[FAQ] fr.comp.securite.virus - Partie 1/2
"H. Michaud" <jokeuse-faq-fcsv@lacave.net>
Archive-Name: fr/comp/securite/virus.generalites
FAQ du groupe fr.comp.securite.virus
Partie 1/2
Vous pouvez trouver la version la plus à jour de ce document ici :
<http://www.lacave.net/~jokeuse/usenet/faq-fcsv-part1.txt>
Une version HTML regroupant les deux parties de la FAQ se trouve ici :
<http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html>
Cette première partie contient les paragraphes 1 à 5 :
Présentation, Définitions, Généralités, Les virus et les e-mails.
------------------------------------------------------------------------
Auteur : Hélène Michaud
Dernière mise à jour : 17/10/2006
Contenu de la mise à jour :
- Contrôle des divers liens fournis
- Contrôle de la persistence des FAQs pointées.
------------------------------------------------------------------------
Les modifications apportées depuis la version précédente sont signalées
d'un "|" dans la marge.
Sommaire - Partie 1/2
---------------------
1 - Introduction
1.1 - Objet de cette FAQ
1.2 - Réutilisation de cette FAQ
1.3 - Décharge
1.4 - Un dernier conseil avant de commencer la lecture
2 - Quelques définitions
2.1 - Les virus
2.2 - Les vers
2.3 - Les "trojans" (chevaux de Troie, trojan horses, "troyens")
2.4 - Les spywares (espiogiciels, mouchards)
2.5 - Mini-lexique
3 - Les antivirus
3.1 - Qu'est-ce que c'est ?
3.2 - Pour quoi faire ?
3.3 - Lequel choisir ?
3.4 - Les antivirus ne sont pas infaillibles
3.5 - Le "Safe Hex"
3.6 - Je peux avoir plusieurs antivirus sur mon ordinateur ?
4 - Je viens de recevoir une alerte à propos d'un nouveau virus
4.1 - Je dois supprimer le fichier contenant le virus :
sulfnbk.exe, jdbgmgr.exe
4.2 - Comment reconnaître un canular
4.3 - Et s'il y a une pièce jointe...
4.4 - J'ai reçu une astuce qui empêchera le virus de s'envoyer :
un faux contact "!0000"
5 - Je reçois des mails étranges
5.1 - Le spam
5.2 - Les usurpations
5.3 - Les vrais messages infectés
5.4 - Comment retrouver l'expéditeur ?
5.5 - Comment rédiger le message destiné à prévenir l'expéditeur ?
5.6 - Comment ne plus recevoir ces messages ?
5.7 - Comment faire surveiller mon logiciel de messagerie par mon
antivirus ?
-+-+-+-+-+-+-+-
1 - Introduction
----------------
1.1 - Objet de cette FAQ
Ce document a pour but de vous apprendre, dans les grandes lignes,
ce qu'est un virus, quelle est la démarche à suivre pour s'en
protéger et s'en débarrasser, et de répondre aux questions les plus
fréquentes rencontrées sur le forum <news:fr.comp.securite.virus>.
Il est donc principalement destiné au débutant en sécurité
antivirale.
Il ne vous dispense pas de la lecture du manuel de configuration de
votre antivirus ni des FAQs associées, ni d'un minimum de recherche
de votre part sur les divers sites spécialisés si vous souhaitez en
savoir plus.
Pour cela, reportez-vous à la webographie située à la fin de ce
document.
1.2 - Réutilisation de cette FAQ
Vous êtes libre d'utiliser de courts extraits de cette FAQ, dans la
mesure où vous incluez un lien permettant d'avoir accès à
l'ensemble du document, dans le but de permettre à vos lecteurs
d'obtenir facilement un complément d'information.
De même, vous êtes libre de copier la FAQ dans son intégralité, à
condition cependant d'en avertir l'auteur, d'effectuer les mises à
jour les plus importantes, et que cette utilisation soit exempte de
tout caractère commercial (bannières publicitaires incluses).
Toute autre utilisation devra faire l'objet d'un accord préalable
de l'auteur.
Ces restrictions sont principalement dues au respect élémentaire du
temps que j'ai consacré à la rédaction de cette FAQ, du temps
gracieusement offert par tous ceux qui y ont contribué, et de la
sécurité du lecteur qui doit pouvoir accéder aux ajouts et
corrections apportés au document.
1.3 - Décharge
La sécurité antivirale est un domaine en perpétuelle évolution, ce
qui est vrai un jour peut devenir un mensonge éhonté dès le
lendemain (ainsi, le célèbre "On ne peut pas attraper un virus
simplement en lisant un e-mail" n'est plus vrai dans certains cas),
et de nouveaux virus apparaissent sans cesse.
