Les logiciels malveillants

Comment les prévenir, les détecter et s'en remettre

Quels sont les types de logiciels malveillants ? Comment pouvez-vous les prévenir, les détecter ou les supprimer ?

Définition des logiciels malveillants

Le terme "malware", abréviation de "malicious software", est un terme général désignant les virus, vers, chevaux de Troie et autres programmes informatiques nuisibles que les pirates utilisent pour détruire et accéder à des informations sensibles. Comme le dit Microsoft, le malware est un terme fourre-tout pour désigner tout logiciel conçu pour causer des dommages à un seul ordinateur, serveur ou réseau informatique". En d'autres termes, un logiciel est identifié comme un malware en fonction de son utilisation prévue, plutôt que d'une technique ou technologie particulière utilisée pour le construire.

Cela signifie que la question de savoir, par exemple, quelle est la différence entre un logiciel malveillant et un virus passe quelque peu à côté de l'essentiel : un virus est un type de logiciel malveillant, donc tous les virus sont des logiciels malveillants (mais tous les logiciels malveillants ne sont pas des virus).

Types de logiciels malveillants

Il existe plusieurs façons de classer les logiciels malveillants ; la première consiste à déterminer comment ils se propagent. Vous avez probablement déjà entendu les mots virus, cheval de Troie et ver utilisés de manière interchangeable, mais comme l'explique Symantec, ils décrivent trois façons subtilement différentes dont les logiciels malveillants peuvent infecter les ordinateurs cibles :

  • Un ver est un logiciel malveillant autonome qui se reproduit et se propage d'un ordinateur à l'autre.
  • Un virus est un morceau de code informatique qui s'insère dans le code d'un autre programme autonome, puis force ce programme à entreprendre une action malveillante et à se propager.
  • Un cheval de Troie est un programme qui ne peut pas se reproduire mais qui se fait passer pour ce que l'utilisateur veut et le pousse à l'activer pour qu'il puisse faire ses dégâts et se propager.

Les logiciels malveillants peuvent également être installés sur un ordinateur "manuellement" par les attaquants eux-mêmes, soit en obtenant un accès physique à l'ordinateur, soit en utilisant l'escalade des privilèges pour obtenir un accès d'administrateur à distance.

Une autre façon de classer les logiciels malveillants est de les classer en fonction de ce qu'ils font une fois qu'ils ont réussi à infecter les ordinateurs de leurs victimes. Il existe un large éventail de techniques d'attaque potentielles utilisées par les logiciels malveillants :

Les logiciels espions sont définis par Webroot Cybersecurity comme des "logiciels malveillants utilisés dans le but de collecter secrètement des données sur un utilisateur sans méfiance". Il s'agit essentiellement d'espionner votre comportement lorsque vous utilisez votre ordinateur, ainsi que les données que vous envoyez et recevez, généralement dans le but d'envoyer ces informations à un tiers. Un keylogger est un type spécifique de logiciel espion qui enregistre toutes les frappes de clavier qu'un utilisateur effectue - ce qui est très utile pour voler des mots de passe.
Un rootkit est, comme le décrit TechTarget, "un programme ou, plus souvent, un ensemble d'outils logiciels qui donne à un acteur de la menace un accès à distance et le contrôle d'un ordinateur ou d'un autre système". Il tire son nom du fait qu'il s'agit d'un ensemble d'outils qui (généralement de manière illicite) obtiennent un accès root (contrôle de niveau administrateur, en termes Unix) sur le système cible, et utilisent ce pouvoir pour dissimuler leur présence.

Les logiciels publicitaires sont des logiciels malveillants qui obligent votre navigateur à rediriger vers des publicités sur le web, qui cherchent souvent elles-mêmes à télécharger d'autres logiciels encore plus malveillants. Les logiciels se greffent souvent sur des programmes "gratuits" séduisants comme les jeux ou les extensions de navigateur.

