Les logiciels malveillants sont des codes logiciels écrits pour endommager ou détruire des ordinateurs ou des réseaux, ou pour fournir un accès non autorisé à des ordinateurs, des réseaux ou des données à des fins malveillantes ou criminelles. Une forme de logiciel malveillant est à l'origine de pratiquement tous les types de cyberattaques.

Les cybercriminels utilisent des logiciels malveillants pour :

• Prendre en otage les utilisateurs et les organisations contre de grandes sommes d'argent.
• Prendre le contrôle à distance non autorisé les ordinateurs ou les serveurs d'autres personnes.
• Voler des données sensibles (numéros de compte bancaire et de sécurité sociale de particuliers, propriété intellectuelle d'entreprises, etc), afin d'usurper des identités, de tirer un avantage concurrentiel ou à d'autres fins frauduleuses.
• Paralyser les systèmes des entreprises, des administrations, des services publics ou d'autres institutions.

Les coûts des attaques des logiciels malveillants sont colossaux. Selon Cybercrime Magazine, le coût global des dommages causés par un seul type de logiciel malveillant (les rançongiciels) s'élevait à 20 milliards USD en 2021 et atteindra 265 milliards USD en 2031 (lien externe à ibm.com).

A une époque, la plupart des menaces de logiciels malveillants étaient des virus informatiques, c'est-à-dire des codes qui « infectent » un ordinateur et en propagent des copies à d'autres ordinateurs. Le tout premier virus informatique, appelé Creeper, se répliquait jusqu'à ce qu'il paralyse l'ordinateur en remplissant son disque dur (quelque chose de relativement rapide en 1971, lorsque Creeper est apparu). Les virus qui suivirent désactivaient les systèmes informatiques en remplaçant ou en altérant des fichiers du système d'exploitation, des fichiers d'application ou les secteurs d'armorçage des disques.

Aujourd'hui, il existe de très nombreux types de logiciels malveillants qui évoluent sans cesse pour causer des dommages plus graves aux ordinateurs et aux réseaux, et pour mieux échapper à la détection et à la correction par les outils de sécurité et les technologies de protection contre les logiciels malveillants. Vous trouverez ci-dessous une brève description de certains des types de logiciels malveillants les plus courants en circulation aujourd'hui.

Rançongiciels

Les rançongiciels sont des logiciels malveillants qui verrouillent l'appareil d'une victime ou chiffrent une partie ou la totalité de ses données, puis exigent le paiement d'une rançon, généralement sous forme de crypto-monnaie, pour déverrouiller l'appareil, déchiffrer les données ou empêcher le vol ou le partage des données. Selon l'index 2022 X-Force Threat Intelligence (PDF, 4,1 Mo), pratiquement tous les incidents de rançongiciel auxquels X-Force a répondu depuis 2019 impliquaient une « double extorsion » , menaçant la victime à la fois de chiffrer et de voler ses données. Et les incidents de rançongiciel à « triple extorsion », qui s'accompagnent du chiffrement de données, du vol de données et d'une attaque par déni de service distribué ou DDoS, (voir Réseaux zombies, ci-dessous) sont en augmentation.

Selon ce rapport, les attaques par rançongiciel représenteraient 21 % de toutes les cyberattaques en 2021.

Les victimes des rançongiciels et les négociateurs sont réticents à divulguer les montants des rançons payées. Une compagnie d'assurance internationale aurait effectué le plus gros versement connu suite à une attaque de rançongiciel, soit 40 millions USD, en mai 2021  (lien externe à IBM.com). Les estimations du montant moyen des versements varient entre 100 000 et 300 000 USD. Mais pour de nombreuses victimes de rançongiciels, la rançon est le moindre coût . Selon le rapport Cost of a Data Breach 2021 d'IBM, le coût moyen d'une attaque par rançongiciel, sans compter la rançon, était de 4,62 millions USD.

Logiciels malveillants d'accès aux serveurs

Les logiciels malveillants d'accès aux serveurs permettent aux attaquants d'accéder sans autorisation aux serveurs d'applications Web. Généralement, les logiciels malveillants d'accès aux serveurs sont des logiciels légitimes, modifiés ou utilisés à mauvais escient pour réaliser des cyberattaques. Certains, ironiquement, ont été développés à l'origine pour démontrer les failles de sécurité d'un serveur ou de son système d'exploitation.

Les types de logiciels malveillants d'accès aux serveurs comprennent les shells Web, qui permettent aux attaquants de prendre le contrôle d'un serveur Web par le biais d'un navigateur Web, et les programmes d'administration de système à distance, tels que Back Orifice, qui permet d'administrer à distance Microsoft Windows sur un serveur ou un ordinateur. Les attaquants utilisent ce type de logiciels malveillants pour tout, de la dégradation ou la paralysie des sites Web de la victime jusqu'au vol d'identifiants d'utilisateurs et d'autres données sensibles. L'indice X-Force Threat Intelligence de 2022 indique que 11 % de tous les incidents de cybersécurité en 2021 étaient des attaques d'accès aux serveurs.

