Annexe A. Types de menaces informatiques

Sous le terme «menace», notre classement comprend tout logiciel pouvant endommager directement ou indirectement l'ordinateur, le réseau, l'information ou porter atteinte aux droits de l'utilisateur (programmes malicieux ou indésirables). Dans le sens plus large du terme, « menace » peut signifier un danger potentiel pour l'ordinateur ou pour le réseau (une vulnérabilité pouvant être utilisée pour des attaques de pirates).

Tous les types de logiciels décrits ci-dessous peuvent présenter un danger pour les données de l'utilisateur et pour son droit à la confidentialité. Les logiciels qui ne dissimulent pas leur présence dans le système (par exemple, certains logiciels pour diffusion du spam ou analyseurs du trafic), normalement ne sont classés comme menaces, mais sous certaines conditions, ils peuvent causer des dommages à l'utilisateur.

Selon les produits et la documentation de Doctor Web, il est possible de subdiviser toutes les menaces en deux types, suivant le niveau de danger qu'elles représentent :

Menaces graves – ce sont des menaces classiques qui sont capables de mener des actions destructives et illégales au sein du système (suppression et vol de l'information, défaillance du réseau etc.). Ce type de menace regroupe les logiciels appelés malveillants. Ce sont des vers et des Chevaux de Troie.
Menaces insignifiantes – ce sont des menaces Internet considérées comme moins dangereuses mais qui sont à éviter elles aussi, car des tierces personnes peuvent s'en servir pour mener des actions nocives. De plus, toute présence de menaces, même insignifiantes, dans le système, témoigne de sa vulnérabilité. Les spécialistes de la protection informatique qualifient ce type de menaces de logiciels « gris » ou « logiciels potentiellement non-sollicités ». Les menaces insignifiantes sont représentées par des pop-up publicitaires (adwares), des dialers, des canulars, des logiciels potentiellement dangereux (riskwares) et des outils de hack (hacktools).

Menaces graves

Virus informatiques

Ce type de menaces informatiques est capable d'introduire son code dans le code d'exécution d'autres logiciels. Cette pénétration porte le nom d'infection. Dans la plupart des cas, le fichier infecté devient lui-même porteur de virus et le code introduit n'est plus conforme à l'original. La majeure partie des virus est conçue pour détériorer ou exterminer les données..

En fonction du type d'objet infecté, Doctor Web classifie les virus selon les types suivants :

virus de fichier - virus infectant les fichiers binaires (fichiers exécutables, fichiers dll). Ces virus, embarqués dans un fichier système, sont activés au lancement du programme infecté ;
macrovirus infectant les fichiers utilisés par les applications Microsoft® Office (et autres programmes utilisant des commandes macros généralement écrits en Visual Basic). Macros - ce sont des logiciels internes, écrits en langage de programmation totalement fonctionnel, qui sont automatiquement lancés sous des conditions déterminées (par exemple, dans Microsoft® Word, quand vous ouvrez, fermez, sauvegardez ou créez un document) ;
virus Script - virus écrits en langages de script (langages des scénarios). Ils infectent dans la plupart des cas les autres fichiers script (par exemple, les fichiers du système d'exploitation). Ils peuvent infecter aussi d'autres types de fichiers qui supportent l'exécution des scénarios script, tout en se servant des scripts vulnérables des applications Web ;
virus de téléchargement - ils infectent les secteurs boot des disques et des partitions aussi bien que les principaux secteurs boot des disques durs. Ils occupent peu de mémoire et restent prêts à remplir leurs fonctions jusqu'à ce qu'un déchargement, un redémarrage ou un arrêt du système ne soient effectués.

