[FAQ] fr.comp.securite.virus - Partie 1/2

"H. Michaud" <jokeuse-faq-fcsv@lacave.net>


Archive-Name: fr/comp/securite/virus.generalites

                 FAQ du groupe fr.comp.securite.virus
                             Partie 1/2

Vous pouvez trouver la version la plus à jour de ce document ici :
   <http://www.lacave.net/~jokeuse/usenet/faq-fcsv-part1.txt>
Une version HTML regroupant les deux parties de la FAQ se trouve ici :
   <http://www.lacave.net/~jokeuse/usenet/faq-fcsv.html>

Cette première partie contient les paragraphes 1 à 5 :
Présentation, Définitions, Généralités, Les virus et les e-mails.

------------------------------------------------------------------------
Auteur : Hélène Michaud
Dernière mise à jour : 17/10/2006

Contenu de la mise à jour :
- Contrôle des divers liens fournis
- Contrôle de la persistence des FAQs pointées.
------------------------------------------------------------------------

Les modifications apportées depuis la version précédente sont signalées
d'un "|" dans la marge.

Sommaire - Partie 1/2
---------------------
1 - Introduction
   1.1 - Objet de cette FAQ
   1.2 - Réutilisation de cette FAQ
   1.3 - Décharge
   1.4 - Un dernier conseil avant de commencer la lecture

2 - Quelques définitions
   2.1 - Les virus
   2.2 - Les vers
   2.3 - Les "trojans" (chevaux de Troie, trojan horses, "troyens")
   2.4 - Les spywares (espiogiciels, mouchards)
   2.5 - Mini-lexique

3 - Les antivirus
   3.1 - Qu'est-ce que c'est ?
   3.2 - Pour quoi faire ?
   3.3 - Lequel choisir ?
   3.4 - Les antivirus ne sont pas infaillibles
   3.5 - Le "Safe Hex"
   3.6 - Je peux avoir plusieurs antivirus sur mon ordinateur ?

4 - Je viens de recevoir une alerte à propos d'un nouveau virus
   4.1 - Je dois supprimer le fichier contenant le virus :
         sulfnbk.exe, jdbgmgr.exe
   4.2 - Comment reconnaître un canular
   4.3 - Et s'il y a une pièce jointe...
   4.4 - J'ai reçu une astuce qui empêchera le virus de s'envoyer :
         un faux contact "!0000"

5 - Je reçois des mails étranges
   5.1 - Le spam
   5.2 - Les usurpations
   5.3 - Les vrais messages infectés
   5.4 - Comment retrouver l'expéditeur ?
   5.5 - Comment rédiger le message destiné à prévenir l'expéditeur ?
   5.6 - Comment ne plus recevoir ces messages ?
   5.7 - Comment faire surveiller mon logiciel de messagerie par mon
         antivirus ?

                             -+-+-+-+-+-+-+-

1 - Introduction
----------------
   1.1 - Objet de cette FAQ

     Ce document a pour but de vous apprendre, dans les grandes lignes,
     ce qu'est un virus, quelle est la démarche à suivre pour s'en
     protéger et s'en débarrasser, et de répondre aux questions les plus
     fréquentes rencontrées sur le forum <news:fr.comp.securite.virus>.

     Il est donc principalement destiné au débutant en sécurité
     antivirale.

     Il ne vous dispense pas de la lecture du manuel de configuration de
     votre antivirus ni des FAQs associées, ni d'un minimum de recherche
     de votre part sur les divers sites spécialisés si vous souhaitez en
     savoir plus.

     Pour cela, reportez-vous à la webographie située à la fin de ce
     document.


   1.2 - Réutilisation de cette FAQ

     Vous êtes libre d'utiliser de courts extraits de cette FAQ, dans la
     mesure où vous incluez un lien permettant d'avoir accès à
     l'ensemble du document, dans le but de permettre à vos lecteurs
     d'obtenir facilement un complément d'information.

     De même, vous êtes libre de copier la FAQ dans son intégralité, à
     condition cependant d'en avertir l'auteur, d'effectuer les mises à
     jour les plus importantes, et que cette utilisation soit exempte de
     tout caractère commercial (bannières publicitaires incluses).

     Toute autre utilisation devra faire l'objet d'un accord préalable
     de l'auteur.

     Ces restrictions sont principalement dues au respect élémentaire du
     temps que j'ai consacré à la rédaction de cette FAQ, du temps
     gracieusement offert par tous ceux qui y ont contribué, et de la
     sécurité du lecteur qui doit pouvoir accéder aux ajouts et
     corrections apportés au document.


   1.3 - Décharge

     La sécurité antivirale est un domaine en perpétuelle évolution, ce
     qui est vrai un jour peut devenir un mensonge éhonté dès le
     lendemain (ainsi, le célèbre "On ne peut pas attraper un virus
     simplement en lisant un e-mail" n'est plus vrai dans certains cas),
     et de nouveaux virus apparaissent sans cesse.

