FAQ du groupe fr.comp.securite.virus Partie 1/2 Vous pouvez trouver la version la plus à jour de ce document ici : Une version HTML regroupant les deux parties de la FAQ se trouve ici : Cette première partie contient les paragraphes 1 à 5 : Présentation, Définitions, Généralités, Les virus et les e-mails. ------------------------------------------------------------------------ Auteur : Hélène Michaud Dernière mise à jour : 17/10/2006 Contenu de la mise à jour : - Contrôle des divers liens fournis - Contrôle de la persistence des FAQs pointées. ------------------------------------------------------------------------ Les modifications apportées depuis la version précédente sont signalées d'un "|" dans la marge. Sommaire - Partie 1/2 --------------------- 1 - Introduction 1.1 - Objet de cette FAQ 1.2 - Réutilisation de cette FAQ 1.3 - Décharge 1.4 - Un dernier conseil avant de commencer la lecture 2 - Quelques définitions 2.1 - Les virus 2.2 - Les vers 2.3 - Les "trojans" (chevaux de Troie, trojan horses, "troyens") 2.4 - Les spywares (espiogiciels, mouchards) 2.5 - Mini-lexique 3 - Les antivirus 3.1 - Qu'est-ce que c'est ? 3.2 - Pour quoi faire ? 3.3 - Lequel choisir ? 3.4 - Les antivirus ne sont pas infaillibles 3.5 - Le "Safe Hex" 3.6 - Je peux avoir plusieurs antivirus sur mon ordinateur ? 4 - Je viens de recevoir une alerte à propos d'un nouveau virus 4.1 - Je dois supprimer le fichier contenant le virus : sulfnbk.exe, jdbgmgr.exe 4.2 - Comment reconnaître un canular 4.3 - Et s'il y a une pièce jointe... 4.4 - J'ai reçu une astuce qui empêchera le virus de s'envoyer : un faux contact "!0000" 5 - Je reçois des mails étranges 5.1 - Le spam 5.2 - Les usurpations 5.3 - Les vrais messages infectés 5.4 - Comment retrouver l'expéditeur ? 5.5 - Comment rédiger le message destiné à prévenir l'expéditeur ? 5.6 - Comment ne plus recevoir ces messages ? 5.7 - Comment faire surveiller mon logiciel de messagerie par mon antivirus ? -+-+-+-+-+-+-+- 1 - Introduction ---------------- 1.1 - Objet de cette FAQ Ce document a pour but de vous apprendre, dans les grandes lignes, ce qu'est un virus, quelle est la démarche à suivre pour s'en protéger et s'en débarrasser, et de répondre aux questions les plus fréquentes rencontrées sur le forum . Il est donc principalement destiné au débutant en sécurité antivirale. Il ne vous dispense pas de la lecture du manuel de configuration de votre antivirus ni des FAQs associées, ni d'un minimum de recherche de votre part sur les divers sites spécialisés si vous souhaitez en savoir plus. Pour cela, reportez-vous à la webographie située à la fin de ce document. 1.2 - Réutilisation de cette FAQ Vous êtes libre d'utiliser de courts extraits de cette FAQ, dans la mesure où vous incluez un lien permettant d'avoir accès à l'ensemble du document, dans le but de permettre à vos lecteurs d'obtenir facilement un complément d'information. De même, vous êtes libre de copier la FAQ dans son intégralité, à condition cependant d'en avertir l'auteur, d'effectuer les mises à jour les plus importantes, et que cette utilisation soit exempte de tout caractère commercial (bannières publicitaires incluses). Toute autre utilisation devra faire l'objet d'un accord préalable de l'auteur. Ces restrictions sont principalement dues au respect élémentaire du temps que j'ai consacré à la rédaction de cette FAQ, du temps gracieusement offert par tous ceux qui y ont contribué, et de la sécurité du lecteur qui doit pouvoir accéder aux ajouts et corrections apportés au document. 1.3 - Décharge La sécurité antivirale est un domaine en perpétuelle évolution, ce qui est vrai un jour peut devenir un mensonge éhonté dès le lendemain (ainsi, le célèbre "On ne peut pas attraper un virus simplement en lisant un e-mail" n'est plus vrai dans certains cas), et de nouveaux virus apparaissent sans cesse. De plus l'auteur reste humain, et malgré le soin apporté à la rédaction de cette FAQ, rien ne peut garantir qu'une inexactitude ou formulation maladroite ne s'y est pas glissée, ni que la version que vous avez sous les yeux est à jour. Par conséquent, ce document est à prendre comme un recueil de conseils, et non comme une bible, et ces conseils doivent être considérés d'un oeil critique et mesurés à l'aune du bon sens. Si l'un d'entre eux vous semble peu clair ou inexact, n'hésitez pas à poser la question à l'auteur ou sur le forum. La responsabilité de l'auteur ne pourra donc être retenue en cas de problèmes causés par la mise en pratique des théories exposées ci- dessous. 