[FAQ] fr.comp.securite.virus - Partie 1/2

Le
H. Michaud
Archive-Name: fr/comp/securite/virus.generalites


FAQ du groupe fr.comp.securite.virus
Partie 1/2

Vous pouvez trouver la version la plus à jour de ce document ici :
<http://www.lacave.net/~jokeuse/usenet/faq-fcsv-part1.txt>

Une version HTML regroupant les deux parties de la FAQ se trouve ici :
<http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html>

Cette première partie contient les paragraphes 1 à 5 :
Présentation, Définitions, Généralités, Les virus et les e-mails.


Dernière mise à jour : 20/03/2004
Auteur : Hélène Michaud


Les modifications apportées depuis la version précédente sont signalées
d'un "|" dans la marge.

Sommaire - Partie 1/2

1 - Introduction
1.1 - Objet de cette FAQ
1.2 - Réutilisation de cette FAQ
1.3 - Décharge
1.4 - Un dernier conseil avant de commencer la lecture

2 - Quelques définitions
2.1 - Les virus
2.2 - Les vers
2.3 - Les "trojans" (chevaux de Troie, trojan horses, "troyens")
2.4 - Les spywares (espiogiciels, mouchards)
2.5 - Mini-lexique

3 - Les antivirus
3.1 - Qu'est-ce que c'est ?
3.2 - Pour quoi faire ?
3.3 - Lequel choisir ?
3.4 - Les antivirus ne sont pas infaillibles
3.5 - Le "Safe Hex"
3.6 - Je peux avoir plusieurs antivirus sur mon ordinateur ?

4 - Je viens de recevoir une alerte à propos d'un nouveau virus
4.1 - Je dois supprimer le fichier contenant le virus :
sulfnbk.exe, jdbgmgr.exe
4.2 - Comment reconnaître un canular
4.3 - Et s'il y a une pièce jointe
4.4 - J'ai reçu une astuce qui empêchera le virus de s'envoyer :
un faux contact "!0000"

5 - Je reçois des mails étranges
5.1 - Le spam
5.2 - Les usurpations
5.3 - Les vrais messages infectés
5.4 - Comment retrouver l'expéditeur ?
5.5 - Comment rédiger le message destiné à prévenir l'expéditeur ?
5.6 - Comment ne plus recevoir ces messages ?
5.7 - Comment faire surveiller mon logiciel de messagerie par mon
antivirus ?

-+-+-+-+-+-+-+-

1 - Introduction
-
1.1 - Objet de cette FAQ

Ce document a pour but de vous apprendre, dans les grandes lignes, ce
qu'est un virus, quelle est la démarche à suivre pour s'en protéger et
s'en débarrasser, et de répondre aux questions les plus fréquentes
rencontrées sur le forum <news:fr.comp.securite.virus>.

Il est donc principalement destiné au débutant en sécurité antivirale.

Il ne vous dispense pas de la lecture du manuel de configuration de
votre antivirus ni des FAQs associées, ni d'un minimum de recherche de
votre part sur les divers sites spécialisés si vous souhaitez en
savoir plus.

Pour cela, reportez-vous à la webographie située à la fin de ce
document.


1.2 - Réutilisation de cette FAQ

Vous êtes libre d'utiliser de courts extraits de cette FAQ, dans la
mesure où vous incluez un lien permettant d'avoir accès à l'ensemble
du document, dans le but de permettre à vos lecteurs d'obtenir
facilement un complément d'information.

De même, vous êtes libre de copier la FAQ dans son intégralité, à
condition cependant d'en avertir l'auteur, d'effectuer les mises à
jour les plus importantes, et que cette utilisation soit exempte de
tout caractère commercial (bannières publicitaires incluses).

Toute autre utilisation devra faire l'objet d'un accord préalable de
l'auteur.

Ces restrictions sont principalement dues au respect élémentaire du
temps que j'ai consacré à la rédaction de cette FAQ, du temps
gracieusement offert par tous ceux qui y ont contribué, et de la
sécurité du lecteur qui doit pouvoir accéder aux ajouts et corrections
apportés au document.


1.3 - Décharge

La sécurité antivirale est un domaine en perpétuelle évolution, ce qui
est vrai un jour peut devenir un mensonge éhonté dès le lendemain
(ainsi, le célèbre "On ne peut pas attraper un virus simplement en
lisant un e-mail" n'est plus vrai dans certains cas), et de nouveaux
virus apparaissent sans cesse.

De plus l'auteur reste humain, et malgré le soin apporté à la
rédaction de cette FAQ, rien ne peut garantir qu'une inexactitude ou
formulation maladroite ne s'y est pas glissée, ni que la version que
vous avez sous les yeux est à jour.

Par conséquent, ce document est à prendre comme un recueil de
conseils, et non comme une bible, et ces conseils doivent être
considérés d'un oeil critique et mesurés à l'aune du bon sens. Si l'un
d'entre eux vous semble peu clair ou inexact, n'hésitez pas à poser la
question à l'auteur ou sur le forum.

