Les logiciels malveillants (ou « malware » en anglais, mot-valise formé de « malicious » et « software ») désigne tout logiciel, code ou programme informatique conçu intentionnellement pour nuire à un système informatique ou à ses utilisateurs. Presque toutes les cyberattaques modernes impliquent un type de logiciel malveillant. Ces programmes nuisibles peuvent être très destructeurs et coûteux (comme les ransomware), ou simplement gênants mais inoffensifs (comme les logiciels publicitaires).
Chaque année (lien externe ibm.com), des milliards d'attaques de logiciels malveillants ciblent entreprises et particuliers. Les logiciels malveillants peuvent infecter tout type d'appareil ou de système d'exploitation, y compris Windows, Mac, iPhone et Android.
Les cybercriminels développent et utilisent des logiciels malveillants pour :
Bien que les termes soient souvent utilisés de manière interchangeable, tous les types de logiciels malveillants ne sont pas des virus. Les logiciels malveillants sont un terme générique qui englobe plusieurs types de menaces, tels que :
Virus : un virus informatique est un programme malveillant qui ne peut se reproduire sans intervention humaine, comme cliquer sur un lien, télécharger une pièce jointe, ou lancer une application spécifique.
Vers : contrairement aux virus, les vers se reproduisent eux-mêmes sans intervention humaine. Ils s'infiltrent profondément dans les systèmes informatiques et se propagent d'un appareil à l'autre.
Les botnets : un réseau d'ordinateurs infectés, manipulé par un seul individu appelé "bot-herder", agissant de concert.
Ransomware : l'un des types de logiciels malveillants les plus dangereux. Les attaques par rançongiciels prennent le contrôle de systèmes critiques ou de données sensibles, bloquent l'accès aux utilisateurs et exigent des rançons exorbitantes, souvent en cryptomonnaie, pour restaurer l'accès. Les ransomwares restent l'une des cybermenaces les plus sérieuses aujourd'hui.
Ransomware à extorsion multiple : comme si les ransomwares ne représentaient pas déjà une menace suffisante, les ransomwares à extorsion multiple ajoutent des couches supplémentaires pour causer davantage de dommages ou pour exercer une pression supplémentaire sur les victimes. Dans le cadre des attaques de ransomwares à double extorsion, le logiciel malveillant est utilisé non seulement pour chiffrer les données de la victime, mais aussi pour exfiltrer des fichiers sensibles (comme des informations clients), que les attaquants menacent ensuite de divulguer publiquement. Les attaques de triple extorsion vont encore plus loin, menaçant de perturber des systèmes critiques ou d'étendre l'attaque aux clients ou contacts de la victime.
Macro-virus : un macro virus est un virus qui cible les macros, des séquences de commandes utilisées dans les applications pour automatiser des tâches simples. Les macro virus profitent des macros programmables en insérant des logiciels malveillants dans des fichiers d'application qui s'exécuteront lorsque le programme correspondant sera ouvert par l'utilisateur.
Chevaux de Troie : nommés d'après le célèbre cheval de Troie, ces logiciels malveillants se déguisent en programmes utiles ou se cachent dans des logiciels légitimes pour inciter les utilisateurs à les installer.
Logiciels espions : Souvent utilisé dans l'espionnage numérique, le logiciel espion se cache dans un système infecté pour collecter secrètement des informations sensibles et les transmettre à un attaquant.
Logiciels publicitaires : comme inoffensifs pour la plupart, les logiciels publicitaires (adware) sont généralement regroupés avec des logiciels gratuits et inondent les utilisateurs de fenêtres pop-up intempestives ou d'autres publicités. Cependant, certains logiciels publicitaires peuvent collecter des données personnelles ou rediriger les navigateurs web vers des sites malveillants.
Rootkit : un type de paquet malveillant qui permet aux pirates d’obtenir un accès privilégié, de niveau administrateur, au système d’exploitation d’un ordinateur ou à d’autres actifs.
Étant donné le volume et la variété des logiciels malveillants, un historique complet serait long à dresser. À la place, voici un aperçu de quelques moments tristement célèbres dans l'évolution des logiciels malveillants
Pendant la construction des premiers ordinateurs modernes, le mathématicien de renom et contributeur du projet Manhattan, John von Neumann, élaborait le concept d'un programme capable de se reproduire et de se propager au sein d'un système. Publié à titre posthume en 1966, son ouvrage, intitulé Théorie générale et logique des automates (lien externe à ibm.com), sert de fondement théorique pour les virus informatiques.