1.4 - Un dernier conseil avant de commencer la lecture La sécurité antivirale évoluant constamment, cette FAQ va suivre ce mouvement perpétuel. Évidemment, cela dépendra du temps libre de la rédactrice, mais des mises à jour régulières seront faites dans la mesure du possible. Par conséquent n'hésitez surtout pas à jeter régulièrement un oeil sur ce document. Même si vous n'y trouvez pas de nouveautés, vous rafraîchirez un peu votre mémoire, ce qui n'est jamais inutile. En attendant, bonne lecture ! 2 - Quelques définitions ------------------------ Note : Ces définitions restent très générales, mais tentent de refléter au mieux la classification employée sur le forum. Vous trouverez sûrement des définitions ou des dénominations légèrement différentes ailleurs. Attention également, de plus en plus de menaces rentrent dans plusieurs catégories à la fois. 2.1 - Les virus Un virus est un code malicieux (sous forme de programme, script, etc.) dont le but est de se reproduire. Pour cela, il se dissimule dans votre ordinateur le temps de proliférer, puis parfois (ce n'est pas obligatoire) se manifeste par une autre action : petit message narquois, effacement de fichiers, etc. - Les virus de boot : Ces virus se logent dans le secteur de démarrage (des disques durs et disquettes) en remplaçant le code qui s'y trouve par le leur. Ils sont chargés en mémoire (et donc actifs) dès que le support infecté est utilisé. Exemple : Jumper.B. - Les virus d'applications : Ils infectent des fichiers exécutables et se lancent donc lorsque l'on exécute l'application infectée. Il est à noter qu'un seul fichier peut être infecté par plusieurs virus. Exemple : Win95.CIH (dit "Tchernobyl") - Les virus macro : Ils se dissimulent dans les macros de documents, notamment de type Word ou parfois Excel. Il sont lancés si on ouvre le document infecté en autorisant l'exécution des macros qu'il contient. Exemple : Melissa. 2.2 - Les vers Les vers, comme les virus, ont pour but de se reproduire. Leur particularité est qu'ils se répandent d'eux-mêmes d'un ordinateur à un autre en utilisant divers moyens (messagerie, partages réseaux, IRC, etc.), sans recourir à l'infection de fichiers sains préexistants (ce qui fait que suivant la définition du terme virus adoptée, on peut considérer ou non que les vers sont une catégorie de virus). L'important est de savoir que dans le cas d'un ver "simple" (qui n'est pas en même temps un virus d'application par exemple), la désinfection d'un ordinateur ne passe pas par la désinfection de fichiers, mais par leur suppression. - Les vers de messagerie : Ils se répandent via les messageries, en s'attachant à des e- mails qu'ils envoient ensuite à des adresses trouvées sur le disque dur de leur victime (carnets d'adresses, boîte de réception, cache internet, newsgroups, etc.). Certains profitent de failles de sécurité dans les logiciels de messagerie (notamment du couple Microsoft Outlook Express / Internet Explorer) pour s'exécuter automatiquement dès la visualisation du message. Exemples : Sircam, Klez, Bugbear... Il en apparaît sans cesse. 2.3 - Les "trojans" (chevaux de Troie, trojan horses, "troyens") Comme les virus, ils peuvent avoir une infinité d'actions, comme installer une porte dérobée ("backdoor") sur l'ordinateur infecté, modifier la page de démarrage d'Internet Explorer, effacer vos données, voler vos mots de passe, etc. Et contrairement aux virus, ils ne se reproduisent pas. Ce ne sont pas des "parasites" qui infectent des fichiers sains, mais des applications à part entière qui doivent donc être installées sur l'ordinateur de leur victime. Les méthodes d'installation sont nombreuses : envoyé (volontairement, contrairement aux vers) par e-mail, exploitation de failles de sécurité, installation par un virus, installation directe à l'aide d'une disquette pendant votre absence ou même sous votre nez sous un prétexte quelconque... 2.4 - Les spywares (espiogiciels, mouchards) Ce sont des programmes intégrés à un autre logiciel, ou s'installant en même temps que lui, parfois à l'insu de l'utilisateur, parfois en prévenant ou même en demandant l'autorisation. Une fois installés, ils recueillent des informations personnelles, telles que les logiciels installés sur votre ordinateur ou vos habitudes de navigation, et utilisent votre connexion Internet pour les envoyer. 