La responsabilité de l'auteur ne pourra donc être retenue en cas de
problèmes causés par la mise en pratique des théories exposées ci-
dessous.


1.4 - Un dernier conseil avant de commencer la lecture

La sécurité antivirale évoluant constamment, cette FAQ va suivre ce
mouvement perpétuel.

Évidemment, cela dépendra du temps libre de la rédactrice, mais des
mises à jour régulières seront faites dans la mesure du possible.

Par conséquent n'hésitez surtout pas à jeter régulièrement un oeil sur
ce document. Même si vous n'y trouvez pas de nouveautés, vous
rafraîchirez un peu votre mémoire, ce qui n'est jamais inutile.

En attendant, bonne lecture !


2 - Quelques définitions


Note : Ces définitions restent très générales, mais tentent de refléter
au mieux la classification employée sur le forum. Vous trouverez
sûrement des définitions ou des dénominations légèrement
différentes ailleurs.

Attention également, de plus en plus de menaces rentrent dans
plusieurs catégories à la fois.

2.1 - Les virus

Un virus est un code malicieux (sous forme de programme, script, etc.)
dont le but est de se reproduire. Pour cela, il se dissimule dans
votre ordinateur le temps de proliférer, puis parfois (ce n'est pas
obligatoire) se manifeste par une autre action : petit message
narquois, effacement de fichiers, etc.

- Les virus de boot :

Ces virus se logent dans le secteur de démarrage (des disques durs
et disquettes) en remplaçant le code qui s'y trouve par le leur. Ils
sont chargés en mémoire (et donc actifs) dès que le support infecté
est utilisé.

Exemple : Jumper.B.

- Les virus d'applications :

Ils infectent des fichiers exécutables et se lancent donc lorsque
l'on exécute l'application infectée. Il est à noter qu'un seul
fichier peut être infecté par plusieurs virus.

Exemple : Win95.CIH (dit "Tchernobyl")

- Les virus macro :

Ils se dissimulent dans les macros de documents, notamment de type
Word ou parfois Excel. Il sont lancés si on ouvre le document
infecté en autorisant l'exécution des macros qu'il contient.

Exemple : Melissa.


2.2 - Les vers

Les vers, comme les virus, ont pour but de se reproduire. Leur
particularité est qu'ils se répandent d'eux-mêmes d'un ordinateur à un
autre en utilisant divers moyens (messagerie, partages réseaux, IRC,
etc.), sans recourir à l'infection de fichiers sains préexistants (ce
qui fait que suivant la définition du terme virus adoptée, on peut
considérer ou non que les vers sont une catégorie de virus).
L'important est de savoir que dans le cas d'un ver "simple" (qui n'est
pas en même temps un virus d'application par exemple), la désinfection
d'un ordinateur ne passe pas par la désinfection de fichiers, mais par
leur suppression.

- Les vers de messagerie :

Ils se répandent via les messageries, en s'attachant à des e- mails
qu'ils envoient ensuite à des adresses trouvées sur le disque dur de
leur victime (carnets d'adresses, boîte de réception, cache
internet, newsgroups, etc.). Certains profitent de failles de
sécurité dans les logiciels de messagerie (notamment du couple
Microsoft Outlook Express / Internet Explorer) pour s'exécuter
automatiquement dès la visualisation du message. Exemples : Sircam,
Klez, Bugbear Il en apparaît sans cesse.


2.3 - Les "trojans" (chevaux de Troie, trojan horses, "troyens")

Comme les virus, ils peuvent avoir une infinité d'actions, comme
installer une porte dérobée ("backdoor") sur l'ordinateur infecté,
modifier la page de démarrage d'Internet Explorer, effacer vos
données, voler vos mots de passe, etc.

Et contrairement aux virus, ils ne se reproduisent pas. Ce ne sont pas
des "parasites" qui infectent des fichiers sains, mais des
applications à part entière qui doivent donc être installées sur
l'ordinateur de leur victime. Les méthodes d'installation sont
nombreuses : envoyé (volontairement, contrairement aux vers) par
e-mail, exploitation de failles de sécurité, installation par un
virus, installation directe à l'aide d'une disquette pendant votre
absence ou même sous votre nez sous un prétexte quelconque


2.4 - Les spywares (espiogiciels, mouchards)

Ce sont des programmes intégrés à un autre logiciel, ou s'installant
en même temps que lui, parfois à l'insu de l'utilisateur, parfois en
prévenant ou même en demandant l'autorisation.

Une fois installés, ils recueillent des informations personnelles,
telles que les logiciels installés sur votre ordinateur ou vos
habitudes de navigation, et utilisent votre connexion Internet pour
les envoyer.


