Un malware, ou logiciel malveillant, est un code conçu pour endommager ou exploiter de façon illégitime n'importe quel réseau, serveur ou équipement programmable. L'intention de nuire d'un malware peut prendre de nombreuses formes, y compris le déni d'accès, la destruction ou le vol de données, le vol d'argent, le détournement de ressources informatiques, la désinformation, la propagation de code malveillant et de nombreuses autres activités nuisibles. Les cybercriminels peuvent propager des malwares pour des raisons pécuniaires, à des fins d'espionnage ou de vol de secrets, ou encore pour causer du tort à un concurrent ou à un adversaire.
Face à l'explosion d'équipements programmables désormais connectés via Internet, les malwares représentent une part importante, et croissante, de la cybercriminalité. Les cybercriminels distribuent les malwares de plusieurs façons :
Une attaque de malware entre généralement dans l'une des cinq catégories suivantes, selon les objectifs du cybercriminel :
Les logiciels publicitaires (adwares) collectent des informations sur les habitudes de navigation d'un utilisateur et lui envoient des pop-ups publicitaires. Le pornware est un type de logiciel publicitaire qui télécharge des images et des publicités pornographiques sur un ordinateur et peut appeler automatiquement des services de discussion à caractère pornographique. Les logiciels espions (spywares) collectent également des informations, telles que l'historique de navigation web de l'utilisateur, mais également des données plus sensibles, comme ses mots de passe et numéros de compte. Dans certains cas, le logiciel espion peut rechercher du contenu confidentiel, par exemple des listes de clients ou des rapports financiers. Les logiciels espions et publicitaires se font souvent passer pour des applications légitimes, y compris des programmes de protection antimalware.
Certains malwares servent à créer des réseaux d'ordinateurs piratés qui peuvent être contrôlés à distance. Ces réseaux de robots (botnets) peuvent comprendre des centaines, voire des milliers d'ordinateurs, qui réalisent tous l'une des activités malveillantes suivantes :
Les ransomwares ont gagné en notoriété en 2016 lorsqu'une vague d'exploits a chiffré un nombre considérable d'ordinateurs dans le monde entier, exigeant le paiement d'une rançon en bitcoins ou dans d'autres cryptomonnaies pour les déchiffrer. L'un des plus célèbres est le ransomware WannaCry/WannaCryptor, apparu en mai 2017, en raison de son impact sur de grandes organisations du monde entier, dont le National Health Service (NHS) au Royaume-Uni. Les cybercriminels ont exigé une rançon de 300 dollars en bitcoins en échange de la clé de déchiffrement de chaque ordinateur, une clé qui dans certains cas n'a jamais été révélée. Le ransomware a entraîné la fermeture des hôpitaux du NHS et affecté des centaines de milliers d'organisations et de particuliers qui ont perdu des données importantes. En 2018, les attaques de ransomware ont diminué, les cybercriminels ayant décidé de recentrer leurs efforts sur les malwares de cryptojacking.
Un malware de cryptojacking ou cryptominage cherche à pirater un ordinateur ou un réseau informatique afin de procéder au minage de cryptomonnaies. Ces logiciels utilisent d'importantes ressources de calcul, de bande passante et d'énergie. Pour les victimes, cela se traduit par une réduction de la puissance de traitement allouée à leurs utilisations légitimes et l'augmentation de leur facture d'énergie. Le traitement de données très intensif peut également endommager le matériel de la victime. Les attaques peuvent également voler ou manipuler des données, ou encore installer d'autres malwares en vue d'une utilisation future. Certains cryptopirates peuvent également voler les cryptomonnaies de leurs victimes.
Les malwares sans fichier s'exécutent uniquement dans la mémoire de l'ordinateur, ce qui les rend très difficiles à détecter par les antivirus. L'opération RogueRobin est un exemple d'attaque de malware sans fichier. RogueRobin commence par envoyer un e-mail de phishing contenant des fichiers de requêtes web Excel malveillants. Ces fichiers forcent l'ordinateur à exécuter des scripts PowerShell qui, à leur tour, offrent au cybercriminel une porte dérobée vers le système de la victime. Bien que le malware disparaisse si l'ordinateur est mis hors tension, la porte dérobée (backdoor) demeure.
En utilisant des technologies approuvées telles que PowerShell, Excel ou WMI (Windows Management Instrumentation), les attaques de malware sans fichier sont en mesure de contourner les logiciels de sécurité traditionnels.
Certaines applications étant conçues pour s'exécuter en continu, un script de malware sans fichier peut s'exécuter pendant plusieurs jours, voire plusieurs semaines. Une société de services financiers a découvert un malware sans fichier qui s'exécutait sur ses contrôleurs de domaine et collectait les informations d'identification des administrateurs système et d'autres utilisateurs ayant accès aux couches les plus profondes du système.
Vous trouverez ci-dessous les principales stratégies que les particuliers et les organisations peuvent implémenter pour renforcer leur protection contre les malwares :
Il est recommandé de former les utilisateurs aux bonnes pratiques à respecter en matière d'utilisation sécurisée d'Internet et des réseaux sociaux. Il est également conseillé de tenir les utilisateurs informés de l'actualité en matière de menaces de malware et de leur rappeler les bonnes pratiques de sécurité à respecter. Les équipes informatiques peuvent renforcer leurs compétences en sécurité en participant à un webinar Trellix, en lisant les articles de blog de Trellix ou en consultant les rapports publiés par le Centre sur les menaces de Trellix.