Réseaux de zombies

Techniquement, les réseaux de zombies ne sont pas des logiciels malveillants ; ils sont créés à l'aide de logiciels malveillants. Un réseau de zombies est un réseau d'appareils connectés à Internet et infectés par des logiciels malveillants : ordinateurs, smartphones, appareils de l'Internet des objets (IoT), etc. Le logiciel malveillant crée une porte dérobée par laquelle le pirate peut contrôler les appareils, à distance. Les pirates créent des réseaux de zombies pour lancer des attaques par déni de service distribué (DDoS), c'est-à-dire des attaques qui bombardent un réseau cible d'une telle quantité de trafic frauduleux que le réseau ralentit ou s'arrête complètement.

Mineurs de cryptomonnaie malveillants

Un mineur de cryptomonnaie malveillant est un logiciel malveillant qui prend le contrôle à distance d'un appareil et l'utilise pour « miner » des crypto-monnaies, une tâche extrêmement coûteuse et qui sollicient considérablement les ressources informatiques. (Essentiellement, les mineurs de cryptomonnaies créent des réseaux zombies de minage de cryptomonnaie.) Les cryptomonnaies versent des récompenses, généralement en cryptomonnaies, aux personnes qui fournissent de la puissance de calcul pour le minage. Le minage de cryptomonnaie malveillant permet aux cybercriminels de récolter ces récompenses en utilisant les appareils d'autres personnes.

Logiciels malveillants sans fichier

Les logiciels malveillants sans fichier sont des logiciels malveillants qui fonctionnent en mémoire et injectent du code ou des scripts malveillants dans des applications légitimes. Comme ils ne laissent pas de signature (une chaîne d'octets caractéristique des logiciels malveillants), les logiciels malveillants sans fichier ne peuvent pas être identifiés et supprimés par les logiciels antivirus traditionnels, mais un grand nombre des dernières solutions antivirus de nouvelle génération (NGAV) peuvent les bloquer.

Autres types de logiciels malveillants

• Vers : il s'agit d'un code malveillant qui se réplique et se propage sans interaction humaine (contraitement à un virus qui doit être généralement ouvert par un utilisateur innocent pour pouvoir se dupliquer et se propager).
• Chevaux de Troie : tirent leur nom de la mythologie. Il s'agit d'un type de code malveillant qui se déguise en logiciel légitime, ou se cache dans celui-ci, et s'exécute lorsque l'utilisateur exécute le logiciel légitime.
• Rootkits : ils obtiennent un accès privilégié non autorisé au système d'exploitation d'un ordinateur ou à d'autres ressources, et utilisent cet accès, ou d'autres logiciels, pour se « dissimuer » et éviter la détection. (Le logiciel malveillant tire son nom du compte « root », le compte administrateur à accès privilégié sur les systèmes Linux ou Unix). Un rootkit peut reconfigurer le système d'exploitation et les autres logiciels du système, y compris les logiciels de sécurité qui pourraient l'identifier et le supprimer.
• Logiciels alarmants : tente d'effrayer les utilisateurs pour qu'ils fassent de mauvais choix (télécharger des logiciels malveillants, transmettre des informations personnelles ou sensibles à un fraudeur) généralement en les avertissant faussement qu'ils ont enfreint la loi ou, ironiquement, qu'ils ont été infectés par un virus. Les logiciels alarmants prennent souvent la forme d'une fenêtre contextuelle qu'il est difficile de fermer sans fermer le navigateur Web.
• Logiciels espions : comme l'indique leur nom, ces logiciels se cachent sur l'ordinateur infecté, recueillent des informations privées ou sensibles et les transmettent à l'attaquant. Un type de logiciel espion, appelé enregistreur de frappe, peut accéder aux noms d'utilisateur, aux mots de passe, aux numéros de compte bancaire et de carte de crédit, au numéro de sécurité sociale et à d'autres informations extrêmement sensibles en enregistrant les frappes de l'utilisateur.
• Logiciels publiciaire : affichent des fenêtres contextuelles et des publicités en ligne indésirables et ennuyeuses aux utilisateurs pendant qu'ils utilisent leurs navigateurs Web. La plupart des logiciels publicitaires sont associés à des logiciels gratuits : lorsque les utilisateurs téléchargent et installent le logiciel, ils installent également le logiciel publicitaire. Ils ne constituent guère plus qu'une gêne qui ne nuit pas à l'ordinateur ou au réseau cible. Mais une catégorie de logiciels publicitaires, appelés publicités malveillantes, utilisent les annonces en ligne pour injecter un code malveillant dans ces dernières et les réseaux publicitaires.