     De plus l'auteur reste humain, et malgré le soin apporté à la
     rédaction de cette FAQ, rien ne peut garantir qu'une inexactitude
     ou formulation maladroite ne s'y est pas glissée, ni que la version
     que vous avez sous les yeux est à jour.

     Par conséquent, ce document est à prendre comme un recueil de
     conseils, et non comme une bible, et ces conseils doivent être
     considérés d'un oeil critique et mesurés à l'aune du bon sens. Si
     l'un d'entre eux vous semble peu clair ou inexact, n'hésitez pas à
     poser la question à l'auteur ou sur le forum.

     La responsabilité de l'auteur ne pourra donc être retenue en cas de
     problèmes causés par la mise en pratique des théories exposées ci-
     dessous.


   1.4 - Un dernier conseil avant de commencer la lecture

     La sécurité antivirale évoluant constamment, cette FAQ va suivre ce
     mouvement perpétuel.
     Évidemment, cela dépendra du temps libre de la rédactrice, mais des
     mises à jour régulières seront faites dans la mesure du possible.

     Par conséquent n'hésitez surtout pas à jeter régulièrement un oeil
     sur ce document. Même si vous n'y trouvez pas de nouveautés, vous
     rafraîchirez un peu votre mémoire, ce qui n'est jamais inutile.

     En attendant, bonne lecture !


2 - Quelques définitions
------------------------

Note : Ces définitions restent très générales, mais tentent de refléter
        au mieux la classification employée sur le forum. Vous trouverez
        sûrement des définitions ou des dénominations légèrement
        différentes ailleurs.
        Attention également, de plus en plus de menaces rentrent dans
        plusieurs catégories à la fois.

   2.1 - Les virus

     Un virus est un code malicieux (sous forme de programme, script,
     etc.) dont le but est de se reproduire. Pour cela, il se dissimule
     dans votre ordinateur le temps de proliférer, puis parfois (ce n'est
     pas obligatoire) se manifeste par une autre action : petit message
     narquois, effacement de fichiers, etc.

     - Les virus de boot :
       Ces virus se logent dans le secteur de démarrage (des disques
       durs et disquettes) en remplaçant le code qui s'y trouve par le
       leur. Ils sont chargés en mémoire (et donc actifs) dès que le
       support infecté est utilisé.
       Exemple : Jumper.B.

     - Les virus d'applications :
       Ils infectent des fichiers exécutables et se lancent donc lorsque
       l'on exécute l'application infectée.
       Il est à noter qu'un seul fichier peut être infecté par plusieurs
       virus.
       Exemple : Win95.CIH (dit "Tchernobyl")

     - Les virus macro :
       Ils se dissimulent dans les macros de documents, notamment de
       type Word ou parfois Excel. Il sont lancés si on ouvre le
       document infecté en autorisant l'exécution des macros qu'il
       contient.
       Exemple : Melissa.


   2.2 - Les vers

     Les vers, comme les virus, ont pour but de se reproduire. Leur
     particularité est qu'ils se répandent d'eux-mêmes d'un ordinateur à
     un autre en utilisant divers moyens (messagerie, partages réseaux,
     IRC, etc.), sans recourir à l'infection de fichiers sains
     préexistants (ce qui fait que suivant la définition du terme virus
     adoptée, on peut considérer ou non que les vers sont une catégorie
     de virus). L'important est de savoir que dans le cas d'un ver
     "simple" (qui n'est pas en même temps un virus d'application par
     exemple), la désinfection d'un ordinateur ne passe pas par la
     désinfection de fichiers, mais par leur suppression.

     - Les vers de messagerie :
       Ils se répandent via les messageries, en s'attachant à des e-
       mails qu'ils envoient ensuite à des adresses trouvées sur le
       disque dur de leur victime (carnets d'adresses, boîte de
       réception, cache internet, newsgroups, etc.). Certains profitent
       de failles de sécurité dans les logiciels de messagerie (notamment
       du couple Microsoft Outlook Express / Internet Explorer) pour
       s'exécuter automatiquement dès la visualisation du message.
       Exemples : Sircam, Klez, Bugbear... Il en apparaît sans cesse.


   2.3 - Les "trojans" (chevaux de Troie, trojan horses, "troyens")

     Comme les virus, ils peuvent avoir une infinité d'actions, comme
     installer une porte dérobée ("backdoor") sur l'ordinateur infecté,
     modifier la page de démarrage d'Internet Explorer, effacer vos
     données, voler vos mots de passe, etc.
     Et contrairement aux virus, ils ne se reproduisent pas. Ce ne sont
     pas des "parasites" qui infectent des fichiers sains, mais des
     applications à part entière qui doivent donc être installées sur
     l'ordinateur de leur victime. Les méthodes d'installation sont
     nombreuses : envoyé (volontairement, contrairement aux vers) par
     e-mail, exploitation de failles de sécurité, installation par un
     virus, installation directe à l'aide d'une disquette pendant votre
     absence ou même sous votre nez sous un prétexte quelconque...


