Chapitre 2 : Sécurité sur internet et mode de piraterie

2.1 Introduction :
En entreprise, c’est le réseau local qui est connecté à Internet. Il est donc indispensable de
contrôler les communications entre le réseau interne et l'extérieur. De plus une formation du
personnel est indispensable. Les problèmes de sécurité qu’on peut rencontrer sur un réseau
d'entreprise ou sur l'Internet relèvent d'abord de la responsabilité des victimes avant d'être
imputables aux hackers.

D’autre part, votre sécurité peut dépendre d’autres entreprises dont vous pensez, parfois à tort,
qu’elles ont assuré leur propre sécurité. Alors que le gouvernement et les forces de l’ordre
cherchent à interpeller les intrus, les sociétés ne se préoccupent trop souvent que de relancer
leurs réseaux après une attaque : « Le secteur privé ne cherche pas à savoir qui est
responsable, tout ce qui intéresse les entreprises, c’est que l’attaque cesse ».

2.2. Définition des failles sur l’internet

- IP spoofing - Usurpation d’adresse IP, on fait croire que la requête provient d’une machine
autorisée. Une bonne configuration du routeur d’entrée permet d’éviter qu’une machine
extérieure puisse se faire passer pour une machine interne.
- DNS spoofing - Pousse un serveur de DNS à accepter l’intrus. Solution : séparer le DNS du
LAN de celui de l’espace public.
- Flooding - Raid massif de connexions non terminées.
- Smurf - Saturation de la bande passante.
- Web bug - Un mail publicitaire est envoyé en HTML (même si l’apparence est normale)
avec une image transparente gif d’un pixel par un lien du type :
<imgsrc="[Link] ?email=utilisateur@adresse">. Si le courrier
est ouvert pendant la connexion, la requête de téléchargement de l’image vient confirmer la
lecture du message et la validité de votre adresse.
- Hoax (rumeur) - Un « hoax » est une rumeur que l’on transmet par mail. Ces rumeurs
colportent souvent des problèmes de sécurité soit disant découverts par des services officiels
ou célèbres… Elles peuvent causer un véritable préjudice à certaines sociétés et de toute façon
encombrent le réseau.
- Hacker et cracker - Il existe une communauté, une culture partagée, de programmeurs
expérimentés et de spécialistes des réseaux, dont l'histoire remonte aux premiers mini-
ordinateurs multiutilisateurs, il y a quelques dizaines d'années, et aux premières expériences
de l'ARPAnet. Les membres de cette culture ont créé le mot « hacker ». Ces informaticiens
sont généralement discrets, anti-autoritaristes et motivés par la curiosité. Il y a un autre groupe
de personnes qui s’autoproclament des "hackers''. Ces gens prennent leur pied en
s’introduisant à distance dans les systèmes informatiques et en piratant les systèmes
téléphoniques, généralement à l’aide d’outils écrit par d’autres et trouvés sur Internet. Les
vrais hackers appellent ces gens des « crackers » et ne veulent rien avoir à faire avec eux. Les
vrais hackers pensent que les crackers sont des gens paresseux, irresponsables et pas très
brillants.
- Déni de service (DoS) - Le but d'une telle attaque n'est pas de dérober des informations sur
une machine distante, mais de paralyser un service ou un réseau complet. Les utilisateurs ne
peuvent plus alors accéder aux ressources.
- Écoute du réseau (sniffer) - Il existe des logiciels qui, à l’image des analyseurs de réseau,
permettent d’intercepter certaines informations qui transitent sur un réseau local, en
retranscrivant les trames dans un format plus lisible (Network packet sniffing).
- Social engineering : En utilisant les moyens usuels (téléphone, email…) et en usurpant une
identité, un pirate cherche à obtenir des renseignements confidentiels auprès du personnel de
l’entreprise en vue d’une intrusion future.

