Le terme de « logiciel malveillant », ou « malware », désigne un code logiciel ou un programme informatique (rançongiciel, cheval de Troie, logiciel espion, etc.) écrit pour nuire aux systèmes informatiques ou à leurs utilisateurs.
Presque toutes les cyberattaques modernes impliquent un type de logiciel malveillant. Ces programmes malveillants peuvent prendre de nombreuses formes, allant du ransomware très préjudiciable et coûteux au simple adware agaçant, en fonction de l’objectif des cybercriminels.
Les cybercriminels développent et utilisent des logiciels malveillants pour :
- prendre en otage des appareils, des données ou des réseaux d’entreprise entiers en échange d’importantes sommes d’argent ;
- obtenir un accès non autorisé à des données sensibles ou à des actifs numériques ;
- voler des identifiants de connexion, des numéros de carte de crédit, de la propriété intellectuelle ou d’autres informations précieuses ;
- perturber les systèmes critiques dont dépendent les entreprises et les organismes publics.
Il y a des milliards d’attaques de logiciels malveillants chaque année (lien externe à ibm.com), et les infections peuvent se produire sur n’importe quel appareil ou système d’exploitation. Les systèmes Windows, Mac, iOS et Android peuvent tous en être victimes.
De plus en plus, les attaques de logiciels malveillants ciblent les entreprises plutôt que les utilisateurs individuels, car les pirates ont appris qu’il était plus lucratif de s’en prendre aux organisations. Les entreprises détenant souvent de grands volumes de données personnelles, les pirates informatiques exploitent ce fait pour leur extorquer d’importantes sommes d’argent. Ils peuvent utiliser ces données personnelles pour usurper une identité ou la vendre sur le dark web.
Avec l’IBM Security X-Force Threat Intelligence Index, vous disposez d’informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
Demandez notre rapport sur le coût d’une violation de données
La cybercriminalité est une industrie colossale. Selon une estimation (lien externe à ibm.com), elle serait la troisième économie mondiale derrière les États-Unis et la Chine, et devrait représenter 10,5 billions de dollars américains d’ici 2025.
Dans ce secteur, les pirates développent constamment de nouvelles souches de logiciels malveillants dotés de nouvelles caractéristiques et fonctionnalités. Ces souches engendrent de nouvelles variantes au fil du temps afin de mieux échapper aux logiciels de sécurité. On estime (lien externe à ibm.com) que plus d’un milliard de souches et de variantes de logiciels malveillants ont été créées depuis les années 1980, ce qui complique la tâche des professionnels de la cybersécurité.
Les pirates partagent souvent leurs logiciels malveillants en créant un code en open source ou en le vendant à d’autres criminels. Les développeurs de ransomwares ont souvent recours à des accords de MaaS (logiciel malveillant en tant que service), de sorte que même les criminels ayant peu d’expertise technique peuvent tirer profit de la cybercriminalité.
Bien que le paysage soit en constante évolution, les souches de logiciels malveillants peuvent être classées en quelques catégories communes.
Les termes « logiciel malveillant » et « virus informatique » sont souvent utilisés comme synonymes, mais techniquement, un virus est un type particulier de logiciel malveillant. Plus précisément, un virus est un code malveillant qui détourne un logiciel légitime pour causer des dommages et diffuser des copies de lui-même.
Les virus ne peuvent pas agir seuls. Ils cachent des extraits de leur code dans d’autres programmes exécutables. Lorsqu’un utilisateur démarre le programme, le virus s’exécute également. Les virus sont généralement conçus pour supprimer des données importantes, perturber le fonctionnement normal de l’ordinateur et diffuser des copies d’eux-mêmes à d’autres programmes sur l’ordinateur infecté.
La plupart des premières menaces étaient des virus. Elk Cloner, peut-être le premier logiciel malveillant à se propager par le biais d’appareils publics, était un virus ciblant les ordinateurs Apple.
Un botnet est un réseau d’appareils connectés à Internet et infectés par des logiciels malveillants, sous le contrôle d’un pirate. Les botnets peuvent inclure des PC, des appareils mobiles, des appareils connectés (IdO), et bien plus encore. Souvent, les victimes ne se rendent pas compte que leurs appareils font partie d’un botnet. Les pirates utilisent souvent ces réseaux de bots pour lancer des attaques DDoS, qui bombardent un réseau cible avec une telle quantité de trafic qu’il ralentit ou s’arrête complètement.