2.5 - Mini-lexique

Note : Ces quelques définitions n'ont pour but que de vous donner une
idée de la signification de quelques-uns des termes barbares que
vous pouvez trouver sur le forum ou dans les descriptions de
virus, pas de constituer un lexique détaillé ou exhaustif.

Backdoor : Programme ouvrant une "porte dérobée" sur votre PC
permettant à des utilisateurs mal intentionnés d'en
prendre le contrôle.

BIOS : Basic Input Output System. Petit programme se trouvant sur
la carte mère de votre PC et servant au PC lors de son
démarrage. Il sert notamment à détecter les périphériques et
vérifier que tout fonctionne correctement sur le PC
(mémoire, processeur, carte-vidéo). Il ne peut pas contenir
de virus. Par contre certains virus peuvent dans certaines
circonstances effacer ou corrompre votre BIOS.

Bounce : "Retour à l'expéditeur" d'un e-mail qui n'a pas pu, pour
une raison ou une autre, parvenir à son destinataire,
accompagné d'un message d'erreur expliquant la cause du
rejet.
Le destinataire de ces messages d'erreur est identifié par
un des champs de l'entête de l'e-mail nommé "Return-path".

Canular : Fausse alerte virus circulant le plus souvent par e-mail.
Pour plus de renseignements, se reporter au §4 et à la
webographie de cette FAQ.

Dropper : Un dropper est un programme qui installe un virus, ver ou
un "trojan", sans être lui-même infecté par ce malware.

Hoax : Canular.

In The Wild : "dans la nature". Désigne les virus qui ont commencé
à se répandre, par opposition à ceux qui restent
confinés sur l'ordinateur de leur créateur et dans
des milieux contrôlés tels que les laboratoires
d'analyse.

ITW : In The Wild.

Macro : Code interprétable contenu dans un document (Word, Excel).

Malware : Nom générique donné à des programmes malveillants (virus,
"trojans", spywares)

MBR : Master Boot Record, le secteur d'amorce du PC.

Polymorphisme : Certains virus sont polymorphes, c'est à dire que
chaque fois qu'ils infectent un fichier, ils se
chiffrent d'une façon différente, ce qui les rend
plus difficilement détectables.

Scan (par extension scanner) : Analyse du contenu d'un fichier.

SMTP : Abréviation de "Simple Mail Transfer Protocol". Désigne un
protocole permettant la communication avec un serveur mail.
Certains vers et virus contiennent leur propre moteur SMTP
(angl. "SMTP engine") qui leur permet de se propager en
communiquant directement avec un serveur courrier sans
risquer de laisser de traces en passant par Outlook comme le
font beaucoup de virus très simples (ou au cas où Outlook ne
serait pas présent sur l'ordinateur).


3 - Les antivirus
--
3.1 - Qu'est-ce que c'est ?

Un antivirus est un logiciel qui protège un ordinateur contre les
virus, et de plus en plus contre d'autres malwares : "trojans",
scripts malicieux dans les pages web Il est souvent composé de
différents modules.

Des méthodes fréquemment employées par les antivirus sont :

- moteur d'analyse : il permet de scanner à la demande les fichiers
que vous lui indiquez, par la recherche de signatures spécifiques
permettant d'identifier un virus (scanner "On-Demand").

- moniteur résident en mémoire : capable de détecter les virus en
mémoire ainsi que de vérifier la présence de virus dans les
fichiers que vous utilisez (scanner "On-Access").

- analyse heuristique : qui recherche les instructions utilisées en
général par des virus afin de détecter les virus qui ne sont pas
encore référencés par les éditeurs d'antivirus.

- contrôleur d'intégrité : l'antivirus détermine une valeur en
fonction du contenu d'un fichier et la stocke dans un fichier de
contrôle ; ensuite chaque fois que ce fichier est scanné,
l'antivirus contrôle si cette somme est toujours la même ; en cas
de changement il vous prévient et vous permet soit d'accepter le
changement si c'est une action volontaire de votre part, soit de
ne pas utiliser le programme et/ou de l'envoyer à l'éditeur de
l'antivirus pour analyse complémentaire.


3.2 - Pour quoi faire ?

Depuis le succès d'Internet et l'augmentation des échanges de fichiers
entre utilisateurs via notamment l'e-mail, il est devenu nécessaire de
se protéger des virus de manière quasi permanente. L'antivirus est
devenu l'assistant de l'utilisateur dans cette tâche. Car il ne faut
pas oublier que c'est un outil mis à la disposition de l'utilisateur
et donc, la première sécurité de votre ordinateur : c'est vous !


3.3 - Lequel choisir ?

Il existe un grand nombre d'antivirus, certains sont payants, d'autres
sont gratuits. Certains sont meilleurs que d'autres. C'est à vous de
tester et de vous renseigner pour trouver celui qui vous conviendra le
mieux, c'est à dire celui qui vous protégera efficacement, qui
fonctionnera sans problème sur *votre* ordinateur, et que *vous*
saurez configurer et utiliser correctement.

