Définition des malwares (logiciels malveillants)

Les malwares, ou logiciels malveillants en français, sont des cyberattaques courantes et un terme générique désignant divers programmes malveillants livrés et installés sur les systèmes et serveurs des utilisateurs finaux.

Ces attaques sont conçues pour causer des dommages à un ordinateur, un serveur ou un réseau informatique. Les cybercriminels les utilisent pour obtenir des données à des fins financières.

Histoire des malwares

La plupart des historiens de l'informatique affirment que le premier virus a été créé en 1970. Le ver Creeper s'est auto-répliqué et s'est copié sur ARPANET (une première version d'Internet). Lorsqu'il était activé, il affichait le message “Je suis le Creeper, attrapez-moi si vous le pouvez !”.

Le terme “virus” n'a été inventé qu’en 1986, lorsqu'un étudiant doctorant, Fred Cohen, a décrit un virus informatique comme un programme capable d'infecter d'autres programmes et de créer une version évoluée de lui-même.

La plupart des premiers virus détruisaient des fichiers ou infectaient des secteurs d'amorçage. Les logiciels malveillants d'aujourd'hui sont beaucoup plus sinistres et conçus pour voler des données, espionner des entreprises, créer un déni de service ou verrouiller des fichiers pour extorquer de l'argent aux victimes.

Types de malwares

Les types de programmes malveillants se répartissent en catégories communément appelées :

  • Ransomwares : qui empêchent l'accès aux fichiers à moins qu'une redevance ne soit payée
  • Portes dérobées : les utilisateurs distants peuvent accéder à un système et éventuellement se déplacer latéralement
  • Chevaux de Troie bancaires : visualisent ou volent les identifiants bancaires pour accéder aux comptes
  • Keyloggers : capturent la frappe au clavier, en particulier des identifiants
  • Voleurs : volent des données comme les contacts, les mots de passe des navigateurs, etc.
  • RAT : outils d'accès à distance pour une large capacité de contrôle à distance
  • Téléchargeurs : téléchargent d'autres malwares, en fonction d'un certain nombre de facteurs
  • Point de vente : compromettre un dispositif de point de vente pour voler les numéros de carte de crédit, les numéros de carte de débit et les codes PIN, l'historique des transactions, etc.

Des types de malwares plus sophistiqués combineront les capacités de plusieurs des éléments ci-dessus, et nous voyons fréquemment des malwares employant des tactiques d'évasion pour éviter la détection.

A snippet of variable initialization code from the large array of encoded strings

Cybersécurité - Mail Routing Agent

Techniques d'évasion

Les techniques d'évasion sont un sujet important, car l'efficacité des outils de sécurité diminue lorsque les attaquants appliquent avec succès une ou plusieurs techniques d'évasion. Un sous-ensemble de ces techniques d'attaque de malwares est présenté ci-dessous :

  • Obfuscation du code : utilisation du codage pour masquer la syntaxe du code
  • Compression du code : utilisation de formats de compression comme gzip, zip, rar, etc. pour masquer la syntaxe du code
  • Chiffrement de code : appliquer un nombre quelconque de techniques de cryptage pour masquer la syntaxe du code
  • Stéganographie : cacher du code ou des programmes dans des images
  • Évitement des domaines ou des plages d'adresses IP : identification des domaines ou des adresses IP appartenant à des sociétés de sécurité et désactivation des malwares s'ils se trouvent à ces endroits
  • Détection des actions de l'utilisateur : recherchez les actions telles que les clics droit ou gauche, les mouvements de souris, etc.
  • Délais : rester en sommeil pendant un certain temps, puis activer
  • Détection des dossiers récents : recherchez les actions passées comme l'ouverture et la fermeture de dossiers provenant de plusieurs demandes
  • Prise d'empreintes digitales de l'appareil : ne s'exécute que sur certaines configurations du système

Les attaquants peuvent utiliser une ou plusieurs des techniques d'évasion pour donner à leurs malwares une meilleure chance d'éviter la détection et de ne fonctionner que sur des systèmes gérés par l'homme.

Statistiques sur les logiciels malveillants (malwares)

Depuis les lockdowns liés à la pandémie, les auteurs de logiciels malveillants ont multiplié les attaques pour exploiter les mauvaises pratiques en matière de cybersécurité.