Mirai, l’un des botnets les plus connus, était responsable d’une attaque massive menée en 2016 contre le fournisseur de systèmes de noms de domaine Dyn. Cette attaque avait mis hors service des sites Web connus comme Twitter et Reddit, utilisés par des millions d’internautes aux États-Unis et en Europe (lien externe à ibm.com).
Un cryptojacker est un logiciel malveillant qui prend le contrôle d’un appareil et l’utilise pour miner de la cryptomonnaie, comme le Bitcoin, à l’insu de son propriétaire. Concrètement, les cryptojackers créent des botnets de minage de cryptomonnaies.
Le minage de crypto-monnaies est une tâche extrêmement coûteuse et gourmande en ressources informatiques. Les cybercriminels en tirent profit tandis que les utilisateurs des ordinateurs infectés subissent des ralentissements et des pannes. Les cryptojackers ciblent souvent l’infrastructure cloud d’entreprises, ce qui leur permet de rassembler plus de ressources pour le minage de cryptomonnaies que de cibler les ordinateurs de particuliers.
Les logiciels malveillants sans fichier sont un type d’attaque qui utilise les vulnérabilités de logiciels légitimes tels que les navigateurs Web et les traitements de texte pour injecter du code malveillant directement dans la mémoire d’un ordinateur. Comme le code s’exécute en mémoire, il ne laisse aucune trace sur le disque dur. Et comme il utilise des logiciels légitimes, il passe souvent inaperçu.
De nombreux logiciels malveillants sans fichier utilisent PowerShell, une interface de ligne de commande et un outil de script intégré au système d’exploitation Microsoft Windows. Les pirates peuvent exécuter des scripts PowerShell pour modifier des configurations, voler des mots de passe ou faire d’autres dégâts.
Les macros malveillantes sont un autre vecteur courant des attaques sans fichier. Des applications telles que Microsoft Word et Excel permettent aux utilisateurs de définir des macros, des ensembles de commandes qui automatisent des tâches simples telles que la mise en forme de texte ou l’exécution de calculs. Les pirates peuvent stocker des scripts malveillants dans ces macros, et lorsqu’un utilisateur ouvre le fichier, ces scripts s’exécutent automatiquement.
Les vers sont des programmes malveillants auto-répliquants qui peuvent se propager entre les applications et les appareils sans interaction humaine (contrairement à un virus, qui ne peut se propager que si un utilisateur exécute un programme compromis). Si certains vers ne font que se propager, beaucoup ont des conséquences plus graves. Par exemple, le ransomware WannaCry, qui a causé des dommages estimés à 4 milliards d’USD, était un ver qui a maximisé son impact en se propageant automatiquement entre les appareils connectés.
Les chevaux de Troie se déguisent en programmes utiles ou se cachent dans des logiciels légitimes pour inciter les utilisateurs à les installer. Un cheval de Troie d’accès à distance ou « RAT » (pour « remote access Trojan ») crée une porte dérobée secrète sur l’appareil infecté. Un autre type de cheval de Troie, appelé « dropper », installe d’autres logiciels malveillants une fois qu’il s’est implanté. Ryuk, l’une des souches récentes de ransomware les plus dévastatrices, a utilisé le cheval de Troie Emotet pour infecter des appareils.
Les rootkits sont des logiciels malveillants qui permettent aux pirates d’obtenir un accès privilégié, de niveau administrateur, au système d’exploitation d’un ordinateur ou à d’autres actifs. Les pirates peuvent ensuite utiliser ces autorisations élevées pour faire pratiquement tout ce qu’ils veulent, comme ajouter et supprimer des utilisateurs ou reconfigurer des applications. Les pirates utilisent souvent les rootkits pour dissimuler des processus malveillants ou désactiver les logiciels de sécurité qui pourraient les détecter.
Les scarewares effraient les utilisateurs et les incitent à télécharger des logiciels malveillants ou à transmettre des informations sensibles à un fraudeur. Les scarewares se présentent souvent sous la forme de fenêtres pop-up soudaines contenant un message urgent, avertissant généralement l’utilisateur qu’il a enfreint la loi ou que son appareil est infecté par un virus. La pop-up l’incite à payer une amende ou à télécharger un faux logiciel de sécurité qui s’avère être un logiciel malveillant.