De plus l'auteur reste humain, et malgré le soin apporté à la
rédaction de cette FAQ, rien ne peut garantir qu'une inexactitude
ou formulation maladroite ne s'y est pas glissée, ni que la version
que vous avez sous les yeux est à jour.
Par conséquent, ce document est à prendre comme un recueil de
conseils, et non comme une bible, et ces conseils doivent être
considérés d'un oeil critique et mesurés à l'aune du bon sens. Si
l'un d'entre eux vous semble peu clair ou inexact, n'hésitez pas à
poser la question à l'auteur ou sur le forum.
La responsabilité de l'auteur ne pourra donc être retenue en cas de
problèmes causés par la mise en pratique des théories exposées ci-
dessous.
1.4 - Un dernier conseil avant de commencer la lecture
La sécurité antivirale évoluant constamment, cette FAQ va suivre ce
mouvement perpétuel.
Évidemment, cela dépendra du temps libre de la rédactrice, mais des
mises à jour régulières seront faites dans la mesure du possible.
Par conséquent n'hésitez surtout pas à jeter régulièrement un oeil
sur ce document. Même si vous n'y trouvez pas de nouveautés, vous
rafraîchirez un peu votre mémoire, ce qui n'est jamais inutile.
En attendant, bonne lecture !
2 - Quelques définitions
------------------------
Note : Ces définitions restent très générales, mais tentent de refléter
au mieux la classification employée sur le forum. Vous trouverez
sûrement des définitions ou des dénominations légèrement
différentes ailleurs.
Attention également, de plus en plus de menaces rentrent dans
plusieurs catégories à la fois.
2.1 - Les virus
Un virus est un code malicieux (sous forme de programme, script,
etc.) dont le but est de se reproduire. Pour cela, il se dissimule
dans votre ordinateur le temps de proliférer, puis parfois (ce n'est
pas obligatoire) se manifeste par une autre action : petit message
narquois, effacement de fichiers, etc.
- Les virus de boot :
Ces virus se logent dans le secteur de démarrage (des disques
durs et disquettes) en remplaçant le code qui s'y trouve par le
leur. Ils sont chargés en mémoire (et donc actifs) dès que le
support infecté est utilisé.
Exemple : Jumper.B.
- Les virus d'applications :
Ils infectent des fichiers exécutables et se lancent donc lorsque
l'on exécute l'application infectée.
Il est à noter qu'un seul fichier peut être infecté par plusieurs
virus.
Exemple : Win95.CIH (dit "Tchernobyl")
- Les virus macro :
Ils se dissimulent dans les macros de documents, notamment de
type Word ou parfois Excel. Il sont lancés si on ouvre le
document infecté en autorisant l'exécution des macros qu'il
contient.
Exemple : Melissa.
2.2 - Les vers
Les vers, comme les virus, ont pour but de se reproduire. Leur
particularité est qu'ils se répandent d'eux-mêmes d'un ordinateur à
un autre en utilisant divers moyens (messagerie, partages réseaux,
IRC, etc.), sans recourir à l'infection de fichiers sains
préexistants (ce qui fait que suivant la définition du terme virus
adoptée, on peut considérer ou non que les vers sont une catégorie
de virus). L'important est de savoir que dans le cas d'un ver
"simple" (qui n'est pas en même temps un virus d'application par
exemple), la désinfection d'un ordinateur ne passe pas par la
désinfection de fichiers, mais par leur suppression.
- Les vers de messagerie :
Ils se répandent via les messageries, en s'attachant à des e-
mails qu'ils envoient ensuite à des adresses trouvées sur le
disque dur de leur victime (carnets d'adresses, boîte de
réception, cache internet, newsgroups, etc.). Certains profitent
de failles de sécurité dans les logiciels de messagerie (notamment
du couple Microsoft Outlook Express / Internet Explorer) pour
s'exécuter automatiquement dès la visualisation du message.
Exemples : Sircam, Klez, Bugbear... Il en apparaît sans cesse.
2.3 - Les "trojans" (chevaux de Troie, trojan horses, "troyens")
Comme les virus, ils peuvent avoir une infinité d'actions, comme
installer une porte dérobée ("backdoor") sur l'ordinateur infecté,
modifier la page de démarrage d'Internet Explorer, effacer vos
données, voler vos mots de passe, etc.
Et contrairement aux virus, ils ne se reproduisent pas. Ce ne sont
pas des "parasites" qui infectent des fichiers sains, mais des
applications à part entière qui doivent donc être installées sur
l'ordinateur de leur victime. Les méthodes d'installation sont
nombreuses : envoyé (volontairement, contrairement aux vers) par
e-mail, exploitation de failles de sécurité, installation par un
virus, installation directe à l'aide d'une disquette pendant votre
absence ou même sous votre nez sous un prétexte quelconque...
2.4 - Les spywares (espiogiciels, mouchards)
Ce sont des programmes intégrés à un autre logiciel, ou
s'installant en même temps que lui, parfois à l'insu de
l'utilisateur, parfois en prévenant ou même en demandant
l'autorisation.