Les chercheurs d'AV-TEST détectent plus de 450 000 nouveaux programmes malveillants chaque jour. En 2021, AV-TEST a enregistré plus de 1,3 milliard d'applications malveillantes, contre un peu plus de 182 millions d'applications malveillantes. Le nombre d'applications malveillantes devrait doubler en 2022 par rapport à 2021.

Google met à la disposition du grand public un robot d'exploration des malwares pour trouver les sites web malveillants et les empêcher d'être indexés. Ces efforts de recherche sécurisée détectent que 7 % des sites web hébergent de malwares ou sont infectés par des malwares.

Vingt millions d'attaques de logiciels malveillants IoT ont été détectées au cours du seul premier semestre de 2020, et ce chiffre continue de grimper. Symantec estime que trois appareils IoT infectés sur quatre sont des routeurs.

Pourquoi les logiciels malveillants sont-ils utilisés ?

Le piratage est un métier, et les logiciels malveillants sont l'un des outils utilisés par les pirates pour voler des données ou contrôler des appareils. Les cybercriminels utilisent des logiciels malveillants spécifiques pour remplir certaines fonctions. Par exemple, les ransomwares sont utiles pour extorquer de l'argent aux entreprises, tandis que Mirai est utilisé pour contrôler les appareils IoT dans le cadre d'une attaque par déni de service distribué (DDoS).

Objectifs des attaquants qui utilisent des malwares :

  • Tromper les utilisateurs pour qu'ils saisissent des informations personnelles identifiables (PII).
  • Voler des données financières telles que des numéros de carte de crédit ou des comptes bancaires.
  • Donner aux attaquants un accès et un contrôle à distance des appareils.
  • Utiliser les ressources informatiques pour miner des bitcoins ou d'autres crypto-monnaies.

Comment devient-on victime d’un malware ?

Un bon antivirus empêche les logiciels malveillants d'infecter un ordinateur. Les auteurs de logiciels malveillants développent donc plusieurs stratégies pour contourner la cybersécurité installée sur le réseau. Un utilisateur peut être victime d'un malware à partir de nombreux vecteurs.

Les moments où vous risquez d’attraper un malware :

  • Vous téléchargez un programme d'installation qui installe un programme légitime, mais ce programme contient également un malware.
  • Vous naviguez sur un site web avec un navigateur vulnérable (par exemple, Internet Explorer 6), et le site web contient un installateur malveillant.
  • Vous ouvrez un e-mail de phishing et un script malveillant utilisé pour télécharger et installer un logiciel malveillant.
  • Vous téléchargez un programme d'installation d'un fournisseur non officiel et installez un logiciel malveillant au lieu d'une application légitime.
  • Vous cliquez sur une publicité sur une page Web qui vous convainc de télécharger un logiciel malveillant.

Comment puis-je savoir si j'ai un malware sur mon ordinateur ?

Même lorsqu'un logiciel malveillant fonctionne silencieusement en arrière-plan de votre ordinateur, les ressources qu'il utilise et l'affichage de sa charge sont des signes révélateurs d'une infection.

La détection de certaines infections peut nécessiter un utilisateur expérimenté, mais vous pouvez approfondir vos recherches après avoir remarqué certains signes.

Quelques signes indiquant que vous pourriez avoir un malware :

  • Un ordinateur lent : Certains malwares, comme les cryptojackers, ont besoin d'une grande quantité de CPU et de mémoire pour s'exécuter. Votre ordinateur fonctionnera anormalement lentement, même après un redémarrage.
  • Popups constants : Les logiciels publicitaires s'intègrent dans le système d'exploitation ou votre navigateur affiche constamment des publicités. Après avoir fermé une publicité, une autre apparaît.
  • Écran bleu de la mort (BSOD) : Windows se bloque sur un écran bleu et affiche une erreur, mais ce problème ne devrait se produire que rarement. Des problèmes BSOD constants peuvent signifier que l'ordinateur est infecté par un malware.
  • Stockage excessif ou perte de disque : Les logiciels malveillants peuvent supprimer des données, libérer de grandes quantités d'espace de stockage ou ajouter plusieurs gigaoctets de données sur le stockage.
  • Activité Internet inconnue : Votre routeur montre une activité excessive même lorsque vous n'utilisez pas votre connexion Internet.
  • Modification des paramètres du navigateur : Les logiciels malveillants modifient les pages d'accueil du navigateur ou les paramètres du moteur de recherche pour vous rediriger vers des sites de spam ou des sites contenant des programmes malveillants.
  • L'antivirus est désactivé : Certains logiciels malveillants sont conçus pour désactiver l'antivirus afin de délivrer leur charge utile, et ils seront désactivés même après avoir été activés.