Les logiciels espions se cachent sur un ordinateur infecté, recueillent secrètement des informations sensibles et les transmettent au pirate. Un type courant de logiciel espion, baptisé keylogger ou enregistreur de frappe, enregistre toutes les frappes de l’utilisateur. Cela permet aux pirates de récupérer les noms d’utilisateur, les mots de passe, les numéros de compte bancaire et de carte de crédit, les numéros de sécurité sociale et d’autres données sensibles.
Les adwares diffusent des publicités intempestives sur l’appareil. Ils sont souvent inclus dans des logiciels gratuits, à l’insu de l’utilisateur. Lorsque l’utilisateur installe le programme, il installe aussi, sans le savoir, le logiciel publicitaire. La plupart des adwares ne sont guère plus qu’une gêne, mais certains recueillent des données personnelles, redirigent les navigateurs Web vers des sites malveillants, voire téléchargent d’autres logiciels malveillants sur l’appareil de l’utilisateur s’il clique sur l’une des fenêtres pop-up.
Les ransomwares verrouillent les appareils ou les données d’une victime et exigent le paiement d’une rançon, généralement en crypto-monnaie, pour les déverrouiller. Selon le rapport X-Force Threat Intelligence Index d’IBM, les ransomwares sont le deuxième type de cyberattaque le plus répandu, représentant 17 % des attaques.
Les attaques par ransomware les plus basiques rendent les actifs inutilisables jusqu’au paiement de la rançon, mais les cybercriminels peuvent utiliser d’autres tactiques pour accroître la pression sur les victimes.
Dans le cas d’une double extorsion, les cybercriminels volent des données et menacent de les divulguer s’ils ne sont pas payés. Dans le cas d’une triple extorsion, les pirates chiffrent les données de la victime, les volent et menacent de mettre les systèmes hors service par le biais d’une attaque par déni de service distribué (DDoS).
Les demandes de rançon peuvent aller de quelques dizaines de milliers à des millions de dollars. Selon un rapport (lien externe à ibm.com), le montant moyen d’une rançon s’élève à 812 360 dollars. Même si les victimes ne paient pas, le ransomware est coûteux. Le rapport d’IBM sur le coût d’une violation de données a révélé que l’attaque par ransomware coûte en moyenne 4,54 millions de dollars américains, sans compter la rançon elle-même.
Les pirates utilisent des logiciels malveillants d’accès à distance pour accéder à des ordinateurs, des serveurs ou d’autres appareils en créant ou en exploitant des portes dérobées. Selon le rapport X-Force Threat Intelligence Index, la création de portes dérobées est l’objectif le plus courant des pirates, représentant 21 % des attaques.
Les portes dérobées permettent aux cybercriminels de faire beaucoup de choses. Ils peuvent voler des données ou des identifiants, prendre le contrôle d’un appareil ou installer des logiciels malveillants encore plus dangereux comme les ransomwares. Certains pirates utilisent des logiciels malveillants d’accès à distance pour créer des portes dérobées qu’ils vendent à d’autres pirates, et qui peuvent rapporter plusieurs milliers de dollars chacune.
Certains logiciels malveillants d’accès à distance, comme Back Orifice ou CrossRAT, sont délibérément conçus à des fins malveillantes. Les pirates peuvent également modifier ou détourner des logiciels légitimes pour accéder à distance à un appareil. Ainsi, les cybercriminels utilisent des identifiants Microsoft Remote Desktop Protocol (RDP) volés pour créer des portes dérobées.
Une attaque par logiciel malveillant comporte deux éléments : la charge utile du logiciel malveillant et le vecteur d’attaque. La charge utile est le code malveillant que les pirates veulent implanter ; le vecteur d’attaque est la méthode utilisée pour transmettre la charge utile à sa cible.
Parmi les vecteurs de logiciels malveillants les plus courants, on peut citer :
Les attaques d’ingénierie sociale manipulent psychologiquement les gens pour qu’ils fassent des choses qu’ils ne devraient pas faire, comme télécharger des logiciels malveillants. Les attaques par hameçonnage, qui utilisent des e-mails ou des SMS frauduleux pour tromper les utilisateurs, sont particulièrement courantes. Selon le rapport X-Force Threat Intelligence Index, l’hameçonnage est à l’origine de 41 % des infections par des logiciels malveillants.
