Baratinons un peu - le concept de l'environnement
Le
Frederic Bonroy
Je cherche un prétexte pour vérifier si le clavier de mon portable
fonctionne bien (d'habitude non), c'est vous qui en souffrirez (mais
au moins ce n'est pas hors-sujet, je suis sympa.) Comme on est en
pleine phase de théorierififiloulou, ça tombe bien.
Alors, plus sérieusement: quand on définit ce qu'est un virus, on
parle uniquement de sa reproduction. Or il y a un autre aspect qui
est important: celui de l'environnement.
C'est l'environnement au sein duquel se trouve un programme qui
détermine en partie si ce programme est un virus ou pas. On dira
donc qu'un programme est un virus dans un environnement donné s'il
est capable de se reproduire dans cet environnement. Ça change de
la notion de virus tout court.
Il est vrai que cet aspect est rarement pris en compte, du moins
consciemment, parce que ça peut paraître un peu flou, théorique,
loin de toute réalité. D'ailleurs pour prévenir toute spéculation:
ce n'est pas moi qui l'ai inventé. :-)
Et pourtant: cela joue un rôle assez important. Par exemple,
respectant ce concept, un virus Windows n'est pas un virus sous
Linux parce qu'il ne peut pas s'y reproduire (laissons de côté les
émulateurs et autres astuces). De façon similaire, un virus macro
dans le MBR ne fera pas grand chose.
Il a été dit par je ne sais plus qui que pour chaque programme, il
existe un environnement dans lequel ce programme est un virus.
Pour troller un peu: un virus programmé pour se reproduire tous les
jours SAUF le 5 d'un mois ne serait donc pas un virus le 5 d'un mois
et ne devrait donc pas être détecté par les antivirus ce jour, car
ce serait une fausse alerte. :-)
Bon, avant de me tomber dessus, souvenez-vous que tout ça, c'est de
la théorie, pas la réalité. Mais c'est une théorie qui semble avoir
des adeptes, et quand on y réfléchit, au fond, elle n'est pas bête.
D'un autre côté, quand on considère ce que je viens d'écrire sur le
virus qui ne doit pas être détecté le 5, on peut se poser des
questions quant à l'aptitude de théories en général à servir de
modèle de la réalité et de béquilles mentales.
Dans le cas concret des virus informatiques, on se poserait donc la
question suivante: doit-on faire la différence entre les programmes
qui sont des virus dans l'environnement actuel et les virus qui
sont des virus dans un autre environnement, ou doit-on considérer
à tout moment tout programme capable de se reproduire dans quel
environnement que ce soit comme un virus, comme on le fait
en réalité, sachant que dans ce cas tous les programmes seraient
des virus (car pour chaque programme il existe un environnement
dans lequel ce programme est un virus)?
Vos commentaires?
fonctionne bien (d'habitude non), c'est vous qui en souffrirez (mais
au moins ce n'est pas hors-sujet, je suis sympa.) Comme on est en
pleine phase de théorierififiloulou, ça tombe bien.
Alors, plus sérieusement: quand on définit ce qu'est un virus, on
parle uniquement de sa reproduction. Or il y a un autre aspect qui
est important: celui de l'environnement.
C'est l'environnement au sein duquel se trouve un programme qui
détermine en partie si ce programme est un virus ou pas. On dira
donc qu'un programme est un virus dans un environnement donné s'il
est capable de se reproduire dans cet environnement. Ça change de
la notion de virus tout court.
Il est vrai que cet aspect est rarement pris en compte, du moins
consciemment, parce que ça peut paraître un peu flou, théorique,
loin de toute réalité. D'ailleurs pour prévenir toute spéculation:
ce n'est pas moi qui l'ai inventé. :-)
Et pourtant: cela joue un rôle assez important. Par exemple,
respectant ce concept, un virus Windows n'est pas un virus sous
Linux parce qu'il ne peut pas s'y reproduire (laissons de côté les
émulateurs et autres astuces). De façon similaire, un virus macro
dans le MBR ne fera pas grand chose.
