Développement d’un réseau local dans un établissement scolaire. étude des aspects managériaux et sécuritaires.

SECTION 3. LES METHODES DE DEFENSE ET D'ERADICATION DES MENACES

3.1. L'infection et ses signes

L'infection est une sorte de développement d'un germe pathogène dans un organisme (^14(*)). Et, en informatique les infections proviennent des virus, des codes malicieux et d'autres codes infectieux. En plus, quand une machine (ordinateur) est infectée, elle développe un fonctionnement anormal.

Dans la majeure partie des cas des infections, les virus informatiques sont les causes majeures. Le virus informatique est un petit programme situé dans le corps d'un autre, qui lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur à programmer. Il peut aussi être appelé « programme d'ordinateur capable d'infecter un autre en le modifiant de façon à ce qu'il puisse à son tour se reproduire » (^15(*)).

Mais son véritable nom est CPA soit, Code Auto Propageable, par analogie avec le domaine médical, le nom virus leur a été donné. Un virus est capable de détruire les données de l'ordinateur et il est une menace pour la sécurité des ordinateurs. (^16(*))

Il en existe deux grandes familles qui sont :

· Le virus résident ; qui se chargent dans la mémoire vive de l'ordinateur afin d'infecter les fichiers exécutables lancés par l'utilisateur ;

· Les virus non résidents ; qui infectent les programmes présents sur le disque dès leur exécution.

Le champ d'application des virus va de la simple balle de ping-pong qui traverse l'écran au virus destructeur des données, ce dernier étant la forme la plus dangereuse. Ainsi, étant donné qu'il existe une vaste gamme de virus ayant des actions aussi diverses que variées. Les virus ne sont pas classés selon leurs dégâts mais selon leur mode de propagation et d'infection. On distingue ainsi trois types des virus qui sont :

· Les vers ; ces sont des virus capables de se propager à travers un réseau. Un ver est un programme qui peut s'auto reproduire et se déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin d'un support physique ou logique (disque dur, programme hôte, fichier ...) pour se propager; un ver est donc un virus réseau ;

· Les troyens (Chevaux de Troie) ; ce sont des virus qui créent une faille dans un système (généralement pour permettre à son concepteur de s'introduire dans le système infecté afin d'en prendre le contrôle). Le "Cheval de Troie" (en anglais trojan horse) un programme informatique effectuant des opérations malicieuses à l'insu de l'utilisateur. Le nom "Cheval de Troie" provient d'une légende narrée dans l'Iliade (de l'écrivain Homère) à propos du siège de la ville de Troie par les Grecs. Un cheval de Troie (informatique) est donc un programme caché dans un autre qui exécute des commandes sournoises, et qui généralement donne un accès à la machine sur laquelle il est exécuté en ouvrant une porte dérobée (en anglais backdoor), par extension il est parfois nommé troyen par analogie avec les habitants de la ville de Troie. A la façon du virus, le cheval de Troie est un code (programme) nuisible placé dans un programme sain (imaginez une fausse commande de listage des fichiers, qui détruit les fichiers au lieu d'en afficher la liste). Et un cheval de Troie peut par exemple : voler des mots de passe, copier des données sensibles, exécuter tout autre action nuisible. Pire, un tel programme peut créer, de l'intérieur de votre réseau, une brèche volontaire dans la sécurité pour autoriser des accès à des parties protégées du réseau à des personnes se connectant de l'extérieur. Les principaux chevaux de Troie sont des programmes ouvrant des ports de la machine, c'est-à-dire permettant à son concepteur de s'introduire sur votre machine par le réseau en ouvrant une porte dérobée. C'est la raison pour laquelle on parle généralement de backdoor (littéralement porte de derrière) ou de backorifice (terme imagé vulgaire signifiant "orifice de derrière"). Il faut noté qu'un cheval de Troie n'est pas nécessairement un virus, dans la mesure où son but n'est pas de se reproduire pour infecter d'autres machines. Par contre certains virus peuvent également être des chevaux de Troie, c'est-à-dire se propager comme un virus et ouvrir un port sur les machines infectées ;

· Les bombes logiques ; ce sont des virus capables de se déclencher suite à un événement particulier (date système, activation à distance, ...). Les bombes logiques sont des dispositifs programmés dont le déclenchement s'effectue à un moment déterminé en exploitant la date du système, le lancement d'une commande, ou n'importe quel appel au système. Ainsi ce type de virus est capable de s'activer à un moment précis sur un grand nombre de machines (on parle alors de bombe à retardement ou de bombe temporelle), par exemple le jour de la Saint Valentin, ou la date anniversaire d'un événement majeur. Les bombes logiques sont généralement utilisées dans le but de créer un déni de service en saturant les connexions réseau d'un site, d'un service en ligne ou d'une entreprise.