Une fois installés, ils recueillent des informations personnelles,
telles que les logiciels installés sur votre ordinateur ou vos
habitudes de navigation, et utilisent votre connexion Internet pour
les envoyer.
2.5 - Mini-lexique
Note : Ces quelques définitions n'ont pour but que de vous donner une
idée de la signification de quelques-uns des termes barbares que
vous pouvez trouver sur le forum ou dans les descriptions de
virus, pas de constituer un lexique détaillé ou exhaustif.
Backdoor : Programme ouvrant une "porte dérobée" sur votre PC
permettant à des utilisateurs mal intentionnés d'en
prendre le contrôle.
BIOS : Basic Input Output System. Petit programme se trouvant sur
la carte mère de votre PC et servant au PC lors de son
démarrage. Il sert notamment à détecter les périphériques et
vérifier que tout fonctionne correctement sur le PC
(mémoire, processeur, carte-vidéo). Il ne peut pas contenir
de virus. Par contre certains virus peuvent dans certaines
circonstances effacer ou corrompre votre BIOS.
Bounce : "Retour à l'expéditeur" d'un e-mail qui n'a pas pu, pour
une raison ou une autre, parvenir à son destinataire,
accompagné d'un message d'erreur expliquant la cause du
rejet.
Le destinataire de ces messages d'erreur est identifié par
un des champs de l'entête de l'e-mail nommé "Return-path".
Canular : Fausse alerte virus circulant le plus souvent par e-mail.
Pour plus de renseignements, se reporter au §4 et à la
webographie de cette FAQ.
Dropper : Un dropper est un programme qui installe un virus, ver ou
un "trojan", sans être lui-même infecté par ce malware.
Hoax : Canular.
In The Wild : "dans la nature". Désigne les virus qui ont commencé
à se répandre, par opposition à ceux qui restent
confinés sur l'ordinateur de leur créateur et dans
des milieux contrôlés tels que les laboratoires
d'analyse.
ITW : In The Wild.
Macro : Code interprétable contenu dans un document (Word, Excel).
Malware : Nom générique donné à des programmes malveillants (virus,
"trojans", spywares...)
MBR : Master Boot Record, le secteur d'amorce du PC.
Polymorphisme : Certains virus sont polymorphes, c'est à dire que
chaque fois qu'ils infectent un fichier, ils se
chiffrent d'une façon différente, ce qui les rend
plus difficilement détectables.
Scan (par extension scanner) : Analyse du contenu d'un fichier.
SMTP : Abréviation de "Simple Mail Transfer Protocol". Désigne un
protocole permettant la communication avec un serveur mail.
Certains vers et virus contiennent leur propre moteur SMTP
(angl. "SMTP engine") qui leur permet de se propager en
communiquant directement avec un serveur courrier sans
risquer de laisser de traces en passant par Outlook comme le
font beaucoup de virus très simples (ou au cas où Outlook ne
serait pas présent sur l'ordinateur).
3 - Les antivirus
-----------------
3.1 - Qu'est-ce que c'est ?
Un antivirus est un logiciel qui protège un ordinateur contre les
virus, et de plus en plus contre d'autres malwares : "trojans",
scripts malicieux dans les pages web... Il est souvent composé de
différents modules.
Des méthodes fréquemment employées par les antivirus sont :
- moteur d'analyse : il permet de scanner à la demande les fichiers
que vous lui indiquez, par la recherche de signatures spécifiques
permettant d'identifier un virus (scanner "On-Demand").
- moniteur résident en mémoire : capable de détecter les virus en
mémoire ainsi que de vérifier la présence de virus dans les
fichiers que vous utilisez (scanner "On-Access").
- analyse heuristique : qui recherche les instructions utilisées en
général par des virus afin de détecter les virus qui ne sont pas
encore référencés par les éditeurs d'antivirus.
- contrôleur d'intégrité : l'antivirus détermine une valeur en
fonction du contenu d'un fichier et la stocke dans un fichier de
contrôle ; ensuite chaque fois que ce fichier est scanné,
l'antivirus contrôle si cette somme est toujours la même ; en cas
de changement il vous prévient et vous permet soit d'accepter le
changement si c'est une action volontaire de votre part, soit de
ne pas utiliser le programme et/ou de l'envoyer à l'éditeur de
l'antivirus pour analyse complémentaire.
3.2 - Pour quoi faire ?
Depuis le succès d'Internet et l'augmentation des échanges de
fichiers entre utilisateurs via notamment l'e-mail, il est devenu
nécessaire de se protéger des virus de manière quasi permanente.
L'antivirus est devenu l'assistant de l'utilisateur dans cette
tâche. Car il ne faut pas oublier que c'est un outil mis à la
disposition de l'utilisateur et donc, la première sécurité de votre
ordinateur : c'est vous !
