Qu'est-ce qu'un malware ?

Un malware, ou logiciel malveillant, est un code conçu pour endommager ou exploiter de façon illégitime n'importe quel réseau, serveur ou équipement programmable. L'intention de nuire d'un malware peut prendre de nombreuses formes, y compris le déni d'accès, la destruction ou le vol de données, le vol d'argent, le détournement de ressources informatiques, la désinformation, la propagation de code malveillant et de nombreuses autres activités nuisibles. Les cybercriminels peuvent propager des malwares pour des raisons pécuniaires, à des fins d'espionnage ou de vol de secrets, ou encore pour causer du tort à un concurrent ou à un adversaire.

Face à l'explosion d'équipements programmables désormais connectés via Internet, les malwares représentent une part importante, et croissante, de la cybercriminalité. Les cybercriminels distribuent les malwares de plusieurs façons :

  • Ils infectent un site web populaire, qui transmet ensuite le malware aux visiteurs.
  • Ils joignent des malwares aux e-mails, sous la forme de fichiers à l'apparence légitime.
  • Ils insèrent du code malveillant dans des applications et des outils approuvés, tels que des utilitaires de programmation ou des mises à jour logicielles. 

Les cinq catégories d'attaques de malware

Une attaque de malware entre généralement dans l'une des cinq catégories suivantes, selon les objectifs du cybercriminel :

Logiciels espions et publicitaires

Les logiciels publicitaires (adwares) collectent des informations sur les habitudes de navigation d'un utilisateur et lui envoient des pop-ups publicitaires. Le pornware est un type de logiciel publicitaire qui télécharge des images et des publicités pornographiques sur un ordinateur et peut appeler automatiquement des services de discussion à caractère pornographique. Les logiciels espions (spywares) collectent également des informations, telles que l'historique de navigation web de l'utilisateur, mais également des données plus sensibles, comme ses mots de passe et numéros de compte. Dans certains cas, le logiciel espion peut rechercher du contenu confidentiel, par exemple des listes de clients ou des rapports financiers. Les logiciels espions et publicitaires se font souvent passer pour des applications légitimes, y compris des programmes de protection antimalware.

Malwares à l'origine de réseaux de robots

Certains malwares servent à créer des réseaux d'ordinateurs piratés qui peuvent être contrôlés à distance. Ces réseaux de robots (botnets) peuvent comprendre des centaines, voire des milliers d'ordinateurs, qui réalisent tous l'une des activités malveillantes suivantes :

  • Envoi de spam par e-mail
  • Minage de cryptomonnaies (voir la section consacrée au cryptojacking ci-dessous)
  • Lancement d'attaques par déni de service distribué (DDoS) pour perturber ou mettre hors service le réseau d'une entreprise
  • Distribution de malwares pour créer d'autres réseaux de robots

Ransomwares

Les ransomwares ont gagné en notoriété en 2016 lorsqu'une vague d'exploits a chiffré un nombre considérable d'ordinateurs dans le monde entier, exigeant le paiement d'une rançon en bitcoins ou dans d'autres cryptomonnaies pour les déchiffrer. L'un des plus célèbres est le ransomware WannaCry/WannaCryptor, apparu en mai 2017, en raison de son impact sur de grandes organisations du monde entier, dont le National Health Service (NHS) au Royaume-Uni. Les cybercriminels ont exigé une rançon de 300 dollars en bitcoins en échange de la clé de déchiffrement de chaque ordinateur, une clé qui dans certains cas n'a jamais été révélée. Le ransomware a entraîné la fermeture des hôpitaux du NHS et affecté des centaines de milliers d'organisations et de particuliers qui ont perdu des données importantes. En 2018, les attaques de ransomware ont diminué, les cybercriminels ayant décidé de recentrer leurs efforts sur les malwares de cryptojacking.