Et depuis quelques années, un autre phénomène est apparu. Il s'agit des canulars (en anglais Hoax), c'est-à-dire, des annonces reçues par mail accompagnées d'une note précisant de faire suivre la nouvelle à tous vos proches. Ce procédé à pour but l'engorgement des réseaux ainsi que la désinformation. Les virus sont aussi classés selon leur mode de détections par l'antivirus et de là nous avons :

· Les virus mutants : En réalité, la plupart des virus sont des clones, ou plus exactement des «virus mutants», c'est-à-dire des virus ayant été réécrits par d'autres utilisateurs afin d'en modifier leur comportement ou leur signature. Le fait qu'il existe plusieurs versions (on parle de variantes) d'un même virus les rend d'autant plus difficile à repérer dans la mesure où les éditeurs d'antivirus doivent ajouter des nouvelles signatures à leurs bases de données ;

· Les virus polymorphes : Dans la mesure où les antivirus détectent notamment les virus grâce à leur signature (la succession de bits qui les identifie), certains créateurs de virus ont pensé à leur donner la possibilité de modifier automatiquement leur apparence, tel un caméléon, en dotant les virus de fonction de chiffrement et de déchiffrement de leur signature, de façon à ce que seuls ces virus soient capables de reconnaître leur propre signature. Ce type de virus est appelé «virus polymorphe» (mot provenant du grec signifiant «qui peut prendre plusieurs formes») ;

· Les rétrovirus : On appelle «rétrovirus» ou «virus flibustier» (en anglais bounty hunter) un virus ayant la capacité de modifier les signatures des antivirus afin de les rendre inopérants ;

· Les virus de secteur d'amorçage : On appelle «virus de secteur d'amorçage» (ou virus de boot), un virus capable d'infecter le secteur de démarrage d'un disque dur (MBR, soit master boot record), c'est-à-dire un secteur du disque copié dans la mémoire au démarrage de l'ordinateur, puis exécuté afin d'amorcer le démarrage du système d'exploitation ;

· Les virus trans-applicatifs (virus macros) : Avec la multiplication des programmes utilisant des macros, Microsoft a mis au point un langage de script commun pouvant être inséré dans la plupart des documents et pouvant contenir des macros, il s'agit de VBScript, un sous-ensemble de Visual Basic. Ces virus arrivent actuellement à infecter les macros des documents Microsoft Office, c'est-à-dire qu'un tel virus peut être situé à l'intérieur d'un banal document Word ou Excel, et exécuter une portion de code à l'ouverture de celui-ci lui permettant d'une part de se propager dans les fichiers, mais aussi d'accéder au système d'exploitation (généralement Windows).

Lorsqu'une machine qui tourne avec Windows comme système d'exploitation est infectée par un virus ou un ver, elle développera un comportement anormal tel que :

· un simple déplacement de la souris sur le bureau va provoquer un déplacement des icônes ;

· une lenteur exagérée dans l'exécution des tâches ;

· une désactivation des protections de la machine (tel que l'antivirus, le firewall personnel avec leur commande WM_QUIT ;

· l'existence des fichiers dont on ne connaît pas la provenance (readme.exe, readme.eml, les fichiers avec extension .nws, .sys, kdll.dll) ;

· les fichiers dont le nom est du type .mep*, .tmp, .tem.exe (tel que mepE002.tmp.exe) ;

· la suppression des fichiers sur la machine ;

· la copie illicite des documents avec l'extension .exe ;

· ajout du texte dans les documents à chaque démarrage de l'ordinateur ;

· scannage des adresses IP aléatoires à la recherche des systèmes vulnérables à la faille RPC sur le port 135 .Au démarche de l'ordinateur, il y aura un message  « HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOS/curerentversion/Rn ou « Windows auto Updat »=msblast.exe I just want to say LOVE YOU SAN !bil ! et ensuite il y'aura une perturbation dans la mise à jour des programmes ;

· un arrêt brusque et des plantages du système ;

· l'interdiction d'accès au menu recherche de Windows, au registre Windows et au panneau de configuration ;

· la suppression des informations contenues dans le CMDS, le bios et le disque dur ;

· copie/coller défectueux ou impossible ;

· ouverture d'un lien hyper texte dans une nouvelle fenêtre impossible ;

· déplacement des icônes impossible ;

· fonction de recherche de fichier de Windows erratique impossible ;

· l'apparition des fichiers même après une suppression ;

· l'ouverture des fenêtres en désordre ;

· baisse brusque de mémoire virtuelle ;

· la mise en éveil prolongée et non autorisé.

Et quand cette infection est provoqué par un Troyen il y'aura :

· une activité anormale du modem ou de la carte réseau. Des données sont chargées en l'absence d'activité de la part de l'utilisateur ;

· des réactions curieuses de la souris ;

· des ouvertures impromptues des programmes ;

· des plantages à répétition du système ;

· impossibilité de voir les autres machines sur un réseau ;

· bouleversement des adresses IP et de la connexion au réseau Internet ;

· interdiction d'accès aux autres unités partagées (comme l'imprimante, le scanneur, le disque partagé,...).

Mais dans le monde informatique, il existe aussi d'autre programmes malicieux comme les bombes logiques et les Key-loggers qui saturent la connexion réseau, créent une lenteur dans la mémorisation de données, plantent les autres applications du système, activent des fichiers inconnus par l'utilisateur, brisent la protection du firewall, créent un fonctionnement anormale et un chargement lent, et enfin bouleversent les fichiers systèmes (cas des bombes logiques explosées).

* ¹⁴ Dictionnaire universel : Op Cit. p609.

* ¹⁵ Webencyclopedie, " les virus informatiques ", Mise à jour le 14 juin 2005 < www.webencyclopedie.com> (15 Septembre à 20h00).

* ¹⁶ DANDA Matthew, Op. Cit., p57.