En sécurité informatique, il n’est pas toujours évident de s’en sortir avec les définitions. Certains mots sont empruntés à l’anglais, d’autres traduits, parfois les deux sont utilisés en même temps ou il existe plusieurs termes pour une même définition.

Nous allons aujourd’hui parler des vers informatiques et nous allons donc commencer par définir ce que c’est. Ensuite, nous verrons des exemples de vers et comment s’en protéger.

ver informatique

Qu’est-ce qu’un ver informatique ?

Le mot ver informatique est une traduction de l’anglais « computer worm ». Il s’agit d’un programme malveillant qui s’autoréplique (qui se recopie par ses propres moyens) et qui se propage la plupart du temps via le réseau. Ce ver se répand de système en système en exploitant des failles informatiques (attaque zéro day) ou tout simplement des failles humaines (ingénierie sociale).

Un ver va donc essayer de se répandre sur un maximum d’ordinateurs, et bien que beaucoup d’entre eux ne font que de se répandre, certains contiennent des charges utiles, c’est-à-dire des autres programmes malveillants qui vont s’exécuter sur les systèmes infectés. Ces programmes malveillants peuvent voler des données, chiffrer des fichiers, permettre un accès à distance (backdoor)…etc.

Comment fonctionnent-ils ?

On a vu qu’il y a deux types principaux de vers informatiques : ceux qui se répandent via une faille dans le système, et ceux qui se répandent en comptant sur la crédulité des utilisateurs infectés.

Les premiers vont typiquement exécuter du code exploitant une faille précise dans un système afin de s’y introduire et de se répandre. La faille est très spécifique au système ciblé.

Les seconds vont compter sur la crédulité des internautes pour que ces derniers cliquent, téléchargent et exécutent le ver sur leur ordinateur, pour infecter à leur tour d’autres utilisateurs.

Exemples de vers informatiques

Le ver Samy, un ver XSS

On va commencer par le ver le plus populaire. Il s’agit du ver Samy créé en 2005 par Samy Kamkar, un chercheur un sécurité informatique, qui a infecté plus d’un million d’utilisateurs sur MySpace en 20 heures. Le ver affichait « but most of all, samy is my hero » (« mais par dessus tout, samy est mon héros ») sur le profil des victimes et chaque personne visitant un profil infecté se faisait infecter à son tour. Il s’agit d’un ver XSS (Cross-Site Scripting) qui utilisait une faille dans les pages de profil des utilisateurs.

Je cite Samy :

04/10, 0:34 : Vous avez 73 amis.
Je décide de lancer mon programme de popularité. Je vais être célèbre…parmi mes amis.

1 heure après, 1:30 : Vous avez 73 amis et 1 demande d’amis.
Une amie de ma copine regarde mon profil. Elle est forcément intéressée par ce que je fais. J’approuve sa demande d’amitié par inadvertance et vais au lit en grimaçant.

7 heures après, 8:35 : Vous avez 74 amis et 221 demandes d’amis.
Woah. Je ne pensais pas en avoir autant. Je suis surpris parce que ça fonctionne.. 200 personnes ont été infectées en 8 heures. Cela veut dire que j’aurais 600 nouveaux amis par jour. Woah.

1 heure après, 9:30 : Vous avez 74 amis et 480 demandes d’amis.
Oh attends, c’est exponentiel, non ? M*rde.

1 heure après, 10:30 : Vous avez 518 amis et 561 demandes d’amis.
Oh m*rde. Je reçois des messages de personnes en colère qui sont dans mes amis alors qu’ils n’ont rien demandé. Je reçois aussi des e-mails disant « Hey, comment es-tu arrivé dans mon myspace….c’est pas que ça me dérange, tu es beau gosse ». De la part de certains gars. Mais plus de la part de filles que de garçon. Ce qui n’est pas si mal. À propos des filles.

3 heures après, 13:30: Vous avez 2503 amis et 6373 demandes d’amis.