Seulement cinq ans après la publication du travail théorique de John von Neumann, un programmeur du nom de Bob Thomas a créé un programme expérimental appelé Creeper, conçu pour se déplacer entre différents ordinateurs sur l'ARPANET (lien externe à ibm.com), un précurseur de l'internet moderne. Ray Tomlinson, considéré comme l'inventeur du courrier électronique, a modifié le programme Creeper pour non seulement se déplacer d'un ordinateur à l'autre, mais aussi se copier lui-même. C'est ainsi qu'est né le premier ver informatique.
Même si Creeper a été le premier du genre, ce n'était pas vraiment un logiciel malveillant. Creeper était une simple démonstration de faisabilité, sans arrière-pensée. Il n'a pas causé de dommages aux systèmes qu'il a infectés, se contentant d'afficher le message amusant I'M THE CREEPER : CATCH ME IF YOU CAN. L'année suivante, Tomlinson, qui avait lancé le défi, a créé Reaper, le premier antivirus conçu pour supprimer Creeper en se déplaçant de manière similaire sur l'ARPANET.
Développé par Rich Skrenta alors qu'il n'avait que 15 ans, le programme Elk Cloner était conçu pour être une blague. Membre du club informatique de son lycée, Skrenta était connu parmi ses amis pour modifier les jeux et autres logiciels partagés au sein du club, au point que beaucoup refusaient d'accepter des disquettes de sa part, sachant qu'il était un farceur.
Dans le but de modifier les logiciels des disquettes qu'il ne pouvait pas directement accéder, Skrenta a inventé le premier virus connu pour les ordinateurs Apple. Ce que l'on appellerait aujourd'hui un virus de secteur d'amorçage, Elk Cloner se propageait en infectant le système d'exploitation Apple DOS 3.3. Une fois transféré depuis une disquette infectée, il se copiait dans la mémoire de l'ordinateur. Lorsque l'on insérait ensuite une disquette non infectée dans l'ordinateur, Elk Cloner se copiait sur cette disquette, se propageant rapidement parmi les amis de Skrenta. Bien que délibérément malveillant, Elk Cloner pouvait parfois écraser et effacer des données sur certaines disquettes. Il contenait également un message poétique qui, traduit en français, disait :
ELK CLNER :
LE PROGRAMME AVEC UNE PERSONNALITÉ
IL S'INFILTRERA SUR TOUTES VOS DISQUETTES
IL S'INFILTRERA DANS VOS PUCES
OUI, C’EST CLONER !
IL VOUS COLLERA À LA PEAU COMME DE LA COLLE
IL MODIFIERA AUSSI LA RAM.
ENVOYEZ LE CLONEUR !
Alors que le ver Creeper pouvait se déplacer d'un ordinateur à l'autre via l'ARPANET, avant l'adoption généralisée d'Internet, la plupart des logiciels malveillants étaient propagés via des disquettes, comme Elk Cloner. Cependant, alors que les effets d'Elk Cloner étaient limités à un petit groupe d'utilisateurs, le virus Brain s'est propagé à l'échelle mondiale.
Créé par les frères Amjad et Basit Farooq Alvi, distributeurs de logiciels médicaux au Pakistan, Brain est considéré comme le premier virus pour l'ordinateur personnel d'IBM et a été initialement développé pour empêcher la violation des droits d'auteur. Le virus avait pour but d’empêcher les utilisateurs d’utiliser des versions copiées de leur logiciel. Une fois installé, Brain affichait un message invitant les utilisateurs ayant copié leurs logiciels à les contacter pour obtenir un « vaccin » contre le virus. Sous-estimant l'ampleur de leur problème de piratage, les frères Alvi ont reçu leur premier appel des États-Unis, suivi de nombreux autres provenant du monde entier.
Le ver Morris est un autre précurseur des logiciels malveillants, qui n'a pas été créé dans une intention malveillante mais comme une preuve de concept. Malheureusement pour son créateur, Robert Morris, étudiant au MIT, le ver s'est révélé beaucoup plus efficace que prévu. À l'époque, environ 60 000 ordinateurs seulement avaient accès à Internet, principalement dans les universités et au sein de l'armée. Conçu pour exploiter une porte dérobée sur les systèmes Unix et rester dissimulé, le ver s'est rapidement propagé, se répliquant à l'infini et infectant 10 % de tous les ordinateurs en réseau.
Le ver ne se contentait pas de se copier sur d'autres ordinateurs, il se répliquait également plusieurs fois sur les ordinateurs infectés, consommant involontairement de la mémoire et paralysant ainsi plusieurs PC. En tant que première cyberattaque généralisée sur Internet, cet incident a causé des dommages estimés à plusieurs millions de dollars. Pour sa participation à cet événement, Robert Morris est devenu le premier cybercriminel à être condamné pour fraude informatique aux États-Unis..