Les logiciels de rançon sont un type de logiciels malveillants qui cryptent les fichiers de votre disque dur et exigent un paiement, généralement en Bitcoin, en échange de la clé de décryptage. Plusieurs épidémies de logiciels malveillants très médiatisées de ces dernières années, comme Petya, sont des demandes de rançon. Sans la clé de décryptage, il est mathématiquement impossible pour les victimes de retrouver l'accès à leurs fichiers. Il prétend avoir pris le contrôle de votre ordinateur et demande une rançon, mais en réalité il utilise des astuces comme les boucles de redirection de navigateur pour donner l'impression qu'il a fait plus de dégâts qu'il n'en a réellement fait, et contrairement aux logiciels de rançon, il peut être relativement facilement désactivé.

Le cryptojacking est un autre moyen pour les attaquants de vous forcer à leur fournir des bitcoins - seulement cela fonctionne sans que vous le sachiez nécessairement. Le logiciel malveillant de crypto mining infecte votre ordinateur et utilise les cycles de votre processeur pour extraire des bitcoins au profit de votre agresseur. Le logiciel d'extraction peut fonctionner en arrière-plan sur votre système d'exploitation ou même sous forme de JavaScript dans une fenêtre de navigateur.

Le malvertising est l'utilisation de publicités légitimes ou de réseaux publicitaires pour diffuser secrètement des logiciels malveillants sur les ordinateurs d'utilisateurs peu méfiants. Par exemple, un cybercriminel peut payer pour placer une annonce sur un site web légitime. Lorsqu'un utilisateur clique sur l'annonce, le code contenu dans l'annonce le redirige vers un site web malveillant ou installe un logiciel malveillant sur son ordinateur. Dans certains cas, le logiciel malveillant intégré dans une publicité peut s'exécuter automatiquement sans aucune action de la part de l'utilisateur, une technique appelée "drive-by download".

Tout logiciel malveillant spécifique possède à la fois un moyen d'infection et une catégorie comportementale. Ainsi, par exemple, WannaCry est un ver de demande de rançon. Et un logiciel malveillant particulier peut avoir différentes formes avec différents vecteurs d'attaque : par exemple, le logiciel malveillant bancaire Emotet a été repéré dans la nature comme étant à la fois un cheval de Troie et un ver.

Un coup d'œil sur les dix principaux malwares du Center for Internet Security pour juin 2018 vous donnera une bonne idée des types de malwares qui existent. Le vecteur d'infection de loin le plus courant est le spam, qui pousse les utilisateurs à activer le logiciel malveillant, de type cheval de Troie. WannaCry et Emotet sont les logiciels malveillants les plus répandus de la liste, mais beaucoup d'autres, dont NanoCore et Gh0st, sont ce qu'on appelle des chevaux de Troie d'accès à distance ou RAT - essentiellement des rootkits qui se propagent comme des chevaux de Troie. Les logiciels malveillants de cryptocommunication comme CoinMiner complètent la liste.

 

Comment prévenir les logiciels malveillants

Le spam et le courrier électronique de phishing étant le principal vecteur par lequel les logiciels malveillants infectent les ordinateurs, la meilleure façon de prévenir les logiciels malveillants est de s'assurer que vos systèmes de courrier électronique sont bien verrouillés et que vos utilisateurs savent comment repérer le danger. Nous vous recommandons de vérifier soigneusement les documents joints et de limiter les comportements potentiellement dangereux des utilisateurs, tout en familiarisant ces derniers avec les escroqueries de phishing les plus courantes afin qu'ils puissent faire preuve de bon sens.

En ce qui concerne les mesures préventives plus techniques, vous pouvez prendre un certain nombre de mesures, notamment en maintenant tous vos systèmes à jour et en les patchant, en dressant un inventaire du matériel pour savoir ce que vous devez protéger et en effectuant des évaluations continues de la vulnérabilité de votre infrastructure. En ce qui concerne plus particulièrement les attaques par logiciels rançonnés, une façon de vous préparer est de toujours faire des sauvegardes de vos fichiers, en vous assurant que vous n'aurez jamais besoin de payer une rançon pour les récupérer si votre disque dur est crypté.

 

Protection contre les logiciels malveillants

Le logiciel antivirus est le produit le plus connu dans la catégorie des produits de protection contre les logiciels malveillants ; bien que le mot "virus" soit dans le nom, la plupart des offres prennent toutes les formes de logiciels malveillants. Bien que les professionnels de la sécurité haut de gamme le considèrent comme obsolète, il reste l'épine dorsale de la défense de base contre les logiciels malveillants. Les meilleurs logiciels antivirus actuels sont ceux des fournisseurs Kaspersky Lab, Symantec et Trend Micro, selon des tests récents d'AV-TEST.

