Cursus est le périodique électronique étudiant de l'École de bibliothéconomie et des sciences de l'information (EBSI) de l'Université de Montréal. Ce nouveau périodique diffuse des textes produits dans le cadre des cours de l'EBSI.
ISSN 1201-7302
C. élec.: cursus@ere.umontreal.ca URL: http://www.fas.umontreal.ca/ebsi/cursus/Après un baccalauréat et une maîtrise en littérature québécoise, Chantal Saint-Louis obtiendra une maîtrise en Bibliothéconomie et sciences de l'information en 1997. Elle est membre du comité de rédaction de Cursus depuis janvier 1996.
Internet et les virus informatiques a été écrit à l'hiver 1996 dans le cadre du cours Technologies de l'information (BLT 6029) donné par le professeur James Turner.
Pour joindre l'auteure: stlouisc@ere.umontreal.ca
Tout texte demeure la propriété de son auteur. La reproduction de ce texte est permise pour une utilisation individuelle. Tout usage commercial nécessite une permission écrite de l'auteur.
De plus en plus, la formation du spécialiste de l'information est orientée vers les nouvelles technologies. L'informatique et toutes les possibilités qu'elle offre modifient la nature de son travail et le facilitent grandement. Internet est un de ces outils de travail qui lui donne accès à une multitude de sources d'information et dont les possibilités sont énormes. C'est pourquoi il doit savoir en exploiter les ressources en maîtrisant sa structure, son langage de programmation et ses principaux moteurs de recherche.
Internet n'offre cependant pas que des avantages, ses inconvénients étant à l'avenant de ce qu'il permet. Pour s'en convaincre, il suffit de penser au problème de la pérennité de l'information, à sa mouvance, de même qu'à la difficulté d'y accéder lors des périodes de pointe. Le fait que seule une minorité y ait accès est également un inconvénient majeur puisque cela crée un phénomène de clivage, entre ceux qui sont branchés et ceux qui ne le sont pas.
L'aspect d'Internet qui nous intéresse ici constitue également l'un de ses inconvénients — et sûrement pas le moindre. Il s'agit du phénomène de la transmission des virus par le biais de la grande toile qui offre une courroie de transmission sans pareille à la propagation de ces logiciels destructeurs. Il nous semble particulièrement important que le spécialiste de l'information soit sensible aux dangers inhérents à l'utilisation du réseau Internet, mais aussi qu'il sache faire la part des choses distinguant les dangers réels des mythes et des fausses croyances. Il doit également connaître la façon d'éviter le problème ou d'en contrer les effets dévastateurs.
Nous nous pencherons donc sur le phénomène des virus en tant que tel afin de le définir et de tenter d'en dresser une typologie ainsi qu'un bref historique. Puis, nous nous intéresserons aux moyens dont les virus disposent pour se propager. Par la suite nous nous attarderons sur les façons d'en prévenir les attaques et de s'en débarrasser. Enfin, nous examinerons un aspect plus social des virus, soit les mythes et les canulars qui les entourent, ainsi qu'à la contamination des esprits qu'ils entraînent. En effet, Internet étant encore relativement peu connu et plutôt mystérieux pour la plupart des gens, ses dangers potentiels — de même que ses bienfaits — sont souvent mythifié; d'où l'importance d'être bien informé.
Il est à noter que nous avons, jusqu'à maintenant, utilisé le terme « virus » que nous avons préféré à l'expression « programme de destruction », un terme générique plus juste qui englobe tous les types de programmes de ce genre, y compris les virus qui sont, bien sûr, les plus connus. Ce choix est justifié par la généralisation de l'utilisation du mot virus pour désigner ce phénomène destructeur. En plus des virus eux-mêmes, on dénombre encore les vers (worms), les bombes logiques (logic bomb), les bombes réglées sur le temps (time bomb) et le cheval de Troie (Trojan horse). Cependant, il faut savoir que les virus en tant que tels ont une façon d'agir qui leur est propre.
Selon une définition bien connue de Fred Cohen qui est disponible sur plusieurs sites Internet, un virus informatique est « a program that can infect other programs by modifying them to include a.... version of itself » (cité par Slade, c). Ainsi, il pourrait s'agir tant d'un programme qui cause des dommages à son hôte en effacant ou corrompant des fichiers, que d'un programme qui n'en cause pas. En fait, selon cette définition, ce type de programme n'a qu'à se reproduire lui-même, sans l'aide de l'utilisateur, pour être techniquement considéré comme un virus.