2.5 - Mini-lexique Note : Ces quelques définitions n'ont pour but que de vous donner une idée de la signification de quelques-uns des termes barbares que vous pouvez trouver sur le forum ou dans les descriptions de virus, pas de constituer un lexique détaillé ou exhaustif. Backdoor : Programme ouvrant une "porte dérobée" sur votre PC permettant à des utilisateurs mal intentionnés d'en prendre le contrôle. BIOS : Basic Input Output System. Petit programme se trouvant sur la carte mère de votre PC et servant au PC lors de son démarrage. Il sert notamment à détecter les périphériques et vérifier que tout fonctionne correctement sur le PC (mémoire, processeur, carte-vidéo). Il ne peut pas contenir de virus. Par contre certains virus peuvent dans certaines circonstances effacer ou corrompre votre BIOS. Bounce : "Retour à l'expéditeur" d'un e-mail qui n'a pas pu, pour une raison ou une autre, parvenir à son destinataire, accompagné d'un message d'erreur expliquant la cause du rejet. Le destinataire de ces messages d'erreur est identifié par un des champs de l'entête de l'e-mail nommé "Return-path". Canular : Fausse alerte virus circulant le plus souvent par e-mail. Pour plus de renseignements, se reporter au §4 et à la webographie de cette FAQ. Dropper : Un dropper est un programme qui installe un virus, ver ou un "trojan", sans être lui-même infecté par ce malware. Hoax : Canular. In The Wild : "dans la nature". Désigne les virus qui ont commencé à se répandre, par opposition à ceux qui restent confinés sur l'ordinateur de leur créateur et dans des milieux contrôlés tels que les laboratoires d'analyse. ITW : In The Wild. Macro : Code interprétable contenu dans un document (Word, Excel). Malware : Nom générique donné à des programmes malveillants (virus, "trojans", spywares...) MBR : Master Boot Record, le secteur d'amorce du PC. Polymorphisme : Certains virus sont polymorphes, c'est à dire que chaque fois qu'ils infectent un fichier, ils se chiffrent d'une façon différente, ce qui les rend plus difficilement détectables. Scan (par extension scanner) : Analyse du contenu d'un fichier. SMTP : Abréviation de "Simple Mail Transfer Protocol". Désigne un protocole permettant la communication avec un serveur mail. Certains vers et virus contiennent leur propre moteur SMTP (angl. "SMTP engine") qui leur permet de se propager en communiquant directement avec un serveur courrier sans risquer de laisser de traces en passant par Outlook comme le font beaucoup de virus très simples (ou au cas où Outlook ne serait pas présent sur l'ordinateur). 3 - Les antivirus ----------------- 3.1 - Qu'est-ce que c'est ? Un antivirus est un logiciel qui protège un ordinateur contre les virus, et de plus en plus contre d'autres malwares : "trojans", scripts malicieux dans les pages web... Il est souvent composé de différents modules. Des méthodes fréquemment employées par les antivirus sont : - moteur d'analyse : il permet de scanner à la demande les fichiers que vous lui indiquez, par la recherche de signatures spécifiques permettant d'identifier un virus (scanner "On-Demand"). - moniteur résident en mémoire : capable de détecter les virus en mémoire ainsi que de vérifier la présence de virus dans les fichiers que vous utilisez (scanner "On-Access"). - analyse heuristique : qui recherche les instructions utilisées en général par des virus afin de détecter les virus qui ne sont pas encore référencés par les éditeurs d'antivirus. - contrôleur d'intégrité : l'antivirus détermine une valeur en fonction du contenu d'un fichier et la stocke dans un fichier de contrôle ; ensuite chaque fois que ce fichier est scanné, l'antivirus contrôle si cette somme est toujours la même ; en cas de changement il vous prévient et vous permet soit d'accepter le changement si c'est une action volontaire de votre part, soit de ne pas utiliser le programme et/ou de l'envoyer à l'éditeur de l'antivirus pour analyse complémentaire. 3.2 - Pour quoi faire ? Depuis le succès d'Internet et l'augmentation des échanges de fichiers entre utilisateurs via notamment l'e-mail, il est devenu nécessaire de se protéger des virus de manière quasi permanente. L'antivirus est devenu l'assistant de l'utilisateur dans cette tâche. Car il ne faut pas oublier que c'est un outil mis à la disposition de l'utilisateur et donc, la première sécurité de votre ordinateur : c'est vous ! 