Il a été dit par je ne sais plus qui que pour chaque programme, il
existe un environnement dans lequel ce programme est un virus.
Pour troller un peu: un virus programmé pour se reproduire tous les
jours SAUF le 5 d'un mois ne serait donc pas un virus le 5 d'un mois
et ne devrait donc pas être détecté par les antivirus ce jour, car
ce serait une fausse alerte. :-)
Bon, avant de me tomber dessus, souvenez-vous que tout ça, c'est de
la théorie, pas la réalité. Mais c'est une théorie qui semble avoir
des adeptes, et quand on y réfléchit, au fond, elle n'est pas bête.
D'un autre côté, quand on considère ce que je viens d'écrire sur le
virus qui ne doit pas être détecté le 5, on peut se poser des
questions quant à l'aptitude de théories en général à servir de
modèle de la réalité et de béquilles mentales.
Dans le cas concret des virus informatiques, on se poserait donc la
question suivante: doit-on faire la différence entre les programmes
qui sont des virus dans l'environnement actuel et les virus qui
sont des virus dans un autre environnement, ou doit-on considérer
à tout moment tout programme capable de se reproduire dans quel
environnement que ce soit comme un virus, comme on le fait
en réalité, sachant que dans ce cas tous les programmes seraient
des virus (car pour chaque programme il existe un environnement
dans lequel ce programme est un virus)?
Vos commentaires?
"Frederic Bonroy" bh3cpt$tbr4d$
pas de différence à faire... il faut détecter toute bestiole potentielle
c'est à l'utilisateur (après lecture de la description de la bestiole
latente) de faire son choix, en fonction de son environnement et de ses
compétences
(principe de précaution ?!)
@tchao
--
c'est cette chaleur insupportable qui provoque toutes ces crises de
/McMickeyïte Aiguë/ ?
*eg*
Oui mais il reste caractérisé par sa capacité de reproduction. Le
potentiel nuisible peut être lié à sa reproduction (cf. Slammer) ou à un
charge destructive.
Par exemple, un malware, spyware, trojan et autre backdoor constituent du
code qui répond directement à ta définition. Ce ne sont pas pour autant
des virus (bien que pouvant servir de vecteur de propagation) parce qu'en
tant que tels (définition stricto sensu), ils ne se reproduisent pas.
--
Utiliser des machines non françaises aussi m'est insupportable. Je
compte bientôt m'équiper d'un boulier bien de chez nous. Pour les
graphiques, j'utiliserai de vrais camemberts, au lait cru évidemment.
-+- JLD in: Guide du Cabaliste Usenet - Bien configurer son boulier -+-
Comme les autres, je ne suis pas d'accord: il faut qu'il se reproduise.
Les virus se reproduisent-ils sur le serveur Unix? Je ne pense pas. Vous
devez parler des serveurs de mails, par exemple. Le serveur transmet le
mail infecté mais pour lui, ce n'est pas un virus, c'est un fichier joint
comme un autre.
--
Patator
[SNIP]
J'ai chaud. ;-)
Plus sérieusement, je suis d'accord.
On retrouve quand même cette notion dans le nom des virus:
Linux.Ramen, W95.Zerg, W32.MachinChouette (pas la peine de chercher, il
existe pas...).
De même, que ferais un virus Macro Word sur une machine dépourvue de Word?
D'où l'appelation WM97.XXXXXXXXXXXXXX (celui-là non plus, il n'existe
pas... :-) )
Bref, tu n'es pas seul à penser que l'environnement est important, les
concepteurs d'AV aussi! Chouette! ;-)
--
Patator
Oui, mais là où il n'a pas tort, c'est que bien que se situant à ce moment
précis dans un environnement hostile où il ne peut se reproduire, il n'en
reste pas moins un virus qui pourra se déclencher si l'environnement lui
devient plus propice.
--
BOFH excuse #198:
Post-it Note Sludge leaked into the monitor.
suivants:
*La* caractéristique du virus est qu'il se sert d'un programme (en
l'occurrence celui de l'ADN d'une cellule en biologie) pour se
*multiplier*...Tout est là : la *MULTIPLICATION*...car c'est cette
multiplication qui est pathogène (destruction des cellules/tissus, ou au
contraire ddéveloppement anarchique et cancérigène...etc....)...
