access Control) des priphriques rseaux se verront appliquer la mme solution.
Cette notion est cependant conteste par certains experts qui considrent que l'adresse IP est avant
tout une donne technique au mme titre que le nom d'une rue et le numro dans la dite rue. En
effet, une adresse IP sans un minimum de datation n'est souvent d'aucune valeur dans le cadre d'une
enqute de police.
5.3.2.3 Loi sur la protection du droit dauteur
Elle comporte un chapitre sur la protection des logiciels. A ce titre, les mcanismes viraux peuvent
tre apprhends comme des programmes entranant la contrefaon du logiciel qu'ils pntrent et
modifient.
5.3.2.4 Loi Godfrain
Elle traite des dispositions du Livre III du Code Pnal Des crimes et dlits contre les biens . Elle
introduit un Chapitre III relatif aux atteintes aux systmes de traitement automatis de donnes
(acronyme : STAD). La loi ajoute les articles 323-1 et suivants qui rigent dsormais en dlit la
ralisation dun certain nombre de faits ou leur tentative par des personnes physiques ou par des
personnes morales.
La loi cite, en premier lieu, le fait daccder ou de se maintenir, frauduleusement, dans tout ou
partie dun systme de traitement automatis de donnes ; elle prcise que les peines encourues
sont aggraves lorsquil en est rsult soit la suppression ou la modification de donnes
contenues dans le systme, soit une altration du fonctionnement de ce systme .
Le fait de se brancher sans droits sur un rseau et den intercepter le trafic grce un programme
malveillant non autoreproducteur (un programme de type sniffer ou keylogger par
exemple), un code viral le vhiculant ou visant son insertion peut emporter une telle qualification
pnale. Il nest alors plus ncessaire de dmontrer un quelconque prjudice li cet accs.
44
CLUSIF 2005
Le dpt ou lactivation dun code malicieux sur un serveur public peut ainsi entrer dans le champ
du maintien si lacte ne rsulte pas dune simple erreur mais que son auteur a conscience de
lirrgularit de son acte.
Le simple maintien dans un systme, sil est frauduleux, est susceptible de constituer une infraction
mme sil rsulte dun accs rgulier antrieur, mme sil ny a pas intention de nuire.
En second lieu, elle mentionne le fait dentraver ou de fausser le fonctionnement dun systme de
traitement automatis de donnes ou encore, en troisime lieu, le fait dintroduire
frauduleusement des donnes dans un systme de traitement automatis ou de supprimer ou de
modifier frauduleusement les donnes quil contient . Les mmes peines sont en outre prvues
pour la participation un groupement form ou une entente tablie en vue de la prparation,
caractrise par un ou plusieurs faits matriels, dune ou plusieurs des infractions prvues (par la
prsente loi) .
Conu pour rprimer le sabotage informatique, ce second point sanctionne aussi bien le fait
dentraver que celui de fausser le systme. Lentrave rside dans le fait dempcher le
fonctionnement logiciel ou matriel du systme en provoquant une gne ou une paralysie partielle
ou totale, progressive ou instantane, temporaire ou dfinitive, ponctuelle ou permanente et enfin
simple ou rcurrente. Ltendue de cette disposition permet de couvrir les consquences de certains
virus mettant en uvre une charge virale (payload) entranant la consommation excessive des
ressources du systme ou le dysfonctionnement dun logiciel.
Le fait de fausser un systme revient laltrer, dnaturer son comportement de manire
insidieuse ou sournoise et lui faire produire un rsultat non attendu . Ds lors, toute activit non
dsire dun programme, sans exception, semble entrer dans le champ de cet article.
En troisime lieu, larticle 323-3 du Code Pnal incrimine les atteintes aux donnes dune manire
autonome. Lajout dun virus au sein dun systme dinformation, mme sans destruction constitue
une altration de lensemble des donnes de ce systme. Il apparat donc quun virus non activ,
constitue une altration des donnes du systme. Il peut tre considr comme une donne fausse
qui n'a pas lieu d'exister dans le systme d'information.
Par ailleurs, la loi Godfrain sanctionne lassociation de malfaiteur en matire informatique. Elle
vise ainsi les clubs de piratage et les clubs des codeurs de programmes malveillants. Il est prcis
quil y a groupement de malfaiteur ds lors quil y a concours de deux volonts ou plus, conscience
des infractions et concrtisation par un ou plusieurs faits matriels. La loi rprime la simple
tentative ; lincitation lentrave dun systme nest cependant pas rprime .