3.3 - Lequel choisir ? Il existe un grand nombre d'antivirus, certains sont payants, d'autres sont gratuits. Certains sont meilleurs que d'autres. C'est à vous de tester et de vous renseigner pour trouver celui qui vous conviendra le mieux, c'est à dire celui qui vous protégera efficacement, qui fonctionnera sans problème sur *votre* ordinateur, et que *vous* saurez configurer et utiliser correctement. Cette page web peut vous aider à faire votre choix en connaissance de cause : (en français) Et si vous voulez aussi une bonne protection contre les "trojans" : (en français) 3.4 - Les antivirus ne sont pas infaillibles Un antivirus ne détectera jamais 100% des virus : le tout dernier sorti, le très ancien ou le particulièrement difficile à analyser peuvent lui échapper, par exemple. De plus, il leur arrive de se tromper, et de déclarer infectés par erreur des fichiers tout à fait sains. N'ayez donc pas une confiance aveugle dans ce que vous dit votre antivirus, et n'hésitez pas en cas de doute à faire analyser votre fichier en ligne ou par un autre antivirus. Si votre antivirus habituel est le seul à déclarer le fichier infecté, envoyez le fichier incriminé à son éditeur pour analyse : il vous dira s'il s'agit d'une fausse alerte, et dans ce cas pourra corriger l'anomalie dans sa prochaine mise à jour. 3.5 - Le "Safe Hex" Nous venons de voir qu'un antivirus n'est pas infaillible. Donc, pour rester le plus protégé possible, votre rôle est crucial. Si vous appliquez scrupuleusement ces quelques conseils dits de "Safe Hex", vous limiterez sérieusement votre vulnérabilité aux attaques virales les plus courantes : - Utilisez un système d'exploitation et des logiciels exempts de failles de sécurité, en installant les correctifs de sécurité au fur et à mesure de leur sortie. Sans faire de prosélytisme, ceci est particulièrement valable si vous utilisez des produits Microsoft pour surfer sur le web ou lire vos mails : très répandus, mais également bourrés de failles, ils sont à patcher très souvent, et à configurer soigneusement si vous voulez éviter qu'un virus ne puisse s'installer automatiquement sur votre ordinateur. Ne négligez cependant pas, sous prétexte que ce n'est pas Outlook Express, de vérifier de temps en temps qu'aucune attaque n'est apparue pour votre logiciel préféré, et gardez un oeil sur les virus spécifiques à votre système d'exploitation. Même si on en parle moins, il existe des virus pour Mac et Linux : (en français) - Envisagez l'installation d'un firewall personnel, qui pourra empêcher une infection via une faille de sécurité dans votre système d'exploitation en attendant que vous puissiez le mettre à jour. Vous pourrez vous renseigner sur les firewalls et leur utilisation sur le forum , notamment en y lisant le document intitulé : "[FAQ] fr.comp.securite : Les Firewalls" | Disponible ici : Même un firewall ne surveillant que le trafic entrant, tel que celui intégré à Windows XP, peut suffire à vous protéger d'un ver type Blaster (il n'empêchera cependant pas un intrus déjà installé de se propager vers l'extérieur). - Ayez une connaissance minimale de votre système d'exploitation et de vos logiciels et de leurs fonctionnalités : intéressez-vous aux commandes, aux menus, parcourez le manuel... Par exemple savoir qu'un fichier simplement supprimé sous Windows n'est pas directement effacé du disque mais placé dans la corbeille, que Windows ME et XP effectuent des sauvegardes automatiques (le fameux système "restore"), ou ce qu'est la fonction "compacter les dossiers" de votre logiciel de messagerie (c'est elle qui effacera physiquement un e-mail de votre disque dur) peut vous épargner quelques frayeurs du style "le virus est toujours là !", et vous aidera pour la configuration. - Configurez vos logiciels, antivirus et système d'exploitation avec soin, en interdisant autant que possible ce qui pourrait s'avérer dangereux. Par exemple, désactivez l'exécution de tout code dans vos messages, empêchez Eudora d'afficher les messages en HTML à l'aide du "Microsoft Viewer" (ce qui le rend vulnérable à ses failles), demandez à votre Windows d'afficher toutes les extensions de vos fichiers, ce qui vous évitera de vous faire piéger par une double extension (attention cependant aux .pif qui restent invisibles), etc. Il existe sur le web de nombreuses