   2.4 - Les spywares (espiogiciels, mouchards)

     Ce sont des programmes intégrés à un autre logiciel, ou
     s'installant en même temps que lui, parfois à l'insu de
     l'utilisateur, parfois en prévenant ou même en demandant
     l'autorisation.
     Une fois installés, ils recueillent des informations personnelles,
     telles que les logiciels installés sur votre ordinateur ou vos
     habitudes de navigation, et utilisent votre connexion Internet pour
     les envoyer.


   2.5 - Mini-lexique

Note : Ces quelques définitions n'ont pour but que de vous donner une
        idée de la signification de quelques-uns des termes barbares que
        vous pouvez trouver sur le forum ou dans les descriptions de
        virus, pas de constituer un lexique détaillé ou exhaustif.

     Backdoor : Programme ouvrant une "porte dérobée" sur votre PC
                permettant à des utilisateurs mal intentionnés d'en
                prendre le contrôle.

     BIOS : Basic Input Output System. Petit programme se trouvant sur
            la carte mère de votre PC et servant au PC lors de son
            démarrage. Il sert notamment à détecter les périphériques et
            vérifier que tout fonctionne correctement sur le PC
            (mémoire, processeur, carte-vidéo). Il ne peut pas contenir
            de virus. Par contre certains virus peuvent dans certaines
            circonstances effacer ou corrompre votre BIOS.

     Bounce : "Retour à l'expéditeur" d'un e-mail qui n'a pas pu, pour
              une raison ou une autre, parvenir à son destinataire,
              accompagné d'un message d'erreur expliquant la cause du
              rejet.
              Le destinataire de ces messages d'erreur est identifié par
              un des champs de l'entête de l'e-mail nommé "Return-path".

     Canular : Fausse alerte virus circulant le plus souvent par e-mail.
               Pour plus de renseignements, se reporter au §4 et à la
               webographie de cette FAQ.

     Dropper : Un dropper est un programme qui installe un virus, ver ou
               un "trojan", sans être lui-même infecté par ce malware.

     Hoax : Canular.

     In The Wild : "dans la nature". Désigne les virus qui ont commencé
                   à se répandre, par opposition à ceux qui restent
                   confinés sur l'ordinateur de leur créateur et dans
                   des milieux contrôlés tels que les laboratoires
                   d'analyse.

     ITW : In The Wild.

     Macro : Code interprétable contenu dans un document (Word, Excel).

     Malware : Nom générique donné à des programmes malveillants (virus,
               "trojans", spywares...)

     MBR : Master Boot Record, le secteur d'amorce du PC.

     Polymorphisme :  Certains virus sont polymorphes, c'est à dire que
                      chaque fois qu'ils infectent un fichier, ils se
                      chiffrent d'une façon différente, ce qui les rend
                      plus difficilement détectables.

     Scan (par extension scanner) : Analyse du contenu d'un fichier.

     SMTP : Abréviation de "Simple Mail Transfer Protocol". Désigne un
            protocole permettant la communication avec un serveur mail.
            Certains vers et virus contiennent leur propre moteur SMTP
            (angl. "SMTP engine") qui leur permet de se propager en
            communiquant directement avec un serveur courrier sans
            risquer de laisser de traces en passant par Outlook comme le
            font beaucoup de virus très simples (ou au cas où Outlook ne
            serait pas présent sur l'ordinateur).


3 - Les antivirus
-----------------
   3.1 - Qu'est-ce que c'est ?

     Un antivirus est un logiciel qui protège un ordinateur contre les
     virus, et de plus en plus contre d'autres malwares : "trojans",
     scripts malicieux dans les pages web... Il est souvent composé de
     différents modules.
     Des méthodes fréquemment employées par les antivirus sont :

     - moteur d'analyse : il permet de scanner à la demande les fichiers
       que vous lui indiquez, par la recherche de signatures spécifiques
       permettant d'identifier un virus (scanner "On-Demand").

     - moniteur résident en mémoire : capable de détecter les virus en
       mémoire ainsi que de vérifier la présence de virus dans les
       fichiers que vous utilisez (scanner "On-Access").

     - analyse heuristique : qui recherche les instructions utilisées en
       général par des virus afin de détecter les virus qui ne sont pas
       encore référencés par les éditeurs d'antivirus.

     - contrôleur d'intégrité : l'antivirus détermine une valeur en
       fonction du contenu d'un fichier et la stocke dans un fichier de
       contrôle ; ensuite chaque fois que ce fichier est scanné,
       l'antivirus contrôle si cette somme est toujours la même ; en cas
       de changement il vous prévient et vous permet soit d'accepter le
       changement si c'est une action volontaire de votre part, soit de
       ne pas utiliser le programme et/ou de l'envoyer à l'éditeur de
       l'antivirus pour analyse complémentaire.


   3.2 - Pour quoi faire ?

     Depuis le succès d'Internet et l'augmentation des échanges de
     fichiers entre utilisateurs via notamment l'e-mail, il est devenu
     nécessaire de se protéger des virus de manière quasi permanente.
     L'antivirus est devenu l'assistant de l'utilisateur dans cette
     tâche. Car il ne faut pas oublier que c'est un outil mis à la
     disposition de l'utilisateur et donc, la première sécurité de votre
     ordinateur : c'est vous !