A l'instar des logiciels malveillants eux-mêmes, les méthodes ou voies de distriibution des logiciels malveillants,   appelées vecteurs,  sont nombreuses et évolutives. Le suivi de ces tactiques est essentiel pour la prévention, la détection et la réponse aux logiciels malveillants. Certains des vecteurs logiciel malveillant les plus couramment utilisés comprennent :

• Escroqueries par hameçonnage et autres tactiques d'ingénierie sociale :les messages d'hameçonnage, envoyés par courrier électronique, par SMS ou par des applications de messagerie textuelle, incitent les utilisateurs à télécharger une pièce jointe malveillante ou à visiter un site Web malveillant qui transmet un logiciel malveillant à l'ordinateur ou à l'appareil mobile de l'utilisateur à son insu. Les messages d'hameçonnage donnent généralement le sentiment qu'ils proviennent d'une marque ou d'un individu de confiance, et ils tentent de susciter la peur (« Nous avons trouvé 9 virus sur votre téléphone ! »), la cupidité (« Vous avez un paiement non réclamé qui vous attend !«») ou encore l'urgence (« Vous n'avez plus beaucoup de temps pour réclamer votre cadeau gratuit ») pour inciter les utilisateurs à effectuer l'action souhaitée. Il s'agit d'une combinaison puissante, et l'hameçonnage est le vecteur le plus courant de distribution de rançongiciels et d'autres attaques de logiciels malveillants.
• Failles du système ou du dispositif : les cybercriminels sont constamment à la recherche de failles non corrigées dans les logiciels, les appareils et les réseaux qui leur permettent d'injecter des logiciels malveillants dans le logiciel ou le micrologiciel de la cible. Les dispositifs IoT, dont beaucoup sont vendus et déployés avec un minimum de sécurité, voire sans aucune sécurité, constituent un champ énorme et fertile pour les cybercriminels qui y sèment des logiciels malveillants.
• Supports amovibles : les utilisateurs ne peuvent pas résister à la tentation d'utiliser des clés USB « trouvées », et les cybercriminels sont heureux d'en profiter en laissant des clés USB chargées de logiciels malveillants là où les utilisateurs pourraient les trouver. Une étude récente a révélé que 37 % des cybermenaces exploitent des supports amovibles  (lien externe à ibm.com). Une autre étude a établi que 9 % des incidents de sécurité survenus en janvier 2022 étaient dus à des clés USB et autres supports amovibles  (lien externe à ibm.com).
• Partage de fichiers : les réseaux de partage de fichiers, notamment, ceux où les utilisateurs partagent des copies illégales de vidéos ou de jeux, sont des terrains de jeu notoires pour les cybercriminels qui intègrent du contenu de logiciel malveillant dans les téléchargements populaires ou les torrents. Mais les logiciels malveillants peuvent également être intégrés dans des téléchargements de logiciels apparemment légitimes, en particulier les logiciels gratuits.

Une protection efficace contre les menaces des logiciels malveillants nécessite une approche globale dans l'entreprise et une participation à tous les niveaux : des équipes de sécurité au personnel informatique, en passant par les employés et les partenaires commerciaux. La formation des utilisateurs, les politiques de sécurité et les technologies de cybersécurité jouent toutes un rôle essentiel.

Formation des utilisateurs

Les utilisateurs constituent la première ligne de défense dans le dispositif de protection contre les logiciels malveillants d'une organisation. Aujourd'hui, la plupart des organisations forment formellement les utilisateurs à se comporter de manière à réduire les risques de logiciels malveillants et d'autres menaces de cybersécurité. Les leçons comprennent :

• Directives de base, par exemple, « n'ouvrez pas les pièces jointes d'un courrier électronique que vous n'attendiez pas », « ne téléchargez pas de logiciels dont l'utilisation n'est pas explicitement autorisée par le service informatique ».
• Briser les mythes, par exemple, « oui, vous devez toujours être vigilant à l'égard des logiciels malveillants si vous utilisez un appareil Apple Mac, Apple iOS ou Google Android ».
• Une bonne hygiène des mots de passe, par exemple, ne pas utiliser le même mot de passe ou un mot de passe similaire pour plusieurs connexions.
• Techniques sophistiquées, par exemple. des conseils pour identifier les courriers électroniques d'hameçonnage qui semblent être des messages légitimes envoyés par des marques de confiance ou par des responsables de l'entreprise de la cible.

La plupart des formations à la sécurité des utilisateurs finaux indiquent également aux utilisateurs les mesures spécifiques à prendre, y compris les personnes à contacter, en cas de menace réelle ou présumée par un logiciel malveillant.