Un peu plus tendance est l'utilisation d'un VPN. En effet de plus en plus d'internautes utilisent un réseau privée virtuel pour naviguer sur internet. Depuis quelques temps les VPN intègrent des outils anti pub et antimalware. Un VPN s'occupe de protéger les données qui entrent et sortent de votre appareil lorsque vous naviguez.

En ce qui concerne les réseaux d'entreprise plus avancés, les offres de sécurité des points d'accès offrent une défense en profondeur contre les logiciels malveillants. Elles offrent non seulement la détection des logiciels malveillants basée sur les signatures que vous attendez d'un antivirus, mais aussi un anti-logiciel espion, un pare-feu personnel, un contrôle des applications et d'autres styles de prévention des intrusions sur l'hôte. Gartner propose une liste de ses meilleurs produits dans cet espace, qui comprend des produits de Cylance, CrowdStrike et Carbon Black.

 

Comment détecter les logiciels malveillants

Il est tout à fait possible - et peut-être même probable - que votre système soit infecté par un logiciel malveillant à un moment donné, malgré tous vos efforts.

Lorsque vous atteignez le niveau de l'informatique d'entreprise, il existe également des outils de visibilité plus avancés que vous pouvez utiliser pour voir ce qui se passe dans vos réseaux et détecter les infections par des logiciels malveillants. La plupart des logiciels malveillants utilisent le réseau pour se propager ou renvoyer des informations à leurs contrôleurs, de sorte que le trafic réseau contient des signaux d'infection de logiciels malveillants que vous pourriez sinon manquer ; il existe une large gamme d'outils de surveillance des réseaux, dont les prix varient de quelques dollars à quelques milliers. Il existe également des outils SIEM, qui ont évolué à partir des programmes de gestion des journaux ; ces outils analysent les journaux de divers ordinateurs et appareils de votre infrastructure à la recherche de signes de problèmes, y compris l'infection par des logiciels malveillants. Les fournisseurs de SIEM vont des grands noms de l'industrie comme IBM et HP Enterprise aux petits spécialistes comme Splunk et Alien Vault.

Suppression des logiciels malveillants

Comment supprimer les logiciels malveillants une fois que vous êtes infecté est en fait la question à un million de dollars. La suppression des logiciels malveillants est une activité délicate, et la méthode peut varier selon le type de logiciel auquel vous avez affaire. Les programmes disposent d'informations sur la manière de supprimer ou de récupérer des rootkits, des logiciels de rançon et des cryptojacking. Nous avons également un guide pour l'audit de votre registre Windows afin de déterminer comment aller de l'avant.

Si vous cherchez des outils pour nettoyer votre système, Tech Radar propose un bon choix d'offres gratuites, qui contiennent des noms familiers du monde des antivirus ainsi que des nouveaux venus comme Malwarebytes.

 

Exemples de logiciels malveillants

Nous avons déjà parlé de certaines des menaces actuelles liées aux logiciels malveillants qui se profilent à l'horizon. Mais il existe une longue histoire de logiciels malveillants, qui remonte aux disquettes infectées échangées par les amateurs d'Apple II dans les années 1980 et au ver Morris qui s'est répandu sur les machines Unix en 1988. Parmi les autres attaques de logiciels malveillants très médiatisées, on peut citer :

  • ILOVEYOU, un ver qui s'est propagé comme un feu de forêt en 2000 et a causé plus de 15 milliards de dollars de dégâts
    SQL Slammer, qui a fait cesser le trafic internet dans les minutes qui ont suivi sa première diffusion rapide en 2003
  • Conficker, un ver qui a exploité des failles non corrigées dans Windows et a utilisé divers vecteurs d'attaque - de l'injection de code malveillant au phishing de courriels - pour finalement craquer les mots de passe et détourner les appareils Windows vers un botnet.
  • Zeus, un cheval de Troie enregistreur de frappe de la fin des années 2000 qui visait les informations bancaires
  • CryptoLocker, la première attaque généralisée de logiciel contre rançon, dont le code est sans cesse réutilisé dans des projets de logiciels malveillants similaires
  • Stuxnet, un ver extrêmement sophistiqué qui a infecté des ordinateurs dans le monde entier mais n'a fait de réels dégâts qu'à un seul endroit : l'installation nucléaire iranienne de Natanz, où il a détruit des centrifugeuses enrichissant l'uranium, la mission pour laquelle il a été construit par les services de renseignements américains et israéliens

