Sécurité des fichiers de format commun

De Wiki du LAMA (UMR 5127)
Révision datée du 20 novembre 2016 à 08:50 par Tmart (discussion | contributions) (Sécurité des fichiers de format commun)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigation Aller à la recherche

Introduction


Macrovirus


Un virus macro est un virus informatique qui modifie ou remplace une macro, à savoir un ensemble de commandes utilisées par des logiciels pour exécuter des actions courantes. Par exemple, l'action « ouvrir un document » dans de nombreux logiciels de traitement de texte dépend d'une macro pour fonctionner, car le processus comporte plusieurs étapes distinctes. Le virus macro modifie cet ensemble de commandes, de sorte qu'il puisse s'exécuter à chaque lancement de la macro.

Les virus macro se trouvent principalement dans des documents ou intégrés en tant que code malveillant dans des logiciels de traitement de texte. Ils peuvent provenir de documents joints à des e-mails, ou le code peut être téléchargé dès lors que l'utilisateur clique sur des liens de phishing dans des bannières publicitaires ou à partir d'URL. Ils sont difficiles à détecter, car ils restent inactifs tant qu'une macro infectée n'est pas lancée. Ce n'est qu'à ce moment-là qu'ils exécutent une série de commandes. Un virus macro est similaire à un cheval de Troie dans le sens où il peut paraître bénin et où les utilisateurs ne remarquent pas immédiatement d'effets néfastes. En revanche, contrairement aux chevaux de Troie, les virus macro peuvent se reproduire et infecter d'autres ordinateurs.

Le risque principal des virus macro est leur capacité à se propager rapidement. Dès qu'une macro infectée est lancée, tous les autres documents sur l'ordinateur de l'utilisateur sont à leur tour infectés. Certains de ces virus provoquent des anomalies dans les documents de texte, comme l'omission ou l'ajout de mots, tandis que d'autres accèdent aux comptes de messagerie et envoient des copies de fichiers infectés à tous les contacts de l'utilisateur, qui vont à leur tour ouvrir ces fichiers et y accéder, puisqu'ils sont envoyés par une source de confiance.

Ces virus peuvent également être conçus dans le but d'effacer ou de compromettre des données stockées. En outre, il est important de noter que les virus macro se propagent indépendamment de la plate-forme : ils peuvent infecter les systèmes Windows et Mac à l'aide du même code. Tout logiciel utilisant des macros peut servir d'hôte, et toute copie d'un logiciel infecté, qu'elle soit envoyée par e-mail, stockée sur un disque ou sur une clé USB, sera elle aussi porteuse du virus.

Pour supprimer ces virus, vous devez vous appuyer sur un logiciel de sécurité doté d'outils spécifiques de détection et de suppression des virus macro. Effectuez des analyses régulières pour nettoyer tous les documents éventuellement infectés et vous assurer que de nouveaux virus informatiques ne sont pas téléchargés.

Exemple de Retrovirus


Melissa est un virus informatique qui a sévi à partir du 26 mars 1999.

Cette infection avait deux conséquences :

   Saturation des systèmes de messagerie
   Tous les documents infectés d'une entreprise ou d'un particulier étaient envoyés à de multiples adresses, qu'ils soient confidentiels ou non.

Le montant estimé des dégâts est de 385 millions de dollars (source : International Computer Security Association). Symantec indique que ce virus ne contenait pas de fonctions destructrices, mais que dès juin 1999, un nouveau virus, ExploreZip apparaissait qui lui avait des fonctions destructrices.

L'auteur du virus (l'américain David L. Smith) a été identifié grâce au champ GUID dans les documents infectés. Avec les versions de Windows de l'époque, lorsqu'il était généré, ce champ contenait l'adresse MAC de l'ordinateur ayant servi à la création du document. Au cours de la propagation du virus, le champ était recopié par le logiciel Word ou par le virus lui-même. Dans les versions suivantes de Windows, l'algorithme qui génère le GUID a été modifié pour respecter la vie privée des utilisateurs, les 48 bits de l'adresse MAC ont été retirés.