2.3. Principales attaques informatiques

Dans le domaine informatique, il y a une pléthore d'attaques; certaines sont connues des
utilisateurs, d'autres tenues cachées par les experts. Toutes ces attaques visent à modifier le
comportement d'un SI. À côté de ces attaques, nous rencontrons diverses actions ou
manipulations des logiciels malicieux visant à atteindre le noyau.
L'objectif de ces attaques est de compromettre le système. Une fois que l'intrus s'introduit
dans le système, il entreprend des actions profitant de vulnérabilités afin d'utiliser le système
et dans la majorité des cas, de pérenniser son accès à l'insu des utilisateurs légitimes. Or les
attaques existent selon les objectifs et les finalités. Parmi les attaques les plus connues, on
peut citer : vers informatiques, virus, cheval de Troie, Rootkit, etc.

2.3.1. Les logiciels malveillants

Un logiciel malveillant ou maliciel, aussi dénommé logiciel nuisible ou programme
malveillant ou pourriciel (« malware » en anglais), est un programme développé dans le but
de nuire à un système informatique, sans le consentement de l'utilisateur dont l'ordinateur est
infecté. De nos jours, le terme « virus » est souvent employé, à tort, pour désigner toutes
sortes de logiciels malveillants. En effet, les maliciels englobent les virus, les vers, les
chevaux de Troie, ainsi que d'autres menaces. La catégorie des virus informatiques, qui a
longtemps été la plus répandue, a cédé sa place aux chevaux de Troie en 2005. Les logiciels
malveillants peuvent être classés en fonction des trois mécanismes suivants :
- le mécanisme de propagation (par exemple, un ver se propage sur un réseau informatique
en exploitant une faille applicative ou humaine) ;
- le mécanisme de déclenchement (par exemple, la bombe logique comme la bombe logique
surnommée vendredi 13 se déclenche lorsqu'un évènement survient) ;
- la charge utile (par exemple, le virus Tchernobyl tente de supprimer des parties importantes
du BIOS, ce qui bloque le démarrage de l'ordinateur infecté).

La classification n'est pas parfaite, et la différence entre les classes n'est pas toujours évidente.
Cependant, c'est aujourd'hui la classification standard la plus couramment adoptée dans les
milieux internationaux de la sécurité informatique.
Dans une publication, J. Rutkowska propose une taxonomie qui distingue les logiciels
malveillants suivant leur mode de corruption du noyau du système d'exploitation : ne touche
pas au noyau (applications, micrologiciel), corruption d'éléments fixes (code), corruption
d'éléments dynamiques (données) et au-dessus du noyau (hyperviseurs).
 Figure 1. Classification des logiciels malveillants

2.3.2. Les virus informatiques

Un virus informatique est un automate auto réplicatif à la base non malveillant, mais
aujourd'hui souvent additionné de code malveillant (donc classifié comme logiciel
malveillant), conçu pour se propager à d'autres ordinateurs en s'insérant (auto) dans des
logiciels légitimes, appelés « hôtes ». Il peut perturber plus ou moins gravement le
fonctionnement de l'ordinateur infecté. Il peut se répandre par tout moyen d'échange de
données numériques comme les réseaux informatiques et le CD-ROM, les clefs USB, les
disques durs, etc.
Tout comme le virus biologique, le virus informatique poursuit 3 objectifs :
- se dissimuler le plus longtemps possible aux yeux de l’utilisateur infecté ;
- Il contamine tout ce qui est à sa portée ;
- Il tente de se répandre, sans se cantonner au support sur lequel il se trouve.
Sur Internet, les virus peuvent contaminer une machine de plusieurs manières :
- Téléchargement de logiciel puis exécution de celui-ci sans précautions ;
- Ouverture sans précautions de documents contenant des macros ;
- Pièce jointe de courrier électronique (exécutable, script type vbs…) ;
- Ouverture d’un courrier au format HTML contenant du javascript exploitant, une faille de
sécurité du logiciel de courrier;
- Exploitation d’un bug du logiciel de courrier.