5.3.2.5 Loi relative la scurit quotidienne
Elle prvoit la conservation par les oprateurs de tlcommunication, pendant une priode dun an,
des donnes relatives une communication pour les besoins de la recherche, de la constatation et
de la poursuite des infractions pnales . Il est prcis que ces donnes ne peuvent en aucun cas,
porter sur le contenu des correspondances changes ou des informations consultes sous quelque
forme que ce soit . Elles concernent seulement lidentit des utilisateurs et les caractristiques
techniques des services fournis par les prestataires de communication (comme par exemple les
adresses IP, les adresses lectroniques envoyes ou reues, ainsi que les adresses de sites visits).
La loi modifie, par ailleurs, le code de procdure pnale en y insrant diverses dispositions
concernant la mise en clair des donnes chiffres ncessaires la manifestation de la vrit. Elle
met donc pratiquement la charge des fournisseurs des prestations de cryptologie et des diteurs de
logiciels de chiffrement lobligation de prvoir les moyens de procder au dchiffrement quand cela
leur est demand par les autorits comptentes.
5.3.2.6 La loi pour la scurit intrieure
Les Virus Informatiques
45
CLUSIF 2005
Dans le domaine qui nous intresse, elle vient complter la loi relative la scurit quotidienne
(LSQ). En effet, le texte prvoit que les fournisseurs daccs Internet doivent mettre la
disposition de lofficier de police judiciaire, sur demande de celui-ci, les informations utiles la
manifestation de la vrit, l'exception de celles protges par un secret prvu par la loi, contenues
dans le ou les systmes informatiques ou traitements de donnes nominatives qu'ils administrent et
ce par voie tlmatique ou informatique dans les meilleurs dlais (art. 8.1).
L'officier de police judiciaire peut, en outre, intervenant sur rquisition du procureur de la
Rpublique pralablement autoris par ordonnance du juge des liberts et de la dtention, requrir
des oprateurs de tlcommunications de prendre, sans dlai, toutes mesures propres assurer la
prservation, pour une dure ne pouvant excder un an, du contenu des informations consultes par
les personnes utilisatrices des services fournis par les oprateurs.
Cette disposition vient complter larticle 29 de la LSQ qui prvoyait que la conservation des
donnes ne peut, en aucun cas, porter sur le contenu des communications.
Enfin, larticle 8 bis de la LSI permet aux officiers de police judiciaire de procder la perquisition
en ligne, en accdant par un systme informatique implant sur les lieux o se droule la
perquisition des donnes intressant l'enqute en cours et stockes dans ledit systme ou dans un
autre systme informatique, ds lors que ces donnes sont accessibles partir du systme initial ou
disponibles pour le systme initial .
Dans le cas o les donnes accessibles seraient situes en dehors du territoire national, les autorits
doivent se conformer aux engagements internationaux existants.
5.3.2.7 Loi pour la confiance dans lconomie numrique
Elle complte le dispositif mis en place par la loi Godfrain en insrant dans le code Pnal un article
323-3-1 qui rprime le fait, sans motif lgitime, dimporter, de dtenir, doffrir, de cder ou de
mettre disposition un quipement, un instrument, un programme informatique ou toute donne
conus spcialement adapts pour commettre une ou plusieurs des infractions .
La loi sanctionne donc le fait de dtenir un virus et plus seulement le fait de faire entrer le virus
dans le systme dinformation. Un programme viral install en connaissance de cause sur sa propre
machine pour raliser certaines tches semble ainsi de facto illgal car susceptible, sil tait
transmis un autre systme, de lentraver ou le fausser.
La loi, qui aggrave galement les peines encourues, a aussi pour but de favoriser le dveloppement
de la socit de l'information par le commerce par Internet. Elle prcise les rgles pour les
consommateurs et les prestataires aussi bien techniques que commerciales. La loi sinspire de
diverses directives europennes dont la convention de Budapest.
Les hbergeurs de sites Internet doivent assurer un minimum de surveillance sur les pages qu'ils
stockent, afin d'empcher la diffusion d'informations faisant l'apologie des crimes de guerre ou
des crimes contre l'humanit, incitant la haine raciale, ou ayant un caractre pdophile .
Pour le commerce lectronique, le marchand en ligne assume une responsabilit globale sur
l'ensemble de la vente, de la passation de commande la fourniture de biens, ou de prestations de
services.
La publicit non sollicite (le spamming) par messagerie lectronique, sans avoir obtenu le
consentement pralable des destinataires est interdite.
5.3.2.8 Loi relative aux communications lectroniques et aux services de communication
audiovisuelle
Les Virus Informatiques
46
CLUSIF 2005
Quelques textes trs spcifiques rgissent latteinte aux intrts fondamentaux de la nation. Il sagit
des articles L. 410-1 et suivants du Code Pnal. Ils ne couvrent que des hypothses marginales o
les lments viraux ne pourraient tre apprcis queu gard un de leurs effets particuliers. Ils ne
font pas lobjet dune apprhension globale comme lors de la rforme de 1988 .