3.3 - Lequel choisir ?
Il existe un grand nombre d'antivirus, certains sont payants,
d'autres sont gratuits. Certains sont meilleurs que d'autres. C'est
à vous de tester et de vous renseigner pour trouver celui qui vous
conviendra le mieux, c'est à dire celui qui vous protégera
efficacement, qui fonctionnera sans problème sur *votre*
ordinateur, et que *vous* saurez configurer et utiliser
correctement.
Cette page web peut vous aider à faire votre choix en connaissance
de cause :
<http://www.claymania.com/anti-virus-fr.html> (en français)
Et si vous voulez aussi une bonne protection contre les "trojans" :
<http://www.claymania.com/tests-trojan-fr.html> (en français)
3.4 - Les antivirus ne sont pas infaillibles
Un antivirus ne détectera jamais 100% des virus : le tout dernier
sorti, le très ancien ou le particulièrement difficile à analyser
peuvent lui échapper, par exemple.
De plus, il leur arrive de se tromper, et de déclarer infectés
par erreur des fichiers tout à fait sains.
N'ayez donc pas une confiance aveugle dans ce que vous dit votre
antivirus, et n'hésitez pas en cas de doute à faire analyser votre
fichier en ligne ou par un autre antivirus. Si votre antivirus
habituel est le seul à déclarer le fichier infecté, envoyez le
fichier incriminé à son éditeur pour analyse : il vous dira s'il
s'agit d'une fausse alerte, et dans ce cas pourra corriger
l'anomalie dans sa prochaine mise à jour.
3.5 - Le "Safe Hex"
Nous venons de voir qu'un antivirus n'est pas infaillible.
Donc, pour rester le plus protégé possible, votre rôle est crucial.
Si vous appliquez scrupuleusement ces quelques conseils dits de
"Safe Hex", vous limiterez sérieusement votre vulnérabilité aux
attaques virales les plus courantes :
- Utilisez un système d'exploitation et des logiciels exempts de
failles de sécurité, en installant les correctifs de sécurité au
fur et à mesure de leur sortie. Sans faire de prosélytisme, ceci
est particulièrement valable si vous utilisez des produits
Microsoft pour surfer sur le web ou lire vos mails : très
répandus, mais également bourrés de failles, ils sont à patcher
très souvent, et à configurer soigneusement si vous voulez éviter
qu'un virus ne puisse s'installer automatiquement sur votre
ordinateur.
Ne négligez cependant pas, sous prétexte que ce n'est pas Outlook
Express, de vérifier de temps en temps qu'aucune attaque n'est
apparue pour votre logiciel préféré, et gardez un oeil sur les
virus spécifiques à votre système d'exploitation.
Même si on en parle moins, il existe des virus pour Mac et Linux :
<http://www.claymania.com/unix-viruses-fr.html> (en français)
<http://www.cs.uu.nl/wais/html/na-dir/computer-virus/macintosh-faq.html>
- Envisagez l'installation d'un firewall personnel, qui pourra
empêcher une infection via une faille de sécurité dans votre
système d'exploitation en attendant que vous puissiez le mettre
à jour.
Vous pourrez vous renseigner sur les firewalls et leur
utilisation sur le forum <news:fr.comp.securite>, notamment en y
lisant le document intitulé :
"[FAQ] fr.comp.securite : Les Firewalls"
| Disponible ici : <http://fr.comp.securite.free.fr/firewall.txt>
Même un firewall ne surveillant que le trafic entrant, tel que
celui intégré à Windows XP, peut suffire à vous protéger d'un
ver type Blaster (il n'empêchera cependant pas un intrus déjà
installé de se propager vers l'extérieur).
- Ayez une connaissance minimale de votre système d'exploitation et
de vos logiciels et de leurs fonctionnalités : intéressez-vous
aux commandes, aux menus, parcourez le manuel...
Par exemple savoir qu'un fichier simplement supprimé sous Windows
n'est pas directement effacé du disque mais placé dans la
corbeille, que Windows ME et XP effectuent des sauvegardes
automatiques (le fameux système "restore"), ou ce qu'est la
fonction "compacter les dossiers" de votre logiciel de messagerie
(c'est elle qui effacera physiquement un e-mail de votre disque
dur) peut vous épargner quelques frayeurs du style "le virus est
toujours là !", et vous aidera pour la configuration.
- Configurez vos logiciels, antivirus et système d'exploitation
avec soin, en interdisant autant que possible ce qui pourrait
s'avérer dangereux. Par exemple, désactivez l'exécution de tout
code dans vos messages, empêchez Eudora d'afficher les messages
en HTML à l'aide du "Microsoft Viewer" (ce qui le rend vulnérable
à ses failles), demandez à votre Windows d'afficher toutes les
extensions de vos fichiers, ce qui vous évitera de vous faire
piéger par une double extension (attention cependant aux .pif qui
restent invisibles), etc.