Cette page web peut vous aider à faire votre choix en connaissance de
cause : <http://www.claymania.com/anti-virus-fr.html> (en français)

Et si vous voulez aussi une bonne protection contre les "trojans" :
<http://www.claymania.com/tests-trojan-fr.html> (en français)


3.4 - Les antivirus ne sont pas infaillibles

Un antivirus ne détectera jamais 100% des virus : le tout dernier
sorti, le très ancien ou le particulièrement difficile à analyser
peuvent lui échapper, par exemple. De plus, il leur arrive de se
tromper, et de déclarer infectés par erreur des fichiers tout à fait
sains.

N'ayez donc pas une confiance aveugle dans ce que vous dit votre
antivirus, et n'hésitez pas en cas de doute à faire analyser votre
fichier en ligne ou par un autre antivirus. Si votre antivirus
habituel est le seul à déclarer le fichier infecté, envoyez le fichier
incriminé à son éditeur pour analyse : il vous dira s'il s'agit d'une
fausse alerte, et dans ce cas pourra corriger l'anomalie dans sa
prochaine mise à jour.


3.5 - Le "Safe Hex"

Nous venons de voir qu'un antivirus n'est pas infaillible. Donc, pour
rester le plus protégé possible, votre rôle est crucial. Si vous
appliquez scrupuleusement ces quelques conseils dits de "Safe Hex",
vous limiterez sérieusement votre vulnérabilité aux attaques virales
les plus courantes :

- Utilisez un système d'exploitation et des logiciels exempts de
failles de sécurité, en installant les correctifs de sécurité au
fur et à mesure de leur sortie. Sans faire de prosélytisme, ceci
est particulièrement valable si vous utilisez des produits
Microsoft pour surfer sur le web ou lire vos mails : très
répandus, mais également bourrés de failles, ils sont à patcher
très souvent, et à configurer soigneusement si vous voulez éviter
qu'un virus ne puisse s'installer automatiquement sur votre
ordinateur.
Ne négligez cependant pas, sous prétexte que ce n'est pas Outlook
Express, de vérifier de temps en temps qu'aucune attaque n'est
apparue pour votre logiciel préféré, et gardez un oeil sur les
virus spécifiques à votre système d'exploitation.
Même si on en parle moins, il existe des virus pour Mac et Linux :
<http://www.claymania.com/unix-viruses-fr.html> (en français)
<http://www.cs.uu.nl/wais/html/na-dir/computer-virus/macintosh-faq.html>
- Envisagez l'installation d'un firewall personnel, qui pourra
empêcher une infection via une faille de sécurité dans votre
système d'exploitation en attendant que vous puissiez le mettre
à jour.
Vous pourrez vous renseigner sur les firewalls et leur
utilisation sur le forum <news:fr.comp.securite>, notamment en y
lisant le document intitulé :
"[FAQ] fr.comp.securite : Les Firewalls"
Même un firewall ne surveillant que le trafic entrant, tel que
celui intégré à Windows XP, peut suffire à vous protéger d'un
ver type Blaster (il n'empêchera cependant pas un intrus déjà
installé de se propager vers l'extérieur).

- Ayez une connaissance minimale de votre système d'exploitation et
de vos logiciels et de leurs fonctionnalités : intéressez-vous
aux commandes, aux menus, parcourez le manuel
Par exemple savoir qu'un fichier simplement supprimé sous Windows
n'est pas directement effacé du disque mais placé dans la
corbeille, que Windows ME et XP effectuent des sauvegardes
automatiques (le fameux système "restore"), ou ce qu'est la
fonction "compacter les dossiers" de votre logiciel de messagerie
(c'est elle qui effacera physiquement un e-mail de votre disque
dur) peut vous épargner quelques frayeurs du style "le virus est
toujours là !", et vous aidera pour la configuration.

- Configurez vos logiciels, antivirus et système d'exploitation
avec soin, en interdisant autant que possible ce qui pourrait
s'avérer dangereux. Par exemple, désactivez l'exécution de tout
code dans vos messages, empêchez Eudora d'afficher les messages
en HTML à l'aide du "Microsoft Viewer" (ce qui le rend vulnérable
à ses failles), demandez à votre Windows d'afficher toutes les
extensions de vos fichiers, ce qui vous évitera de vous faire
piéger par une double extension (attention cependant aux .pif qui
restent invisibles), etc.
Il existe sur le web de nombreuses FAQs, officielles ou non, qui
pourront vous y aider. Vous trouverez quelques exemples dans les
annexes (voir le §9.5).

- Maintenez votre antivirus le plus à jour possible. Des nouveaux
virus, ou des nouvelles variantes de virus connus, apparaissent
régulièrement. De plus les éditeurs d'antivirus mettent à jour
les anciennes définitions de virus, surtout les informations
permettant de réparer les fichiers infectés (quand ils ne sont
pas irrémédiablement perdus). Donc, mettre à jour votre antivirus
vous assurera de posséder la protection la plus efficace.

