ILOVEYOU, CryptoLocker, LOCKY, CodeRed, StuxNet, FLAME ou Regin : ils font souvent la une des médias sous l’appellation « virus informatiques ». Pourtant dans bien des cas, il s’agit d’autres types de codes malveillants, tels que des worms (vers informatiques), des trojans (chevaux de Troie), scareware, bombes logiques, backdoors, wabbit ou autres, qui n’ont finalement que peu de rapport avec les virus.
Un virus informatique est un code malveillant (bien que pas toujours) spécifique, à l’instar des virus biologiques, défini par des caractéristiques précises telles que la self-réplication (auto-réplication) ou la propagation via l’ajout d’un code viral, parfois en écrasant une partie du programme d’origine.
Les premières références à ces mécanismes auto-replicateurs datent de 1959 et ont été publiées dans le magazine « Scientifc American » dans un article de L.S. Penrose. Il y évoque notamment de « simples unités qui sont construites et qui s’assemblent entre elles pour former des unités plus importantes, qui vont à leur tour faire des copies d’elles-mêmes à partir d’autres unités simples ».
Contrairement à une idée répandue, le premier virus informatique répertorié a été créé sur Apple II : il s’appelait Elk Cloner.
Pour exister, un virus informatique a également besoin d’un « hôte » : il s’agit le plus souvent d’un programme ou parfois d’un périphérique de stockage, par exemple dans le cas des virus de boot.
Enfin, le virus doit pouvoir se propager par l’intermédiaire indirecte de tout moyen de communication que son ou ses programmeur(s), lui aura permis d’exploiter.
Mais attention : contrairement à d’autres codes malveillants tels que les worms, les virus ne sont pas autonomes et nécessitent un programme hôte, ou un périphérique de boot pour se dupliquer et se propager. Les virus constituent une part importante de la cybercriminalité, qui se retrouve d’ailleurs dans de nombreuses formes, dont certaines sont bien entendu techniquement plus accessibles que d’autres, comme le phishing, les extorsions de fond, et autres types d’arnaques.
Il existe de très nombreuses formes de virus, dont certaines très évoluées, allant du virus de boot aux virus polymorphes, métamorphes ou même les rétrovirus (appelés également virus flibustiers), capables de désactiver ou d’éliminer un antivirus.
Généralement, lorsqu’un programme infecté est exécuté, il active le code viral, qui va alors à son tour infecter d’autres programmes exécutables. Dans un second temps, en fonction de l’objectif pour lequel il aura été programmé, il activera un sous-programme exécutant une action, allant de l’affichage d’un message sympathique à la destruction pure et simple de toutes données.
Les virus informatiques, en fonction des objectifs pour lesquels ils ont été écrits, peuvent se multiplier et proliférer à des vitesses très différentes, allant de l’infection lente ou sporadique pour tromper les systèmes de détection, à une infection très rapide, leur permettant d’infecter un maximum de programmes et de machines avant qu’une parade ne soit développée et mise en service.
Christophe Casalegno, ancien hacker, fondateur de Digital Network et de ScalarX, une entreprise spécialisée dans la résolution de problèmes complexes (notamment autour de la sécurité informatique), vous explique tout cela en vidéo de façon plus complète :