Il existe sur le web de nombreuses FAQs, officielles ou non, qui
pourront vous y aider. Vous trouverez quelques exemples dans les
annexes (voir le §9.5).
- Maintenez votre antivirus le plus à jour possible. Des nouveaux
virus, ou des nouvelles variantes de virus connus, apparaissent
régulièrement. De plus les éditeurs d'antivirus mettent à jour
les anciennes définitions de virus, surtout les informations
permettant de réparer les fichiers infectés (quand ils ne sont
pas irrémédiablement perdus). Donc, mettre à jour votre antivirus
vous assurera de posséder la protection la plus efficace.
- Méfiez-vous de tous les fichiers qui arrivent sur votre
ordinateur : vérifiez leur extension réelle, et scannez ceux qui
peuvent contenir des virus avec un antivirus à jour (idéalement,
attendez les prochaines définitions de virus) avant de les ouvrir.
Les pièces jointes qui arrivent par mail et les fichiers
téléchargés sont une méthode de contamination extrêmement
efficace, même, et il est important d'insister sur ce point, s'ils
semblent venir d'une source connue.
Ne négligez pas pour autant d'examiner vos disquettes, CD-Roms...
- Sauvegardez vos données les plus importantes, de façon à pouvoir
les récupérer aisément si un virus parvenait tout de même à s'y
attaquer.
- Gardez la tête froide. Les virus sont à prendre au sérieux, mais
faire n'importe quoi sous l'effet de la peur est encore plus
dangereux pour votre ordinateur. De plus, la présence d'un
virus sur un ordinateur n'implique pas systématiquement que
l'ordinateur est infecté.
Ces conseils sont développés plus avant sur ce site :
<http://www.claymania.com/safe-hex-fr.html> (en français)
3.6 - Je peux avoir plusieurs antivirus sur mon ordinateur ?
On peut installer autant d'antivirus qu'on le souhaite sur un même
ordinateur, à condition de n'en faire fonctionner qu'un seul en
même temps : il ne doit y avoir qu'un seul moniteur actif à la
fois, et il faut le désactiver si l'on souhaite lancer un autre
antivirus (moniteur ou simple scan), afin d'éviter tout risque de
conflit qui empêcherait les deux antivirus de faire correctement
leur travail.
Attention également aux fausses alertes provoquées par
l'utilisation préalable d'un autre antivirus (à cause de traces
laissées en mémoire), ou parfois par sa seule présence sur le
disque dur (identification de virus dans la base de signatures
de l'autre antivirus, virus en quarantaine...). Certains antivirus
ne s'installeront pas correctement si un autre produit ou une
version différente du même antivirus n'a pas été entièrement
désinstallée avant. Prudence donc.
4 - Je viens de recevoir une alerte à propos d'un nouveau virus
---------------------------------------------------------------
Tout le monde a déjà reçu un e-mail angoissant décrivant les ravages
causés par un tout nouveau virus, indétectable et se répandant à la
vitesse de l'éclair, et conseillant de faire suivre l'avertissement à
tous les correspondants de son carnet d'adresses.
La plupart de ces messages d'alerte sont des canulars (ou "hoax"),
décrivant des virus inexistants. Les quelques messages restants, bien
que parlant de virus réels, souffrent souvent de lacunes leur ôtant
toute efficacité préventive ou réparatrice.
Tous ces messages ne peuvent servir qu'à déclencher la panique chez
les utilisateurs non avertis (et les réactions irréfléchies et
parfois dévastatrices qui la suivent, tels un formatage inutile),
tout en détournant l'attention de menaces plus réelles. Ils encombrent
inutilement messageries et disques durs.
Il est inutile, voire nuisible de les faire suivre sans vérifier
sérieusement la véracité des faits exposés. Vous trouverez à cet
effet des sites listant et expliquant les canulars dans la
webographie à la fin de ce document.
Ne faites jamais suivre une alerte "au cas où". S'il s'agit d'un
canular, vous ferez peur inutilement à vos contacts (vos amis,
clients, patron), tout en leur faisant perdre du temps, et votre
crédibilité risque d'en prendre un coup, ce qui serait dommage si un
jour vous avez une véritable alerte à faire passer.
Si vous recevez un canular, prévenez donc gentiment l'expéditeur de
son erreur, pour aider à enrayer la propagation de ces ennuyeux
messages.