Par contre, afin de distinguer les virus des autres programmes de destruction mais aussi des programmes utilitaires, la FAQ de alt.comp.virus, (Harley) soutient que quatre conditions doivent être réunies pour diagnostiquer la présence d'un véritable virus:
La principale différence entre un virus et un ver informatique est que celui-ci n'est pas rattaché à un programme en particulier et qu'il est conçu pour s'introduire dans la mémoire de l'ordinateur ou sur son disque afin d'altérer toutes les données qu'il croise sur son chemin. Il est en mesure d'agir seul et par lui-même ainsi que de se reproduire pour infecter d'autres systèmes. Il est généralement transmis par le biais des réseaux.
Quant aux bombes logiques et aux bombes réglées sur le temps — dont les natures sont voisines — elles sont conçues pour agir dans des conditions spécifiques et pré-déterminées par leur concepteur. Elles ne seront actives que lorsque toutes les conditions requises seront réunies (une date précise, une heure, une donnée manquante ou rajoutée, etc.).
Finalement, le cheval de Troie est probablement l'un des programme de destruction les plus perfides. En effet, il entre dans le système sous une forme jugée légitime par l'utilisateur (un jeu ou un économiseur d'écran, par exemple) et accomplit sa tâche pendant que ce dernier se divertit. C'est donc l'utilisateur lui-même qui, introduit sans le savoir, l'indésirable dans son système et lui permet d'agir. Il diffère des virus surtout parce qu'il ne se reproduit pas seul.
Les chercheurs dans le domaine de l'informatique utilisent plusieurs façons de classer ces programmes destructeurs. Nous les classerons ici par la façon dont ils infectent les ordinateurs.
Les premiers, les boot record infectors, résident dans le secteur d'amorce (boot sector) qui se retrouvent dans toutes les disquettes — peu importe qu'il s'agisse de disquettes système (bootable) ou non — et dans les disques durs. Lors d'une séance de travail, une disquette infectée introduite dans l'ordinateur peut y être oubliée lorsque la machine est éteinte. Jusque-là, aucun dommage n'est commis. Cependant, quand l'ordinateur sera remis sous tension, il ira lire l'information qui est contenue dans le secteur d'amorce de la disquette (A:) avant d'aller la lire sur le disque (C:), ce qui permettra à l'indésirable de s'installer sur le disque dur. Une fois le secteur d'amorce du disque dur infecté, le virus sera chargé dans la mémoire lors de chacun des démarrages. Dès lors, le virus vérifiera chacune des disquettes qui sera insérée dans l'ordinateur et se copiera sur celles où il n'est pas déjà installé. Ces disquettes pourront donc, à leur tour, contaminer de nouveaux systèmes.
Le deuxième type de virus, file infectors, infecte les fichiers exécutables (.COM et .EXE) en s'y attachant. Quand l'un de ces fichiers contaminés est exécuté, le programme de destruction est chargé dans la mémoire vive de l'ordinateur contaminant ainsi les fichiers non-infectés qui tourneront subséquemment dans la mémoire. Certaines opérations, par exemple quelques sauvegardes, ouvrent successivement tous les fichiers du système pour en faire la lecture, ce qui rend le système particulièrement vulnérable à une variété de ce virus. Ceux-ci, que l'on appelle les fast infectors, contaminent systématiquement tous les fichiers exécutables qu'ils croisent. Certains virus, les boot and file infectors, combinent ces deux types d'action et agissent à la fois sur les fichiers exécutables et sur les secteurs d'amorce des disquettes et disques durs.
Enfin, les virus-compagnons exploitent une des particularités du DOS qui est de favoriser, dans l'ordre d'exécution, les fichiers ayant l'extension .COM par rapport aux fichiers ayant l'extension .EXE. Les programmes de virus possèdent le même nom que des fichiers déjà existants dans un système mais dont l'extension est .EXE. Par conséquent, quand un fichier .EXE est appelé, le système exécute d'abord l'intrus dont l'extension est .COM puis le programme légitime qui a été demandé par l'utilisateur. Cela prendra donc un certain temps avant que ce dernier ne s'aperçoive que quelque chose ne tourne pas rond puisque son fichier semble s'exécuter normalement.
