Baratinons un peu - le concept de l'environnement

Le
Frederic Bonroy
Je cherche un prétexte pour vérifier si le clavier de mon portable
fonctionne bien (d'habitude non), c'est vous qui en souffrirez (mais
au moins ce n'est pas hors-sujet, je suis sympa.) Comme on est en
pleine phase de théorierififiloulou, ça tombe bien.

Alors, plus sérieusement: quand on définit ce qu'est un virus, on
parle uniquement de sa reproduction. Or il y a un autre aspect qui
est important: celui de l'environnement.
C'est l'environnement au sein duquel se trouve un programme qui
détermine en partie si ce programme est un virus ou pas. On dira
donc qu'un programme est un virus dans un environnement donné s'il
est capable de se reproduire dans cet environnement. Ça change de
la notion de virus tout court.

Il est vrai que cet aspect est rarement pris en compte, du moins
consciemment, parce que ça peut paraître un peu flou, théorique,
loin de toute réalité. D'ailleurs pour prévenir toute spéculation:
ce n'est pas moi qui l'ai inventé. :-)
Et pourtant: cela joue un rôle assez important. Par exemple,
respectant ce concept, un virus Windows n'est pas un virus sous
Linux parce qu'il ne peut pas s'y reproduire (laissons de côté les
émulateurs et autres astuces). De façon similaire, un virus macro
dans le MBR ne fera pas grand chose.
Il a été dit par je ne sais plus qui que pour chaque programme, il
existe un environnement dans lequel ce programme est un virus.
Pour troller un peu: un virus programmé pour se reproduire tous les
jours SAUF le 5 d'un mois ne serait donc pas un virus le 5 d'un mois
et ne devrait donc pas être détecté par les antivirus ce jour, car
ce serait une fausse alerte. :-)

Bon, avant de me tomber dessus, souvenez-vous que tout ça, c'est de
la théorie, pas la réalité. Mais c'est une théorie qui semble avoir
des adeptes, et quand on y réfléchit, au fond, elle n'est pas bête.
D'un autre côté, quand on considère ce que je viens d'écrire sur le
virus qui ne doit pas être détecté le 5, on peut se poser des
questions quant à l'aptitude de théories en général à servir de
modèle de la réalité et de béquilles mentales.
Dans le cas concret des virus informatiques, on se poserait donc la
question suivante: doit-on faire la différence entre les programmes
qui sont des virus dans l'environnement actuel et les virus qui
sont des virus dans un autre environnement, ou doit-on considérer
à tout moment tout programme capable de se reproduire dans quel
environnement que ce soit comme un virus, comme on le fait
en réalité, sachant que dans ce cas tous les programmes seraient
des virus (car pour chaque programme il existe un environnement
dans lequel ce programme est un virus)?

Vos commentaires?
  • Partager ce contenu :
Vos réponses Page 1 / 3
Trier par : date / pertinence
djehuti
Le #563450
salut
"Frederic Bonroy" bh3cpt$tbr4d$

Dans le cas concret des virus informatiques, on se poserait donc la
question suivante: doit-on faire la différence entre les programmes
qui sont des virus dans l'environnement actuel et les virus qui
sont des virus dans un autre environnement, ou doit-on considérer
à tout moment tout programme capable de se reproduire dans quel
environnement que ce soit comme un virus, comme on le fait
en réalité, sachant que dans ce cas tous les programmes seraient
des virus (car pour chaque programme il existe un environnement
dans lequel ce programme est un virus)?


pas de différence à faire... il faut détecter toute bestiole potentielle

c'est à l'utilisateur (après lecture de la description de la bestiole
latente) de faire son choix, en fonction de son environnement et de ses
compétences
(principe de précaution ?!)

@tchao

--
c'est cette chaleur insupportable qui provoque toutes ces crises de
/McMickeyïte Aiguë/ ?
*eg*

Cedric Blancher
Le #567283
Dans sa prose, me4all nous ecrivait :
... pas d'accord: un virus est de l'executable non autorisé par celui qui
est responsable d'une machine et qui a potentiellement des effets
nuisibles directement.


Oui mais il reste caractérisé par sa capacité de reproduction. Le
potentiel nuisible peut être lié à sa reproduction (cf. Slammer) ou à un
charge destructive.
Par exemple, un malware, spyware, trojan et autre backdoor constituent du
code qui répond directement à ta définition. Ce ne sont pas pour autant
des virus (bien que pouvant servir de vecteur de propagation) parce qu'en
tant que tels (définition stricto sensu), ils ne se reproduisent pas.