   3.3 - Lequel choisir ?

     Il existe un grand nombre d'antivirus, certains sont payants,
     d'autres sont gratuits. Certains sont meilleurs que d'autres. C'est
     à vous de tester et de vous renseigner pour trouver celui qui vous
     conviendra le mieux, c'est à dire celui qui vous protégera
     efficacement, qui fonctionnera sans problème sur *votre*
     ordinateur, et que *vous* saurez configurer et utiliser
     correctement.
     Cette page web peut vous aider à faire votre choix en connaissance
     de cause :
     <http://www.claymania.com/anti-virus-fr.html> (en français)
     Et si vous voulez aussi une bonne protection contre les "trojans" :
     <http://www.claymania.com/tests-trojan-fr.html> (en français)


   3.4 - Les antivirus ne sont pas infaillibles

     Un antivirus ne détectera jamais 100% des virus : le tout dernier
     sorti, le très ancien ou le particulièrement difficile à analyser
     peuvent lui échapper, par exemple.
     De plus, il leur arrive de se tromper, et de déclarer infectés
     par erreur des fichiers tout à fait sains.

     N'ayez donc pas une confiance aveugle dans ce que vous dit votre
     antivirus, et n'hésitez pas en cas de doute à faire analyser votre
     fichier en ligne ou par un autre antivirus. Si votre antivirus
     habituel est le seul à déclarer le fichier infecté, envoyez le
     fichier incriminé à son éditeur pour analyse : il vous dira s'il
     s'agit d'une fausse alerte, et dans ce cas pourra corriger
     l'anomalie dans sa prochaine mise à jour.


   3.5 - Le "Safe Hex"

     Nous venons de voir qu'un antivirus n'est pas infaillible.
     Donc, pour rester le plus protégé possible, votre rôle est crucial.
     Si vous appliquez scrupuleusement ces quelques conseils dits de
     "Safe Hex", vous limiterez sérieusement votre vulnérabilité aux
     attaques virales les plus courantes :

     - Utilisez un système d'exploitation et des logiciels exempts de
       failles de sécurité, en installant les correctifs de sécurité au
       fur et à mesure de leur sortie. Sans faire de prosélytisme, ceci
       est particulièrement valable si vous utilisez des produits
       Microsoft pour surfer sur le web ou lire vos mails : très
       répandus, mais également bourrés de failles, ils sont à patcher
       très souvent, et à configurer soigneusement si vous voulez éviter
       qu'un virus ne puisse s'installer automatiquement sur votre
       ordinateur.
       Ne négligez cependant pas, sous prétexte que ce n'est pas Outlook
       Express, de vérifier de temps en temps qu'aucune attaque n'est
       apparue pour votre logiciel préféré, et gardez un oeil sur les
       virus spécifiques à votre système d'exploitation.
       Même si on en parle moins, il existe des virus pour Mac et Linux :
       <http://www.claymania.com/unix-viruses-fr.html> (en français)
 
<http://www.cs.uu.nl/wais/html/na-dir/computer-virus/macintosh-faq.html>
     - Envisagez l'installation d'un firewall personnel, qui pourra
       empêcher une infection via une faille de sécurité dans votre
       système d'exploitation en attendant que vous puissiez le mettre
       à jour.
       Vous pourrez vous renseigner sur les firewalls et leur
       utilisation sur le forum <news:fr.comp.securite>, notamment en y
       lisant le document intitulé :
               "[FAQ] fr.comp.securite : Les Firewalls"
|      Disponible ici : <http://fr.comp.securite.free.fr/firewall.txt>
       Même un firewall ne surveillant que le trafic entrant, tel que
       celui intégré à Windows XP, peut suffire à vous protéger d'un
       ver type Blaster (il n'empêchera cependant pas un intrus déjà
       installé de se propager vers l'extérieur).

     - Ayez une connaissance minimale de votre système d'exploitation et
       de vos logiciels et de leurs fonctionnalités : intéressez-vous
       aux commandes, aux menus, parcourez le manuel...
       Par exemple savoir qu'un fichier simplement supprimé sous Windows
       n'est pas directement effacé du disque mais placé dans la
       corbeille, que Windows ME et XP effectuent des sauvegardes
       automatiques (le fameux système "restore"), ou ce qu'est la
       fonction "compacter les dossiers" de votre logiciel de messagerie
       (c'est elle qui effacera physiquement un e-mail de votre disque
       dur) peut vous épargner quelques frayeurs du style "le virus est
       toujours là !", et vous aidera pour la configuration.

     - Configurez vos logiciels, antivirus et système d'exploitation
       avec soin, en interdisant autant que possible ce qui pourrait
       s'avérer dangereux. Par exemple, désactivez l'exécution de tout
       code dans vos messages, empêchez Eudora d'afficher les messages
       en HTML à l'aide du "Microsoft Viewer" (ce qui le rend vulnérable
       à ses failles), demandez à votre Windows d'afficher toutes les
       extensions de vos fichiers, ce qui vous évitera de vous faire
       piéger par une double extension (attention cependant aux .pif qui
       restent invisibles), etc.
       Il existe sur le web de nombreuses FAQs, officielles ou non, qui
       pourront vous y aider. Vous trouverez quelques exemples dans les
       annexes (voir le §9.5).