Les téléphones peuvent-ils être infectés par des malwares ?

La plupart des ordinateurs de bureau sont équipés d'un antivirus installé par un tiers ou fourni par le système d'exploitation. Les smartphones et les tablettes ne disposent pas du même type de protections installées par défaut, ce qui en fait des cibles parfaites pour les attaquants.

L'installation de logiciels malveillants sur un smartphone est une stratégie de plus en plus populaire auprès des attaquants. Apple et Android incluent une sécurité avec le système d'exploitation, mais cela ne suffit pas à stopper complètement tous les logiciels malveillants.

Les smartphones transportent plus de données privées que les ordinateurs en raison de leur popularité. Les utilisateurs emportent leur téléphone partout avec eux, de sorte qu'il contient des informations financières, la localisation des déplacements, le suivi GPS, l'historique des achats, l'historique de la navigation, et bien d'autres choses encore qui pourraient être utiles à un attaquant.

Les utilisateurs sont plus enclins à installer des applications sur leurs smartphones, pensant que c'est plus sûr que d'installer des logiciels sur un ordinateur de bureau. Tous ces facteurs font des smartphones des cibles plus importantes que les ordinateurs de bureau pour certaines menaces.

Les menaces peuvent tirer parti de la connexion permanente d'un smartphone au Wi-Fi ou aux données cellulaires, ce qui rend l'internet toujours disponible. Lorsque le logiciel malveillant s'exécute en arrière-plan, il peut télécharger silencieusement les données et les informations d'identification volées vers un serveur contrôlé par l'attaquant, indépendamment de l'endroit où se trouve le propriétaire du smartphone.

Prévention contre les logiciels malveillants

Les particuliers et les entreprises doivent prendre les mesures nécessaires pour protéger les ordinateurs de bureau et les appareils mobiles. Cela signifie qu'il faut exécuter un logiciel antivirus sur les ordinateurs et les appareils mobiles, ce qui réduit considérablement les risques de menaces de logiciels malveillants.

Autres moyens d'empêcher les logiciels malveillants d'affecter les appareils :

  • Incluez l'authentification multifactorielle (MFA), comme la biométrie (par exemple, les empreintes digitales ou la reconnaissance faciale) ou les codes PIN par SMS.
  • Utilisez des règles strictes de complexité et de longueur des mots de passe pour obliger les utilisateurs à créer des mots de passe efficaces.
  • Obligez les utilisateurs à changer leurs mots de passe tous les 30 à 45 jours afin de réduire la fenêtre d'opportunité pour un attaquant d'utiliser un compte compromis.
  • N'utilisez les comptes d'administrateur qu'en cas de nécessité et évitez d'exécuter des logiciels tiers avec des privilèges d'administrateur.
  • Mettez à jour les systèmes d'exploitation et les logiciels avec les derniers correctifs dès que les fournisseurs les publient.
  • Installez des systèmes de détection des intrusions, des pare-feu et des protocoles de cryptage des communications pour empêcher l'écoute des données.
  • Utilisez la sécurité du courrier électronique pour bloquer les messages suspects ou ceux qui sont considérés comme du phishing.
  • Surveillez le réseau de l'entreprise pour détecter tout trafic suspect.
  • Formez les employés à identifier les courriels malveillants et à éviter d'installer des logiciels provenant de sources non officielles.

Comment supprimer les malwares

Si vous pensez que votre ordinateur est infecté par un malware, vous devez prendre des mesures pour le supprimer. Pour les postes de travail d'entreprise, la suppression des logiciels malveillants peut être effectuée à distance à l'aide d'outils antivirus professionnels. Des formes de suppression plus sophistiquées peuvent être nécessaires pour les logiciels malveillants qui échappent aux antivirus.