Citons nanmoins larticle 421-1. Il dicte que les vols, les extorsions, les destructions,
dgradations et dtriorations, ainsi que les infractions en matire informatique []
constituent des actes de terrorisme, lorsquelles sont intentionnellement en relation avec une
entreprise individuelle ou collective ayant pour but de troubler gravement lordre public par
lintimidation ou la terreur .
5.3.2.10 Secrets de la correspondance
Certains virus rmettent deux mme des courriers lectroniques personnels. Ils violent ainsi le
secret des correspondances appliqu depuis novembre 2000 au dit courrier lectronique tel quil est
prcis par la convention europenne des droits de lhomme dans son article 8.
lensemble des travaux accomplis au sein du G8, dEUROPOL ou du groupe de travail sur
la criminalit lie aux technologies de linformation dINTERPOL.
47
CLUSIF 2005
convention dite de Budapest . Son objectif est dharmoniser les infractions au niveau europen
notamment concernant les infractions en matire de confidentialit et dintgrit des donnes des
systmes informatiques et de fraude informatique au sens large. A terme, tous les pays de lUnion
europenne devraient ainsi avoir le mme systme rpressif en matire de criminalit informatique.
Ce rsultat permettrait une lutte plus efficace.
La Convention dtermine trois principaux axes de rglementation :
-
La convention oblige tout dabord les Etats qui lont ratifie prendre des mesures propres pour
riger en infraction pnale un certain nombre de comportements et en particulier :
-
le fait intentionnel et sans droit de causer un prjudice autrui i) par toute introduction,
altration, effacement ou suppression de donnes informatiques ii) par toute forme
datteinte au fonctionnement dun systme informatique, [] dans lintention,
frauduleuse ou dlictueuse, dobtenir sans droit un bnfice conomique pour soi-mme ou
pour autrui (article 8 Fraude informatique).
Chaque Etat est tenu dadopter les mesures lgislatives et autres qui se rvlent ncessaires pour
habiliter ses autorits comptentes :
-
ordonner : i) une personne prsente sur son territoire de communiquer les donnes
informatiques spcifies, en sa possession ou sous son contrle, qui sont stockes dans un
48
CLUSIF 2005
A ct des formes traditionnelles de coopration pnale internationale prvues notamment par les
conventions europennes dextradition et dentraide judiciaire en matire pnale, la Convention de
Budapest exige des formes dentraide correspondant aux pouvoirs dfinis pralablement par celleci. En consquence, les autorits judiciaires et les services de police dun Etat doivent pouvoir agir
pour le compte dun autre Etat dans la recherche de preuves lectroniques, sans toutefois mener
denqutes, ni de perquisitions transfrontalires. Les informations devront tre ensuite rapidement
communiques.
Un rseau de contacts disponibles vingt-quatre heures sur vingt-quatre et sept jours sur sept est mis
sur pied afin de fournir une assistance immdiate aux investigations en cours.
5.4.2 Directive europenne 2000/31
Ses dispositions sont transposes dans le droit franais par la loi pour la confiance dans lconomie
numrique. La directive prcise notamment la responsabilit des hbergeurs.
Gravure de CD.
Listing journaux,
Recherche de tmoins,
49
CLUSIF 2005
Tous ces lments seront, le moment venu, recevables ou non recevables par les instances
concernes. Ces dernires valideront la recevabilit des lments collects.
Dans le cas du dclenchement d'une instance judiciaire, seules les constatations effectues le plus
tt possible par un enquteur, avec ou sans l'appui d'un homme de l'art, auront valeur. Elles sont
primordiales ds le dbut de l'enqute.
Pensez faire un audit de votre contrat dassurance en vrifiant si les faits gnrateurs et les types
dindemnisation sont cits (matriel, perte dusage.).
Dans une dmarche de plainte simple, il est possible de contacter des organismes suivants :
-
50
CLUSIF 2005
La gendarmerie
Au niveau central, la gendarmerie possde plusieurs structures de lutte contre les nouvelles
formes de criminalit en rapport notamment avec lutilisation dInternet :
- Le dpartement cybercriminalit du service technique de recherches judiciaires et de
documentation (STRJD). Il assure la surveillance du rseau en recherchant les
infractions portant atteinte aux personnes et aux biens et relatives la transmission
de donnes caractre illicite sur Internet, les newsgroups et les rseaux poste
poste.
- Le dpartement informatique et lectronique de lIRCGN (Institut de Recherche
Criminelle de la Gendarmerie Nationale). Il dveloppe des mthodes, des outils et
des logiciels permettant de dtecter automatiquement des images pdophiles connues
ou dextraire des donnes.
