Le document original et intégral en anglais
Pour les informations concernant les lettres-chaîne voir la page correspondante
Internet est constamment inondé d'informations à propos des virus informatiques et des chevaux de Troie. Les alertes réelles parsèment les canulars. Même si ces canulars ne risquent pas d'infecter quoique ce soit, ils sont malgré tout coûteux à traiter en temps et en argent. Au CIAC, nous avons constaté que nous passions beaucoup plus de temps à identifier des canulars qu'à gérer les incidents avec de véritables virus. Cette page décrit seulement un faible nombre des canulars qu'on peut trouver sur le réseau à ce jour.
Il est demandé aux utilisateurs de ne pas diffuser des alertes non confirmées à propos des virus. Si vous recevez une alerte non authentifiée, ne la transmettez pas à vos amis, mais seulement à votre service informatique pour qu'ils la valident. Les alertes authentiques provenant des équipes d'alerte et des vendeurs d'antivirus ont des adresses d'expéditeur correctes et sont habituellement signées électroniquement avec la clé PGP de l'organisation.
Depuis le tout premier en 1988, les canulars ont inondé internet. Avec les milliers de virus existants dans le monde, la paranoïa des virus dans la communauté a atteint un niveau très élevé. C'est cette paranoïa qui alimente les canulars. Un bon exemple de ce comportement est le canular « Good Times » qui est né en 1994 et qui circule toujours sur Internet aujourd'hui. Au lieu de circuler d'un ordinateur à l'autre par lui-même, Good Times compte sur les gens pour se diffuser.
Il y a plusieurs méthodes pour identifier les canulars, mais tout d'abord considérons ce qui fait un canular réussi sur internet. Sa réussite dépend de deux facteurs connus, qui sont : (1) l'utilisation d'un jargon technique, et (2) la crédibilité d'une organisation. Si l'alerte utilise un jargon technique correct alors la plupart des gens, y compris les spécialistes, tendront à croire que l'alerte est réelle. Par exemple, le canular Good Times dit que : « ... si le programme n'est pas stoppé, le processeur de l'ordinateur entrera dans une boucle binaire de n-complexité infinie qui l'endommagera sérieusement... ». La première fois que vous lisez ceci, cela ressemble à quelque chose qui pourrait être réel. Un peu de recherche montre finalement qu'une boucle binaire de n-complexité infinie ne veut rien dire et que les processeurs sont conçus pour exécuter des boucles pendant des semaines sans dommage.
Quand nous parlons de la crédibilité d'une organisation nous pensons à celui qui a envoyé l'alerte. Si le concierge d'une grande firme technologique diffuse une alerte à quelqu'un de l'extérieur, les gens de l'extérieur auront tendance à croire cette alerte parce que cette société est censée être informée sur le sujet. Même si la personne n'a pas la moindre idée de ce dont elle parle, le prestige de sa société appuie l'alerte, la faisant paraître réelle. Et s'il s'agit en plus d'un dirigeant, le message est doublement crédibilisé.
Il est recommandé d'être particulièrement vigilant si l'alerte vous prie de la transmettre à vos amis. Cela est un signe très fort de canular. Un autre signe fort à surveiller et que l'alerte provient de la FCC (Federal Communication Commission). Cet organisme n'a jamais et ne diffusera jamais d'alertes concernant les virus, cela ne relève pas de leur travail.
Le CIAC recommande que vous ne diffusiez pas d'alertes sur les virus sans vérification préalable auprès d'une source fiable. Une source fiable est par exemple votre service informatique. Les véritables alertes à propos des virus et autres problèmes réseau proviennent de différentes équipes d'intervention (CIAC, CERT, ASSIST, NASIRC, etc.) et sont signées électroniquement par l'équipe qui en est l'auteur. Si vous téléchargez une alerte d'un site web d'une équipe d'intervention et que vous vérifiez la signature PGP, vous pouvez en général être sûr que l'alerte est réelle. Les alertes sans le nom de la personne auteur de l'original, ou celles avec des noms, adresses et numéros de téléphone qui n'existent pas réellement sont probablement des canulars.
Un sujet voisin est celui des lettres-chaîne sur internet qui peuvent être vraies ou pas.
À la réception d'une alerte, vous devez examiner sa signature PGP pour voir si elle provient d'une véritable équipe d'intervention ou d'une société d'antivirus. Pour ce faire, vous avez besoin d'une copie du logiciel PGP et de la clé publique de l'équipe qui a envoyé le message. La signature du CIAC est disponible sur la page d'accueil du CIAC : http://ciac.llnl.gov/ Vous pourrez trouver l'adresse des autres équipes d'intervention en vous connectant à la page d'accueil de FIRST à l'adresse suivante : http://www.first.org S'il n'y a pas de signature PGP, regardez si l'alerte contient le nom de la personne à l'origine de l'alerte. Contactez cette personne pour voir si il ou elle a réellement écrit l'alerte et si elle a vraiment vu le virus. Si elle s'est contenté de transmettre une rumeur, si l'adresse d'origine est non valide, ou s'il y a le moindre doute sur l'authenticité de cette alerte, ne la transmettez pas. À la place, envoyez la à votre service informatique et laissez les la vérifier. Dans le doute, ne l'envoyez pas à l'extérieur.
De plus, la majorité des vendeurs d'antivirus ont une page web qui contient des informations à propos des virus et canulars les plus connus. Vous pouvez aussi vérifier le site web de la société qui produit le logiciel censé être infecté. Par exemple en consultant le site de PKWARE vous pourrez constater que le virus PKZ300 est en fait un canular, puisqu'il est censé infecter la version 3 du logiciel PKZIP alors que cette version 3 n'existe pas. Un autre site utile est le « Computer Virus Myths home page » (http://www.kumite.com/myths/) qui contient des descriptions de plusieurs canulars connus. Dans la majorité des cas, le bon sens permet d'éliminer les canulars sur internet.