Bien qu'Internet existe depuis environ 25 ans, ce n'est que depuis la fin des années 1980 que l'on parle de diffusion des virus par le biais du réseau. Un incident a alors fait prendre conscience aux utilisateurs qu'ils étaient vulnérables à ce type d'invasion. Les ordinateurs impliqués appartenaient à des agences fédérales, des universités, des laboratoires de recherche et des corporations qui envoyaient et recevaient des programmes, des données et du courrier électronique. Le 2 novembre 1988, un ver informatique a été introduit dans le réseau et s'est reproduit de façon incontrôlée pendant plusieurs jours. Plus de 6 200 ordinateurs américains ont été infectés à un point tel que plusieurs systèmes se sont écroulés (Milliken).
En peu de temps, la nouvelle s'est répandue et plusieurs utilisateurs d'ordinateurs qui n'avaient pas encore été infectés se sont débranchés d'Internet afin d'éviter le fléau. Les coûts directs impliqués par l'intrusion de ce ver informatique dans le réseau sont évalués à près de 100 millions de dollars (Milliken). Cependant, les coûts réels ont été bien plus lourds et sont difficilement quantifiables. La perte de confiance dans Internet et la peur qu'ont ressentie les utilisateurs vis-à-vis de l'échange de données informatiques par le biais du réseau ont causé beaucoup de tort à celui-ci et ont retardé son expansion.
Cet événement plutôt spectaculaire qui a éveillé les consciences des utilisateurs du réseau a été suivi de plusieurs autres dont on n'a pas toujours entendu parler mais qui n'en ont pas été moins importants. La méfiance et la peur des internautes sont donc compréhensibles de même que leur besoin de s'informer des moyens possibles pour se préserver d'un danger qui peu prendre de multiples formes et agir sur plus d'un plan.
Il existe plusieurs moyens de propagation pour les programmes de destruction. Un des plus courants est évidemment le partage et l'échange de disquettes. On dénombre aussi des cas où c'est par l'intermédiaire de progiciels achetés directement chez un détaillant autorisé qu'est introduit un virus dans un système. Ceci peut survenir de deux façons: soit qu'il provienne d'un logiciel qui, après avoir été introduit dans un système infecté, a été ré-emballé puis retourné au détaillant et remis sur les tablettes ou encore qu'il s'agisse d'une infection dont l'origine se trouve chez le concepteur du logiciel qui aurait été infecté à son insu.
Il existe également un grand allié à la diffusion des virus: c'est la volonté des grandes compagnies d'établir une plus grande compatibilité entre les différentes plates-formes sur lesquelles tournent les logiciels. Les services rendus aux utilisateurs par cette compatibilité nouvelle n'auront cependant d'égal que ses inconvénients ; les programmes utiles pouvant passer d'un environnement à l'autre, ceux qui sont nuisibles le pourront également. Les différents langages étant incompatibles, ils opposent une barrière certaine à la contamination. Avec elle, tombera le plus grand obstacle à la besogne des concepteurs de virus.
Un autre moyen de transmission — qui prend de plus en plus d'importance — est le télédéchargement de programmes venus de babillards ou de différents sites sur le WWW. Malgré le danger que cela représente et malgré le fait que cela soit de plus en plus connu, bien peu de gens vérifient les programmes et les données qu'ils importent de sites qui ne sont pas toujours des plus sécuritaires. Pourtant, dans un environnement où la plupart des ordinateurs sont en réseau, qu'il soient locaux (Intranet) ou internationaux (Internet), la négligence d'une seule personne est une source potentielle d'épidémie. Pour rendre le télédéchargement de fichiers plus sécuritaire, il est nécessaire de s'assurer de la fiabilité et du sérieux des sites à partir desquels on importe l'information et d'avoir en sa possession de bons outils de détection.
Comme nous l'avons dit plus haut, un virus est inactif jusqu'à ce que le programme infecté soit mis en marche ou qu'un secteur d'amorce, également infecté, soit lu. Quand il est activé, il est chargé dans la mémoire de l'ordinateur où il peut, selon le programme qui l'a créé, s'exécuter ou se reproduire.
Il existe plusieurs façons de prévenir les effets des attaques des virus qui, même quand elles sont utilisées de façon combinée, ne sont malheureusement pas sûres à 100 %. La première et sûrement la plus importante est de faire régulièrement des copies de sureté du système. Copies qu'il faut dater et conserver puisqu'il est possible que le problème ne puisse être réglé par une seule désinfection des fichiers qui sont sur le disque dur. Il sera peut-être nécessaire de détruire ceux qui sont infectés pour débarrasser le système de l'intrus. Par ailleurs, il est probable que le programme qui cause le problème ait été introduit depuis un certain temps déjà, ce qui obligera à remonter loin dans le temps avant de retrouver un fichier sain. De telles précautions pourront peut-être permettre que ne soient perdues à jamais des données importantes. Il est également essentiel de penser à protéger en écriture les disquettes originales d'installation d'un logiciel avant de les insérer dans un système. Cela évitera qu'elles ne soient contaminées et elles pourront être utiles lors d'une éventuelle ré-initialisation du système.
De plus, il est important de ne pas utiliser de logiciels pirates puisque ceux-ci sont une grande source de problèmes. En effet, un logiciel pirate doit forcément avoir été copié de l'ordinateur de quelqu'un qui a sûrement été mis en contact avec d'autres logiciels du même type dont les sources sont souvent pour le moins obscures. Il faut se rappeler qu'une seule disquette infectée peut contaminer un système entier et toutes les disquettes qui y tourneront subséquemment. Il est plus prudent d'utiliser des logiciels commerciaux qui sont encore dans leur emballage d'origine. Cependant, malgré toutes ces précautions, une contamination reste toujours possible. C'est pourquoi il est nécessaire d'avoir en sa possession un bon logiciel de détection.
Ces logiciels de détection peuvent agir de deux façons: ils peuvent soit examiner les disques et disquettes sur demande ou encore examiner chacun des programmes qui sera exécuté. Ces logiciels doivent être récents puisque les développeurs de virus ne cessent d'inventer des programmes pour déjouer les meilleurs détecteurs. La version utilisée doit donc être le plus à jour possible. Deux ou trois logiciels de détection peuvent même être utilisés de façon conjointe afin d'augmenter les chances de déceler les virus. De plus, certains de ces utilitaires contiennent également un programme de désinfection qui permet parfois de se débarrasser des indésirables.
Dans un contexte mondial comme celui qu'offre Internet, les activités de circulation des données et des programmes sur le réseau sont devenues indispensables tant à la recherche, aux affaires, qu'à la vie de tous les jours. Il est donc particulièrement important de faire une vérification serrée de l'information importée avant son utilisation.
Comme nous le disions plus haut, la relative jeunesse d'Internet, de même que son côté mystérieux, presque magique, teinte de mysticisme les relations des utilisateurs avec le réseau. Il faut dire que tout va si vite en ce domaine que, malgré la meilleure volonté du monde, on est très rapidement dépassé par les événements. Plusieurs mythes entourent donc tout le réseau.
Un des mythes qui a rapidement fait son chemin dans l'esprit des gens est que les virus soient transmissibles par l'intermédiaire du courrier électronique. Le plus populaire d'entre eux, le virus Good Times, a fait peur à plus d'un. En effet, le bruit courait que la seule lecture d'un message dont la ligne sujet portait les mots Good Times allait effacer le contenu du disque dur et possiblement détruire le processeur de l'ordinateur. Cela s'est finalement révélé n'être qu'un canular puisqu'il est impossible pour un fichier texte tel un courrier électronique d'être exécuté de façon automatique, à sa seule lecture.
Des fichiers textes composés de caractères imprimables (texte ASCII) pourraient être utilisés dans le but d'élaborer un logiciel de destruction et pourraient être envoyés par courrier électronique. « Cependant, ils ne tromperaient personne: le texte, pourtant composé de lettres, chiffres et symboles ne ressemble[rait] pas du tout à un message » (Slade, b p. 42). Toujours selon Slade, l'exécution accidentelle de tels fichiers est très peu probable:
Même si vous récupérez ce type de programme dans un message de courrier électronique il demeure complètement bénin. Le lire à l'écran, recréer un fichier à partir du même texte, l'enregistrer ou même copier ce fichier ne peut activer ses effets néfastes. Ce que vous auriez à faire pour qu'il devienne actif serait d'enregistrer la partie pertinente du fichier, et seulement cette partie, vers un fichier, renommer ce fichier avec une extension exécutable (par exemple .COM) et puis démarrer le programme à l'invite (prompt) DOS. Ce n'est pas ordinairement le type d'opération que l'on effectue par accident ou inconsciemment.(Slade, b p. 42).