FAQs, officielles ou non, qui pourront vous y aider. Vous trouverez quelques exemples dans les annexes (voir le §9.5). - Maintenez votre antivirus le plus à jour possible. Des nouveaux virus, ou des nouvelles variantes de virus connus, apparaissent régulièrement. De plus les éditeurs d'antivirus mettent à jour les anciennes définitions de virus, surtout les informations permettant de réparer les fichiers infectés (quand ils ne sont pas irrémédiablement perdus). Donc, mettre à jour votre antivirus vous assurera de posséder la protection la plus efficace. - Méfiez-vous de tous les fichiers qui arrivent sur votre ordinateur : vérifiez leur extension réelle, et scannez ceux qui peuvent contenir des virus avec un antivirus à jour (idéalement, attendez les prochaines définitions de virus) avant de les ouvrir. Les pièces jointes qui arrivent par mail et les fichiers téléchargés sont une méthode de contamination extrêmement efficace, même, et il est important d'insister sur ce point, s'ils semblent venir d'une source connue. Ne négligez pas pour autant d'examiner vos disquettes, CD-Roms... - Sauvegardez vos données les plus importantes, de façon à pouvoir les récupérer aisément si un virus parvenait tout de même à s'y attaquer. - Gardez la tête froide. Les virus sont à prendre au sérieux, mais faire n'importe quoi sous l'effet de la peur est encore plus dangereux pour votre ordinateur. De plus, la présence d'un virus sur un ordinateur n'implique pas systématiquement que l'ordinateur est infecté. Ces conseils sont développés plus avant sur ce site : (en français) 3.6 - Je peux avoir plusieurs antivirus sur mon ordinateur ? On peut installer autant d'antivirus qu'on le souhaite sur un même ordinateur, à condition de n'en faire fonctionner qu'un seul en même temps : il ne doit y avoir qu'un seul moniteur actif à la fois, et il faut le désactiver si l'on souhaite lancer un autre antivirus (moniteur ou simple scan), afin d'éviter tout risque de conflit qui empêcherait les deux antivirus de faire correctement leur travail. Attention également aux fausses alertes provoquées par l'utilisation préalable d'un autre antivirus (à cause de traces laissées en mémoire), ou parfois par sa seule présence sur le disque dur (identification de virus dans la base de signatures de l'autre antivirus, virus en quarantaine...). Certains antivirus ne s'installeront pas correctement si un autre produit ou une version différente du même antivirus n'a pas été entièrement désinstallée avant. Prudence donc. 4 - Je viens de recevoir une alerte à propos d'un nouveau virus --------------------------------------------------------------- Tout le monde a déjà reçu un e-mail angoissant décrivant les ravages causés par un tout nouveau virus, indétectable et se répandant à la vitesse de l'éclair, et conseillant de faire suivre l'avertissement à tous les correspondants de son carnet d'adresses. La plupart de ces messages d'alerte sont des canulars (ou "hoax"), décrivant des virus inexistants. Les quelques messages restants, bien que parlant de virus réels, souffrent souvent de lacunes leur ôtant toute efficacité préventive ou réparatrice. Tous ces messages ne peuvent servir qu'à déclencher la panique chez les utilisateurs non avertis (et les réactions irréfléchies et parfois dévastatrices qui la suivent, tels un formatage inutile), tout en détournant l'attention de menaces plus réelles. Ils encombrent inutilement messageries et disques durs. Il est inutile, voire nuisible de les faire suivre sans vérifier sérieusement la véracité des faits exposés. Vous trouverez à cet effet des sites listant et expliquant les canulars dans la webographie à la fin de ce document. Ne faites jamais suivre une alerte "au cas où". S'il s'agit d'un canular, vous ferez peur inutilement à vos contacts (vos amis, clients, patron), tout en leur faisant perdre du temps, et votre crédibilité risque d'en prendre un coup, ce qui serait dommage si un jour vous avez une véritable alerte à faire passer. Si vous recevez un canular, prévenez donc gentiment l'expéditeur de son erreur, pour aider à enrayer la propagation de ces ennuyeux messages. 