4.1 - Je dois supprimer le fichier contenant le virus :
sulfnbk.exe, jdbgmgr.exe
Ces messages conseillent au lecteur de supprimer un fichier trouvé
sur son disque dur, car il s'agit d'un virus, puis de faire suivre
l'alerte à un maximum de personnes. Conseils qu'il ne faut en aucun
cas suivre aveuglément ! En effet, les fichiers visés par ces
canulars sont inoffensifs et leur présence est tout à fait normale
sur un ordinateur équipé de Windows. Des variantes utilisent le nom
de virus réels et connus (par exemple, jdbgmgr.exe et Bugbear) pour
profiter d'une peur existante : ne cédez pas à la psychose !
Par contre, ces fichiers restent des exécutables ordinaires, et
peuvent donc être infectés par un virus. Donc, si vous les recevez
par e-mail, prudence ! C'est peut-être un virus, véritable celui-
ci, qui a infecté par hasard ce ficher avant de vous l'envoyer.
Dans tous les cas, n'effacez jamais un fichier de votre ordinateur
sans avoir préalablement fait confirmer l'infection par un
antivirus.
Si le mal est fait, vous pouvez toujours récupérer vos fichiers,
soit à l'aide du CD d'installation de Windows, soit sur un
ordinateur sain utilisant la même version de ces fichiers.
Plus de détails sur ces sites en français :
- sulfnbk.exe (en français)
<http://www.hoaxbuster.com/hoaxliste/hoax.php?idArticle=2863>
<http://www.hoaxkiller.com/hoax/2001/virus_sulfnbk_exe.htm>
- jdbgmgr.exe (en français)
<http://www.hoaxbuster.com/hoaxliste/hoax.php?idArticle=2774>
<http://www.hoaxkiller.com/hoax/2002/virus_jdbgmgr_exe.htm>
4.2 - Comment reconnaître un canular
Ils sont en général simples à repérer, grâce à quelques
caractéristiques courantes, dont la présence doit vous rendre
méfiant :
- On vous demande de faire suivre l'alerte à un maximum de
personnes. Une alerte non ciblée ne peut pas être efficace.
- Le virus est indétectable, même avec un antivirus à jour. Or les
éditeurs d'antivirus peuvent étudier un nouveau virus et
l'intégrer à une mise à jour de leur produit très rapidement.
- Une société très connue, mais qui n'a absolument rien à voir avec
les virus, a confirmé la menace (souvent Microsoft, AOL, IBM...).
On voit même "Linux" confirmer des menaces !
- Mais il n'y a aucun moyen de vérifier immédiatement la véracité
de l'information, par exemple un lien *direct* vers la
description de la menace sur un site spécialisé.
- Il n'y a pas de date précise d'apparition, pour que l'alerte ne
se périme pas et continue à circuler des années.
- L'auteur en rajoute, à grand renfort de MAJUSCULES et de points
d'exclamation !!!, sur l'urgence de la situation et les dommages,
toujours cataclysmiques et irréversibles.
- Et surtout, le message apparaît sur une ou plusieurs listes de
canulars !
4.3 - Et s'il y a une pièce jointe...
Si un fichier présenté comme un correctif, un antivirus ou même
parfois comme un lien vers un site web (l'extension .com peut être
trompeuse) est joint à l'alerte, méfiance !
Il y a de fortes chances pour que ce fichier contienne un virus ou
un "trojan", même s'il semble vous être expédié par un ami ou un
éditeur d'antivirus.
N'y touchez pas et effacez le message, il sera toujours temps
d'aller chercher vous-même un correctif plus sûr si le besoin s'en
fait sentir.
4.4 - J'ai reçu une astuce qui empêchera le virus de s'envoyer :
un faux contact "!0000"
Un message circule, qui vous conseille de créer dans votre carnet
d'adresses un contact (nommé "!0000"), sans lui attribuer d'adresse
e-mail valide, afin de protéger vos contacts en cas d'infection par
un virus. Ce dernier ne pourra pas envoyer de mails infectés à vos
contacts, et un message d'erreur vous préviendra de la tentative.
Suivre ce conseil est inutile, voire même dangereux, à cause du
faux sentiment de sécurité qu'il procure, vous incitant à relâcher
votre vigilance. Or l'astuce est inefficace contre l'immense
majorité des virus, en particulier contre les plus récents et les
plus virulents :
- Que le contact soit affiché au début de la liste lorsque vous la
triez par ordre alphabétique ne signifie en aucun cas qu'il est
au début du fichier contenant votre carnet d'adresses, il a même
probablement simplement été ajouté à la fin.
Plusieurs séries de messages infectés peuvent donc être envoyés
avant même que le virus ne tombe sur ce fameux contact.
De plus certains virus piocheront au hasard dans la liste, ou
prendront les adresses dans d'autres fichiers présents sur votre
disque dur (cache Internet, boîte de réception, ...).
- Les virus récents s'envoient indépendamment du logiciel de
messagerie, qui n'aura donc aucune raison d'afficher un message.
Le virus, lui, se gardera bien de signaler prématurément sa
présence par un message si explicite !