- Méfiez-vous de tous les fichiers qui arrivent sur votre
ordinateur : vérifiez leur extension réelle, et scannez ceux qui
peuvent contenir des virus avec un antivirus à jour (idéalement,
attendez les prochaines définitions de virus) avant de les ouvrir.
Les pièces jointes qui arrivent par mail et les fichiers
téléchargés sont une méthode de contamination extrêmement
efficace, même, et il est important d'insister sur ce point, s'ils
semblent venir d'une source connue.
Ne négligez pas pour autant d'examiner vos disquettes, CD-Roms

- Sauvegardez vos données les plus importantes, de façon à pouvoir
les récupérer aisément si un virus parvenait tout de même à s'y
attaquer.

- Gardez la tête froide. Les virus sont à prendre au sérieux, mais
faire n'importe quoi sous l'effet de la peur est encore plus
dangereux pour votre ordinateur. De plus, la présence d'un
virus sur un ordinateur n'implique pas systématiquement que
l'ordinateur est infecté.

Ces conseils sont développés plus avant sur ce site :
<http://www.claymania.com/safe-hex-fr.html> (en français)


3.6 - Je peux avoir plusieurs antivirus sur mon ordinateur ?

On peut installer autant d'antivirus qu'on le souhaite sur un même
ordinateur, à condition de n'en faire fonctionner qu'un seul en même
temps : il ne doit y avoir qu'un seul moniteur actif à la fois, et il
faut le désactiver si l'on souhaite lancer un autre antivirus
(moniteur ou simple scan), afin d'éviter tout risque de conflit qui
empêcherait les deux antivirus de faire correctement leur travail.

Attention également aux fausses alertes provoquées par l'utilisation
préalable d'un autre antivirus (à cause de traces laissées en
mémoire), ou parfois par sa seule présence sur le disque dur
(identification de virus dans la base de signatures de l'autre
antivirus, virus en quarantaine). Certains antivirus ne
s'installeront pas correctement si un autre produit ou une version
différente du même antivirus n'a pas été entièrement désinstallée
avant. Prudence donc.


4 - Je viens de recevoir une alerte à propos d'un nouveau virus


Tout le monde a déjà reçu un e-mail angoissant décrivant les ravages
causés par un tout nouveau virus, indécelable et se répandant à la
vitesse de l'éclair, et conseillant de faire suivre l'avertissement à
tous les correspondants de son carnet d'adresses.

La plupart de ces messages d'alerte sont des canulars (ou "hoax"),
décrivant des virus inexistants. Les quelques messages restants, bien
que parlant de virus réels, souffrent souvent de lacunes leur ôtant
toute efficacité préventive ou réparatrice.

Tous ces messages ne peuvent servir qu'à déclencher la panique chez les
utilisateurs non avertis (et les réactions irréfléchies et parfois
dévastatrices qui la suivent, tels un formatage inutile), tout en
détournant l'attention de menaces plus réelles. Ils encombrent
inutilement messageries et disques durs.

Il est inutile, voire nuisible de les faire suivre sans vérifier
sérieusement la véracité des faits exposés. Vous trouverez à cet effet
des sites listant et expliquant les canulars dans la webographie à la
fin de ce document.

Ne faites jamais suivre une alerte "au cas où". S'il s'agit d'un
canular, vous ferez peur inutilement à vos contacts (vos amis, clients,
patron), tout en leur faisant perdre du temps, et votre crédibilité
risque d'en prendre un coup, ce qui serait dommage si un jour vous avez
une véritable alerte à faire passer.

Si vous recevez un canular, prévenez donc gentiment l'expéditeur de son
erreur, pour aider à enrayer la propagation de ces ennuyeux messages.


4.1 - Je dois supprimer le fichier contenant le virus :
sulfnbk.exe, jdbgmgr.exe

Ces messages conseillent au lecteur de supprimer un fichier trouvé sur
son disque dur, car il s'agit d'un virus, puis de faire suivre
l'alerte à un maximum de personnes. Conseils qu'il ne faut en aucun
cas suivre aveuglément ! En effet, les fichiers visés par ces canulars
sont inoffensifs et leur présence est tout à fait normale sur un
ordinateur équipé de Windows. Des variantes utilisent le nom de virus
réels et connus (par exemple, jdbgmgr.exe et Bugbear) pour profiter
d'une peur existante : ne cédez pas à la psychose !

Par contre, ces fichiers restent des exécutables ordinaires, et
peuvent donc être infectés par un virus. Donc, si vous les recevez par
e-mail, prudence ! C'est peut-être un virus, véritable celui- ci, qui
a infecté par hasard ce ficher avant de vous l'envoyer.

Dans tous les cas, n'effacez jamais un fichier de votre ordinateur
sans avoir préalablement fait confirmer l'infection par un antivirus.