L’appellation « virus informatique » provient d'une analogie avec le virus biologique

puisqu'il présente des similitudes dans sa manière de se propager en utilisant les facultés de
reproduction de la cellule hôte. Les virus informatiques ne doivent pas être confondus avec les
vers informatiques, qui sont des programmes capables de se propager et de se dupliquer par
leurs propres moyens sans contaminer de programme hôte. Au sens large, on utilise souvent et
abusivement le mot virus pour désigner toute forme de logiciel malveillant.
Voici les quelques virus les plus célèbres du monde informatique :
- Cabir est considéré comme le tout premier virus informatique proof of concept recensé se
propageant par la téléphonie mobile grâce à la technologie Bluetooth et du système
d'exploitation Symbian OS.
- MyDoom.A est un virus informatique qui se propage par les courriels et le service P2P de
Kazaa. Les premières infections ont eu lieu le 26 janvier 2004.
- Psyb0t est un virus informatique découvert en janvier 2009. Il est considéré comme étant le
seul virus informatique ayant la capacité d'infecter les routeurs et modem haut-débit.
- Le virus Tchernobyl ou CIH est connu pour avoir été un des plus destructeurs.
Il détruisait l'ensemble des informations du système attaqué et parfois il rendait la machine
quasiment inutilisable. Il a sévi de 1998 à 2002.
- Le ver Conficker exploite une faille du Windows Server Service utilisé par Windows 2000,
Windows XP, Windows Vista, Windows 7, Windows Server 2003 et Windows Server 2008.
- Cryptolocker est un logiciel malveillant dont la présence sur le web a augmenté de 700 %
entre 2012 et 2014. Selon les calculs du FBI en juin 2014, il a causé pour 27 millions de
dollars de pertes aux utilisateurs. Sous couvert d'une mise à jour Adobe Flash, le logiciel
malveillant chiffre les fichiers des victimes et exige un paiement (pouvant aller de 100 dollars
à 400 dollars) pour les décrypter.
- Zeus Bot est responsable d'environ 4 millions d'infections rien qu'aux États-Unis.
Il a provoqué pour 70 millions de dollars de pertes pour les entreprises et consommateurs
américains avant d'être démantelé par le FBI début 2014. Il exploite les vulnérabilités
présentes dans Adobe Reader et Adobe Flash pour infecter les machines.

[Link]. Caractéristiques des virus

- le chiffrement - à chaque réplication, le virus est chiffré (afin de dissimuler les instructions
qui, si elles s'y trouvaient en clair, révéleraient la présence de ce virus ;
- le polymorphisme - le virus est chiffré et la routine de déchiffrement est capable de changer
certaines de ses instructions au fil des réplications afin de rendre plus difficile la détection par
l'antivirus ;
- le métamorphisme - contrairement au chiffrement simple et au polymorphisme, où le corps
du virus ne change pas et est simplement chiffré, le métamorphisme permet au virus de
modifier sa structure même et les instructions qui le composent ;
- la furtivité - le virus « trompe » le système d'exploitation (et par conséquent les logiciels
antivirus) sur l'état des fichiers infectés. Des rootkits permettent de créer de tels virus. Par
exemple, l'exploitation d'une faille de sécurité au niveau des répertoires permet de masquer
l'existence de certains fichiers exécutables ainsi que les processus qui leur sont associés.