4.1 - Je dois supprimer le fichier contenant le virus : sulfnbk.exe, jdbgmgr.exe Ces messages conseillent au lecteur de supprimer un fichier trouvé sur son disque dur, car il s'agit d'un virus, puis de faire suivre l'alerte à un maximum de personnes. Conseils qu'il ne faut en aucun cas suivre aveuglément ! En effet, les fichiers visés par ces canulars sont inoffensifs et leur présence est tout à fait normale sur un ordinateur équipé de Windows. Des variantes utilisent le nom de virus réels et connus (par exemple, jdbgmgr.exe et Bugbear) pour profiter d'une peur existante : ne cédez pas à la psychose ! Par contre, ces fichiers restent des exécutables ordinaires, et peuvent donc être infectés par un virus. Donc, si vous les recevez par e-mail, prudence ! C'est peut-être un virus, véritable celui- ci, qui a infecté par hasard ce ficher avant de vous l'envoyer. Dans tous les cas, n'effacez jamais un fichier de votre ordinateur sans avoir préalablement fait confirmer l'infection par un antivirus. Si le mal est fait, vous pouvez toujours récupérer vos fichiers, soit à l'aide du CD d'installation de Windows, soit sur un ordinateur sain utilisant la même version de ces fichiers. Plus de détails sur ces sites en français : - sulfnbk.exe (en français) - jdbgmgr.exe (en français) 4.2 - Comment reconnaître un canular Ils sont en général simples à repérer, grâce à quelques caractéristiques courantes, dont la présence doit vous rendre méfiant : - On vous demande de faire suivre l'alerte à un maximum de personnes. Une alerte non ciblée ne peut pas être efficace. - Le virus est indétectable, même avec un antivirus à jour. Or les éditeurs d'antivirus peuvent étudier un nouveau virus et l'intégrer à une mise à jour de leur produit très rapidement. - Une société très connue, mais qui n'a absolument rien à voir avec les virus, a confirmé la menace (souvent Microsoft, AOL, IBM...). On voit même "Linux" confirmer des menaces ! - Mais il n'y a aucun moyen de vérifier immédiatement la véracité de l'information, par exemple un lien *direct* vers la description de la menace sur un site spécialisé. - Il n'y a pas de date précise d'apparition, pour que l'alerte ne se périme pas et continue à circuler des années. - L'auteur en rajoute, à grand renfort de MAJUSCULES et de points d'exclamation !!!, sur l'urgence de la situation et les dommages, toujours cataclysmiques et irréversibles. - Et surtout, le message apparaît sur une ou plusieurs listes de canulars ! 4.3 - Et s'il y a une pièce jointe... Si un fichier présenté comme un correctif, un antivirus ou même parfois comme un lien vers un site web (l'extension .com peut être trompeuse) est joint à l'alerte, méfiance ! Il y a de fortes chances pour que ce fichier contienne un virus ou un "trojan", même s'il semble vous être expédié par un ami ou un éditeur d'antivirus. N'y touchez pas et effacez le message, il sera toujours temps d'aller chercher vous-même un correctif plus sûr si le besoin s'en fait sentir. 4.4 - J'ai reçu une astuce qui empêchera le virus de s'envoyer : un faux contact "!0000" Un message circule, qui vous conseille de créer dans votre carnet d'adresses un contact (nommé "!0000"), sans lui attribuer d'adresse e-mail valide, afin de protéger vos contacts en cas d'infection par un virus. Ce dernier ne pourra pas envoyer de mails infectés à vos contacts, et un message d'erreur vous préviendra de la tentative. Suivre ce conseil est inutile, voire même dangereux, à cause du faux sentiment de sécurité qu'il procure, vous incitant à relâcher votre vigilance. Or l'astuce est inefficace contre l'immense majorité des virus, en particulier contre les plus récents et les plus virulents : - Que le contact soit affiché au début de la liste lorsque vous la triez par ordre alphabétique ne signifie en aucun cas qu'il est au début du fichier contenant votre carnet d'adresses, il a même probablement simplement été ajouté à la fin. Plusieurs séries de messages infectés peuvent donc être envoyés avant même que le virus ne tombe sur ce fameux contact. De plus certains virus piocheront au hasard dans la liste, ou prendront les adresses dans d'autres fichiers présents sur votre disque dur (cache Internet, boîte de réception, ...). - Les virus récents s'envoient indépendamment du logiciel de messagerie, qui n'aura donc aucune raison d'afficher un message. Le virus, lui, se gardera bien de signaler prématurément sa présence par un message si explicite ! - Un virus bien conçu ne sera même pas gêné par une adresse e-mail non valide. Pour être prévenu en cas d'attaque virale, rien ne vaut un antivirus maintenu à jour. Si vous craignez qu'en cas de défaillance de ce dernier, un virus n'utilise votre liste de contacts, autant y faire figurer une de vos propres adresses, qui ne servirait qu'à ça, et que vous n'utiliserez ni ne communiquerez jamais. Vous aurez alors une chance de faire partie des destinataires du virus, et d'être sûr de sa provenance. Cette astuce non plus n'est pas infaillible, cependant. 