Si le mal est fait, vous pouvez toujours récupérer vos fichiers, soit
à l'aide du CD d'installation de Windows, soit sur un ordinateur sain
utilisant la même version de ces fichiers.

Plus de détails sur ces sites en français :

- sulfnbk.exe (en français)
<http://www.hoaxbuster.com/hoaxliste/hoax.php?idArticle(63>
<http://www.hoaxkiller.com/hoax/2001/virus_sulfnbk_exe.htm>

- jdbgmgr.exe (en français)
<http://www.hoaxbuster.com/hoaxliste/hoax.php?idArticle'74>
<http://www.hoaxkiller.com/hoax/2002/virus_jdbgmgr_exe.htm>


4.2 - Comment reconnaître un canular

Ils sont en général simples à repérer, grâce à quelques
caractéristiques courantes, dont la présence doit vous rendre méfiant:

- On vous demande de faire suivre l'alerte à un maximum de
personnes. Une alerte non ciblée ne peut pas être efficace.

- Le virus est indétectable, même avec un antivirus à jour. Or les
éditeurs d'antivirus peuvent étudier un nouveau virus et
l'intégrer à une mise à jour de leur produit très rapidement.

- Une société très connue, mais qui n'a absolument rien à voir avec
les virus, a confirmé la menace (souvent Microsoft, AOL, IBM).
On voit même "Linux" confirmer des menaces !

- Mais il n'y a aucun moyen de vérifier immédiatement la véracité
de l'information, par exemple un lien *direct* vers la
description de la menace sur un site spécialisé.

- Il n'y a pas de date précise d'apparition, pour que l'alerte ne
se périme pas et continue à circuler des années.

- L'auteur en rajoute, à grand renfort de MAJUSCULES et de points
d'exclamation !!!, sur l'urgence de la situation et les dommages,
toujours cataclysmiques et irréversibles.

- Et surtout, le message apparaît sur une ou plusieurs listes de
canulars !


4.3 - Et s'il y a une pièce jointe

Si un fichier présenté comme un correctif, un antivirus ou même
parfois comme un lien vers un site web (l'extension .com peut être
trompeuse) est joint à l'alerte, méfiance !

Il y a de fortes chances pour que ce fichier contienne un virus ou un
"trojan", même s'il semble vous être expédié par un ami ou un éditeur
d'antivirus.

N'y touchez pas et effacez le message, il sera toujours temps d'aller
chercher vous-même un correctif plus sûr si le besoin s'en fait
sentir.


4.4 - J'ai reçu une astuce qui empêchera le virus de s'envoyer :
un faux contact "!0000"

Un message circule, qui vous conseille de créer dans votre carnet
d'adresses un contact (nommé "!0000"), sans lui attribuer d'adresse
e-mail valide, afin de protéger vos contacts en cas d'infection par un
virus. Ce dernier ne pourra pas envoyer de mails infectés à vos
contacts, et un message d'erreur vous préviendra de la tentative.

Suivre ce conseil est inutile, voire même dangereux, à cause du faux
sentiment de sécurité qu'il procure, vous incitant à relâcher votre
vigilance. Or l'astuce est inefficace contre l'immense majorité des
virus, en particulier contre les plus récents et les plus virulents :

- Que le contact soit affiché au début de la liste lorsque vous la
triez par ordre alphabétique ne signifie en aucun cas qu'il est
au début du fichier contenant votre carnet d'adresses, il a même
probablement simplement été ajouté à la fin.
Plusieurs séries de messages infectés peuvent donc être envoyés
avant même que le virus ne tombe sur ce fameux contact.
De plus certains virus piocheront au hasard dans la liste, ou
prendront les adresses dans d'autres fichiers présents sur votre
disque dur (cache Internet, boîte de réception, ).

- Les virus récents s'envoient indépendamment du logiciel de
messagerie, qui n'aura donc aucune raison d'afficher un message.
Le virus, lui, se gardera bien de signaler prématurément sa
présence par un message si explicite !

- Un virus bien conçu ne sera même pas gêné par une adresse e-mail
non valide.

Pour être prévenu en cas d'attaque virale, rien ne vaut un antivirus
maintenu à jour. Si vous craignez qu'en cas de défaillance de ce
dernier, un virus n'utilise votre liste de contacts, autant y faire
figurer une de vos propres adresses, qui ne servirait qu'à ça, et que
vous n'utiliserez ni ne communiquerez jamais. Vous aurez alors une
chance de faire partie des destinataires du virus, et d'être sûr de sa
provenance. Cette astuce non plus n'est pas infaillible, cependant.


5 - Je reçois des mails étranges
--
5.1 - Le spam

Un spam est un message non sollicité envoyé en masse à des adresses
collectées sans le consentement de leur propriétaire, sur les pages
web, annuaires e-mail, groupes de discussions, etc., ou collectées
sous un prétexte innocent et détournées ensuite. Il est souvent à
caractère publicitaire, et en langue étrangère.