[Link]. Classification des virus

Il n’existe pas de classification stricte des virus. Cependant on peut en retenir 4 grandes
classifications :
- Classification selon le format visé (exécutable ou documents) ;
- Classification selon leur comportement (rapide, lent, résident, polymorphe…) ;
- Classification selon l’organe visé (boot sector, driver…)
- Classification selon le langage utilisé (virus assembleur, macrovirus, virus interprété…).
C’est grâce à cette classification que nous pouvons maintenant en mesure de distinguer les
différents types de virus qui existent :
- Le virus classique - est un morceau de programme, souvent écrit en assembleur, qui
s'intègre dans un programme normal, le plus souvent à la fin, mais cela peut varier. Chaque
fois que l'utilisateur exécute ce programme « infecté », il active le virus qui en profite pour
aller s'intégrer dans d'autres programmes exécutables. De plus, lorsqu'il contient une charge
utile, il peut, après un certain temps ou un événement particulier, exécuter une action
prédéterminée. Cette action peut aller d'un simple message anodin à la détérioration de
certaines fonctions du système d'exploitation ou la détérioration de certains fichiers ou même
la destruction complète de toutes les données de l'ordinateur. On parle dans ce cas de « bombe
logique » et de « charge utile ».
- Un virus de boot - s'installe dans un des secteurs de boot d'un périphérique de démarrage,
disque dur, disquette, ou autre. Il remplace un chargeur d'amorçage existant (en copiant
l'original ailleurs) ou en crée un (sur un disque où il n'y en avait pas) mais ne modifie pas un
programme comme un virus normal ; quand il remplace un programme de démarrage existant,
il agit un peu comme un virus « prepender », mais le fait d'infecter aussi un périphérique
vierge de tout logiciel de démarrage le distingue du virus classique, qui ne s'attaque jamais à «
rien ».
- Les macro virus - qui s'attaquent aux macros de logiciels de la suite Microsoft Office
(Word, Excel, etc.) grâce au VBA de Microsoft. Par exemple, en s'intégrant dans le modèle
[Link] de Word, un virus peut être activé à chaque fois que l'utilisateur lance ce
programme.
- Les virus-vers - ce sont des virus classiques car ils ont un programme hôte. Mais
s'apparentent aux vers (en anglais « worm ») car : Leur mode de propagation est lié au réseau,
comme des vers, en général via l'exploitation de failles de sécurité. Comme des vers, leur
action se veut discrète, et non destructrice pour les utilisateurs de la machine infectée. Comme
des vers, ils poursuivent des buts à visée large, tels que l'attaque par saturation des ressources
ou attaque DoS (Denial of Service) d'un serveur par des milliers de machines infectées se
connectant simultanément.
- Les virus de type batch - ce sont des virus « primitifs ». Bien que capables de se reproduire
et d'infecter d'autres fichiers batch, ils sont lents et ont un pouvoir infectant très faible.
Certains programmeurs ont été jusqu'à créer des virus batch cryptés et polymorphes, ce qui
peut être qualifié de « prouesse technique » tant le langage batch est simple et primitif.
- Les virus résidents - Ils se placent en mémoire RAM et contaminent les fichiers au fur et à
mesure de leurs exécutions. Ils peuvent par exemple prendre la forme de fichier pilote de
Windows (.vxd). Ils sont alors chargés dès le démarrage du système, avant le chargement de
l’antivirus.
- Les virus lents - A la différence d’un virus rapide qui infecte les fichiers dès qu’ils sont
manipulés par le système, les virus lents n’infectent les fichiers qu’en cas de modification, ce
qui rend leur détection plus subtile.
- Les virus furtifs - Un virus furtif est un virus qui, lorsqu'il est actif, dissimule les
modifications apportées aux fichiers ou aux secteurs de boot. En règle générale, ce
phénomène est rendu possible par le virus qui observe les appels aux fonctions de lecture des
fichiers et falsifie les résultats renvoyés par ces fonctions. Cette méthode permet au virus de
ne pas être détecté par les utilitaires anti-virus qui recherchent des modifications éventuelles
apportées aux fichiers. Néanmoins, pour que cela soit possible, le virus doit être actif en
mémoire résidente, ce qui est détectable par les anti-virus.
- Les virus polymorphes - Un virus polymorphe est un virus qui produit des copies variées
de lui-même, mais qui restent opérationnelles. Ces stratégies ont été employées dans l'espoir
que les utilitaires anti-virus ne puissent pas détecter toutes les variantes du virus.
- Les virus « cavité » - Les virus cavités sont des virus qui écrasent une partie du fichier hôte
qui est constitué d'une constante (en général, des 0) sans augmenter la taille du fichier et tout
en préservant sa fonctionnalité.
- Les virus compagnons - Un virus compagnon est un virus qui, au lieu de modifier un
fichier existant, crée un nouveau programme qui est exécuté à l'insu de l'utilisateur au lieu du
programme voulu. Le programme original est ensuite exécuté de telle sorte que tout apparaît
normal à l'utilisateur. Sur un PC, ceci est généralement accompli en créant un nouveau fichier
.COM portant le même nom que le fichier .EXE. Les anti-virus qui ne cherchent que les
modifications apportées aux fichiers existants (vérificateurs d'intégrité) ne détecteront pas ce
type de virus.
- Les virus blindés - Un virus blindé est un virus qui utilise des astuces spéciales pour que
son dépistage, son désassemblage et la compréhension de son code soient plus durs. Ils
utilisent certaines ruses techniques pour mieux résister au désassemblage et à la détection et
rendre leur fonctionnement quasiment incompréhensible.
- Les virus souterrains - Les virus souterrains sont des virus qui appellent directement les
vecteurs d'interruption du DOS et du BIOS, contournant ainsi tout programme de contrôle qui
pourrait être chargé et avoir intercepté ces mêmes vecteurs dans le but de détecter l'activité
d'un virus. Certains anti-virus utilisent cette même technique pour contourner un virus
inconnu ou non détecté.
- Les virus compte-gouttes - Un virus compte-gouttes est un programme conçu pour installer
un virus sur le système visé. Le code du virus est en règle générale contenu dans ce
programme de telle manière qu'il ne sera pas détecté par un antivirus qui, dans d'autres
circonstances, détecte ce virus (le compte-gouttes n'est pas infecté par ce virus). Bien qu'assez
rare, ce type de virus a été signalé à plusieurs reprises. Un compte-gouttes est en fait un
cheval de Troie dont le but est d'installer le virus. Un compte-gouttes qui installe le virus
seulement en mémoire (donc sans infecter de fichiers sur le disque) est parfois appelé un
injecteur.
- Les bombes ANSI - Une bombe ANSI est une séquence de caractères, généralement incluse
dans un fichier texte, qui reprogramme certaines fonctions du clavier d'ordinateurs ayant une
console ANSI (écran + clavier). On peut ainsi reprogrammer la touche Enter d'un clavier pour
qu'elle exécute l'instruction format c : suivi de la fonction Enter. Néanmoins, cette possibilité
ne constitue pas une grande menace. En effet, il est rare pour un logiciel moderne d'exiger un
ordinateur tournant sur une console ANSI. De même, peu de gens utilisent des logiciels qui
envoient simplement la sortie sur le terminal, donc une bombe ANSI dans un émail ne
reprogrammerait pas votre clavier.

