Annexe A. Types de menaces informatiques

Par le terme « menace » nous comprenons tout logiciel pouvant potentiellement ou directement endommager l’ordinateur ou le réseau, ou porter atteinte aux données ou aux droits de l’utilisateur (logiciels malveillants ou indésirables). Dans le sens le plus large du terme, « menace » peut indiquer tout type de danger potentiel pour la sécurité de l’ordinateur ou du réseau (ainsi, une vulnérabilité peut être utilisée pour des attaques de pirates).

Tous les types de logiciels décrits ci-dessous peuvent présenter un danger pour les données de l’utilisateur et pour son droit à la confidentialité. Les logiciels qui ne dissimulent pas leur présence dans le système (par exemple, certains logiciels pour diffusion de spam ou analyseurs du trafic), ne sont normalement pas considérés comme menaces, mais peuvent l’être sous certaines conditions.

Virus informatiques

Ce type de menaces informatiques se caractérise par sa capacité à introduire son code dans le code d’exécution d’autres logiciels. Cette pénétration porte le nom d’infection. Dans la plupart des cas, le fichier infecté devient lui-même porteur du virus et le code introduit n’est plus conforme à l’original. La majeure partie des virus est conçue pour détériorer ou détruire les données du système.

Dans la classification de Doctor Web, les virus sont triés par le type d’objets qu’ils infectent :

Virus de fichiers : virus infectant les fichiers système (fichiers exécutables, bibliothèques dynamiques) et qui s’activent au lancement du fichier infecté.

Macrovirus infectant les fichiers utilisés par les applications Microsoft® Office et d’autres programmes utilisant des commandes macros (généralement écrits en Visual Basic). Macros, ce sont des logiciels internes, écrits dans un langage de programmation totalement fonctionnel. Par exemple, dans Microsoft® Word, les macros se lancent automatiquement lorsque vous ouvrez, (fermez, sauvegardez etc) un document.

Virus script : virus écrits en langages de script qui infectent dans la plupart des cas d’autres scripts (par exemple, les fichiers du système d’exploitation). Ils peuvent également infecter d’autres formats de fichiers qui supportent l’exécution des scripts, tout en se servant des scripts vulnérables des applications Web.

Virus de boot : ils infectent les secteurs d’amorçage des disques et des partitions aussi bien que les principaux secteurs boot des disques durs. Ils occupent peu de mémoire et restent prêts à remplir leurs fonctions jusqu’à ce qu’un déchargement, un redémarrage ou un arrêt du système ne soient effectués.

La plupart des virus possèdent des mécanismes de protection contre leur détection. Leurs méthodes de protection contre la détection s’améliorent sans cesse, de même que les moyens pour les contrer. On peut également classer les virus selon le moyen de protection contre la détection qu’ils utilisent :

Virus chiffrés : ils chiffrent leur code à chaque infection afin de rendre leur détection dans un fichier, un secteur d’amorçage ou en mémoire, plus difficile. Toutes les variantes de ce type de virus contiennent uniquement un petit fragment de code en commun (la procédure de déchiffrement) qui peut être utilisé comme la signature du virus.

Virus polymorphes : ce sont des virus qui chiffrent également leur code mais qui, en plus, utilisent un algorithme de déchiffrement spécifique différent à chaque nouvelle variante du virus. Ceci implique que ces types de virus n’ont pas de signature virale.

Virus furtifs : ils agissent de telle façon qu’ils masquent leur activité et cachent leur présence dans les objets infectés. Ces virus captent les caractéristiques d’un objet avant de l’infecter et présentent ensuite ces caractéristiques « modèles » au scanner antivirus cherchant, lui, à dépister des fichiers modifiés.

On peut également classifier les virus d’après le langage de programmation dans lequel ils sont écrits (la plupart sont écrits en Assembleur, en langages de haut niveau de programmation et en langages scripts, etc.) ainsi que selon les systèmes d’exploitation ciblés.

Vers informatiques

Récemment, les vers sont devenus plus fréquents que les virus ou d’autres logiciels malveillants. Tout comme les virus, ils sont capables de s’autorépliquer et de diffuser leurs copies, mais n’affectent pas d’autres logiciels ni fichiers (ils n’ont pas besoin des fichiers host pour se répandre). Les vers pénètrent dans un ordinateur du reseau (souvent via une pièce jointe dans un email ou via Internet) et ils envoient massivement leurs propres copies à d’autres ordinateurs du réseau. Au départ, pour se propager, les vers peuvent profiter des actions de l’utilisateur ou choisir le poste à attaquer de manière automatique.

Les vers ne sont pas forcément composés d’un seul fichier (le corps du ver). Plusieurs d’entre eux possèdent également une partie infectieuse (le shellcode), qui se charge dans la mémoire vive (RAM) de l’ordinateur puis télécharge le corps du ver sous forme de fichier exécutable via le réseau. Si seul le shellcode est présent dans le système, le ver peut être supprimé en redémarrant simplement l’ordinateur (et la mémoire vive est déchargée et remise à zéro). Mais aussitôt que le corps du ver entre dans le système, seul l’antivirus peut le désinfecter.

A cause de leur propagation intense, les vers peuvent paralyser des réseaux entiers, même s’ils n’endommagent pas directement le système.

Doctor Web classifie les vers d’après leur mode de propagation :

Les vers de réseau se propagent à l’aide de différents protocoles réseau ou d’échanges de fichiers.

Les vers de courrier se propagent via les protocoles de courrier électronique (POP3, SMTP, etc.).

Les vers de tchat se propagent en utilisant les messageries instantanées (ICQ, IM, IRC, etc.).