Bien que moins destructeur que le ver Morris, environ une décennie plus tard, le ver Melissa a démontré à quelle vitesse les logiciels malveillants pouvaient se propager par e-mail, infectant environ un million de comptes de messagerie et au moins 100 000 ordinateurs professionnels. Le ver le plus rapide de son époque, il a provoqué des surcharges massives sur les serveurs de messagerie Microsoft Outlook et Microsoft Exchange, entraînant des ralentissements dans plus de 300 entreprises et agences gouvernementales, notamment Microsoft, l'équipe d'intervention en cas d'urgence informatique du Pentagone et environ 250 autres organisations.
Comme le dit l'adage, « la nécessité est mère de l'invention ». Onel de Guzman, un Philippin de 24 ans, a créé un ver macro viral pour voler les mots de passe d'autres personnes lorsqu'il ne pouvait pas se permettre un service Internet par ligne commutée, faisant ainsi de ILOVEYOU le premier logiciel malveillant d'envergure. Cette attaque est un exemple précoce d'ingénierie sociale et de hameçonnage. De Guzman a exploité la curiosité des gens, les manipulant pour qu'ils téléchargent des pièces jointes malveillantes déguisées en lettres d'amour. « J'ai compris que beaucoup de gens cherchent un petit ami, qu'ils veulent trouver quelqu'un, qu'ils recherchent l'amour », a déclaré de Guzman.
Une fois infecté, le ver ne se contentait pas de voler des mots de passe, il supprimait également des fichiers, causant des millions de dollars de dégâts, et mettant même hors service le système informatique du Parlement britannique pendant une courte période. Bien que de Guzman ait été arrêté, toutes les charges ont été abandonnées, car il n'avait enfreint aucune loi locale.
Similaire à ILOVEYOU, le ver Mydoom utilisait également les e-mails pour se répliquer et infecter des systèmes dans le monde entier. Une fois installé, Mydoom prenait le contrôle de l'ordinateur de la victime pour envoyer d'autres copies de lui-même par e-mail. Incroyablement efficace, le spam généré par Mydoom représentait à un moment donné 25 % de tous les e-mails envoyés dans le monde, un record jamais égalé. Il a causé des dommages estimés à 35 milliards de dollars. Corrigé de l'inflation, Mydoom reste le logiciel malveillant le plus destructeur jamais créé en termes de pertes financières.
En plus de détourner les programmes de messagerie pour infecter autant de systèmes que possible, Mydoom a également utilisé les ordinateurs infectés pour créer un réseau de zombies (botnet) et lancer des attaques par déni de service distribué (DDoS). Malgré son impact, les cybercriminels à l'origine de Mydoom n'ont jamais été identifiés ni arrêtés.
Identifié pour la première fois en 2007, Zeus infectait les ordinateurs personnels via des attaques de hameçonnage et des téléchargements furtifs, démontrant ainsi le potentiel dangereux d'un virus de type cheval de Troie capable de diffuser divers types de logiciels malveillants. En 2011, son code source et son manuel d'instructions ont fuité, fournissant des informations précieuses tant aux professionnels de la cybersécurité qu'aux pirates informatiques.
CryptoLocker est l'un des premiers exemples de ransomware, connu pour sa propagation rapide et ses puissantes capacités de chiffrement asymétrique (pour l'époque). Distribué via des botnets capturés par le virus Zeus, CryptoLocker cryptait systématiquement les données sur les PC infectés. Si le PC infecté faisait partie d'un réseau local, comme une bibliothèque ou un bureau, les ressources partagées étaient les premières ciblées.
Pour récupérer l'accès à ces ressources cryptées, les créateurs de CryptoLocker demandaient une rançon de deux bitcoins, dont la valeur à l'époque était d'environ 715 USD. Heureusement, en 2014, le ministère de la Justice américain, en collaboration avec des agences internationales, a réussi à prendre le contrôle du botnet malveillant et à décrypter gratuitement les données prises en otage. Malheureusement, le programme CryptoLocker continue de se propager via des attaques de hameçonnage et demeure une menace persistante.
Surnommé le « roi des logiciels malveillants » par Arne Schoenbohm, directeur de l'Office allemand de la sécurité de l'information, le cheval de Troie Emotet est un exemple parfait de logiciel malveillant polymorphe, ce qui complique son éradication pour les spécialistes de la sécurité. Les logiciels polymorphes modifient légèrement leur code à chaque réplication, créant une variante différente mais tout aussi dangereuse. Cela les rend d'autant plus difficiles à détecter et à bloquer par les logiciels anti-malware.