[Link] architectures d’un virus

Un virus se compose de 3 fonctionnalités principales et d'une quatrième optionnelle, comme
le montre la Figure ci-dessous :

Figure 2. Architecture d’un virus

- Séquence de reproduction - C'est l'objectif premier du virus. Elle inclut une fonctionnalité
de recherche, qui permet de rechercher des fichiers à infecter. Elle permet aussi au virus de
vérifier d'abord que le fichier n'est pas déjà infecté, pour ne l'infecter que le cas échéant. En
effet, un virus ne doit pas se reproduire deux fois dans un fichier, car son comportement serait
alors faussé.
- Condition - Il s'agit tout simplement de la partie qui va cordonner le lancement de l'action
qu'est censé accomplir le virus. En effet, le virus a toujours un objectif précis. C'est la
séquence de commande (ou de destruction) qui est chargée de cette action. Elle est déclenchée
lorsque la condition est satisfaite. Cette dernière peut-être de diverses forme (une date, une
action particulière de l'utilisateur, une réaction spécifique de l'ordinateur...). Les
développeurs de virus font preuve de toujours plus d'imagination pour trouver des conditions
de déclenchement de plus en plus originales et spécifiques.
- Séquence de commandes - c'est elle qui effectue l'action du virus. Cela peut être détruire
des fichiers, formater une partition...
- Séquence de camouflage - Malgré leur petite taille, les virus peut être vite repérés (pour
certains). Les développeurs de virus ont donc élaboré plusieurs techniques pour cacher le
virus.