- Le centre national dimages pdopornographiques (en collaboration avec la police
nationale).
- Le centre national de formation de police judiciaire. Il propose une formation
spcifique, dnomme N-TECH, dans le domaine des nouvelles technologies au
profit denquteurs spcialiss affects en units de recherches.
http://www.defense.gouv.fr/sites/gendarmerie/
judiciaire@gendarmerie.defense.gouv.fr
51
CLUSIF 2005
Existence dun ala, il doit exister une part de hasard dans la survenance de l'vnement.
Le fait gnrateur doit tre connu et partie intgrante du contrat. Si par exemple, le fait virus
n'est pas dfini (ou est exclu) alors la garantie ne peut s'activer.
52
CLUSIF 2005
- etc.
Au moment de la souscription, les lments suivant sont donc discuts :
- le primtre de garantie, cest dire les structures juridiques intgres dans le contrat ou
encore lexistence de limitations gographiques,
- les faits gnrateurs couverts,
- les options telles que sus nommes,
- Le montant assur (montant total d'indemnisation),
- La prime payer pour cette garantie,
- La franchise exprime en euro ou en jours dexploitation,
- Les sous limites pour certains faits gnrateurs (virus, hackers, etc.),
- Les exclusions, soit du fait du march de lassurance, soit du fait de la compagnie,
- Et enfin, les obligations contractuelles de lassur. Elles sont le plus souvent peu
contraignantes... et presque naturelles : ralisation de sauvegardes conserves hors site,
emploi d'un anti-virus oprationnel (mise jour de la base de signatures quand elle existe).
Pour terminer cette partie, rappelons que la garantie virus est bien souvent une option par rapport
une garantie plus globale, malveillance informatique qui couvre les prjudices des intrusions ou
le fait des employs .
53
CLUSIF 2005
garantie. Cette politique a notamment t suivie par les assureurs dorigine franaise. Cette
dmarche avait pour objet de limiter les consquences du risque sriel que reprsenterait une
contamination virale informatique lchelle mondiale et donc potentiellement chez tous les
assurs. Cette crainte, essentiellement fonde sur l'hypermdiatisation de virus catastrophe
(Datacrime, Michelangelo, Loveletter, Tchernobyl, etc.), tant renforce par labsence de matrise
du portefeuille dengagement, savoir si le fait virus pouvait tre appel en garantie dans une
assurance tout risque informatique (cest--dire le matriel) voire une assurance multirisques
bureau .
Nanmoins, des assureurs amricains ont continu proposer une garantie virus y compris sur
le march franais. Et aujourdhui, la tendance est laccroissement de cette offre considrant que
les rassureurs investissent nouveau dans ce type de garantie. Toutefois, lindemnisation au titre
du virus est gnralement sous limite dans une garantie de type malveillance informatique.
La confiance revenant ou en raison d'une nouvelle apprciation technique, on trouve mme
aujourd'hui une garantie virus en responsabilit civile pour Internaute, c'est--dire l'indemnisation
de dommages causs des tiers.
54
CLUSIF 2005
7. CONCLUSION
Au milieu des annes 1980, le grand public dcouvrait le phnomne virus. Alors que les
concepteurs d'anti-virus mettaient au point leurs premiers produits, de jeunes crateurs
s'appliquaient concevoir, pour se distraire ou par esprit de comptition, des nouveauts qu'ils
diffusaient avec le secret espoir de se faire un surnom. A l'approche de l'an 2000, c'tait encore le
jeu et la recherche d'une reconnaissance qui primaient. Aprs la mainmise des virus sur les outils
bureautiques, la messagerie lectronique devint, avec les mass-mailers, la cible atteindre.
En 2005, la donne a chang, l'appt du gain et l'argent facile sont le moteur des attaques actuelles.
On parle maintenant de cybercriminalit. Ce terme la mode couvre fois les crimes particuliers
faisant intervenir des ordinateurs et des rseaux (comme dans le cas du piratage), et la contribution
l'aboutissement de crimes traditionnels grce l'utilisation d'ordinateurs (pornographie, racket,
dtournement d'informations financires). Internet offre l'anonymat, l'instantanit et la multiplicit
des contacts. Pour les criminels, l'attrait du crime assist par ordinateur est de plus en plus
sduisant.
Les nombreux programmes malveillants qui circulent ne sont plus uniquement autoreproducteurs et
il existe maintenant des programmes commerciaux indsirables.
Nous retrouvons donc aujourdhui ct des vers et des virus :
gagnent en sophistication ;
Ils assistent toute une cohorte d'individus qui souhaitent gagner lgalement ou non - un maximum
d'argent en un minimum de temps.
Cette volution laisse prsager un avenir durable pour ces logiciels.
55
CLUSIF 2005