- Un virus bien conçu ne sera même pas gêné par une adresse e-mail
non valide.
Pour être prévenu en cas d'attaque virale, rien ne vaut un
antivirus maintenu à jour. Si vous craignez qu'en cas de
défaillance de ce dernier, un virus n'utilise votre liste de
contacts, autant y faire figurer une de vos propres adresses, qui
ne servirait qu'à ça, et que vous n'utiliserez ni ne communiquerez
jamais. Vous aurez alors une chance de faire partie des
destinataires du virus, et d'être sûr de sa provenance. Cette
astuce non plus n'est pas infaillible, cependant.
5 - Je reçois des mails étranges
--------------------------------
5.1 - Le spam
Un spam est un message non sollicité envoyé en masse à des adresses
collectées sans le consentement de leur propriétaire, sur les pages
web, annuaires e-mail, groupes de discussions, etc., ou collectées
sous un prétexte innocent et détournées ensuite. Il est souvent à
caractère publicitaire, et en langue étrangère.
Si vous recevez un message que vous ne pouvez pas lire, ou qui ne
vous semble pas destiné mais fait de la pub de façon plus ou moins
détournée, et qu'il ne comporte ni pièce jointe ni code malveillant
(comme par exemple tentant de changer votre page de démarrage
Internet Explorer pour celle du site en question), alors le bon
forum pour vous renseigner est <news:fr.usenet.abus.d>, consacré
aux abus du réseau, par mail ou sur Usenet.
Vous pourrez vous renseigner sur la mise en place de filtres dans
votre logiciel de messagerie sur <news:fr.comp.mail>.
5.2 - Les usurpations
Les spammeurs, les mauvais plaisants et certains virus (Klez,
Bugbear, Sobig...) sont capables de falsifier les entêtes des
e-mails qu'ils envoient, entre autre pour faire croire qu'ils
proviennent d'une autre personne. Si votre adresse est utilisée,
c'est donc vous qui recevrez réponses, alertes au virus et autres
messages de rejet automatiques, pour des mails qui n'émanaient pas
de votre ordinateur. Si vous recevez de tels messages, mais que
votre antivirus ne vous signale aucune infection, vous pouvez les
effacer.
5.3 - Les vrais messages infectés
Ce sont des messages contenant du code malveillant, sous forme de
script, de tentative d'exploitation d'une faille de votre logiciel
de messagerie, et/ou d'une pièce jointe pouvant contenir un virus.
Un message en texte brut sans pièce jointe ne peut donc pas être
infecté.
Attention, dans certains cas il arrive que le logiciel de messagerie
n'affiche pas toutes les pièces jointes, ou que l'une de leurs
extensions (la dernière) soit masquée par Windows, faisant passer un
dangereux script readme.txt.vbs pour un inoffensif fichier texte.
Mais si vous appliquez les conseils de "Safe Hex" (voir le §3.5),
n'ouvrez jamais une pièce jointe dont la présence n'a pas été
clairement mentionnée dans le message, et dans le style habituel de
l'expéditeur apparent (et à fortiori, si lorsque vous vérifiez
auprès de l'expéditeur, il dit ne rien vous avoir envoyé!), et
effacez totalement de votre messagerie (suppression dans la
corbeille, puis compression des dossiers) tous les messages douteux,
vous ne risquez pas grand-chose.
5.4 - Comment retrouver l'expéditeur ?
Il n'est pas toujours possible de se fier au nom et à l'adresse
e-mail de l'expéditeur, qui peuvent être falsifiés. Pour savoir
quels champs sont faux, le mieux est d'aller lire une description
du virus précisant quelles astuces il utilise (ou n'utilise pas)
pour se dissimuler.
Il faut ensuite étudier les entêtes du message pour trouver soit la
véritable adresse de la personne infectée, ou parfois uniquement
l'adresse IP qu'elle utilisait au moment où le virus a été envoyé.
Pour cela, la lecture des documents postés régulièrement sur le
forum <news:fr.usenet.abus.d> et l'aide de ses contributeurs vous
seront d'un grand secours.
Sachez seulement qu'il n'est pas toujours possible d'identifier la
victime.
5.5 - Comment rédiger le message destiné à prévenir l'expéditeur ?
Vous avez l'adresse e-mail de la personne infectée, et vous voulez
la prévenir. C'est une intention louable, mais attention, pour lui
apporter une aide vraiment efficace il faut prendre quelques
précautions lorsque vous rédigez le message.
La principale étant bien sûr de vous assurer que vous n'allez pas
faire peur à un innocent à cause d'une adresse d'expéditeur
falsifiée !
Pensez ensuite que cette personne n'est probablement pas encore au
courant de son infection, et ne vous a pas envoyé de message vérolé
intentionnellement. La courtoisie est donc de rigueur.