[Link] Modes de contamination d’un virus

Le virus informatique utilise de même 4 modes de contamination pour se propager dans les
systèmes informatiques :
- Contamination par recouvrement - le virus écrase les premières instructions du fichier par
ses propres instructions. L’avantage est que la taille du fichier n’est pas modifiée. Cependant,
il n’est plus utilisable par la suite, le début de ses instructions ayant été supprimé.
- Contamination par ajout - le virus s’exécute avant le code original du fichier infecté, mais
repasse la main à ce dernier à la suite de son exécution. Dans ce cas, la taille du fichier est
modifiée.
- Contamination par entrelacement - il s’agit ici d’insérer du code entre les blocs valides du
programme. Elle est plus difficile à mettre en place, mais est moins facilement détectée.
- Contamination par accompagnement - ici, il s’agit tout simplement de surcharger les
fichiers infectés en les rendant plus lourd lors de leurs exécutions.

[Link] Cycles de vie d'un virus

Les virus informatiques suivent un cycle de vie, qui recense 7 grandes étapes :
- Création : c'est la période durant laquelle un programmeur développe un virus aussi féroce
que possible
- Gestation : C'est le temps pendant lequel le virus s'introduit dans le système qu'il souhaiter
infecter.
- Reproduction (infection): comme nous l'avons dit, le virus doit se reproduire. Un virus
correctement conçu se reproduira un nombre important de fois avant de s'activer.
- Activation : Les virus possédant une routine de destruction ne s'activent que lorsque
certaines conditions sont réunies. Certains s'activent à une date précise, d'autres possèdent un
système de compte à rebours interne. L'activation peut aussi avoir lieu à distance, par le
développeur. Même les virus ne possédant pas de telles routines et ne nécessitant pas de
procédure d'activation spécifique peuvent causer des dommages aux systèmes en s'appropriant
petit à petit l'ensemble des ressources.
- Découverte : C'est le moment où l'utilisateur s'aperçoit que son système a des
comportements étranges et soupçonne la présence de virus. Ou alors, les antivirus performants
découvrent certains virus avant qu'ils aient eu le temps de faire des ravages.
- Assimilation : Une fois la découverte faite, les développeurs de logiciels antivirus mettent à
jour leur base de données virale afin que les utilisateurs puissent détecter la présence de virus
sur leur ordinateur. Ils développent également le correctif permettant d'éradiquer le virus.
- Elimination : C'est la mort du virus. Tout au moins, c'est la mort de l'exemplaire du virus
sur un poste utilisateur. C'est le moment où l'anti-virus ayant découvert le virus propose à
l'utilisateur de le supprimer. Même si de nombreux virus connus depuis des années ne sont
pas complètement annihilés, ils ont cessé de constituer une menace sérieuse car ils sont
découverts très rapidement.