La plupart des virus possèdent des mécanismes spécifiques pour se dissimuler dans le système. Leurs méthodes de protection contre la détection s'améliorent sans cesse. Cependant, dans le même temps, de nouveaux moyens d'élimination de cette protection apparaissent. On peut également subdiviser les virus d'après leur protection contre la détection :

virus chiffrés - ce sont des virus qui chiffrent leur code viral afin de rendre leur désassemblage et leur détection dans un fichier, un secteur ou en mémoire, plus difficile. Chacun d’entre eux et chacune de leurs variantes contiennent un ensemble commun de caractères qui constituent, dans la procédure de déchiffrement, la signature du virus ;
virus Polymorphes - ce sont des virus qui, de façon complémentaire au code de chiffrement viral, utilisent un algorithme de déchiffrement spécifique pour s’auto modifier à chaque nouvelle copie. Le déchiffreur de cet algorithme est unique et propre à chaque copie de virus, ce qui empêche de définir une signature virale ;
virus furtifs - ils agissent de telle façon qu'ils masquent leur activité et cachent leur présence dans les objets infectés. Ces virus captent les caractéristiques du logiciel avant de l'infecter et soumettent ensuite les anciennes caractéristiques au logiciel antivirus cherchant à dépister les fichiers modifiés.

On peut classifier les virus d'après le langage de leur développement (la plupart sont écrits en Assembleur, en langages de hauts niveaux de programmation et en scripts de scénarios etc.) ainsi que selon les systèmes d'exploitation atteints..

Vers (Worm-virus)

Dernièrement, les vers sont plus fréquents que les virus ou d'autres programmes malveillants. Tout comme les virus, tels programmes peuvent déployer des copies d'eux-mêmes mais n'affectent pas les autres objets. Les vers peuvent pénétrer dans l'ordinateur depuis le réseau (souvent sous la forme d'une pièce jointe dans les messages email ou via Internet) et ils envoient massivement leurs propres copies à d’autres ordinateurs. Au départ, pour se propager, les vers peuvent profiter des actions de l'utilisateur ou choisir le poste à attaquer de manière automatique.

Les vers ne sont pas souvent composés d'un seul fichier (corps du ver). Plusieurs d'entre eux possèdent aussi une partie infectieuse (shell code), qui est téléchargée dans la mémoire vive de l'ordinateur et est assemblée avec le corps du ver sous forme de fichier exécutable. Tant que le système n'est pas encore infecté par le corps du ver, vous pouvez régler le problème en redémarrant l'ordinateur (et la mémoire vive est déchargée et remise à zéro). Mais aussitôt que le corps du ver entre dans le système, seul l'antivirus peut le désinfecter.

A cause de leur propagation intense, les vers peuvent mettre hors service des réseaux entiers, même s'ils n'endommagent pas directement le système.

Doctor Web subdivise les vers d'après leur mode de propagation :

vers de réseau, qui se propagent à l'aide de différents protocoles réseau ou bien lors d'échanges de fichiers ;
vers de courrier, qui se propagent via les protocoles de courrier (POP3, SMTP, etc.) ;
vers de tchat, qui se propagent en utilisant les messageries instantanées (ICQ, IM, IRC etc.).

Chevaux de Troie (les Trojans)

Ce type de logiciels malicieux n'est pas capable de s'auto dupliquer. Les Chevaux de Troie se substituent à l’un des programmes actifs, testent ses fonctions ou en imitent les performances, génèrent différentes actions malicieuses (suppriment des fichiers, des répertoires, formatent les disques, envoient les mots de passe ou d’autres informations confidentielles depuis l’ordinateur). Ils peuvent également rendre possible l'utilisation (non autorisée) de l'ordinateur par une tierce personne dans le but de porter atteinte à la personne propriétaire de l'ordinateur touché.

Le Cheval de Troie remplit les mêmes fonctions de camouflage et d'endommagement que tout autre virus et peut représenter lui-même un module de virus. Mais dans la plupart des cas, les logiciels trojans se diffusent comme des fichiers isolés exécutables (présents sur les serveurs de fichiers, sur les supports de données ou dans les pièces jointes) et sont ensuite exécutés par l'utilisateur lui-même ou par un processus déterminé du système.