Les e-mails et les messages d’hameçonnage sont souvent conçus pour donner l’impression qu’ils proviennent d’une marque ou d’une personne de confiance. Ils tentent généralement de susciter des émotions fortes telles que la peur (« Nous avons trouvé neuf virus sur votre téléphone ! »), l’appât du gain (« Un paiement non réclamé vous attend ! ») ou l’urgence (« Il ne vous reste plus beaucoup de temps pour réclamer votre cadeau ! ») afin d’inciter les utilisateurs à effectuer l’action souhaitée. En général, cette action consiste à ouvrir une pièce jointe à un e-mail malveillant ou à visiter un site malveillant qui charge un logiciel malveillant sur leur appareil.
Les cybercriminels sont constamment à la recherche de vulnérabilités non corrigées dans les logiciels, les appareils et les réseaux qui leur permettent d’injecter des logiciels malveillants dans le logiciel ou le micrologiciel de leur cible. Les appareils connectés (dont beaucoup sont vendus et déployés avec une sécurité minimale, voire inexistante) constituent un terrain particulièrement fertile pour les cybercriminels qui sèment des logiciels malveillants.
En utilisant une tactique dite « d’appâtage », les pirates peuvent placer des clés USB infectées ornées d’étiquettes qui attirent l’attention dans des lieux publics tels que des espaces de coworking ou des cafés. Attirés par ces clés, des utilisateurs peu méfiants les branchent sur leur appareil pour voir ce qu’elles contiennent, et le logiciel malveillant infecte leur système. Une étude récente a révélé que 37 % des cybermenaces connues sont conçues pour exploiter les supports amovibles (lien externe à ibm.com).
De nombreuses formes de logiciels malveillants, comme les chevaux de Troie et les adwares, se déguisent en logiciels utiles ou en copies gratuites de films et de musique. Paradoxalement, ils se font souvent passer pour des programmes antivirus gratuits ou des applications permettant d’améliorer les performances de l’appareil. Si les réseaux de torrents où les utilisateurs partagent des médias piratés sont des terrains de jeu notoires pour les cybercriminels, les logiciels malveillants cachés peuvent également se frayer un chemin sur les marchés légitimes. Récemment, le logiciel malveillant Goldoson (lien externe à ibm.com) a pu infecter des millions d’appareils en se cachant dans des applications disponibles sur Google Play.
On parle de publicité malveillante lorsque des pirates placent des annonces malveillantes sur des réseaux publicitaires légitimes ou détournent des annonces légitimes pour diffuser du code malveillant. Par exemple, le logiciel malveillant Bumblebee s’est propagé (lien externe à ibm.com) par le biais d’une publicité Google malveillante se faisant passer pour Cisco AnyConnect. Les utilisateurs qui cherchaient le vrai produit voyaient l’annonce dans leurs résultats de recherche, cliquaient dessus et téléchargeaient involontairement le logiciel malveillant.
Une technique connexe appelée « téléchargements furtifs » fait en sorte que les utilisateurs n’ont même pas besoin de cliquer : dès qu’ils visitent un site Web malveillant, le téléchargement démarre automatiquement.
Dans les réseaux d’entreprise, les appareils personnels des utilisateurs peuvent être des vecteurs privilégiés de logiciels malveillants. Les smartphones et les ordinateurs portables des utilisateurs peuvent être infectés pendant leur temps libre, lorsqu’ils se connectent à des réseaux non sécurisés sans bénéficier des solutions de sécurité de l’entreprise. Lorsque les utilisateurs apportent ces appareils au travail, les logiciels malveillants peuvent se propager au réseau de l’entreprise.
Si le réseau d’un fournisseur est compromis, les logiciels malveillants peuvent se propager aux réseaux des entreprises qui utilisent ses produits et services. Par exemple, des cybercriminels ont profité d’une faille dans la plateforme VSA de Kaseya (lien externe à ibm.com) pour diffuser un ransomware à des clients sous couvert d’une mise à jour logicielle légitime.