J’annule mon compte. C’est devenu hors de contrôle. Des personnes m’envoient des messages me disant qu’ils me signalent pour être un « hacker ». Mec, je gère. […] Apparemment, certaines personnes me suppriment de leur liste d’amis, mais visitent la page de quelqu’un d’autre ou même leur propre page et redeviennent immédiatement infectés. […]

5 heures après, 18:20 : Je vais timidement sur mon profil pour observer les demandes d’amis. 2503 amis. 917 084 demandes d’amis.
Je rafraichis trois secondes plus tard. 918 268. Je rafraîchis trois secondes plus tard. 919 664. Je rafraîchis quelques minutes après. 1 005 831.

C’est officiel. Je suis populaire.

J’ai atteint plus de 1 million d’utilisateurs. En moins de 20 heures, j’ai atteint plus de 1/35ème des utilisateurs de MySpace.

Plus d’infos sur le site de samy.

« J'ai atteint 1 million d'utilisateurs en moins de 20h »Cliquez pour tweeterPartager sur FacebookPartager sur LinkedIn

Le ver Skype (anciennement MSN)

Il s’agit probablement des vers informatiques parmi les plus célèbres. Une personne infectée va automatiquement envoyer un message à tous ses contacts avec un lien vers un site permettant de télécharger le ver.

Voici un exemple réel :

exemple de ver skype

Le message n’est pas toujours en anglais mais ressemble souvent à cet exemple : un appel à l’action suivi d’un lien douteux.

Le ver Facebook

Tous les moyens de toucher beaucoup de personnes facilement et directement sont bons. Facebook est donc régulièrement ciblé par des vers informatiques de toutes formes. Voici un autre exemple réel de ver qui envoie automatiquement un message aux amis de la victime avec un lien de téléchargement :

vers informatiques sur Facebook

Le ver informatique Stuxnet

Stuxnet est un ver informatique découvert en 2010 et conçu pour s’attaquer aux centrifugeuses de la centrale iranienne de Natanz. Il perturbait leur fonctionnement, entraînant la destruction de plusieurs centaines d’entre elles.

Il se répandait sur les systèmes Windows à l’aide de clé USB infectées et s’attaquait aux systèmes à l’aide de trois failles zéro day. 45 000 systèmes informatiques, dont 30 000 situés en Iran ont été infectés.

Le ver Autorun

Il s’agit d’un ver qui se propage via des clés USB infectées, en exploitant notamment ce que l’on appelle l’Autorun : un fichier de configuration permettant de lancer automatiquement un programme dès que la clé est branchée dans un ordinateur.

Comment savoir si je suis infecté ?

Habituellement, c’est un contact qui nous répond et qui nous informe par la même occasion que notre PC a été infecté.

De façon plus générale, un ver informatique est un programme malveillant comme tant d’autres et qui se supprime de la même façon (soit via un anti-malware, soit via un anti-virus, soit en l’ayant repéré nous-mêmes).

Dans le cas où le ver infecte un compte (Facebook, Skype…etc), changer simplement son mot de passe ne suffit pas, mais il faut bien supprimer le ver. Car le ver n’a pas forcément connaissance du mot de passe, il peut très bien profiter de la session authentifiée (typiquement lorsque vous êtes connecté(e)) pour dialoguer à votre place.

Comment se protéger contre les vers informatiques ?

Pour se protéger des vers exploitant des failles informatiques, il n’y a pas de secrets : il faut mettre à jour son système et ses programmes régulièrement.

Pour se protéger des vers exploitant la crédulité des personnes, il faut rester méfiant et essayer de détecter ces attaques dans la mesure du possible.

Pour cela, il s’agit notamment de savoir si l’affirmation venant d’une personne infectée pourrait être réelle ou non. Typiquement, sur Facebook, savoir qui visite votre profil n’est pas possible.

Les messages en anglais ou les expressions irréalistes par rapport au caractère de la personne infectée sont également des signes évidents.

Et enfin, les liens raccourcis permettant de cacher un autre lien (et/ou de répertorier les clics) sont également suspects dans ce contexte (goo.gl, bit.ly…etc).

