VIRUS INFORMATIQUE

Caractéristiques du code d'un virus

En plus du type de fichier qui le contient, un virus peut être caractérisé par le système d'exploitation qu'il infecte (Windows, MacOS X, Linux), sa nature et son comportement, et surtout par les contre-mesures qu'il utilise dans son code pour éviter d'être détecté par les logiciels antivirus.

Parce qu'il équipe la majeure partie des systèmes informatiques personnels, le système d'exploitation Windows de la société Microsoft reste la cible privilégiée des virus pour les plates-formes matérielles compatibles PC, largement majoritaires au niveau mondial. MacOS X, conçu par Apple, fait également l'objet d'attaques virales, mais dans une moindre mesure car la plate-forme est beaucoup plus fermée que les plates-formes PC qui exécutent Windows sur un ensemble impressionnant de processeurs, de cartes mères et de périphériques. Linux, système d'exploitation libre, a lui aussi dû faire face à quelques virus. B.S.D. (Berkeley Software Distribution), autre forme d'Unix libre, a fait de la sécurité l'un de ses points forts et n'a quant à lui pas encore été victime d'attaques virales réussies.

La partie autoreproduction d'un virus est en général constituée d'une fonction de recherche qui a pour objectif d'identifier de nouveaux fichiers à infecter. La fonction de réplication est alors exécutée par le processeur de l'ordinateur cible sur des fichiers privilégiés qui sont alors contaminés. On parle dans ce cas d'un virus non résident. Pour un virus résident, lorsque l'utilisateur démarre une application logicielle contaminée, le code viral s'installe directement dans la mémoire vive de l'ordinateur et y reste même lorsque l'utilisateur a quitté l'application, dans l'attente de démarrer un autre cycle d'infection sur les programmes qui seront lancés ultérieurement. Qu'il soit ou non résident, le virus parasite la machine puis lance ensuite le programme attendu, de telle sorte que l'utilisateur ne peut déceler sa présence trop rapidement.

Pour rester le plus longtemps possible inaperçu, le code d'un virus contient aujourd'hui des instructions de chiffrement. Lors d'une nouvelle réplication, le virus est chiffré différemment, ce qui permet de dissimuler les instructions malveillantes au logiciel antivirus programmé pour n'en détecter qu'une seule variante. En plus d'être chiffré, un virus peut également être polymorphe – capable de modifier certaines séquences d'instructions facilement identifiables – ou métamorphe – capable de transformer sa structure intrinsèque, c'est-à-dire l'algorithme et l'ordonnancement global des blocs d'instructions. Il change alors radicalement d'aspect tout en conservant intact sa capacité de nuisance. Le virus W32/Simile (apparu en 2002) consacre ainsi 90 p. 100 de son code à gérer un moteur métamorphe, permettant ainsi de générer une immense variété de virus à partir d'une même souche. Les programmeurs de virus exploitent en permanence les failles de sécurité des systèmes et profitent du fait que toute amélioration des fonctionnalités d'une application introduit forcément de nouvelles faiblesses. Cette veille technologique leur permet de tenir à jour des environnements de développement logiciel spécialisés dans les attaques malveillantes, les rootkits, pour créer ces virus, les mettre au point et les rendre toujours plus furtifs. De tels outils permettent de concevoir des virus métamorphes pouvant muter en ver ou en cheval de Troie selon le contexte et les objectifs de son concepteur.