Certaines infections de logiciels malveillants, comme les ransomwares, s’annoncent d’elles-mêmes. Cependant, la plupart tentent de rester invisibles tout en faisant des ravages. Néanmoins, les infections par logiciels malveillants laissent souvent des traces que les équipes de cybersécurité peuvent utiliser pour les identifier. Ces signes sont les suivants :
Baisse des performances : Les programmes malveillants utilisent les ressources de l’ordinateur infecté pour fonctionner, ce qui consomme souvent de l’espace de stockage et perturbe les processus légitimes. L’équipe d’assistance informatique peut remarquer un afflux de tickets provenant d’utilisateurs dont les appareils ralentissent, se bloquent ou sont inondés de fenêtres pop-up.
Activité nouvelle et inattendue sur le réseau : Le personnel informatique et de sécurité peut détecter des comportements étranges, tels que des processus utilisant plus de bande passante que d’habitude, des appareils communiquant avec des serveurs inconnus ou des comptes d’utilisateurs accédant à des actifs qu’ils n’utilisent pas d’habitude.
Modification des configurations : Certaines souches de logiciels malveillants modifient la configuration des appareils ou désactivent les solutions de sécurité pour éviter d’être détectées. Les équipes informatiques et de sécurité peuvent détecter que, par exemple, les règles du pare-feu ont changé ou que les privilèges d’un compte ont été élevés.
Alertes d’événements de sécurité : Pour les organisations disposant de solutions de détection des menaces, le premier signe d’une infection par un logiciel malveillant sera probablement une alerte d’événement de sécurité. Des solutions telles que les systèmes de détection d’intrusion (IDS), les plateformes de gestion des informations et des événements de sécurité (SIEM) et les logiciels antivirus peuvent signaler une activité potentielle de logiciel malveillant pour que l’équipe de réponse aux incidents l’examine.
Les attaques de logiciels malveillants sont inévitables, mais les organisations peuvent prendre certaines mesures pour renforcer leurs défenses. Notamment :
Sensibilisation à la sécurité : De nombreuses infections par des logiciels malveillants résultent du fait que les utilisateurs téléchargent de faux logiciels ou se laissent piéger par des escroqueries par hameçonnage. Les formations de sensibilisation à la sécurité peuvent aider les utilisateurs à repérer les attaques d’ingénierie sociale, les sites Web malveillants et les fausses applications. La formation de sensibilisation à la sécurité peut également informer les utilisateurs sur ce qu’il faut faire et qui contacter s’ils soupçonnent la présence d’un logiciel malveillant.
Politiques de sécurité : Exiger des mots de passe forts, une authentification multifacteur et des VPN lors de l’accès à des actifs sensibles via un Wi-Fi non sécurisé peut aider à limiter l’accès des pirates aux comptes des utilisateurs. La mise en place d’un calendrier régulier de gestion des correctifs, d’évaluation des vulnérabilités et de tests d’intrusion peut également aider à détecter les vulnérabilités des logiciels et des appareils avant que les cybercriminels ne les exploitent. Les politiques de gestion des appareils BYOD (bring your own device) et de prévention du shadow IT peuvent aider à empêcher les utilisateurs d’introduire à leur insu des logiciels malveillants sur le réseau de l’entreprise.
Sauvegardes : Conserver des sauvegardes à jour des données sensibles et des images système, idéalement sur des disques durs ou d’autres appareils pouvant être déconnectés du réseau, peut faciliter la récupération après des attaques de logiciels malveillants.
Architecture réseau Zero Trust : Le Zero Trust est une approche de la sécurité réseau dans laquelle les utilisateurs ne sont jamais dignes de confiance et sont toujours vérifiés. Le Zero Trust met notamment en œuvre le principe du moindre privilège, la microsegmentation du réseau et l’authentification adaptative continue. Cela permet de s’assurer qu’aucun utilisateur ou appareil ne peut accéder à des données sensibles ou à des actifs auxquels il ne devrait pas avoir accès. Si un logiciel malveillant s’introduit dans le réseau, ces contrôles peuvent limiter son mouvement latéral.
Plans de réponse aux incidents : La création à l’avance de plans de réponse aux incidents pour différents types de logiciels malveillants peut aider les équipes de cybersécurité à éradiquer plus rapidement les infections par des logiciels malveillants.