5 - Je reçois des mails étranges -------------------------------- 5.1 - Le spam Un spam est un message non sollicité envoyé en masse à des adresses collectées sans le consentement de leur propriétaire, sur les pages web, annuaires e-mail, groupes de discussions, etc., ou collectées sous un prétexte innocent et détournées ensuite. Il est souvent à caractère publicitaire, et en langue étrangère. Si vous recevez un message que vous ne pouvez pas lire, ou qui ne vous semble pas destiné mais fait de la pub de façon plus ou moins détournée, et qu'il ne comporte ni pièce jointe ni code malveillant (comme par exemple tentant de changer votre page de démarrage Internet Explorer pour celle du site en question), alors le bon forum pour vous renseigner est , consacré aux abus du réseau, par mail ou sur Usenet. Vous pourrez vous renseigner sur la mise en place de filtres dans votre logiciel de messagerie sur . 5.2 - Les usurpations Les spammeurs, les mauvais plaisants et certains virus (Klez, Bugbear, Sobig...) sont capables de falsifier les entêtes des e-mails qu'ils envoient, entre autre pour faire croire qu'ils proviennent d'une autre personne. Si votre adresse est utilisée, c'est donc vous qui recevrez réponses, alertes au virus et autres messages de rejet automatiques, pour des mails qui n'émanaient pas de votre ordinateur. Si vous recevez de tels messages, mais que votre antivirus ne vous signale aucune infection, vous pouvez les effacer. 5.3 - Les vrais messages infectés Ce sont des messages contenant du code malveillant, sous forme de script, de tentative d'exploitation d'une faille de votre logiciel de messagerie, et/ou d'une pièce jointe pouvant contenir un virus. Un message en texte brut sans pièce jointe ne peut donc pas être infecté. Attention, dans certains cas il arrive que le logiciel de messagerie n'affiche pas toutes les pièces jointes, ou que l'une de leurs extensions (la dernière) soit masquée par Windows, faisant passer un dangereux script readme.txt.vbs pour un inoffensif fichier texte. Mais si vous appliquez les conseils de "Safe Hex" (voir le §3.5), n'ouvrez jamais une pièce jointe dont la présence n'a pas été clairement mentionnée dans le message, et dans le style habituel de l'expéditeur apparent (et à fortiori, si lorsque vous vérifiez auprès de l'expéditeur, il dit ne rien vous avoir envoyé!), et effacez totalement de votre messagerie (suppression dans la corbeille, puis compression des dossiers) tous les messages douteux, vous ne risquez pas grand-chose. 5.4 - Comment retrouver l'expéditeur ? Il n'est pas toujours possible de se fier au nom et à l'adresse e-mail de l'expéditeur, qui peuvent être falsifiés. Pour savoir quels champs sont faux, le mieux est d'aller lire une description du virus précisant quelles astuces il utilise (ou n'utilise pas) pour se dissimuler. Il faut ensuite étudier les entêtes du message pour trouver soit la véritable adresse de la personne infectée, ou parfois uniquement l'adresse IP qu'elle utilisait au moment où le virus a été envoyé. Pour cela, la lecture des documents postés régulièrement sur le forum et l'aide de ses contributeurs vous seront d'un grand secours. Sachez seulement qu'il n'est pas toujours possible d'identifier la victime. 5.5 - Comment rédiger le message destiné à prévenir l'expéditeur ? Vous avez l'adresse e-mail de la personne infectée, et vous voulez la prévenir. C'est une intention louable, mais attention, pour lui apporter une aide vraiment efficace il faut prendre quelques précautions lorsque vous rédigez le message. La principale étant bien sûr de vous assurer que vous n'allez pas faire peur à un innocent à cause d'une adresse d'expéditeur falsifiée ! Pensez ensuite que cette personne n'est probablement pas encore au courant de son infection, et ne vous a pas envoyé de message vérolé intentionnellement. La courtoisie est donc de rigueur. Incluez toujours le nom complet du virus que vous avez reçu, sans oublier la variante. Quelques liens vers la description du virus et des instructions ou un outil de désinfection seront