Chevaux de Troie (Trojans)

Ce type de logiciels malicieux n’est pas capable de s’autorépliquer ni d’infecter d’autres logiciels. Les chevaux de Troie se substituent à des programmes très utilisés, effectuent les mêmes actions qu’eux ou en imitent le fonctionnement. Dans le même temps, ils effectuent des actions malveillantes dans le système (suppriment ou endommagent des fichiers ou des données, envoient les données confidentielles de l’utilisateur, etc.) ou donnent aux cybercriminels un accès à l’ordinateur pour, par exemple, porter atteinte au propriétaire de l’ordinateur touché.

Les capacités de camouflage et d’endommagement d’un cheval de Troie sont les mêmes que celles d’un virus. Un Trojan peut représenter lui-même un module de virus. Mais dans la plupart des cas, les Trojans se diffusent comme des fichiers exécutables isolés (via les serveurs d’échange de fichiers, les supports amovibles ou dans les pièces jointes des emails) qui sont exécutés par l’utilisateur lui-même ou par les tâches système.

Il est difficile de classifier les Trojans car ils sont souvent diffusés par des virus ou des vers mais également parce que beaucoup d’actions malveillantes pouvant être effectuées par d’autres types de menaces sont imputées aux Trojans uniquement. Certains types de Trojans sont classés à part par les spécialistes de Doctor Web :

Backdoors : ce sont des Trojans qui offrent un accès privilégié au système, contournant le mécanisme existant d’accès et de protection. Les backdoors n’infectent pas les fichiers, mais ils s’inscrivent dans le registre, modifiant les clés de registre.

Rootkits : ils sont destinés à intercepter les fonctions de l’API du système d’exploitation pour dissimuler leur présence dans le système. En outre, le rootkit peut masquer les processus d’autres logiciels (par ex, d’autres menaces), les clés de registre, des fichiers et des dossiers. Le rootkit se propage comme un logiciel indépendant ou comme le composant d’un autre logiciel malveillant. Selon leur mode de fonctionnement, il existe deux types de rootkits : User Mode Rootkits (UMR) qui fonctionnent dans le mode utilisateur (interception des fonctions des bibliothèques du mode utilisateur), et Kernel Mode Rootkits (KMR) qui fonctionnent dans le mode noyau (interception des fonctions au niveau du noyau système, ce qui rend la détection plus difficile).

Keyloggers : ils sont utilisés pour enregistrer les données entrées par l’utilisateur sur le clavier. Le but de ces actions est le vol des données personnelles (mots de passe, logins, numéros de cartes bancaires, etc.).

Cliqueurs : ils redirigent les liens quand on clique sur eux. D’ordinaire, l’utilisateur est redirigé vers des adresses déterminées avec le but d’augmenter le trafic publicitaire des sites web ou pour organiser des attaques DDoS.

Trojans proxy : ils offrent aux cybercriminels un accès anonyme à Internet via l’ordinateur de leur victime.

Les Trojans peuvent accomplir d’autres actions malveillantes comme, par exemple, changer la page d’accueil du navigateur web ou supprimer certains fichiers. Mais ces actions peuvent également être exécutées par les menaces d’autres types (par exemple, par des virus et des vers).

Hacktools

Les hacktools sont créés pour aider les hackers. Les logiciels de ce type les plus répandus sont des scanners de ports sachant détecter les vulnérabilités des pare-feux (firewalls) et d’autres composants qui assurent la sécurité du système de l’ordinateur. A part les pirates, les administrateurs peuvent utiliser ce type d’outils pour vérifier la sécurité de leurs réseaux. Certains logiciels utilisés pour le hacking ou ceux qui utilisent l’ingénierie sociale sont considérés comme des hacktools.

Adwares

Sous ce terme, on désigne le plus souvent un code interne aux logiciels gratuits qui impose l’affichage d’une publicité sur l’ordinateur de l’utilisateur. Mais parfois, ce code peut être diffusé par d’autres logiciels malveillants et afficher des publicités dans les navigateurs web. Très souvent, ces adwares fonctionnent en utilisant des données collectées par des logiciels espions.

Canulars

Ce type de logiciels malveillants, comme les adwares, ne détériorent pas le système. Ils génèrent le plus souvent des messages sur des erreurs inexistantes et effraient l’utilisateur pour effectuer des actions qui peuvent mener à la perte de données. Leur but est d’intimider l’utilisateur ou de l’irriter.

Dialers

Ce sont de petites applications installées sur les ordinateurs, élaborées spécialement pour scanner un certain spectre de numéros de téléphone. Par la suite, les cybercriminels utiliseront les numéros trouvés pour prélever de l’argent à leur victime ou pour connecter l’utilisateur à des services téléphoniques surtaxés et coûteux.

Riskwares

Ces logiciels ne sont pas créés pour détériorer le système, mais peuvent être utilisés pour paralyser la sécurité du système grâce à certaines fonctionnalités. C’est pourquoi ils sont classés parmi les menaces mineures. Ces logiciels peuvent non seulement détériorer les données ou les supprimer par hasard, mais ils peuvent également être utilisés par des crackers ou par d’autres logiciels pirates pour nuire au système. Parmi ce type de logiciels, on peut trouver les tchats et les outils d’administration à distance, les serveurs FTP, etc.

Objets suspects

Ce sont des menaces potentielles dépistées à l’aide de l’analyse heuristique. Ces objets peuvent s’avérer appartenir à un des types de menaces informatiques (même encore inconnues) ou être absolument inoffensifs, en cas de faux positif. Dans tous les cas, il est recommandé de placer les objets suspects en quarantaine et de les envoyer pour analyse au laboratoire antivirus de Doctor Web.