Il est difficile de classifier les logiciels trojans car ils sont diffusés souvent par des virus et des vers. Les actions nocives qui sont souvent attribuées aux trojans peuvent être remplies aussi par d'autres types de menaces. Certains types de trojans sont classés à part par les spécialistes de Doctor Web :

backdoors – ce sont des trojans qui offrent un accès privilégié au système, contournant le mécanisme existant d'accès et de protection. Les backdoors n'infectent pas les fichiers, mais ils s'inscrivent dans le registre, modifiant les clés ;
rootkitsils sont destinés à intercepter les fonctions de l'API du système d'exploitation pour dissimuler leur présence dans le système. En outre, le rootkit peut masquer les processus des autres logiciels, les clés de registre, des fichiers et des dossiers. Le rootkit se propage comme un logiciel indépendant ou comme un composant supplémentaire d'un autre logiciel malicieux. Selon leur principe de fonctionnement, les rootkits sont subdivisés en deux groupes : User Mode Rootkits (UMR) - qui fonctionnent dans le mode utilisateur (interception des fonctions des bibliothèques du mode utilisateur), et Kernel Mode Rootkits (KMR) - qui fonctionnent dans le mode noyau (interception des fonctions au niveau du noyau système, ce qui rend toute détection et toute désinfection très difficile) ;
enregistreurs de frappe (keyloggers)ils sont utilisés pour collecter les données que l'utilisateur entre avec son clavier. Le but de ces actions est le vol de toute information personnelle (mots de passe, logins, numéros de cartes bancaires etc.) ;
cliqueursils redirigent les liens quand on clique sur eux. D'ordinaire, l'utilisateur est redirigé vers des adresses déterminées avec le but d'augmenter le trafic publicitaire des sites web ou pour organiser des attaques DDoS ;
trojans proxyils offrent aux pirates une sortie anonyme d'Internet via l'ordinateur de leur victime.

Outre les fonctions nocives citées ci-dessus, les trojans peuvent accomplir d'autres actions comme, par exemple, changer la page d'accueil dans le navigateur web de la victime ou bien supprimer certains fichiers. Mais ces actions peuvent être aussi exécutées par d'autres logiciels malicieux (virus et vers).

Menaces insignifiantes

Hacktools

Les hacktools sont édités pour aider les hackers. Les logiciels de ce type les plus répandus sont des scanners de ports, sachant détecter les vulnérabilités des pare-feux (firewalls) et des autres composants qui assurent la sécurité informatique. Ces instruments peuvent également être utilisés par les administrateurs pour vérifier la solidité de leurs réseaux. Ces logiciels peuvent utiliser l'ingénierie sociale.

Pop-up publicitaires

Sous ce terme, on désigne le plus souvent un code interne aux logiciels gratuits qui impose l'affichage d'une publicité sur l'ordinateur de l'utilisateur. Mais parfois, ce code peut être diffusé par d'autres logiciels malicieux et afficher la publicité, par exemple, sur des navigateurs Internet. Très souvent, ces logiciels publicitaires fonctionnent en utilisant la base de données collectées par des logiciels espions.

Canulars

Ce type de logiciels malicieux, comme les logiciels publicitaires, ne détériorent pas le système. Ils génèrent le plus souvent des messages sur des erreurs inexistantes et des actions détériorant les données. Leur but est d'intimider l'utilisateur ou de l'irriter.

Dialers

Ce sont de petites applications installées sur les ordinateurs, élaborées spécialement pour scanner un certain spectre de numéros de téléphone. Par la suite, les malfaiteurs utiliseront les numéros trouvés pour prélever de l'argent à leur victime ou pour connecter l’utilisateur à des services téléphoniques surtaxés et coûteux.

Logiciels potentiellement dangereux

Ces logiciels ne sont pas créés pour détériorer le système, mais à cause de leurs particularités, ils peuvent présenter une menace pour la sécurité du système. Ces logiciels peuvent non seulement détériorer les données ou les supprimer par hasard, mais ils peuvent également être utilisés par des hackers ou par d'autres logiciels pirates pour nuire au système. Les logiciels utilisés à distance, d'administration à distance, de serveur FTP etc. peuvent aussi être classifiés comme potentiellement dangereux.

Objets suspects

Ce sont des menaces potentielles dépistées à l'aide de l'analyseur heuristique. Ces objets peuvent s'avérer appartenir à un des types de menaces informatiques (même inconnues encore) ou être absolument inoffensifs, en cas de faux positif. Dans tous les tous cas, les objets suspects doivent être envoyés pour analyse au Laboratoire viral de Doctor Web.