2.3.3. Les vers informatiques

Un ver informatique est un logiciel malveillant qui se reproduit sur plusieurs ordinateurs en
utilisant un réseau informatique comme Internet. Il a la capacité de se dupliquer une fois qu'il
a été exécuté. Contrairement au virus, le ver se propage sans avoir besoin de se lier à d'autres
programmes exécutables. Le ver appartient à la famille des programmes malveillants ou
nuisibles.
La plupart du temps, les vers n’ont d’autres utilités que la destruction, et la congestion du
réseau. Malgré tout, le ver a parfois d’autres utilisations. Certaines entreprises les utilisent
pour tester la sécurité de leur réseau intranet. L'objectif des vers n’est pas seulement de se
reproduire mais habituellement, ils ont un objectif malfaisant, par exemple :
- Espionner l'ordinateur où il se trouve ;
- Offrir une porte dérobée à des pirates informatiques ;
- Détruire des données sur l'ordinateur où il se trouve ou y faire d'autres dégâts ;
- Envoyer de multiples requêtes vers un site Internet dans le but de le saturer.
Les conséquences des effets secondaires de l’activité d'un ver sur un ordinateur sont souvent :
- Le ralentissement par saturation de la machine infectée ;
- Le ralentissement par saturation du réseau utilisé par la machine infectée ;
- Le plantage de services ou du système d'exploitation de la machine infectée.
En majorité, des vers écrits sous forme de scripts peuvent être intégrés dans un courriel ou sur
une page HTML (chevaux de Troie). Ces vers sont activés par les actions de l'utilisateur qui
croit accéder à des informations lui étant destinées. Un ver peut aussi être programmé en C,
C++, Delphi, assembleur, ou dans un autre langage de programmation. La plupart du temps,
les vers utilisent des failles de logiciels pour se propager.
Voici les quelques exemples des vers sur Internet les plus célèbres :
- Félicitations vous venez d'être tirer au sort pour un séjour aux Etats-Unis.
- Vous avez reçu un bonus sur votre carte Visa.
- Vous êtes les 1.000.000 visiteurs ; Vous venez de gagner un smartphone.
- Le ver informatique le plus populaire est le ver crée par Samy Kankar qui lui a donné
son nom : le ver SAMY. Il a infecté plus d'un million d'utilisateur MySpace en
seulement 20 heures. Voici ce qu'affichait le ver à l'écran des utilisateurs infectés :
“mais par dessus tout, Samy est mon héros”. Chaque personne visitant un profil
infecté se faisait infecter à son tour.
- Le ver Facebook qui se propage à travers Facebook Messenger, qui est un système
de messagerie instantanée incorporé au réseau social Facebook. Une personne infectée
va automatiquement envoyer un message à tous ses contacts avec un lien vers un site
permettant de télécharger le ver.

[Link]. Caractéristique d’un ver informatique

- Le ver est souvent transmis aux ordinateurs de différentes manières, telles que le courrier
électronique, des programmes source obscurs, des sites de forum, des DVD et des CD de jeux
piratés.
- Le ver est conçu pour se copier d'un ordinateur à un autre automatiquement.
Tout d'abord, il prend le contrôle des propriétés qui transmettent des fichiers ou des
informations sur l'ordinateur. Cela peut entraîner un trafic réseau important en raison de l'effet
domino, ce qui ralentit les réseaux des lieux de travail et l'ensemble de l'Internet.
- Le ver est une sous-classe de virus et se propage généralement sans action de l'utilisateur et
distribue des copies complètes de lui-même de réseaux en réseaux.
- Un ver peut consommer de la mémoire ou de la bande passante réseau, ce qui peut entraîner
une panne d'ordinateur.
- Comme les vers n'ont pas besoin d'un programme ou d'un fichier "support" pour se
répandre, ils peuvent ouvrir un tunnel dans votre système et permettre à une autre personne de
contrôler votre ordinateur à distance. Des exemples de vers récents incluent le ver Sasser et le
ver Blaster.
[Link]. Classification d’un ver informatique
Il existe actuellement 4 Classes des vers informatiques :
- Vers de réseau ;
- Vers de courrier électronique ;
- Vers de messagerie instantanée ;
- Vers Internet ;

[Link]. Architecture d’un ver informatique

Il est composé de deux parties :