Malwares de cryptojacking ou cryptominage

Un malware de cryptojacking ou cryptominage cherche à pirater un ordinateur ou un réseau informatique afin de procéder au minage de cryptomonnaies. Ces logiciels utilisent d'importantes ressources de calcul, de bande passante et d'énergie. Pour les victimes, cela se traduit par une réduction de la puissance de traitement allouée à leurs utilisations légitimes et l'augmentation de leur facture d'énergie. Le traitement de données très intensif peut également endommager le matériel de la victime. Les attaques peuvent également voler ou manipuler des données, ou encore installer d'autres malwares en vue d'une utilisation future. Certains cryptopirates peuvent également voler les cryptomonnaies de leurs victimes.

Malwares sans fichier

Les malwares sans fichier s'exécutent uniquement dans la mémoire de l'ordinateur, ce qui les rend très difficiles à détecter par les antivirus. L'opération RogueRobin est un exemple d'attaque de malware sans fichier. RogueRobin commence par envoyer un e-mail de phishing contenant des fichiers de requêtes web Excel malveillants. Ces fichiers forcent l'ordinateur à exécuter des scripts PowerShell qui, à leur tour, offrent au cybercriminel une porte dérobée vers le système de la victime. Bien que le malware disparaisse si l'ordinateur est mis hors tension, la porte dérobée (backdoor) demeure.

En utilisant des technologies approuvées telles que PowerShell, Excel ou WMI (Windows Management Instrumentation), les attaques de malware sans fichier sont en mesure de contourner les logiciels de sécurité traditionnels.

Certaines applications étant conçues pour s'exécuter en continu, un script de malware sans fichier peut s'exécuter pendant plusieurs jours, voire plusieurs semaines. Une société de services financiers a découvert un malware sans fichier qui s'exécutait sur ses contrôleurs de domaine et collectait les informations d'identification des administrateurs système et d'autres utilisateurs ayant accès aux couches les plus profondes du système.

Bonnes pratiques de protection contre les malwares

Vous trouverez ci-dessous les principales stratégies que les particuliers et les organisations peuvent implémenter pour renforcer leur protection contre les malwares :

  • Sauvegardez fréquemment vos données. Si un fichier ou une base de données est corrompu, il peut être restauré à partir d'une sauvegarde récente. Par conséquent, conservez plusieurs sauvegardes pendant un certain temps. Testez aussi régulièrement les sauvegardes pour vous assurer qu'elles fonctionnent correctement.
  • Désactivez les macros. Désactivez les outils d'administration et les plug-ins de navigateur qui ne sont pas nécessaires.
  • Installez et mettez à jour le logiciel de détection des malwares. Les programmes et services de détection avancée des malwares utilisent plusieurs méthodes pour détecter les malwares et les neutraliser, dont les suivantes :
    • Sandboxing ou activation d'un virus suspect dans un environnement mis en quarantaine
    • Filtrage selon la réputation (par exemple, filtrage en fonction de la réputation de l'adresse IP d'envoi)
    • Filtrage basé sur les signatures, pour identifier les malwares en les comparant aux caractéristiques des malwares connus
    • Utilisation d'un logiciel d'analyse comportementale, qui s'appuie sur l'intelligence artificielle et l'apprentissage automatique pour établir un profil du comportement normal des utilisateurs et détecter toute utilisation anormale des applications
  • Informez-vous sur les menaces utilisant des malwares. Ce sont les utilisateurs qui jouent le rôle le plus important dans la prévention des infections par malware. Ceux-ci doivent être conscients des risques liés au téléchargement et à l'installation d'applications non autorisées, à l'utilisation de clés USB ou à la navigation sur des sites web non approuvés.

Il est recommandé de former les utilisateurs aux bonnes pratiques à respecter en matière d'utilisation sécurisée d'Internet et des réseaux sociaux. Il est également conseillé de tenir les utilisateurs informés de l'actualité en matière de menaces de malware et de leur rappeler les bonnes pratiques de sécurité à respecter. Les équipes informatiques peuvent renforcer leurs compétences en sécurité en participant à un webinar Trellix, en lisant les articles de blog de Trellix ou en consultant les rapports publiés par le Centre sur les menaces de Trellix.

Explore more Security Awareness topics