Les chances sont donc bien minimes que de tels programmes de destruction soient de réels dangers pour les ordinateurs. Malheureusement, ces coups montés ont, dans l'esprit des gens, de nombreux effets qui sont parfois bien plus graves que les virus eux-mêmes. La perte de confiance en la fiabilité du réseau et la crainte que développent certains utilisateurs les empêchent de profiter pleinement de tous les avantages qu'offre Internet. Nous sommes ici en face d'un phénomène qui contamine les esprits et qui réussit à faire perdre tout sens critique à ceux qui y sont confrontés; il s'agit d'un véritable virus, mais dont les effets se font sentir, cette fois-ci, sur l'esprit humain !
Comme on peut le constater, les dangers que représentent les programmes de destruction sont bien réels. Cependant, lorsque la majorité des variables sont connues, nul n'est besoin de paniquer. En adoptant une attitude préventive et responsable vis-à-vis de l'ordinateur et vis-à-vis du réseau Internet, les risques d'infection et d'épidémie sont grandement minimisés. La FAQ (Foire aux questions ou Frenquently Asked Question) du groupe de discussion Virus-L fait d'ailleurs cette recommandation dans la préface de sa page Web: « Above all, remember the time to really worry about viruses is BEFORE your computer gets one ».
Dans le contexte des bibliothèques sans murs qui semble être l'avenir des bibliothèques au XXIe siècle, la plus grande part des sources d'information ne seront plus disponibles qu'à distance via les grands réseaux de télécommunication. Il sera donc nécessaire de bien connaître les virus et leurs effets afin d'être en mesure d'en parer ou d'en minimiser les répercussions. Il sera également très important d'être capable de faire la part des choses, de distinguer le vrai du faux afin de ne pas être victime du moindre canular, de la moindre rumeur qui pourrait faire surface à propos du réseau Internet. Et bien que l'information au sujet des virus soit régulièrement remise en question et qu'elle soit sujette à interprétation, la plus grande prudence est de rigueur lors du transfert ou de l'échange de données informatiques. Un internaute averti en vaut deux!
Can I catch a virus by looking at a web page ? < URL: http://www.glocom.ac.jp/mirror/sunsite.unc.edu/boutell/faq/virus.htm >;
HARLEY, David. alt.comp.virus Frequently asked questions. < URL: http://www.bocklabs.wisc.edu/~janda/acv_faq.html >;
JONES, Les. Good Times Virus Hoax. Frequently Asked Questions. < URL: ftp://usit.net/pub/lesjones/good-times-virus-hoax-faq.txt >;
McAFEE (Network Security and Management). McAfee protects web surfers from internet virus threat […]. (1995). < URL: http://www.nha.com/webscanp.html >;
McAFEE (Network Security and Management). Webscan: Complete virus protection for Web browsers and E-mail. (1995). < URL: http://www.nha.com/webscan.html ; >;
MILLIKEN, Scott. What every computer user ought to know about safe hex. < URL: http://www.clr.com/%7Elsm/viruses.html >;
ROSENBERG, Rob. Read all about computer virus myths. < URL: http://www.kumite.com/myths/home.htm >;
SLADE, Robert M. (a) Anatomy of a virus. < URL: http://ftn.net/cc/CanadaComputes/Sept95/Virus.html >;
(b) « Le cauchemar est arrivé: le virus de Microsoft Word. » Québec Micro !, vol. 1, n°2 (11 décembre 1995 au 14 janvier 1996): 42, 44-45.;
(c) History of computer viruses. < URL: http://www.bocklabs.wisc.edu/~janda/sladehis.html >;
SOLOMON, Alan. A guide to viruses. < URL: http://www.drsolomon.com/vircen/allabout.html >;
Virus Information and Technology. < URL: http://www.symantec.com/virus/vtech/virusnfo.html >;
VIRUS-L/comp.virus Frequently Asked Questions (FAQ). < URL: http://www.cis.ohio-state.edu/hypertext/faq/usenet/computer-virus/top.html >;
Widespread Virus Myths. < URL: http://delta.com/stiller/myths.htm >;
White, Steve R. Coping with computer viruses and related problems. < URL: http://galaxy.tradewave.com/galaxy/Engineering-and-Technology/Computer-Technology/ Security.html >