Incluez toujours le nom complet du virus que vous avez reçu, sans
oublier la variante. Quelques liens vers la description du virus et
des instructions ou un outil de désinfection seront sûrement
appréciés. Mettez-les même si vous copiez-collez des instructions
demandant de supprimer un fichier, pour permettre leur vérification
et ne pas risquer de faire croire à un canular.
Évitez les correctifs en pièce jointe. Si la personne se méfie,
elle l'effacera sans l'exécuter et ira le chercher sur un site sûr.
Si elle ne se méfie pas, elle gardera le mauvais réflexe d'exécuter
de tels correctifs, même lorsqu'il s'agira en fait de malwares,
comme par exemple Klez, capable de se propager sous le titre
"removal tool" et proposant de supprimer le dangereux virus Klez...
5.6 - Comment ne plus recevoir ces messages ?
Ne pas recevoir de virus par mail est impossible à partir du moment
où votre adresse est connue : vos parents, amis, contacts, plus les
inconnus qui liront votre page web et vos messages sur Usenet (si
vous y placez votre adresse réelle), peuvent un jour ou l'autre
vous envoyer des messages vérolés suite à une infection.
L'utilisation d'une adresse antispam, sans adresse de réponse
valide, peut aider à limiter le nombre de virus reçus de la part
d'inconnus, mais empêche également que l'on puisse vous contacter
par mail sans devoir effectuer de manipulations souvent
dissuasives.
C'est un choix à faire.
Vous pouvez également utiliser des règles de filtrage, dans votre
logiciel de messagerie ou, si votre fournisseur d'accès le permet,
directement sur votre serveur de messagerie pour filtrer les
messages contenant des entêtes caractéristiques, ou utiliser un
logiciel comme Mailwasher (<http://www.mailwasher.net/>, en anglais)
pour trier les messages reçus sur le serveur avant de les
télécharger.
Certains fournisseurs d'adresses e-mail proposent également des
solutions antivirus (solution complète ou surveillance de la
messagerie) : renseignez-vous auprès du vôtre.
5.7 - Comment faire surveiller mon logiciel de messagerie par mon
antivirus ?
En fait, ce n'est pas forcément une bonne idée. Outre que cela
consomme des ressources, cette protection peut causer plus d'ennuis
qu'elle n'en résout.
Pourquoi ?
Pour plusieurs raisons, la principale étant qu'avec une bonne
pratique des conseils de "Safe Hex" (voir le §3.5), cette protection
n'est pas vraiment utile, alors qu'utilisée seule, l'utilisateur
prenant l'habitude de se reposer entièrement sur son antivirus, elle
peut être catastrophique. Les vers de messagerie se répandent à une
telle vitesse que même en maintenant son antivirus à jour, on ne
peut pas être sûr qu'il connaisse déjà le tout dernier ver sorti au
moment où il arrive dans votre messagerie. Si vous lui faites trop
confiance, et avez négligé les règles de "Safe Hex" telle que
l'utilisation d'une messagerie sûre, vous vous retrouverez alors
infecté.
Et dans le cas où le virus est déjà connu, le moniteur vous
empêchera quand même de l'exécuter si vous cliquez par mégarde sur
la pièce jointe, même si vous ne faites pas surveiller votre
messagerie. Cette surveillance ferait donc double emploi, sans
forcément mieux protéger (exception : virus inconnu, mais tentant
d'exploiter une faille du logiciel, tentative dont certains
antivirus peuvent vous prévenir... s'ils la connaissent.).
Une autre raison est que cela peut générer des problèmes
supplémentaires avec certaines versions et/ou configuration de
certains antivirus, et/ou suite à une manoeuvre maladroite de
l'utilisateur :
- virus intercepté et supprimé, automatiquement ou à la demande,
mais malheureusement en même temps que tous les messages du
dossier des éléments reçus.
- antivirus empêchant l'utilisateur de cliquer sur le mail infecté
pour le supprimer, ou bloquant le téléchargement des messages
suivants, ce qui oblige à le désactiver, et donc peut entraîner
une infection si le virus exploite une faille de sécurité non
corrigée.
- les antivirus ne peuvent parfois pas scanner tous les formats de
messageries.
Donc, si vous tenez tout de même à utiliser cette fonctionnalité de
votre antivirus, faites-le en connaissance de cause et avec une
configuration adéquate : lisez soigneusement la documentation
associée dans le manuel, l'aide en ligne et surtout sur le site de
l'éditeur qui y a peut-être ajouté des conseils de configuration
limitant les risques de destruction de données, ne négligez pas les
conseils élémentaires de prudence au cas où votre antivirus aurait
une défaillance, et n'agissez pas sans réfléchir en cas d'alerte.
Bref, respectez là encore les règles de "Safe Hex"!
Traduit en HTML par faq2html.pl le Wed Nov 3 05:42:13 2010 pour le site Web Usenet-FR.