Politiques de sécurité

Les politiques de sécurité fixent des normes pour les technologies et les comportements informatiques, afin de réduire ou d'éliminer le risque de menaces de cybersécurité. Ces politiques définissent des éléments tels que le type et la complexité du chiffrement, la longueur minimale et le contenu des mots de passe, ainsi que les privilèges d'accès au réseau.

Les politiques visant spécifiquement à prévenir les logiciels malveillants peuvent proscrire

• Restrictions ou interdiction pure et simple de l'utilisation de clés USB ou d'autres dispositifs de stockage de fichiers amovibles.
• Un traitement formel des droits pour le téléchargement d'un logiciel d'application non autorisé par le service informatique.
• La fréquence à laquelle les applications et les logiciels de sécurité doivent être mis à jour ou corrigés.

Technologies de cybersécurité

Les technologies modernes de cybersécurité se répartissent en deux catégories générales.

Les outils de sécurité préventive visent à intercepter, isoler et éliminer les menaces de cybersécurité connues ou identifiables. La plupart des utilisateurs connaissent bien ces outils : logiciels antivirus (y compris les antivirus de nouvelle génération, ou NGAV), logiciels de lutte contre les logiciels mailveillants, logiciels de suppression des logiciesl malveillants, pare-feu et filtres d'URL.

Les technologies de détection et de réponse sont des solutions de sécurité d'entreprise qui permettent aux équipes de sécurité d'identifier et de répondre rapidement aux logiciels malveillants et autres menaces qui échappent aux outils de prévention. Ces solutions s'intègrent généralement aux outils de sécurité préventive, aux flux de renseignements sur les menaces et à d'autres sources de données liées à la sécurité. Elles identifient les indicateurs de logiciels malveillants et d'autres cybermenaces, appelés indicateurs de compromission (IOC), à l'aide d'analyses avancées et de l'IA. Et elles permettent aux équipes de sécurité d'automatiser certaines tâches, afin d'accélérer la réponse aux incidents et de limiter ou prévenir les dommages qui en résultent.

Les technologies de détection et d'intervention les plus couramment utilisées, comprennent :

• SOAR (security orchestration, automation and response). SOAR intègre et coordonne des outils de sécurité hétérogènes qui permettent ainsi aux équipes de sécurité de créer des « playbooks » semi ou entièrement automatisés pour répondre aux menaces potentielles ou réelles.
• EDR (endpoint detection and response). EDR collecte des données en continu à partir de tous les points de terminaison du réseau, y compris les ordinateurs de bureau et portables, les serveurs, les appareils mobiles, les appareils IOT et plus encore. Il corrèle et analyse les données en temps réel pour trouver des preuves de menaces connues ou de comportements suspects.
• XDR ( détection étendue et conteneur de réponse ). Technologie émergente, la technologie XDR intègre les outils de sécurité dans l'ensemble de l'infrastructure informatique hybride d'une entreprise, non seulement les points de terminaison, mais aussi les réseaux, la messagerie électronique, les applications, les charges de travail cloud, etc. 

Zéro Trust décrit une approche de la cybersécurité qui repose sur le principe que les logiciels malveillants et autres cyberattaques parviendront à franchir les défenses périmétriques d'un réseau et qui, par conséquent, s'attache à compliquer le déplacement des attaquants dans le réseau et entraver leurs objectifs une fois qu'ils y sont entrés. Les mesures de cybersécurité liées à une approche Zero Trust incluent (mais ne sont en aucun cas limitées à) :

• Une politique d'accès du mondre privilège pour les comptes d'utilisateurs et d'administration
• La microsegmentation, qui consiste à diviser le réseau en sous-segments avec un accès granulaire et moins privilégié à chacun
• L'authentification multifactorielle, qui permet aux utilisateurs de vérifier leur identité en utilisant au moins un autre facteur d'authentification en plus d'un mot de passe, ou au moins deux autres facteurs d'identification à la place d'un mot de passe
• L'authentification adaptative, qui exige des utilisateurs qu'ils fournissent des facteurs d'authentification supplémentaires en fonction des risques associés à différentes demandes, par exemple, l'accès à des données particulièrement sensibles, ou la connexion au réseau à partir d'un autre endroit ou en utilisant un autre dispositif.

Une approche de Zero Trust limite strictement les utilisateurs à l'accès dont ils ont besoin pour remplir leur rôle, et exige une vérification renouvelée ou supplémentaire chaque fois que les utilisateurs demandent un accès supplémentaire. Cela peut réduire considérablement l'impact des rançongiciels et autres logiciels malveillants qui pénètrent dans le réseau et restent ensuite à l'affût pendant des mois, tentant d'obtenir un accès accru aux données et autres ressources en vue d'une attaque.