Une image fort parlante, que je donnais à mes connards d'étudiants :
Soit une usine qui fabrique des landeaux (ou une cellule qui fabrique de
l'insuline)..
On y introduit un salopiaud (virus dénommé "char d'assaut") qui, à *l'insu
de tous* va transformer tous les process de fabrication de l'usine pour que
celle-ci fabrique des chars d'assaut en très grande quantité...
*Un* char d'assaut rentré....des centaines...des milliers ressortis...qui
iront eux-mêmes dans d'autres usines....et c'est comme ça qu'on devient
diabétique...
L'environnement n'a *RIEN* à voir là-dedans....
Melmoth - assautcial
Pas forcément pathogène. Tu as le parasitisme dit mutualiste où hôte et
parasite trouvent un intérêt commun. Au niveau informatique, si ton virus
n'a pas de charge utile, à part la consommation de ressources processeur
lors de la reproduction, il n'y aura rien de pathogène pour la machine.
--
AMcD
http://arnold.mcdonald.free.fr/
(still in fossilization progress but now in english, thus the whole
world can see my laziness)
Pas "à partir de", mais "après avoir transité par" un milieu hostile (i.e.
Linux), s'agissant d'utilisateur de Windows infectés après téléchargement
de fichiers vérolés stockés sur un serveur Linux.
Cette histoire montre bien d'ailleurs l'importance de ne pas considérer
l'environnement comme un facteur de caractérisation d'un code à être viral
ou non. D'ailleurs, ce sont de beaux blaireaux, parce que fin 2000, il y
avait 5 ou 6 antivirus disponibles sous Linux.
--
BOFH excuse #256:
You need to install an RTFM interface.
D'un autre côté, considérons à nouveau cette histoire d'environnement.
Premièrement, HP a migré d'environnement pour (selon eux) avoir les outils
nécessaires à la détection des virus pour cet environnement.
Deuxièmement, si l'on reste dans un environnement donné (eg Linux ou
Windows), nous pouvons avoir des outils et à la limite des antivirus
spécifiques pour un environnement donné: les virus Windows étant inoffensif
sous Linux (argument d'une puissance phénoménale! :-) ). Les AVs actuels
Linux, d'après ce qu'il s'en dit, détectent les malwares Windows alors
qu'ils n'en aurait théoriquement pas besoin: c'est le même problème que
celui de HP ou que les serveurs mails.
Maintenant, le problème survient lorsque l'on change d'environnement, où
une suite d'octets peut en effet devenir virale...
Attention, on baratine, comme l'a fait remarqué Frédéric! ;-)
--
Patator
Toutefois, les resultats obtenues par les versions "non windows" des
differents AVs aux tests du "Virus Bulletin" m'interpellent : ils
semblent generalementment plus mauvais que ceux obtenus par les versions
pour Windows.
Voir par exemple, les resultats de deux tests recents :
Linux Mai 2003 2 succes pour 11 produits testes
XP Juin 2003 20 succes pour 25 produits testes
(succes == au sens du Virus Bullentin : optention d'un VB100%)
Tous les "majors" a l'exception de Trend manquent le test sous Linux.
Je n'ai malheureusement pas acces aux commentaires accompagnant le
premier de ces deux tests (Linux) . Mais voici ce que nous apprenent
ceux du deuxieme test sur les resultats du premier de ces deux la :
Dr web --> memes problemes sous Linux/windows.
F-Prot --> en attente : debat entre Frisk et les editeurs du VB.
AVG --> 2 virus manques, dont un retire' du test set depuis.
Norman --> 1 virus manque' retire' du test set depuis/absence de scan on-acces
<troll>
Et si c'etait la plateforme sur laquelle tourne l'AV l'element discriminant ?
</troll>
--
Tweakie
--
Ce message a été posté via la plateforme Web club-Internet.fr
This message has been posted by the Web platform club-Internet.fr
http://forums.club-internet.fr/