Accueil » Sécurité Informatique » Les vers informatiques – explications et contre-mesures

En sécurité informatique, il n’est pas toujours évident de s’en sortir avec les définitions. Certains mots sont empruntés à l’anglais, d’autres traduits, parfois les deux sont utilisés en même temps ou il existe plusieurs termes pour une même définition.

Nous allons aujourd’hui parler des vers informatiques et nous allons donc commencer par définir ce que c’est. Ensuite, nous verrons des exemples de vers et comment s’en protéger.

ver informatique

Qu’est-ce qu’un ver informatique ?

Le mot ver informatique est une traduction de l’anglais « computer worm ». Il s’agit d’un programme malveillant qui s’autoréplique (qui se recopie par ses propres moyens) et qui se propage la plupart du temps via le réseau. Ce ver se répand de système en système en exploitant des failles informatiques (attaque zéro day) ou tout simplement des failles humaines (ingénierie sociale).

Un ver va donc essayer de se répandre sur un maximum d’ordinateurs, et bien que beaucoup d’entre eux ne font que de se répandre, certains contiennent des charges utiles, c’est-à-dire des autres programmes malveillants qui vont s’exécuter sur les systèmes infectés. Ces programmes malveillants peuvent voler des données, chiffrer des fichiers, permettre un accès à distance (backdoor)…etc.

Comment fonctionnent-ils ?

On a vu qu’il y a deux types principaux de vers informatiques : ceux qui se répandent via une faille dans le système, et ceux qui se répandent en comptant sur la crédulité des utilisateurs infectés.

Les premiers vont typiquement exécuter du code exploitant une faille précise dans un système afin de s’y introduire et de se répandre. La faille est très spécifique au système ciblé.

Les seconds vont compter sur la crédulité des internautes pour que ces derniers cliquent, téléchargent et exécutent le ver sur leur ordinateur, pour infecter à leur tour d’autres utilisateurs.

Exemples de vers informatiques

Le ver Samy, un ver XSS

On va commencer par le ver le plus populaire. Il s’agit du ver Samy créé en 2005 par Samy Kamkar, un chercheur un sécurité informatique, qui a infecté plus d’un million d’utilisateurs sur MySpace en 20 heures. Le ver affichait « but most of all, samy is my hero » (« mais par dessus tout, samy est mon héros ») sur le profil des victimes et chaque personne visitant un profil infecté se faisait infecter à son tour. Il s’agit d’un ver XSS (Cross-Site Scripting) qui utilisait une faille dans les pages de profil des utilisateurs.

Je cite Samy :

04/10, 0:34 : Vous avez 73 amis.
Je décide de lancer mon programme de popularité. Je vais être célèbre…parmi mes amis.

1 heure après, 1:30 : Vous avez 73 amis et 1 demande d’amis.
Une amie de ma copine regarde mon profil. Elle est forcément intéressée par ce que je fais. J’approuve sa demande d’amitié par inadvertance et vais au lit en grimaçant.

7 heures après, 8:35 : Vous avez 74 amis et 221 demandes d’amis.
Woah. Je ne pensais pas en avoir autant. Je suis surpris parce que ça fonctionne.. 200 personnes ont été infectées en 8 heures. Cela veut dire que j’aurais 600 nouveaux amis par jour. Woah.

1 heure après, 9:30 : Vous avez 74 amis et 480 demandes d’amis.
Oh attends, c’est exponentiel, non ? M*rde.

1 heure après, 10:30 : Vous avez 518 amis et 561 demandes d’amis.
Oh m*rde. Je reçois des messages de personnes en colère qui sont dans mes amis alors qu’ils n’ont rien demandé. Je reçois aussi des e-mails disant « Hey, comment es-tu arrivé dans mon myspace….c’est pas que ça me dérange, tu es beau gosse ». De la part de certains gars. Mais plus de la part de filles que de garçon. Ce qui n’est pas si mal. À propos des filles.

3 heures après, 13:30: Vous avez 2503 amis et 6373 demandes d’amis.

J’annule mon compte. C’est devenu hors de contrôle. Des personnes m’envoient des messages me disant qu’ils me signalent pour être un « hacker ». Mec, je gère. […] Apparemment, certaines personnes me suppriment de leur liste d’amis, mais visitent la page de quelqu’un d’autre ou même leur propre page et redeviennent immédiatement infectés. […]

5 heures après, 18:20 : Je vais timidement sur mon profil pour observer les demandes d’amis. 2503 amis. 917 084 demandes d’amis.
Je rafraichis trois secondes plus tard. 918 268. Je rafraichis trois secondes plus tard. 919 664. Je rafraichis quelques minutes après. 1 005 831.

C’est officiel. Je suis populaire.

J’ai atteint plus de 1 million d’utilisateurs. En moins de 20 heures, j’ai atteint plus de 1/35ème des utilisateurs de MySpace.

Plus d’infos sur le site de samy.

Le ver Skype (anciennement MSN)

Il s’agit probablement des vers informatiques parmi les plus célèbres. Une personne infectée va automatiquement envoyer un message à tous ses contacts avec un lien vers un site permettant de télécharger le ver.

Voici un exemple réel :

exemple de ver skype

Le message n’est pas toujours en anglais mais ressemble souvent à cet exemple : un appel à l’action suivi d’un lien douteux.

Le ver Facebook

Tous les moyens de toucher beaucoup de personnes facilement et directement sont bons. Facebook est donc régulièrement ciblé par des vers informatiques de toutes formes. Voici un autre exemple réel de ver qui envoie automatiquement un message aux amis de la victime avec un lien de téléchargement :

vers Facebook

Le ver Stuxnet

Stuxnet est un ver informatique découvert en 2010 et conçu pour s’attaquer aux centrifugeuses de la centrale iranienne de Natanz. Il perturbait leur fonctionnement, entraînant la destruction de plusieurs centaines d’entre elles.