Si vous recevez un message que vous ne pouvez pas lire, ou qui ne vous
semble pas destiné mais fait de la pub de façon plus ou moins
détournée, et qu'il ne comporte ni pièce jointe ni code malveillant
(comme par exemple tentant de changer votre page de démarrage Internet
Explorer pour celle du site en question), alors le bon forum pour vous
renseigner est <news:fr.usenet.abus.d>, consacré aux abus du réseau,
par mail ou sur Usenet.

Vous pourrez vous renseigner sur la mise en place de filtres dans
votre logiciel de messagerie sur <news:fr.comp.mail>.


5.2 - Les usurpations

Les spammeurs, les mauvais plaisants et certains virus (Klez, Bugbear,
Sobig) sont capables de falsifier les entêtes des e-mails qu'ils
envoient, entre autre pour faire croire qu'ils proviennent d'une autre
personne. Si votre adresse est utilisée, c'est donc vous qui recevrez
réponses, alertes au virus et autres messages de rejet automatiques,
pour des mails qui n'émanaient pas de votre ordinateur. Si vous
recevez de tels messages, mais que votre antivirus ne vous signale
aucune infection, vous pouvez les effacer.


5.3 - Les vrais messages infectés

Ce sont des messages contenant du code malveillant, sous forme de
script, de tentative d'exploitation d'une faille de votre logiciel de
messagerie, et/ou d'une pièce jointe pouvant contenir un virus. Un
message en texte brut sans pièce jointe ne peut donc pas être infecté.

Attention, dans certains cas il arrive que le logiciel de messagerie
n'affiche pas toutes les pièces jointes, ou que l'une de leurs
extensions (la dernière) soit masquée par Windows, faisant passer un
dangereux script readme.txt.vbs pour un inoffensif fichier texte. Mais
si vous appliquez les conseils de "Safe Hex" (voir le §3.5), n'ouvrez
jamais une pièce jointe dont la présence n'a pas été clairement
mentionnée dans le message, et dans le style habituel de l'expéditeur
apparent (et à fortiori, si lorsque vous vérifiez auprès de
l'expéditeur, il dit ne rien vous avoir envoyé!), et effacez
totalement de votre messagerie (suppression dans la corbeille, puis
compression des dossiers) tous les messages douteux, vous ne risquez
pas grand-chose.


5.4 - Comment retrouver l'expéditeur ?

Il n'est pas toujours possible de se fier au nom et à l'adresse e-mail
de l'expéditeur, qui peuvent être falsifiés. Pour savoir quels champs
sont faux, le mieux est d'aller lire une description du virus
précisant quelles astuces il utilise (ou n'utilise pas) pour se
dissimuler.

Il faut ensuite étudier les entêtes du message pour trouver soit la
véritable adresse de la personne infectée, ou parfois uniquement
l'adresse IP qu'elle utilisait au moment où le virus a été envoyé.
Pour cela, la lecture des documents postés régulièrement sur le forum
<news:fr.usenet.abus.d> et l'aide de ses contributeurs vous seront
d'un grand secours. Sachez seulement qu'il n'est pas toujours possible
d'identifier la victime.


5.5 - Comment rédiger le message destiné à prévenir l'expéditeur ?

Vous avez l'adresse e-mail de la personne infectée, et vous voulez la
prévenir. C'est une intention louable, mais attention, pour lui
apporter une aide vraiment efficace il faut prendre quelques
précautions lorsque vous rédigez le message.

La principale étant bien sûr de vous assurer que vous n'allez pas
faire peur à un innocent à cause d'une adresse d'expéditeur falsifiée
!

Pensez ensuite que cette personne n'est probablement pas encore au
courant de son infection, et ne vous a pas envoyé de message vérolé
intentionnellement. La courtoisie est donc de rigueur.

Incluez toujours le nom complet du virus que vous avez reçu, sans
oublier la variante. Quelques liens vers la description du virus et
des instructions ou un outil de désinfection seront sûrement
appréciés. Mettez-les même si vous copiez-collez des instructions
demandant de supprimer un fichier, pour permettre leur vérification et
ne pas risquer de faire croire à un canular.

Évitez les correctifs en pièce jointe. Si la personne se méfie, elle
l'effacera sans l'exécuter et ira le chercher sur un site sûr. Si elle
ne se méfie pas, elle gardera le mauvais réflexe d'exécuter de tels
correctifs, même lorsqu'il s'agira en fait de malwares, comme par
exemple Klez, capable de se propager sous le titre "removal tool" et
proposant de supprimer le dangereux virus Klez


5.6 - Comment ne plus recevoir ces messages ?

Ne pas recevoir de virus par mail est impossible à partir du moment où
votre adresse est connue : vos parents, amis, contacts, plus les
inconnus qui liront votre page web et vos messages sur Usenet (si vous
y placez votre adresse réelle), peuvent un jour ou l'autre vous
envoyer des messages vérolés suite à une infection.