Figure 3. Architecture d’un ver

- Le vecteur – c’est la partie principale du ver, qui s’occupe de la recherche de failles et est
responsable de transmettre la seconde partie du ver.
- L’archive – c’est la partie « morte » du ver, qui sera envoyée sur le système distant et
l’infectera.
Cette archive peut exister sous deux formes distinctes :
- Sous forme de sources - la reproduction est beaucoup plus aisée, car le nombre de
machines potentiellement ciblées est beaucoup plus grand. L’inconvénient majeur de ce
procédé est qu’un compilateur est nécessaire sur la machine à infecter. Les données
nécessaires à l’infection sont plus volumineuses et une compression des sources sera parfois
opérée préalablement.
- Sous forme binaire - la reproduction de ce type de ver n’est possible que sur une
architecture compatible avec les données binaires. Cependant, ce format ne nécessite pas de
compilateur sur la machine hôte et est souvent plus compacte que la version source. Il est à
remarquer qu’il existe des vers multiformes, c’est-à-dire utilisant une archive en sources ou
binaire selon le système à infecter.

[Link]. Mode de reproduction d’un ver

Avant d’infecter un système, le ver doit procéder dans l’ordre à une série d’étapes. Ce n’est
qu’à la suite de celles-ci qu’il pourra attaquer la machine cible. La succession d’étapes est la
suivante (et ne concerne que la partie « vecteur » jusqu’à la phase d’invasion) :
- Initialisation - ce sont les premières instructions du ver. Il peut s’agir de la création de
fichiers temporaires, ou la compilation d’une partie de l’archive. A cet instant, le ver est
toujours sur la machine mère.
- Recherche de l’hôte - Cette étape procède à un scan d’IP. Ce scan peut être aléatoire ou
incrémental. Pour chacune d’entre elles, on teste si le système répond ou non ("up" ou
"down").
- Identification de l’hôte - une fois une victime potentielle détectée, le ver va tester le
système en place sur la machine distante. Il s’agira de vérifier si le système possède des failles
pouvant être exploitées par le ver, s’il possède un compilateur approprié, ... Si ce n’est pas le
cas, on retourne à l’étape précédente.
- Attaque – c’est ici que le ver exploite les vulnérabilités mises au jour dans la phase
précédente. Le vecteur obtient alors un accès sur la machine cible.
- Invasion - Le vecteur est maintenant présent sur la machine cible, mais n’est pas encore
actif. Les instructions sont toujours données par la machine mère.
Dès cet instant, le vecteur va rapatrier la partie archive sur le système à infecter.
Deux techniques sont possibles :
- Soit le vecteur est toujours accompagné de sa partie archive, auquel cas l’archive est
présente sur la machine à tout moment, le vecteur uploadant son archive de machines
en machines. Cette technique est un peu plus complexe à réaliser car le vecteur doit
avoir été programmé pour transmettre cette archive.
- Soit le vecteur doit rapatrier la partie archive. Ce rapatriement se fait à partir de la
machine mère, ou depuis un serveur fixe (de type FTP) et unique pour toutes les
machines (mais dans ce cas, l’attaque se terminera si le serveur tombe en panne). C’est
beaucoup plus facile à réaliser, mais également plus dangereux car l’utilisateur piraté
pourra plus facilement tracer le ver. Si l’archive est sous forme de sources, le vecteur
devra également procéder à la décompression et à la compilation de ces sources avant
de passer à la phase suivante.
- Reproduction - ici aussi, deux possibilités existent pour permettre la reproduction du ver :
- Soit on tue le ver présent sur la machine mère. Le ver se déplacera alors de stations
en stations.
- Soit on ne le tue pas et chacun des deux vers continue à se propager selon la
méthode décrite ci-dessus. Ce choix provoque une étendue exponentielle du ver et est
logiquement plus dangereuse que la précédente.
Il faut également noter que des mesures simples permettent de limiter le risque d'attaque par
un ver :
- Analyse régulière de tous les fichiers suspects à l'aide d'un antivirus ;
- Mises à jour régulières des logiciels installés pour s'assurer d'avoir les dernières
versions ;
- Évitement des sites Internet à risque ;
- Scannage des pièces jointes d'un email par un antivirus à jour.