Outre les tactiques manuelles décrites plus tôt, les équipes de cybersécurité peuvent utiliser des solutions de sécurité pour automatiser certains aspects de la suppression, de la détection et de la prévention des logiciels malveillants. Les outils les plus courants sont les suivants :
Les logiciels antivirus : Également appelés logiciels « anti-malware », les programmes antivirus analysent les systèmes à la recherche de signes d’infection. En plus d’alerter les utilisateurs, de nombreux programmes antivirus peuvent isoler et supprimer automatiquement les logiciels malveillants lorsqu’ils sont détectés.
Les pare-feux : Les pare-feux peuvent empêcher une partie du trafic malveillant d’atteindre le réseau. Si des logiciels malveillants parviennent à pénétrer dans un appareil du réseau, les pare-feux peuvent aider à empêcher les communications sortantes vers les pirates, comme un enregistreur de frappe qui renvoie les frappes de clavier à l’attaquant.
Les plateformes de gestion des informations et des événements de sécurité (SIEM) : Les SIEM collectent des informations provenant d’outils de sécurité internes, les regroupent dans un journal central et signalent les anomalies. Comme les SIEM centralisent les alertes provenant de sources multiples, ils peuvent faciliter la détection de signes subtils de logiciels malveillants.
Les plateformes d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) : Les plateformes SOAR intègrent et coordonnent des outils de sécurité disparates, ce qui permet aux équipes de sécurité de créer des protocoles partiellement ou entièrement automatisés pour lutter contre les logiciels malveillants en temps réel.
Les plateformes de détection et d’intervention aux terminaux (EDR) : Les plateformes EDR surveillent les points de terminaison, tels que les smartphones, les ordinateurs portables et les serveurs, à la recherche de signes d’activité suspecte et peuvent réagir automatiquement aux logiciels malveillants détectés.
Les plateformes de détection et de réponse étendues (XDR) : Les XDR intègrent les outils et les opérations de sécurité à travers toutes les couches de sécurité : utilisateurs, points de terminaison, e-mails, applications, réseaux, workloads cloud et données. Les XDR peuvent aider à automatiser les processus complexes de prévention, de détection, d’investigation et de réponse aux logiciels malveillants, y compris la traque proactive des menaces.
Les outils de gestion de la surface d’attaque (ASM) : Les outils ASM découvrent, analysent, remédient et surveillent en permanence tous les actifs du réseau d’une organisation. L’ASM peut aider les équipes de cybersécurité à repérer les applications et appareils non autorisés du shadow IT susceptibles de véhiculer des logiciels malveillants.
La gestion unifiée des terminaux (UEM) : Les logiciels UEM surveillent, gèrent et sécurisent tous les appareils des utilisateurs finaux d’une organisation, y compris les ordinateurs de bureau, les ordinateurs portables et les appareils mobiles. De nombreuses organisations utilisent des solutions UEM pour contribuer à s’assurer que les appareils BYOD des employés n’introduisent pas de logiciels malveillants dans le réseau de l’entreprise.
Pour prévenir et contrer les menaces par ransomware modernes, IBM exploite 800 To de données relatives à l’activité des menaces et des informations sur plus de 17 millions de spams et d’attaques par hameçonnage. IBM analyse également données de réputation de près d’un million d’adresses IP malveillantes provenant d’un réseau de 270 millions de points de terminaison.
Les cyberattaques sont des tentatives indésirables de vol, d’exposition, de modification, de désactivation ou de destruction d’informations par le biais d’un accès non autorisé aux systèmes informatiques.
Les ransomwares prennent en otage les appareils et les données des victimes, jusqu’à ce qu’une rançon soit payée. Découvrez comment fonctionne les ransomwares, pourquoi ils ont proliféré ces dernières années et comment les organisations s’en prémunissent.
Le zero trust est un framework qui part du principe que la sécurité d’un réseau complexe est toujours soumis à des menaces externes et internes. Il aide à organiser et à élaborer une stratégie complète pour contrer ces menaces.
Chaque année, IBM Security X-Force, notre équipe interne d’experts en cybersécurité, extrait des milliards de points de données pour exposer les statistiques et tendances de sécurité les plus urgentes du moment.