--
Utiliser des machines non françaises aussi m'est insupportable. Je
compte bientôt m'équiper d'un boulier bien de chez nous. Pour les
graphiques, j'utiliserai de vrais camemberts, au lait cru évidemment.
-+- JLD in: Guide du Cabaliste Usenet - Bien configurer son boulier -+-

Patator
Le #567282
me4all
... pas d'accord: un virus est de l'executable non autorisé par celui
qui est responsable d'une machine et qui a potentiellement des effets
nuisibles directement.


Comme les autres, je ne suis pas d'accord: il faut qu'il se reproduise.

... sûrement pas, combien de serveurs unix transmettent des virus
famille wndows!


Les virus se reproduisent-ils sur le serveur Unix? Je ne pense pas. Vous
devez parler des serveurs de mails, par exemple. Le serveur transmet le
mail infecté mais pour lui, ce n'est pas un virus, c'est un fichier joint
comme un autre.

--
Patator

Patator
Le #567281
Frederic Bonroy 75150.news.uni-berlin.de:

Alors, plus sérieusement: quand on définit ce qu'est un virus, on
parle uniquement de sa reproduction. Or il y a un autre aspect qui
est important: celui de l'environnement.
C'est l'environnement au sein duquel se trouve un programme qui
détermine en partie si ce programme est un virus ou pas. On dira
donc qu'un programme est un virus dans un environnement donné s'il
est capable de se reproduire dans cet environnement. Ça change de
la notion de virus tout court.


[SNIP]

Vos commentaires?


J'ai chaud. ;-)

Plus sérieusement, je suis d'accord.
On retrouve quand même cette notion dans le nom des virus:
Linux.Ramen, W95.Zerg, W32.MachinChouette (pas la peine de chercher, il
existe pas...).
De même, que ferais un virus Macro Word sur une machine dépourvue de Word?
D'où l'appelation WM97.XXXXXXXXXXXXXX (celui-là non plus, il n'existe
pas... :-) )

Bref, tu n'es pas seul à penser que l'environnement est important, les
concepteurs d'AV aussi! Chouette! ;-)

--
Patator

Cedric Blancher
Le #567280
Dans sa prose, Patator nous ecrivait :
... sûrement pas, combien de serveurs unix transmettent des virus
famille wndows!
Les virus se reproduisent-ils sur le serveur Unix? Je ne pense pas. Vous

devez parler des serveurs de mails, par exemple. Le serveur transmet le
mail infecté mais pour lui, ce n'est pas un virus, c'est un fichier joint
comme un autre.


Oui, mais là où il n'a pas tort, c'est que bien que se situant à ce moment
précis dans un environnement hostile où il ne peut se reproduire, il n'en
reste pas moins un virus qui pourra se déclencher si l'environnement lui
devient plus propice.

--
BOFH excuse #198:

Post-it Note Sludge leaked into the monitor.


MELMOTH
Le #567081
Le samedi 9 août 2003, Frederic Bonroy nous susurrait les troubles mélismes
suivants:

Alors, plus sérieusement: quand on définit ce qu'est un virus, on
parle uniquement de sa reproduction. Or il y a un autre aspect qui
est important: celui de l'environnement.


*La* caractéristique du virus est qu'il se sert d'un programme (en
l'occurrence celui de l'ADN d'une cellule en biologie) pour se
*multiplier*...Tout est là : la *MULTIPLICATION*...car c'est cette
multiplication qui est pathogène (destruction des cellules/tissus, ou au
contraire ddéveloppement anarchique et cancérigène...etc....)...

Une image fort parlante, que je donnais à mes connards d'étudiants :
Soit une usine qui fabrique des landeaux (ou une cellule qui fabrique de
l'insuline)..
On y introduit un salopiaud (virus dénommé "char d'assaut") qui, à *l'insu
de tous* va transformer tous les process de fabrication de l'usine pour que
celle-ci fabrique des chars d'assaut en très grande quantité...
*Un* char d'assaut rentré....des centaines...des milliers ressortis...qui
iront eux-mêmes dans d'autres usines....et c'est comme ça qu'on devient
diabétique...
L'environnement n'a *RIEN* à voir là-dedans....