     - Maintenez votre antivirus le plus à jour possible. Des nouveaux
       virus, ou des nouvelles variantes de virus connus, apparaissent
       régulièrement. De plus les éditeurs d'antivirus mettent à jour
       les anciennes définitions de virus, surtout les informations
       permettant de réparer les fichiers infectés (quand ils ne sont
       pas irrémédiablement perdus). Donc, mettre à jour votre antivirus
       vous assurera de posséder la protection la plus efficace.

     - Méfiez-vous de tous les fichiers qui arrivent sur votre
       ordinateur : vérifiez leur extension réelle, et scannez ceux qui
       peuvent contenir des virus avec un antivirus à jour (idéalement,
       attendez les prochaines définitions de virus) avant de les ouvrir.
       Les pièces jointes qui arrivent par mail et les fichiers
       téléchargés sont une méthode de contamination extrêmement
       efficace, même, et il est important d'insister sur ce point, s'ils
       semblent venir d'une source connue.
       Ne négligez pas pour autant d'examiner vos disquettes, CD-Roms...

     - Sauvegardez vos données les plus importantes, de façon à pouvoir
       les récupérer aisément si un virus parvenait tout de même à s'y
       attaquer.

     - Gardez la tête froide. Les virus sont à prendre au sérieux, mais
       faire n'importe quoi sous l'effet de la peur est encore plus
       dangereux pour votre ordinateur. De plus, la présence d'un
       virus sur un ordinateur n'implique pas systématiquement que
       l'ordinateur est infecté.

     Ces conseils sont développés plus avant sur ce site :
     <http://www.claymania.com/safe-hex-fr.html> (en français)


   3.6 - Je peux avoir plusieurs antivirus sur mon ordinateur ?

     On peut installer autant d'antivirus qu'on le souhaite sur un même
     ordinateur, à condition de n'en faire fonctionner qu'un seul en
     même temps : il ne doit y avoir qu'un seul moniteur actif à la
     fois, et il faut le désactiver si l'on souhaite lancer un autre
     antivirus (moniteur ou simple scan), afin d'éviter tout risque de
     conflit qui empêcherait les deux antivirus de faire correctement
     leur travail.

     Attention également aux fausses alertes provoquées par
     l'utilisation préalable d'un autre antivirus (à cause de traces
     laissées en mémoire), ou parfois par sa seule présence sur le
     disque dur (identification de virus dans la base de signatures
     de l'autre antivirus, virus en quarantaine...). Certains antivirus
     ne s'installeront pas correctement si un autre produit ou une
     version différente du même antivirus n'a pas été entièrement
     désinstallée avant. Prudence donc.


4 - Je viens de recevoir une alerte à propos d'un nouveau virus
---------------------------------------------------------------
   Tout le monde a déjà reçu un e-mail angoissant décrivant les ravages
   causés par un tout nouveau virus, indétectable et se répandant à la
   vitesse de l'éclair, et conseillant de faire suivre l'avertissement à
   tous les correspondants de son carnet d'adresses.

   La plupart de ces messages d'alerte sont des canulars (ou "hoax"),
   décrivant des virus inexistants. Les quelques messages restants, bien
   que parlant de virus réels, souffrent souvent de lacunes leur ôtant
   toute efficacité préventive ou réparatrice.

   Tous ces messages ne peuvent servir qu'à déclencher la panique chez
   les utilisateurs non avertis (et les réactions irréfléchies et
   parfois dévastatrices qui la suivent, tels un formatage inutile),
   tout en détournant l'attention de menaces plus réelles. Ils encombrent
   inutilement messageries et disques durs.

   Il est inutile, voire nuisible de les faire suivre sans vérifier
   sérieusement la véracité des faits exposés. Vous trouverez à cet
   effet des sites listant et expliquant les canulars dans la
   webographie à la fin de ce document.
   Ne faites jamais suivre une alerte "au cas où". S'il s'agit d'un
   canular, vous ferez peur inutilement à vos contacts (vos amis,
   clients, patron), tout en leur faisant perdre du temps, et votre
   crédibilité risque d'en prendre un coup, ce qui serait dommage si un
   jour vous avez une véritable alerte à faire passer.

   Si vous recevez un canular, prévenez donc gentiment l'expéditeur de
   son erreur, pour aider à enrayer la propagation de ces ennuyeux
   messages.