L'utilisation d'une adresse antispam, sans adresse de réponse valide,
peut aider à limiter le nombre de virus reçus de la part d'inconnus,
mais empêche également que l'on puisse vous contacter par mail sans
devoir effectuer de manipulations souvent dissuasives.

C'est un choix à faire.

La "[Mini-Faq] Les adresses antispam" de Stéphane Marchau, publiée sur
<news:fr.usenet.reponses> peut vous aider à mettre correctement en
place ce genre de protection.

Vous pouvez également utiliser des règles de filtrage, dans votre
logiciel de messagerie ou, si votre fournisseur d'accès le permet,
directement sur votre serveur de messagerie pour filtrer les messages
contenant des entêtes caractéristiques, ou utiliser un logiciel comme
Mailwasher (<http://www.mailwasher.net/>, en anglais) pour trier les
messages reçus sur le serveur avant de les télécharger.

Certains fournisseurs d'adresses e-mail proposent également des
solutions antivirus (solution complète ou surveillance de la
messagerie) : renseignez-vous auprès du vôtre.


5.7 - Comment faire surveiller mon logiciel de messagerie par mon
antivirus ?

En fait, ce n'est pas forcément une bonne idée. Outre que cela
consomme des ressources, cette protection peut causer plus d'ennuis
qu'elle n'en résout.

Pourquoi ?

Pour plusieurs raisons, la principale étant qu'avec une bonne pratique
des conseils de "Safe Hex" (voir le §3.5), cette protection n'est pas
vraiment utile, alors qu'utilisée seule, l'utilisateur prenant
l'habitude de se reposer entièrement sur son antivirus, elle peut être
catastrophique. Les vers de messagerie se répandent à une telle
vitesse que même en maintenant son antivirus à jour, on ne peut pas
être sûr qu'il connaisse déjà le tout dernier ver sorti au moment où
il arrive dans votre messagerie. Si vous lui faites trop confiance, et
avez négligé les règles de "Safe Hex" telle que l'utilisation d'une
messagerie sûre, vous vous retrouverez alors infecté.

Et dans le cas où le virus est déjà connu, le moniteur vous empêchera
quand même de l'exécuter si vous cliquez par mégarde sur la pièce
jointe, même si vous ne faites pas surveiller votre messagerie. Cette
surveillance ferait donc double emploi, sans forcément mieux protéger
(exception : virus inconnu, mais tentant d'exploiter une faille du
logiciel, tentative dont certains antivirus peuvent vous prévenir
s'ils la connaissent.).

Une autre raison est que cela peut générer des problèmes
supplémentaires avec certaines versions et/ou configuration de
certains antivirus, et/ou suite à une manoeuvre maladroite de
l'utilisateur :

- virus intercepté et supprimé, automatiquement ou à la demande,
mais malheureusement en même temps que tous les messages du
dossier des éléments reçus.
- antivirus empêchant l'utilisateur de cliquer sur le mail infecté
pour le supprimer, ou bloquant le téléchargement des messages
suivants, ce qui oblige à le désactiver, et donc peut entraîner
une infection si le virus exploite une faille de sécurité non
corrigée.
- les antivirus ne peuvent parfois pas scanner tous les formats de
messageries.

Donc, si vous tenez tout de même à utiliser cette fonctionnalité de
votre antivirus, faites-le en connaissance de cause et avec une
configuration adéquate : lisez soigneusement la documentation associée
dans le manuel, l'aide en ligne et surtout sur le site de l'éditeur
qui y a peut-être ajouté des conseils de configuration limitant les
risques de destruction de données, ne négligez pas les conseils
élémentaires de prudence au cas où votre antivirus aurait une
défaillance, et n'agissez pas sans réfléchir en cas d'alerte. Bref,
respectez là encore les règles de "Safe Hex"!
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Alain Vouillon
Le #1323878
Bonjour,
H. Michaud écrivait:

Une version HTML regroupant les deux parties de la FAQ se trouve
ici :


Le site ne répond plus, est-ce un problème momentané ?


--
@:-)
FAQ Windows XP ==> http://a.vouillon.online.fr/

Lancelet
Le #1196958
"Alain Vouillon"
Une version HTML regroupant les deux parties de la FAQ se trouve
ici :

Le site ne répond plus, est-ce un problème momentané ?


Hello,

Maintenant, ça marche.

Lancelet


Alain Vouillon
Le #1321942
Bonjour,
Lancelet écrivait:
"Alain Vouillon"
Une version HTML regroupant les deux parties de la FAQ se trouve
ici :

Le site ne répond plus, est-ce un problème momentané ?


Maintenant, ça marche.
Lancelet


Ok merci.



--
@:-)
FAQ Windows XP ==> http://a.vouillon.online.fr/



Publicité
Poster une réponse
Anonyme