 

Tendances en matière de logiciels malveillants

Vous pouvez compter sur les cybercriminels pour suivre l'argent. Ils cibleront les victimes en fonction de la probabilité de réussite de la diffusion de leurs logiciels malveillants et de l'importance des gains potentiels. Si vous observez les tendances des logiciels malveillants au cours des dernières années, vous constaterez une certaine fluctuation en termes de popularité de certains types de logiciels malveillants et de victimes les plus courantes, le tout en fonction de ce que les criminels pensent être le plus rentable.

De récents rapports de recherche indiquent des changements intéressants dans les tactiques et les cibles des logiciels malveillants. Les cryptominers, qui avaient dépassé les rançons en tant que type de malware le plus courant, perdent de leur popularité en raison de la baisse des valeurs des cryptocurrences. Les rançonnements sont de plus en plus ciblés, s'éloignant d'une approche de type "shotgun".

Les attaques de logiciels malveillants sur les entreprises augmentent

Les entreprises ont constaté une augmentation de 79 % du nombre de logiciels malveillants qu'elles ont traités en 2020 par rapport à 2019 . Ce que nous constatons habituellement à la fin de l'année ou du trimestre, c'est qu'il y a eu une sorte d'augmentation ou un grand nombre de détections du côté des consommateurs. Du côté des entreprises, il pourrait y avoir une lente croissance, mais certainement pas comme celle que nous avons connue ces six derniers mois. En comparaison, le nombre de détections par les consommateurs a diminué de 3 % sur la même période.

"Nous avons observé que les cybercriminels ont tendance à s'éloigner des consommateurs et à s'en prendre aux entreprises".

Ce "poids lourd" se présente en grande partie sous la forme de logiciels malveillants plus anciens, axés sur les consommateurs, qui ont été "transformés en armes" pour devenir une menace plus importante et plus polyvalente pour les entreprises. Kujawa cite Emotet comme l'un des plus importants. "C'est un vilain petit cheval de Troie voleur d'informations qui installe également des logiciels malveillants supplémentaires, se propage latéralement et agit comme son propre expéditeur de spam. Une fois qu'il infecte un système, il commence à envoyer des courriels et tente d'infecter d'autres personnes".

Emotet existe depuis 2014 et vise principalement les consommateurs. À l'origine, il a infecté un ordinateur à la recherche des informations financières ou de carte de crédit d'un individu pour les voler. Depuis, il s'est enrichi de nouvelles fonctionnalités inspirées ou empruntées à d'autres logiciels malveillants à succès comme Wannacry ou EternalBlue. "Maintenant, il est devenu beaucoup plus modulaire et nous voyons qu'il peut utiliser ces exploits pour traverser un réseau d'entreprise alors qu'auparavant, ils étaient limités à un seul point d'extrémité". "Même si c'est un petit réseau dans une petite entreprise, c'est plus juteux que d'infecter grand-mère."

Le mouvement latéral des logiciels malveillants est en augmentation, selon le rapport sur la menace globale : L'année de la cyber-attaque de la prochaine génération de noir de carbone. Près de 60 % des attaques de logiciels malveillants sur les entreprises sont désormais conçues pour se déplacer latéralement à travers un réseau.

L'une des raisons de la recrudescence des attaques de logiciels malveillants contre les entreprises pourrait être le règlement général sur la protection des données (RPDP) de l'UE. Il est possible que les attaquants aient intensifié les attaques contre les entreprises en pensant qu'il serait plus difficile de voler des données personnelles et autres après l'entrée en vigueur du règlement. Cela, combiné à la baisse des valeurs de cryptologie et au renforcement des défenses contre les logiciels de rançon, a poussé les attaquants à se tourner vers ce qui fonctionnait dans le passé. "Ils reviennent toujours à ce qui fonctionne", dit-il. "La cybercriminalité est cyclique. Elle revient toujours."