Voici des messages typiques qui ressemblent aux messages envoyés par des vers :

hahaha 😀 :’D c’est toi sur la video ???? www.videololxd454.com/video.php?id=572271

regarde qui visite ton profil sur : www.quivisitemonprofilAZ42.eu/bonnearnaque/profil.html

tu m’donne kel note sur cette foto??? www.1arnaquebidonsansphotos.tk/photos.JPG

Bien entendu, avoir un antivirus à jour et scanner un fichier suspect avant de le lancer est également requis et constitue une barrière supplémentaire.

15 Commentaires
Cliquez ici pour ajouter un commentaire

  • Vrmt tu gère ^^

    Répondre
  • Je montrerais cette article à mes collègues afin qu’ils sachent l’importance des mises à jours de leur OS.
    Ils ne me croient jamais et merci Michel.

    Répondre
  • Est ce que les vers peuvent contaminer les clé USB et cd-rom, Est-ce que aussi avec un bon scanner d’url (virus tottal) on peut aussi trouver l’infection de L’url aussi.ESt ce que il peut contaminer un telechargement aussi .Peut-il contaminer un LInux par package si s’il est telecharger par web.

    Oui, je ne sais pas si connait le virus zeus qui a exploiter les certains failles de windows s’intalle sur L’ordinateur jusqu’a la recherche de carte bancaire. Une fois que les info récupérer, zues etait capable de se connecter à un serveur puis etait capable d’ouvirir une session bancaire.

    Voila je voudrai savoir si les vers peuvent s’introduire dans le systéme et recupérer des données. Peuvent-il aussi récupérer des données sur un serveur aussi.

    Répondre
    • Salut Alain,
      Oui le vers peuvent contaminer les clés USB, on dit même qu’un ver sur 4 infecte les clés USB. Cryptolocker le fait également. Certains antivirus scannent bien entendu les URLs mais comme pour les programmes il n’est jamais facile d’assurer à coup sûr qu’une URL est bienveillante.
      Il existe aussi des vers sous Linux notamment en exploitant des failles.
      Donc oui les vers peuvent très bien contenir des « charges utiles » qui vont récupérer des informations sensibles.

      Répondre
  • merci Michel

    Répondre
  • Merçi pour ces astuces très instructives, ça m’a permis d’accroitre ma connaissance en matière
    de sécurité informatique, sur ce j’ai une question de curiosité, je veut savoir comment telecharge un ver sur internet ou un bombe logique

    Répondre
    • Salut et merci à toi.
      Télécharger dans le sens « recevoir un ver sur son PC » c’est assez facile en téléchargeant n’importe quoi. Télécharger dans le sens étudier d’un point de vue sécurité informatique, je pense qu’il faut voir des forums privés pour cela mais plutôt réservés aux chercheurs. Sinon il reste des forums un peu plus obscurs…

      Répondre
  • merci aussi je vais relire et relire pour biien comprendre

    Répondre
  • je le trouve ou

    Répondre
  • […] Activités inhabituelles sur un compte comme une publication en votre nom (ex: sur Facebook) […]

    Répondre
  • Mon pc est actuellement infecté par un ver, je ne me connecte plus avec pour éviter la perte de données et il empêche non seulement les antivirus que je copie via USB de s’exécuter, mais il s’oppose aussi, au formatage total du pc. Que puis-je faire pour l’anéantir pour de bon ?

    Répondre
  • salut michel très intéressant ce que tu dit sur les ver informatique. donc ici je fait un petit court vite fait sur les attaques
    et technique utiliser sur linux ? car encore trop de gens pense que les virus sur se système ne sont pas utiliser

    ici je leurs prouve qui on tors de penser cela. sous linux la majorité des utilisateur ne sont pas connectés en tant que
    root administrateur. cela limite fortement la dangerosité des virus. ils ne possèdent pas de droits suffisants pour

    toucher les fichiers systèmes. c’est pourquoi la majorité des virus efficaces sous linux utilisent l’attaque de débordement
    de tampon buffer overflow. elle exploite les failles ou erreurs de programmation de certaines application.