La première étape de la suppression consiste à mettre à jour le logiciel antivirus de la machine et à lancer une analyse de l'ensemble du système. Assurez-vous que votre antivirus est activé avant de commencer l'analyse, car certains logiciels malveillants le désactivent. L'analyse d'un ordinateur peut prendre plusieurs minutes, il est donc préférable de la laisser fonctionner toute la nuit si vous avez besoin de l'ordinateur pour travailler.

Une fois que l'antivirus a terminé l'analyse, il produit un rapport sur ses résultats. La plupart des antivirus mettent en quarantaine les fichiers suspects et vous demandent ce que vous voulez faire des fichiers mis en quarantaine.

Après l'analyse, redémarrez l'ordinateur. Le logiciel antivirus doit avoir un paramètre qui lui indique d'analyser l'ordinateur périodiquement, chaque semaine. L'analyse de l'ordinateur à un horaire fixe permet d'éviter que des logiciels malveillants ne soient à nouveau installés à votre insu.

Dans le pire des cas, vous pouvez être obligé de réimager ou de réinitialiser un ordinateur aux paramètres d'usine. Si vous disposez d'une sauvegarde complète de votre système d'exploitation et de vos fichiers, vous pouvez le réimager.

La réimagerie installe tout, y compris les fichiers, afin que vous puissiez récupérer à partir de votre dernier point de stockage. Si vous ne disposez pas de ce type de sauvegarde, vous pouvez réinitialiser le PC aux paramètres d'usine. N'oubliez pas que vous perdez ainsi tous les fichiers et logiciels, et que l'ordinateur est remis dans l'état où vous l'avez acheté.

Il est important de s'assurer que les logiciels malveillants sont complètement supprimés. Si vous ne supprimez pas complètement les logiciels malveillants d'un environnement, ils peuvent être codés pour réinfecter un ordinateur récemment analysé et nettoyé.

Pour empêcher les logiciels malveillants de réinfecter un ordinateur, assurez toujours la surveillance et la protection des données sur toutes les ressources du réseau. Les systèmes de détection d'intrusion surveillent activement le réseau à la recherche de modèles de trafic suspects et alertent les administrateurs des menaces potentielles afin d'empêcher de manière proactive les incidents de cybersécurité de se transformer en violation de données.

Attaques de malwares au sein des organisations : comment se protéger ?

On a vu des malwares s'attaquer à des organisations dans presque tous les domaines. Alors que certains criminels utilisent des malwares pour attaquer directement une organisation, nous avons vu des attaques de malwares tenter de contourner la livraison normale par email.

Il s'est avéré que les entreprises qui dépendent de l'échange de documents externes sont de bonnes cibles pour les criminels. Comme toute organisation dépend des personnes, les criminels ont saisi l'occasion de lancer des attaques de malwares sur les entreprises ciblées par le biais de la fonction RH.

En utilisant un téléchargement direct ou l'envoi de CV par l'intermédiaire de sites de recrutement, les attaquants ont pu transmettre des CV directement aux employés tout en évitant un mécanisme de détection clé, la passerelle de messagerie électronique sécurisée.

Female Executive Explains a Network Security Solution to Employees

Comment Proofpoint peut vous aider à vous protéger des malwares

Proofpoint utilise plusieurs stratégies anti-malware et outils d'infrastructure qui arrêtent les menaces avant qu'elles ne puissent s'installer et infecter un environnement entier. Nous adoptons une approche multicouche de la cybersécurité et de la protection de votre réseau.

Quelques stratégies que Proofpoint utilise dans sa sécurité d'entreprise :

  • Protection des e-mails et mise en quarantaine des pièces jointes malveillantes et du phishing.
  • La protection contre les attaques ciblées (Targeted Attack Protection ou TAP) détecte et bloque les ransomwares, les pièces jointes et les documents malveillants des e-mails, ainsi que les URL.
  • Protection des informations et gestion facile des contenus sensibles.
  • Chiffrement des communications.
  • Threat Response Auto Pull (TRAP) des logiciels malveillants potentiels envoyés dans un courriel ou hébergés sur un site web malveillant.
  • Renseignements sur les menaces : utilisation de l'analyse dynamique des menaces à partir des données collectées de diverses sources.