Melmoth - assautcial

Arnold McDonald \(AMcD\)
Le #567080
MELMOTH wrote:

car c'est cette
multiplication qui est pathogène (destruction des cellules/tissus, ou
au contraire ddéveloppement anarchique et cancérigène...etc....)...


Pas forcément pathogène. Tu as le parasitisme dit mutualiste où hôte et
parasite trouvent un intérêt commun. Au niveau informatique, si ton virus
n'a pas de charge utile, à part la consommation de ressources processeur
lors de la reproduction, il n'y aura rien de pathogène pour la machine.

--
AMcD

http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)

Cedric Blancher
Le #567079
Dans sa prose, Roland Garcia nous ecrivait :
Il y a bien des exemples de virus ayant infecté des milliers de Windows
à partir d'un environnement lui étant hostile (serveur Linux):
http://www.viruslist.com/eng/index.html?tnews02&id“4
http://virusattack.virusattack.com.ar/noticias/VerNoticia.php3?idnotas!


Pas "à partir de", mais "après avoir transité par" un milieu hostile (i.e.
Linux), s'agissant d'utilisateur de Windows infectés après téléchargement
de fichiers vérolés stockés sur un serveur Linux.

Cette histoire montre bien d'ailleurs l'importance de ne pas considérer
l'environnement comme un facteur de caractérisation d'un code à être viral
ou non. D'ailleurs, ce sont de beaux blaireaux, parce que fin 2000, il y
avait 5 ou 6 antivirus disponibles sous Linux.

--
BOFH excuse #256:

You need to install an RTFM interface.

Patator
Le #567078
Cedric Blancher news::

Cette histoire montre bien d'ailleurs l'importance de ne pas
considérer l'environnement comme un facteur de caractérisation d'un
code à être viral ou non.


D'un autre côté, considérons à nouveau cette histoire d'environnement.
Premièrement, HP a migré d'environnement pour (selon eux) avoir les outils
nécessaires à la détection des virus pour cet environnement.

Deuxièmement, si l'on reste dans un environnement donné (eg Linux ou
Windows), nous pouvons avoir des outils et à la limite des antivirus
spécifiques pour un environnement donné: les virus Windows étant inoffensif
sous Linux (argument d'une puissance phénoménale! :-) ). Les AVs actuels
Linux, d'après ce qu'il s'en dit, détectent les malwares Windows alors
qu'ils n'en aurait théoriquement pas besoin: c'est le même problème que
celui de HP ou que les serveurs mails.

Maintenant, le problème survient lorsque l'on change d'environnement, où
une suite d'octets peut en effet devenir virale...

Attention, on baratine, comme l'a fait remarqué Frédéric! ;-)

--
Patator

Tweakie
Le #566878

À l'époque, AVP tournait sous
Linux, avec la _même_ base de signature que la version Windows (et c'est
toujours le cas).
[...]

Depuis longtemps, en tout cas depuis que j'ai commencé à poser des AV
sous Linux (début 2000), la tendance de la part des éditeurs dont j'ai
testé les produit a toujours été de rechercher les mêmes virus que les
produits Windows,


Toutefois, les resultats obtenues par les versions "non windows" des
differents AVs aux tests du "Virus Bulletin" m'interpellent : ils
semblent generalementment plus mauvais que ceux obtenus par les versions
pour Windows.

Voir par exemple, les resultats de deux tests recents :

Linux Mai 2003 2 succes pour 11 produits testes
XP Juin 2003 20 succes pour 25 produits testes

(succes == au sens du Virus Bullentin : optention d'un VB100%)

Tous les "majors" a l'exception de Trend manquent le test sous Linux.

Je n'ai malheureusement pas acces aux commentaires accompagnant le
premier de ces deux tests (Linux) . Mais voici ce que nous apprenent
ceux du deuxieme test sur les resultats du premier de ces deux la :

Dr web --> memes problemes sous Linux/windows.
F-Prot --> en attente : debat entre Frisk et les editeurs du VB.
AVG --> 2 virus manques, dont un retire' du test set depuis.
Norman --> 1 virus manque' retire' du test set depuis/absence de scan on-acces

Maintenant, le problème survient lorsque l'on change d'environnement,
où une suite d'octets peut en effet devenir virale...


D'où l'intérêt de ne pas en faire un élément discriminant lors de la
rechercher.


<troll>
Et si c'etait la plateforme sur laquelle tourne l'AV l'element discriminant ?
</troll>

--
Tweakie
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr

http://forums.club-internet.fr/


Poster une réponse
Anonyme