sûrement appréciés. Mettez-les même si vous copiez-collez des instructions demandant de supprimer un fichier, pour permettre leur vérification et ne pas risquer de faire croire à un canular. Évitez les correctifs en pièce jointe. Si la personne se méfie, elle l'effacera sans l'exécuter et ira le chercher sur un site sûr. Si elle ne se méfie pas, elle gardera le mauvais réflexe d'exécuter de tels correctifs, même lorsqu'il s'agira en fait de malwares, comme par exemple Klez, capable de se propager sous le titre "removal tool" et proposant de supprimer le dangereux virus Klez... 5.6 - Comment ne plus recevoir ces messages ? Ne pas recevoir de virus par mail est impossible à partir du moment où votre adresse est connue : vos parents, amis, contacts, plus les inconnus qui liront votre page web et vos messages sur Usenet (si vous y placez votre adresse réelle), peuvent un jour ou l'autre vous envoyer des messages vérolés suite à une infection. L'utilisation d'une adresse antispam, sans adresse de réponse valide, peut aider à limiter le nombre de virus reçus de la part d'inconnus, mais empêche également que l'on puisse vous contacter par mail sans devoir effectuer de manipulations souvent dissuasives. C'est un choix à faire. Vous pouvez également utiliser des règles de filtrage, dans votre logiciel de messagerie ou, si votre fournisseur d'accès le permet, directement sur votre serveur de messagerie pour filtrer les messages contenant des entêtes caractéristiques, ou utiliser un logiciel comme Mailwasher (, en anglais) pour trier les messages reçus sur le serveur avant de les télécharger. Certains fournisseurs d'adresses e-mail proposent également des solutions antivirus (solution complète ou surveillance de la messagerie) : renseignez-vous auprès du vôtre. 5.7 - Comment faire surveiller mon logiciel de messagerie par mon antivirus ? En fait, ce n'est pas forcément une bonne idée. Outre que cela consomme des ressources, cette protection peut causer plus d'ennuis qu'elle n'en résout. Pourquoi ? Pour plusieurs raisons, la principale étant qu'avec une bonne pratique des conseils de "Safe Hex" (voir le §3.5), cette protection n'est pas vraiment utile, alors qu'utilisée seule, l'utilisateur prenant l'habitude de se reposer entièrement sur son antivirus, elle peut être catastrophique. Les vers de messagerie se répandent à une telle vitesse que même en maintenant son antivirus à jour, on ne peut pas être sûr qu'il connaisse déjà le tout dernier ver sorti au moment où il arrive dans votre messagerie. Si vous lui faites trop confiance, et avez négligé les règles de "Safe Hex" telle que l'utilisation d'une messagerie sûre, vous vous retrouverez alors infecté. Et dans le cas où le virus est déjà connu, le moniteur vous empêchera quand même de l'exécuter si vous cliquez par mégarde sur la pièce jointe, même si vous ne faites pas surveiller votre messagerie. Cette surveillance ferait donc double emploi, sans forcément mieux protéger (exception : virus inconnu, mais tentant d'exploiter une faille du logiciel, tentative dont certains antivirus peuvent vous prévenir... s'ils la connaissent.). Une autre raison est que cela peut générer des problèmes supplémentaires avec certaines versions et/ou configuration de certains antivirus, et/ou suite à une manoeuvre maladroite de l'utilisateur : - virus intercepté et supprimé, automatiquement ou à la demande, mais malheureusement en même temps que tous les messages du dossier des éléments reçus. - antivirus empêchant l'utilisateur de cliquer sur le mail infecté pour le supprimer, ou bloquant le téléchargement des messages suivants, ce qui oblige à le désactiver, et donc peut entraîner une infection si le virus exploite une faille de sécurité non corrigée. - les antivirus ne peuvent parfois pas scanner tous les formats de messageries. Donc, si vous tenez tout de même à utiliser cette fonctionnalité de votre antivirus, faites-le en connaissance de cause et avec une configuration adéquate : lisez soigneusement la documentation associée dans le manuel, l'aide en ligne et surtout sur le site de l'éditeur qui y a peut-être ajouté des conseils de configuration limitant les risques de destruction de données, ne négligez pas les conseils élémentaires de prudence au cas où votre antivirus aurait une défaillance, et n'agissez pas sans réfléchir en cas d'alerte. Bref, respectez là encore les règles de "Safe Hex"!