Comme le cheval de Troie Zeus, Emotet persiste en tant que programme modulaire utilisé pour diffuser d'autres formes de logiciels malveillants et est souvent transmis par le biais d'attaques de hameçonnage traditionnelles.
À mesure que les ordinateurs évoluent, passant des ordinateurs de bureau aux ordinateurs portables, aux appareils mobiles et à une multitude d'appareils connectés en réseau, les logiciels malveillants suivent la même évolution.
Avec l'essor de l'internet des objets (IdO), les dispositifs intelligents IdO introduisent une nouvelle vague de vulnérabilités. Créé par l'étudiant Paras Jha, le botnet Mirai a pris le contrôle d'un grand nombre de caméras de vidéosurveillance, principalement équipées de dispositifs IdO avec une sécurité insuffisante.
Initialement conçu pour cibler les serveurs de jeux via des attaques DoS, le botnet Mirai s'est révélé encore plus puissant que prévu par Jha. En ciblant un important fournisseur de DNS, il a coupé l'accès à internet à de vastes régions de la côte Est des États-Unis pendant près d'une journée entière.
Bien que les logiciels malveillants aient déjà joué un rôle dans la cyberguerre pendant de nombreuses années, 2017 a été une année marquante pour les cyberattaques soutenues par des États et l'espionnage virtuel, notamment avec un ransomware initialement banal appelé Petya. Bien que dangereux, Petya s'est propagé par le hameçonnage et n'était pas particulièrement infectieux avant d'être modifié en un ver destructeur, NotPetya, qui se présentait comme un ransomware mais effaçait les données des utilisateurs, même si une rançon était payée. La même année, le ransomware WannaCry (lien externe à ibm.com) a frappé plusieurs cibles de premier plan en Europe, notamment le service national de santé britannique.
NotPetya serait lié aux services de renseignement russes, qui auraient modifié le virus Petya pour attaquer l'Ukraine, tandis que WannaCry pourrait être associé à des secteurs adverses du gouvernement nord-coréen. Qu'ont en commun ces deux attaques ? Elles ont toutes deux été rendues possibles par une faille de sécurité dans Microsoft Windows, appelée Eternalblue, découverte à l'origine par l'Agence de sécurité nationale (NSA). Bien que Microsoft ait finalement identifié et corrigé la faille, l'entreprise a reproché à la NSA de ne pas l'avoir signalée avant que les pirates ne puissent exploiter cette vulnérabilité.
Ces dernières années, les ransomwares ont à la fois explosé et ralenti. Bien que les attaques réussies par ransomware soient en baisse, les hackers ciblent des cibles plus importantes, causant des dommages bien plus graves. Le ransomware en tant que service (RaaS) est une tendance préoccupante qui a gagné en popularité ces dernières années. Proposé sur les marchés du dark web, le RaaS offre un protocole clé en main, permettant à des hackers professionnels de mener des attaques en échange d'une rémunération. Alors que les attaques précédentes nécessitaient des compétences techniques avancées, les groupes mercenaires offrant le RaaS permettent à toute personne malintentionnée disposant de moyens financiers de se lancer.
La première attaque de ransomware à double extorsion très médiatisée s'est produite en 2019, lorsque des pirates ont infiltré l'agence de sécurité Allied Universal, chiffrant leurs données tout en menaçant de publier les informations volées en ligne. Cette nouvelle dimension signifiait que même si Allied Universal avait pu décrypter ses fichiers, elle aurait tout de même subi une violation de données. Si cette attaque a marqué les esprits, celle de 2021 contre Colonial Pipeline est encore plus célèbre en raison de la gravité de la menace. À l'époque, Colonial Pipeline acheminait 45 % de l'essence et du carburéacteur de la côte Est des États-Unis. L'attaque, qui a duré plusieurs jours, a eu des répercussions sur les secteurs public et privé de la côte est, incitant le président Biden à déclarer un état d'urgence temporaire.
Bien que les attaques par ransomware semblent diminuer, les attaques hautement ciblées et efficaces continuent de représenter une menace inquiétante. En 2022, le Costa Rica a subi une série d'attaques de ransomware (lien externe à ibm.com), d'abord paralysant le ministère des Finances et touchant également les entreprises civiles d'importation et d'exportation. Une attaque ultérieure a mis hors service le système de santé national, affectant potentiellement tous les citoyens du pays. Ainsi, le Costa Rica est entré dans l'histoire en devenant le premier pays à déclarer un état d'urgence national en réponse à une cyberattaque.
Découvrez les solutions QRadar SIEM contre les ransomwares