Annexe A. Types de menaces informatiques |
Sous le terme «menace», notre classement comprend tout logiciel pouvant endommager directement ou indirectement l'ordinateur, le réseau, l'information ou porter atteinte aux droits de l'utilisateur (programmes malicieux ou indésirables). Dans le sens plus large du terme, « menace » peut signifier un danger potentiel pour l'ordinateur ou pour le réseau (une vulnérabilité pouvant être utilisée pour des attaques de pirates). Tous les types de logiciels décrits ci-dessous peuvent présenter un danger pour les données de l'utilisateur et pour son droit à la confidentialité. Les logiciels qui ne dissimulent pas leur présence dans le système (par exemple, certains logiciels pour diffusion du spam ou analyseurs du trafic), normalement ne sont classés comme menaces, mais sous certaines conditions, ils peuvent causer des dommages à l'utilisateur. Selon les produits et la documentation de Doctor Web, il est possible de subdiviser toutes les menaces en deux types, suivant le niveau de danger qu'elles représentent :
Menaces graves Virus informatiques Ce type de menaces informatiques est capable d'introduire son code dans le code d'exécution d'autres logiciels. Cette pénétration porte le nom d'infection. Dans la plupart des cas, le fichier infecté devient lui-même porteur de virus et le code introduit n'est plus conforme à l'original. La majeure partie des virus est conçue pour détériorer ou exterminer les données.. En fonction du type d'objet infecté, Doctor Web classifie les virus selon les types suivants :
La plupart des virus possèdent des mécanismes spécifiques pour se dissimuler dans le système. Leurs méthodes de protection contre la détection s'améliorent sans cesse. Cependant, dans le même temps, de nouveaux moyens d'élimination de cette protection apparaissent. On peut également subdiviser les virus d'après leur protection contre la détection :
On peut classifier les virus d'après le langage de leur développement (la plupart sont écrits en Assembleur, en langages de hauts niveaux de programmation et en scripts de scénarios etc.) ainsi que selon les systèmes d'exploitation atteints.. Vers (Worm-virus) Dernièrement, les vers sont plus fréquents que les virus ou d'autres programmes malveillants. Tout comme les virus, tels programmes peuvent déployer des copies d'eux-mêmes mais n'affectent pas les autres objets. Les vers peuvent pénétrer dans l'ordinateur depuis le réseau (souvent sous la forme d'une pièce jointe dans les messages email ou via Internet) et ils envoient massivement leurs propres copies à d’autres ordinateurs. Au départ, pour se propager, les vers peuvent profiter des actions de l'utilisateur ou choisir le poste à attaquer de manière automatique. Les vers ne sont pas souvent composés d'un seul fichier (corps du ver). Plusieurs d'entre eux possèdent aussi une partie infectieuse (shell code), qui est téléchargée dans la mémoire vive de l'ordinateur et est assemblée avec le corps du ver sous forme de fichier exécutable. Tant que le système n'est pas encore infecté par le corps du ver, vous pouvez régler le problème en redémarrant l'ordinateur (et la mémoire vive est déchargée et remise à zéro). Mais aussitôt que le corps du ver entre dans le système, seul l'antivirus peut le désinfecter. A cause de leur propagation intense, les vers peuvent mettre hors service des réseaux entiers, même s'ils n'endommagent pas directement le système. Doctor Web subdivise les vers d'après leur mode de propagation :
Chevaux de Troie (les Trojans) Ce type de logiciels malicieux n'est pas capable de s'auto dupliquer. Les Chevaux de Troie se substituent à l’un des programmes actifs, testent ses fonctions ou en imitent les performances, génèrent différentes actions malicieuses (suppriment des fichiers, des répertoires, formatent les disques, envoient les mots de passe ou d’autres informations confidentielles depuis l’ordinateur). Ils peuvent également rendre possible l'utilisation (non autorisée) de l'ordinateur par une tierce personne dans le but de porter atteinte à la personne propriétaire de l'ordinateur touché. Le Cheval de Troie remplit les mêmes fonctions de camouflage et d'endommagement que tout autre virus et peut représenter lui-même un module de virus. Mais dans la plupart des cas, les logiciels trojans se diffusent comme des fichiers isolés exécutables (présents sur les serveurs de fichiers, sur les supports de données ou dans les pièces jointes) et sont ensuite exécutés par l'utilisateur lui-même ou par un processus déterminé du système. Il est difficile de classifier les logiciels trojans car ils sont diffusés souvent par des virus et des vers. Les actions nocives qui sont souvent attribuées aux trojans peuvent être remplies aussi par d'autres types de menaces. Certains types de trojans sont classés à part par les spécialistes de Doctor Web :
Outre les fonctions nocives citées ci-dessus, les trojans peuvent accomplir d'autres actions comme, par exemple, changer la page d'accueil dans le navigateur web de la victime ou bien supprimer certains fichiers. Mais ces actions peuvent être aussi exécutées par d'autres logiciels malicieux (virus et vers). Menaces insignifiantes Hacktools Les hacktools sont édités pour aider les hackers. Les logiciels de ce type les plus répandus sont des scanners de ports, sachant détecter les vulnérabilités des pare-feux (firewalls) et des autres composants qui assurent la sécurité informatique. Ces instruments peuvent également être utilisés par les administrateurs pour vérifier la solidité de leurs réseaux. Ces logiciels peuvent utiliser l'ingénierie sociale. Pop-up publicitaires Sous ce terme, on désigne le plus souvent un code interne aux logiciels gratuits qui impose l'affichage d'une publicité sur l'ordinateur de l'utilisateur. Mais parfois, ce code peut être diffusé par d'autres logiciels malicieux et afficher la publicité, par exemple, sur des navigateurs Internet. Très souvent, ces logiciels publicitaires fonctionnent en utilisant la base de données collectées par des logiciels espions. Canulars Ce type de logiciels malicieux, comme les logiciels publicitaires, ne détériorent pas le système. Ils génèrent le plus souvent des messages sur des erreurs inexistantes et des actions détériorant les données. Leur but est d'intimider l'utilisateur ou de l'irriter. Dialers Ce sont de petites applications installées sur les ordinateurs, élaborées spécialement pour scanner un certain spectre de numéros de téléphone. Par la suite, les malfaiteurs utiliseront les numéros trouvés pour prélever de l'argent à leur victime ou pour connecter l’utilisateur à des services téléphoniques surtaxés et coûteux. Logiciels potentiellement dangereux Ces logiciels ne sont pas créés pour détériorer le système, mais à cause de leurs particularités, ils peuvent présenter une menace pour la sécurité du système. Ces logiciels peuvent non seulement détériorer les données ou les supprimer par hasard, mais ils peuvent également être utilisés par des hackers ou par d'autres logiciels pirates pour nuire au système. Les logiciels utilisés à distance, d'administration à distance, de serveur FTP etc. peuvent aussi être classifiés comme potentiellement dangereux. Objets suspects Ce sont des menaces potentielles dépistées à l'aide de l'analyseur heuristique. Ces objets peuvent s'avérer appartenir à un des types de menaces informatiques (même inconnues encore) ou être absolument inoffensifs, en cas de faux positif. Dans tous les tous cas, les objets suspects doivent être envoyés pour analyse au Laboratoire viral de Doctor Web. |