   4.1 - Je dois supprimer le fichier contenant le virus :
         sulfnbk.exe, jdbgmgr.exe

     Ces messages conseillent au lecteur de supprimer un fichier trouvé
     sur son disque dur, car il s'agit d'un virus, puis de faire suivre
     l'alerte à un maximum de personnes. Conseils qu'il ne faut en aucun
     cas suivre aveuglément ! En effet, les fichiers visés par ces
     canulars sont inoffensifs et leur présence est tout à fait normale
     sur un ordinateur équipé de Windows. Des variantes utilisent le nom
     de virus réels et connus (par exemple, jdbgmgr.exe et Bugbear) pour
     profiter d'une peur existante : ne cédez pas à la psychose !

     Par contre, ces fichiers restent des exécutables ordinaires, et
     peuvent donc être infectés par un virus. Donc, si vous les recevez
     par e-mail, prudence ! C'est peut-être un virus, véritable celui-
     ci, qui a infecté par hasard ce ficher avant de vous l'envoyer.

     Dans tous les cas, n'effacez jamais un fichier de votre ordinateur
     sans avoir préalablement fait confirmer l'infection par un
     antivirus.

     Si le mal est fait, vous pouvez toujours récupérer vos fichiers,
     soit à l'aide du CD d'installation de Windows, soit sur un
     ordinateur sain utilisant la même version de ces fichiers.

     Plus de détails sur ces sites en français :

     - sulfnbk.exe (en français)
       <http://www.hoaxbuster.com/hoaxliste/hoax.php?idArticle=2863>
       <http://www.hoaxkiller.com/hoax/2001/virus_sulfnbk_exe.htm>

     - jdbgmgr.exe (en français)
       <http://www.hoaxbuster.com/hoaxliste/hoax.php?idArticle=2774>
       <http://www.hoaxkiller.com/hoax/2002/virus_jdbgmgr_exe.htm>


   4.2 - Comment reconnaître un canular

     Ils sont en général simples à repérer, grâce à quelques
     caractéristiques courantes, dont la présence doit vous rendre
     méfiant :

     - On vous demande de faire suivre l'alerte à un maximum de
       personnes. Une alerte non ciblée ne peut pas être efficace.

     - Le virus est indétectable, même avec un antivirus à jour. Or les
       éditeurs d'antivirus peuvent étudier un nouveau virus et
       l'intégrer à une mise à jour de leur produit très rapidement.

     - Une société très connue, mais qui n'a absolument rien à voir avec
       les virus, a confirmé la menace (souvent Microsoft, AOL, IBM...).
       On voit même "Linux" confirmer des menaces !

     - Mais il n'y a aucun moyen de vérifier immédiatement la véracité
       de l'information, par exemple un lien *direct* vers la
       description de la menace sur un site spécialisé.

     - Il n'y a pas de date précise d'apparition, pour que l'alerte ne
       se périme pas et continue à circuler des années.

     - L'auteur en rajoute, à grand renfort de MAJUSCULES et de points
       d'exclamation !!!, sur l'urgence de la situation et les dommages,
       toujours cataclysmiques et irréversibles.

     - Et surtout, le message apparaît sur une ou plusieurs listes de
       canulars !


   4.3 - Et s'il y a une pièce jointe...

     Si un fichier présenté comme un correctif, un antivirus ou même
     parfois comme un lien vers un site web (l'extension .com peut être
     trompeuse) est joint à l'alerte, méfiance !
     Il y a de fortes chances pour que ce fichier contienne un virus ou
     un "trojan", même s'il semble vous être expédié par un ami ou un
     éditeur d'antivirus.
     N'y touchez pas et effacez le message, il sera toujours temps
     d'aller chercher vous-même un correctif plus sûr si le besoin s'en
     fait sentir.


   4.4 - J'ai reçu une astuce qui empêchera le virus de s'envoyer :
         un faux contact "!0000"

     Un message circule, qui vous conseille de créer dans votre carnet
     d'adresses un contact (nommé "!0000"), sans lui attribuer d'adresse
     e-mail valide, afin de protéger vos contacts en cas d'infection par
     un virus. Ce dernier ne pourra pas envoyer de mails infectés à vos
     contacts, et un message d'erreur vous préviendra de la tentative.

     Suivre ce conseil est inutile, voire même dangereux, à cause du
     faux sentiment de sécurité qu'il procure, vous incitant à relâcher
     votre vigilance. Or l'astuce est inefficace contre l'immense
     majorité des virus, en particulier contre les plus récents et les
     plus virulents :

     - Que le contact soit affiché au début de la liste lorsque vous la
       triez par ordre alphabétique ne signifie en aucun cas qu'il est
       au début du fichier contenant votre carnet d'adresses, il a même
       probablement simplement été ajouté à la fin.
       Plusieurs séries de messages infectés peuvent donc être envoyés
       avant même que le virus ne tombe sur ce fameux contact.
       De plus certains virus piocheront au hasard dans la liste, ou
       prendront les adresses dans d'autres fichiers présents sur votre
       disque dur (cache Internet, boîte de réception, ...).

     - Les virus récents s'envoient indépendamment du logiciel de
       messagerie, qui n'aura donc aucune raison d'afficher un message.
       Le virus, lui, se gardera bien de signaler prématurément sa
       présence par un message si explicite !

     - Un virus bien conçu ne sera même pas gêné par une adresse e-mail
       non valide.

     Pour être prévenu en cas d'attaque virale, rien ne vaut un
     antivirus maintenu à jour. Si vous craignez qu'en cas de
     défaillance de ce dernier, un virus n'utilise votre liste de
     contacts, autant y faire figurer une de vos propres adresses, qui
     ne servirait qu'à ça, et que vous n'utiliserez ni ne communiquerez
     jamais. Vous aurez alors une chance de faire partie des
     destinataires du virus, et d'être sûr de sa provenance. Cette
     astuce non plus n'est pas infaillible, cependant.


5 - Je reçois des mails étranges
--------------------------------
   5.1 - Le spam

     Un spam est un message non sollicité envoyé en masse à des adresses
     collectées sans le consentement de leur propriétaire, sur les pages
     web, annuaires e-mail, groupes de discussions, etc., ou collectées
     sous un prétexte innocent et détournées ensuite. Il est souvent à
     caractère publicitaire, et en langue étrangère.

     Si vous recevez un message que vous ne pouvez pas lire, ou qui ne
     vous semble pas destiné mais fait de la pub de façon plus ou moins
     détournée, et qu'il ne comporte ni pièce jointe ni code malveillant
     (comme par exemple tentant de changer votre page de démarrage
     Internet Explorer pour celle du site en question), alors le bon
     forum pour vous renseigner est <news:fr.usenet.abus.d>, consacré
     aux abus du réseau, par mail ou sur Usenet.

     Vous pourrez vous renseigner sur la mise en place de filtres dans
     votre logiciel de messagerie sur <news:fr.comp.mail>.


   5.2 - Les usurpations

     Les spammeurs, les mauvais plaisants et certains virus (Klez,
     Bugbear, Sobig...) sont capables de falsifier les entêtes des
     e-mails qu'ils envoient, entre autre pour faire croire qu'ils
     proviennent d'une autre personne. Si votre adresse est utilisée,
     c'est donc vous qui recevrez réponses, alertes au virus et autres
     messages de rejet automatiques, pour des mails qui n'émanaient pas
     de votre ordinateur.  Si vous recevez de tels messages, mais que
     votre antivirus ne vous signale aucune infection, vous pouvez les
     effacer.


   5.3 - Les vrais messages infectés

     Ce sont des messages contenant du code malveillant, sous forme de
     script, de tentative d'exploitation d'une faille de votre logiciel
     de messagerie, et/ou d'une pièce jointe pouvant contenir un virus.
     Un message en texte brut sans pièce jointe ne peut donc pas être
     infecté.
     Attention, dans certains cas il arrive que le logiciel de messagerie
     n'affiche pas toutes les pièces jointes, ou que l'une de leurs
     extensions (la dernière) soit masquée par Windows, faisant passer un
     dangereux script readme.txt.vbs pour un inoffensif  fichier texte.
     Mais si vous appliquez les conseils de "Safe Hex" (voir le §3.5),
     n'ouvrez jamais une pièce jointe dont la présence n'a pas été
     clairement mentionnée dans le message, et dans  le style habituel de
     l'expéditeur apparent (et à fortiori, si lorsque vous vérifiez
     auprès de l'expéditeur, il dit ne rien vous avoir envoyé!), et
     effacez totalement de votre messagerie (suppression dans la
     corbeille, puis compression des dossiers) tous les messages douteux,
     vous ne risquez pas grand-chose.


   5.4 - Comment retrouver l'expéditeur ?

     Il n'est pas toujours possible de se fier au nom et à l'adresse
     e-mail de l'expéditeur, qui peuvent être falsifiés. Pour savoir
     quels champs sont faux, le mieux est d'aller lire une description
     du virus précisant quelles astuces il utilise (ou n'utilise pas)
     pour se dissimuler.

     Il faut ensuite étudier les entêtes du message pour trouver soit la
     véritable adresse de la personne infectée, ou parfois uniquement
     l'adresse IP qu'elle utilisait au moment où le virus a été envoyé.
     Pour cela, la lecture des documents postés régulièrement sur le
     forum <news:fr.usenet.abus.d> et l'aide de ses contributeurs vous
     seront d'un grand secours.
     Sachez seulement qu'il n'est pas toujours possible d'identifier la
     victime.


   5.5 - Comment rédiger le message destiné à prévenir l'expéditeur ?

     Vous avez l'adresse e-mail de la personne infectée, et vous voulez
     la prévenir. C'est une intention louable, mais attention, pour lui
     apporter une aide vraiment efficace il faut prendre quelques
     précautions lorsque vous rédigez le message.

     La principale étant bien sûr de vous assurer que vous n'allez pas
     faire peur à un innocent à cause d'une adresse d'expéditeur
     falsifiée !
     Pensez ensuite que cette personne n'est probablement pas encore au
     courant de son infection, et ne vous a pas envoyé de message vérolé
     intentionnellement. La courtoisie est donc de rigueur.
     Incluez toujours le nom complet du virus que vous avez reçu, sans
     oublier la variante. Quelques liens vers la description du virus et
     des instructions ou un outil de désinfection seront sûrement
     appréciés. Mettez-les même si vous copiez-collez des instructions
     demandant de supprimer un fichier, pour permettre leur vérification
     et ne pas risquer de faire croire à un canular.

     Évitez les correctifs en pièce jointe. Si la personne se méfie,
     elle l'effacera sans l'exécuter et ira le chercher sur un site sûr.
     Si elle ne se méfie pas, elle gardera le mauvais réflexe d'exécuter
     de tels correctifs, même lorsqu'il s'agira en fait de malwares,
     comme par exemple Klez, capable de se propager sous le titre
     "removal tool" et proposant de supprimer le dangereux virus Klez...


   5.6 - Comment ne plus recevoir ces messages ?

     Ne pas recevoir de virus par mail est impossible à partir du moment
     où votre adresse est connue : vos parents, amis, contacts, plus les
     inconnus qui liront votre page web et vos messages sur Usenet (si
     vous y placez votre adresse réelle), peuvent un jour ou l'autre
     vous envoyer des messages vérolés suite à une infection.

     L'utilisation d'une adresse antispam, sans adresse de réponse
     valide, peut aider à limiter le nombre de virus reçus de la part
     d'inconnus, mais empêche également que l'on puisse vous contacter
     par mail sans devoir effectuer de manipulations souvent
     dissuasives.
     C'est un choix à faire.

     Vous pouvez également utiliser des règles de filtrage, dans votre
     logiciel de messagerie ou, si votre fournisseur d'accès le permet,
     directement sur votre serveur de messagerie pour filtrer les
     messages contenant des entêtes caractéristiques, ou utiliser un
     logiciel comme Mailwasher (<http://www.mailwasher.net/>, en anglais)
     pour trier les messages reçus sur le serveur avant de les
     télécharger.

     Certains fournisseurs d'adresses e-mail proposent également des
     solutions antivirus (solution complète ou surveillance de la
     messagerie) : renseignez-vous auprès du vôtre.


   5.7 - Comment faire surveiller mon logiciel de messagerie par mon
         antivirus ?

     En fait, ce n'est pas forcément une bonne idée. Outre que cela
     consomme des ressources, cette protection peut causer plus d'ennuis
     qu'elle n'en résout.

     Pourquoi ?

     Pour plusieurs raisons, la principale étant qu'avec une bonne
     pratique des conseils de "Safe Hex" (voir le §3.5), cette protection
     n'est pas vraiment utile, alors qu'utilisée seule, l'utilisateur
     prenant l'habitude de se reposer entièrement sur son antivirus, elle
     peut être catastrophique. Les vers de messagerie se répandent à une
     telle vitesse que même en maintenant son antivirus à jour, on ne
     peut pas être sûr qu'il connaisse déjà le tout dernier ver sorti au
     moment où il arrive dans votre messagerie. Si vous lui faites trop
     confiance, et avez négligé les règles de "Safe Hex" telle que
     l'utilisation d'une messagerie sûre, vous vous retrouverez alors
     infecté.

     Et dans le cas où le virus est déjà connu, le moniteur vous
     empêchera quand même de l'exécuter si vous cliquez par mégarde sur
     la pièce jointe, même si vous ne faites pas surveiller votre
     messagerie. Cette surveillance ferait donc double emploi, sans
     forcément mieux protéger (exception : virus inconnu, mais tentant
     d'exploiter une faille du logiciel, tentative dont certains
     antivirus peuvent vous prévenir... s'ils la connaissent.).

     Une autre raison est que cela peut générer des problèmes
     supplémentaires avec certaines versions et/ou configuration de
     certains antivirus, et/ou suite à une manoeuvre maladroite de
     l'utilisateur :
     - virus intercepté et supprimé, automatiquement ou à la demande,
       mais malheureusement en même temps que tous les messages du
       dossier des éléments reçus.
     - antivirus empêchant l'utilisateur de cliquer sur le mail infecté
       pour le supprimer, ou bloquant le téléchargement des messages
       suivants, ce qui oblige à le désactiver, et donc peut entraîner
       une infection si le virus exploite une faille de sécurité non
       corrigée.
     - les antivirus ne peuvent parfois pas scanner tous les formats de
        messageries.

     Donc, si vous tenez tout de même à utiliser cette fonctionnalité de
     votre antivirus, faites-le en connaissance de cause et avec une
     configuration adéquate : lisez soigneusement la documentation
     associée dans le manuel, l'aide en ligne et surtout sur le site de
     l'éditeur qui y a peut-être ajouté des conseils de configuration
     limitant les risques de destruction de données, ne négligez pas les
     conseils élémentaires de prudence au cas où votre antivirus aurait
     une défaillance, et n'agissez pas sans réfléchir en cas d'alerte.
     Bref, respectez là encore les règles de "Safe Hex"!


Valid XHTML 1.0! [Retour au sommaire] Valid CSS!

Traduit en HTML par faq2html.pl le Wed Nov 3 05:42:13 2010 pour le site Web Usenet-FR.