Il se répandait sur les systèmes Windows à l’aide de clé USB infectées et s’attaquait aux systèmes à l’aide de trois failles zéro day. 45 000 systèmes informatiques, dont 30 000 situés en Iran ont été infectés.

Le ver Autorun

Il s’agit d’un ver qui se propage via des clés USB infectées, en exploitant notamment ce que l’on appelle l’Autorun : un fichier de configuration permettant de lancer automatiquement un programme dès que la clé est branchée dans un ordinateur.

Comment savoir si je suis infecté ?

Habituellement, c’est un contact qui nous répond et qui nous informe par la même occasion que notre PC a été infecté.

De façon plus générale, un ver informatique est un programme malveillant comme tant d’autres et qui se supprime de la même façon (soit via un anti-malware, soit via un anti-virus, soit en l’ayant repéré nous-mêmes).

Dans le cas où le ver infecte un compte (Facebook, Skype…etc), changer simplement son mot de passe ne suffit pas, mais il faut bien supprimer le ver. Car le ver n’a pas forcément connaissance du mot de passe, il peut très bien profiter de la session authentifiée (typiquement lorsque vous êtes connecté(e)) pour dialoguer à votre place.

Comment se protéger ?

Pour se protéger des vers exploitant des failles informatiques, il n’y a pas de secrets : il faut mettre à jour son système et ses programmes régulièrement.

Pour se protéger des vers exploitant la crédulité des personnes, il faut rester méfiant et essayer de détecter ces attaques dans la mesure du possible.

Pour cela, il s’agit notamment de savoir si l’affirmation venant d’une personne infectée pourrait être réelle ou non. Typiquement, sur Facebook, savoir qui visite votre profil n’est pas possible.

Les messages en anglais ou les expressions irréalistes par rapport au caractère de la personne infectée sont également des signes évidents.

Et enfin, les liens raccourcis permettant de cacher un autre lien (et/ou de répertorier les clics) sont également suspects dans ce contexte (goo.gl, bit.ly…etc).

Voici des messages typiques qui ressemblent aux messages envoyés par des vers :

hahaha 😀 :’D c’est toi sur la video ???? www.videololxd454.com/video.php?id=572271

regarde qui visite ton profil sur : www.quivisitemonprofilAZ42.eu/bonnearnaque/profil.html

tu m’donne kel note sur cette foto??? www.1arnaquebidonsansphotos.tk/photos.JPG

Bien entendu, avoir un antivirus à jour et scanner un fichier suspect avant de le lancer est également requis et constitue une barrière supplémentaire.

 

13 Commentaires

  1. Vrmt tu gère ^^

  2. Je montrerais cette article à mes collègues afin qu’ils sachent l’importance des mises à jours de leur OS.
    Ils ne me croient jamais et merci Michel.

  3. Bonsoir !
    Très bon article, qui m’a permit d’apprendre de nouvelles choses !

    J’ai cependant quelques questions.
    Pour aller plus loin, comment savoir si on est infecté ?
    Comment supprimer l’infection ?

  4. Salut ScaarZ et merci à toi, j’ai rajouté une partie pour savoir si on est infecté. La suppression est plutôt facile après avoir repéré le ver.
    À bientôt !

  5. LeMailloux Alain a écrit:

    Est ce que les vers peuvent contaminer les clé USB et cd-rom, Est-ce que aussi avec un bon scanner d’url (virus tottal) on peut aussi trouver l’infection de L’url aussi.ESt ce que il peut contaminer un telechargement aussi .Peut-il contaminer un LInux par package si s’il est telecharger par web.

    Oui, je ne sais pas si connait le virus zeus qui a exploiter les certains failles de windows s’intalle sur L’ordinateur jusqu’a la recherche de carte bancaire. Une fois que les info récupérer, zues etait capable de se connecter à un serveur puis etait capable d’ouvirir une session bancaire.

    Voila je voudrai savoir si les vers peuvent s’introduire dans le systéme et recupérer des données. Peuvent-il aussi récupérer des données sur un serveur aussi.

    • Salut Alain,
      Oui le vers peuvent contaminer les clés USB, on dit même qu’un ver sur 4 infecte les clés USB. Cryptolocker le fait également. Certains antivirus scannent bien entendu les URLs mais comme pour les programmes il n’est jamais facile d’assurer à coup sûr qu’une URL est bienveillante.
      Il existe aussi des vers sous Linux notamment en exploitant des failles.
      Donc oui les vers peuvent très bien contenir des « charges utiles » qui vont récupérer des informations sensibles.

  6. LeMailloux Alain a écrit:

    merci Michel

  7. Merçi pour ces astuces très instructives, ça m’a permis d’accroitre ma connaissance en matière
    de sécurité informatique, sur ce j’ai une question de curiosité, je veut savoir comment telecharge un ver sur internet ou un bombe logique

    • Salut et merci à toi.
      Télécharger dans le sens « recevoir un ver sur son PC » c’est assez facile en téléchargeant n’importe quoi. Télécharger dans le sens étudier d’un point de vue sécurité informatique, je pense qu’il faut voir des forums privés pour cela mais plutôt réservés aux chercheurs. Sinon il reste des forums un peu plus obscurs…

  8. arnold couteau a écrit:

    merci aussi je vais relire et relire pour biien comprendre

  9. arnold couteau a écrit:

    je le trouve ou

Laisser un commentaire

Lire plus :
Le blog du Hacker, premier article

Bonjour à tous, J’ai écrit une page À propos pour me présenter, je ne le ferai donc plus ici. Par...

Fermer