    souvent des navigateurs internet ou des clients de messagerie. cette attaque consiste à faire planter une application
    en ajoutant dans un buffer plus de données qu’il ne peut en contenir. un buffer est une zone mémoire temporaire

    utilisée par une application. cette action aura pour effet d’écraser le code de l’application on pourra alors injecter
    des données utiles pour exploiter le crash de l’application. cette attaque très efficace ne nécessite ainsi aucun droit

    particulier sur le système hôte. mais une bonne connaissance en programmation. je donne une explication sur comment
    fonctionne cette attaque.

    celle ci va donc tenter d’accéder en lecture ou en écriture à des données qui ne lui appartiennent pas. ces opérations
    conduisent au plantage.

    d’un point de vue plus technique. la pile stack en anglais est une partie de la mémoire utilisée par l’application
    pour stocker ses variables locales. nous allons utiliser l’exemple d’une architecture intel 32 bits. lors d’un appel

    à une sous-routine le programme empile. push le pointeur d’instruction EIP sur la stack et saute au code de la sous-routine
    pour l’exécuter. après l’exécution le programme dépile . pop le pointeur d’instruction et retourne juste après l’endroit

    où été appelée la sous-routine grâce à la valeur d’eip en effet comme EIP pointe toujours vers l’instruction suivante
    lors de l’appel de la sous routine il pointait déjà vers l’instruction suivante autrement dit l’instruction à exécuter.

    après la sous routine = adresse de retour. d’autre par lors de l’appel de la sous routine celle ci va dans la majorité des cas
    créer sa propre pile dans la pile pour éviter de gérer des adresse compliquées. pour cela elle va empiler la valeur

    de la base de la pile EBP et affecter la valeur du pointeur. de pile ESP à celle de la base EBP .

    ESP est le pointeur du sommet de la pile. EBP est le pointeur de la base de la pile. EIP est le pointeur de la prochaine
    instruction à exécuter. il pointe donc toujours une exécution en avance. en résumé on sauvegarde la valeur originale

    de la base et on décale le tout ensuite. lors du retour de la sous-routine on dépile EBP et réaffecte sa valeur originale
    pour restaurer la pile initiale. voici pour le déroulement normal des opérations.

    un point intéressant à citer est le fait que dans notre architecture les zone mémoire allouées dans la stack.
    se remplissent dans le sens croissant des adresse de O..OH à F..FH ce qui semble logique. par contre l’empilement

    sur la stack s’effectue dans le sens décroissant ! c’est à dire que l’esb originale est l’adresse la plus grande et que
    le sonnet est O.OH de la naît la possibilité d’écraser des données vitales et d’avoir un buffer overflow.

    en effet si notre buffer se trouve dans la pile d’une sous routine et si nous le remplissons jusqu’à déborder sa taille
    allouée nous allons écrire par dessus les données qui se trouvent à la fin du buffer c’est à dire les adresse qui ont été

    empilées précédemment EBP EIP . une fois la routine terminée le programme va dépiler EIP et sauter à cette adresse
    pour poursuivre sont exécution. le but est donc d’écraser EIP avec une adresse différente que nous pourrons utiliser.

    pour accéder à une partie de code qui nous appartient. par exemple le contenu du buffer. un problème à ce stade
    est de connaître l’adresse exacte de la stack surtout sous windows pour pouvoir sauter dedans on utilise généralement

    des astuces propres à chaque système librairies etc. qui vont permettre indirectement d’atteindre notre stack.
    et d’exécuter notre code cela nécessite un débogage intensif qui n’est pas à la portée de tout le monde.

    petit cadeaux pour la fin

    linux/adore celui si aussi utilise les failles de wu-ftpd ou encore bind qui permettent à un intrus d’avoir accès
    à la racine du système et d »exécuter du code non autorisé. pour se propager il recherche au hasard des adresse ip

    de classe b et infecte les hôtes qui peuvent l’être. il ajoute en outre une ligne à la table des opérations quotidiennes
    de cron. pour éviter d’être détecté pendant son exécution automatique il modifie la commande ps pour que son

    processus n’apparaisse pas.

    Répondre
    • Bonjour et merci pour ces explications techniques sur les buffer overflow. Je trouve effectivement cron risqué au niveau de l’infection continue même si cela demande un accès concret au système en partant d’un point de vue extérieur à celui-ci (piratage).

      Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu