Ignorer le contenu principal

Comment les cybercriminels tentent-ils de contourner les protections antivirus ?

Dans le monde d'aujourd'hui, les logiciels antivirus sont indispensables à la sécurité des terminaux, notamment les ordinateurs et les serveurs, qu'il s'agisse d'utilisateurs individuels ou de grandes organisations. Les logiciels antivirus constituent une défense essentielle contre les cybermenaces, mais ils ne sont pas infaillibles. Les cybercriminels utilisent diverses techniques pour contourner les antivirus et échapper aux programmes malveillants.

Comment fonctionnent les antivirus ?

L'objectif d'un logiciel antivirus est de déterminer si un fichier est malveillant et il doit le faire rapidement pour éviter d'avoir une incidence sur l'expérience de l'utilisateur. Les deux méthodes largement utilisées par les solutions antivirus pour rechercher les logiciels malveillants sont l'analyse heuristique et l'analyse par signature :

  • L'analyse heuristique examine le fonctionnement d'un fichier, en utilisant des algorithmes et des modèles de comportement pour déterminer si un logiciel est suspect
  • L'analyse par signature examine la forme d'un fichier, en recherchant des séquences et des comportements qui correspondent à des échantillons connus de programmes malveillants

Les concepteurs de programmes malveillants peuvent choisir deux manières d'interagir avec l'antivirus : l'une sur le disque et l'autre en mémoire. L'exemple typique du disque est le cas d'un simple fichier exécutable. L'antivirus a plus de temps pour balayer et analyser un fichier sur le disque. S'il est placé en mémoire, l'antivirus a moins de temps pour interagir, et les programmes malveillants ont généralement plus de chances de s'exécuter.

Contraintes de l'antivirus

Bien que les logiciels antivirus soient un moyen recommandé de sécuriser les systèmes, ils ne rendent pas pour autant les appareils inviolables. Un antivirus classique utilise une base de données de signatures de programmes malveillants constituée de programmes malveillants précédemment identifiés. Chaque fois qu'un nouvel échantillon de programme malveillant est découvert, une signature numérique est créée et ajoutée à la base de données. Autrement dit, il existe une période de vulnérabilité entre la diffusion d'un nouveau programme malveillant et la mise à jour des bases de données des programmes antivirus. Pendant ce temps, les programmes malveillants sont susceptibles de causer des dommages. Donc, même si les logiciels antivirus offrent une couche de sécurité supplémentaire, ils ne limitent pas complètement les menaces.

En outre, étant donné que le nombre de langages indépendants de système d'exploitation pouvant être utilisés pour écrire des programmes malveillants augmente, un seul programme malveillant peut potentiellement toucher un public plus large. Les cybermenaces deviennent de plus en plus sophistiquées, et les programmes antivirus doivent évoluer en conséquence. Les pirates informatiques ne cessent d'améliorer leurs techniques pour contourner les programmes antivirus, et la complexité du contexte actuel en matière de sécurité fait de cette tâche un véritable défi.

Techniques de contournement des antivirus

Pour atteindre leurs objectifs, les cybercriminels ont développé une série de techniques de contournement. Cela inclut :

Codage et chiffrement

La majorité des vers et des chevaux de Troie sont codés et chiffrés. Les pirates informatiques conçoivent également des utilitaires spéciaux pour la compression et le chiffrage. Tous les fichiers Internet traités à l'aide de CryptExe, Exeref, PolyCrypt et quelques autres utilitaires ont été identifiés comme malveillants. Pour détecter des  vers et des chevaux de Troie compressés et chiffrés, le logiciel antivirus doit ajouter de nouvelles méthodes de décompression/déchiffrage ou de nouvelles signatures pour chaque échantillon de programme malveillant.

Mutation de code

Les cybercriminels s'efforcent de déguiser leurs programmes malveillants en combinant le code d'un cheval de Troie à des instructions de « spam » pour que le code se présente sous différentes formes tout en conservant sa fonctionnalité d'origine. Des mutations de code se produisent parfois en temps réel, chaque fois (ou presque) que le cheval de Troie est téléchargé sur un site Web infecté. Le ver Warezov, qui utilisait cette technique, a occasionné de nombreux problèmes aux utilisateurs.

Techniques furtives

Les technologies de dissimulation, ou « rootkits », généralement employées par les chevaux de Troie peuvent intercepter et remplacer des fonctions système afin de rendre le fichier infecté invisible par le système d'exploitation et les logiciels antivirus. Parfois, les branches du registre où sont enregistrés le cheval de Troie et d'autres fichiers système sont également cachées.

Blocage des programmes antivirus et des mises à jour des bases de données antivirus

De nombreux chevaux de Troie et vers recherchent les programmes antivirus dans la liste des applications présentes sur l'ordinateur de la victime. Le programme malveillant tente ensuite d'effectuer ce qui suit :

  • Bloquer le logiciel antivirus
  • Endommager les bases de données antivirus
  • Entraver le bon fonctionnement des processus de mise à jour du logiciel antivirus

Pour vaincre le programme malveillant, le logiciel antivirus doit se défendre en contrôlant l'intégrité de ses bases de données et en masquant ses processus aux chevaux de Troie.

Masquage du code sur un site Internet

Les fournisseurs d'antivirus ne mettent pas longtemps à détecter les sites Internet qui contiennent des chevaux de Troie. Leurs experts en analyse des virus peuvent alors étudier le contenu de ces sites et ajouter le nouveau programme malveillant à leurs bases de données. Toutefois, pour combattre les analyses antivirus, une page Web peut être modifiée de sorte que, lorsque des requêtes sont envoyées par une société antivirus, un fichier inoffensif soit téléchargé à la place du cheval de Troie.

Attaques massives

Lors d'une attaque massive, de nouvelles versions du cheval de Troie sont rapidement et en grandes quantités diffusées sur Internet. Les sociétés antivirus reçoivent alors un nombre incalculable de nouveaux échantillons à analyser. Le temps que chaque échantillon soit analysé, le cybercriminel espère que son code malveillant pourra s'introduire sur les ordinateurs des utilisateurs.

Failles d'exploitation zero-day

Votre programme antivirus est mis à jour régulièrement. Il s'agit généralement d'une réponse à une attaque de type zero-day. Cette technique de contournement des programmes malveillants consiste pour un cybercriminel à profiter d'une vulnérabilité logicielle ou matérielle, puis à diffuser un programme malveillant avant qu'un antivirus ne puisse le bloquer.

Programmes malveillants sans fichier

Cette méthode plus récente permettant d'exécuter un programme malveillant sur un appareil ne nécessite aucun stockage sur l'appareil ciblé. Les programmes malveillants sans fichier fonctionnent entièrement dans la mémoire de la machine, ce qui leur permet de contourner les programmes d'analyse antivirus. Le programme malveillant n'est pas directement transféré lors de la visite d'une page Internet infectée. Il utilise plutôt une vulnérabilité déjà connue dans une application associée pour demander à l’appareil de télécharger le programme malveillant dans une zone de mémoire et de l'exécuter à partir de là. Ce qui rend les programmes malveillants sans fichier tellement dangereux, c'est qu'une fois que le programme malveillant a fait son travail ou que l'appareil est réinitialisé, la mémoire est effacée et il n'y a aucune preuve qu'un pirate informatique a installé un programme malveillant.

Phishing 

Le phishing est l'une des techniques les plus courantes utilisées par les cybercriminels pour dérober des informations. Lors d'une attaque par phishing, l'attaquant trompe les victimes en se faisant passer pour une source fiable ou connue. Si les utilisateurs cliquent sur un lien malveillant ou téléchargent un fichier infecté, les individus malintentionnés peuvent accéder au réseau, puis voler des informations sensibles. Les logiciels antivirus peuvent uniquement détecter les menaces connues et ne sont pas suffisamment efficaces contre les nouvelles variantes. 

Attaques par navigateur 

Les logiciels antivirus n'ont pas accès aux systèmes d'exploitation, ce qui permet aux attaques par navigateur de les contourner. Ces attaques infectent votre appareil en utilisant des scripts et des codes malveillants. Pour prévenir ces attaques, certains navigateurs intègrent des outils de protection, mais pour être efficaces, ceux-ci doivent être utilisés de manière cohérente et correcte.

Codage de la charge utile

Le codage de la charge utile est une autre technique par laquelle les programmes malveillants contournent les programmes d'analyse antivirus. Les cybercriminels utilisent souvent des outils pour effectuer cette opération manuellement. Lorsque le programme malveillant est diffusé et activé, il est alors décodé et inflige ses dégâts. Cette opération s'effectue généralement par le biais d'un petit programme d'en-tête placé à l'avant du virus codé. Les programmes d'analyse antivirus ne perçoivent pas ce programme comme une menace, et le virus codé est simplement considéré comme une donnée. Ainsi, lorsque l'en-tête est déclenché (par exemple, en étant intégré dans un fichier exécutable existant), il décode le programme malveillant dans une zone de la mémoire, puis fait sauter le compteur du programme dans cette zone et exécute le logiciel malveillant.

A man sitting a computer

Comment se protéger contre les techniques d'évasion des programmes malveillants

Les entreprises ne doivent pas compter uniquement sur un antivirus pour assurer leur protection. Comme le présente cet article, il convient d'utiliser un antivirus dans le cadre d'une stratégie globale de cybersécurité. Pour garantir une sécurité optimale, il est préférable d'investir dans une stratégie de cybersécurité à plusieurs niveaux. Voici d'autres outils que vous pouvez utiliser pour empêcher les cybercriminels d'accéder à votre réseau :

Chiffrement de l’appareil

Les appareils chiffrés protègent les données qu'ils contiennent contre tout accès non autorisé par un mot de passe ou une clé d'accès. Même si un appareil est volé ou infecté par un programme malveillant, un chiffrement approprié peut empêcher tout accès non autorisé. 

Authentification à plusieurs facteurs

Pour accéder à un compte avec l’authentification à plusieurs facteurs, les utilisateurs doivent saisir plusieurs informations, par exemple un code à validité temporaire. Cette mesure offre une plus grande sécurité que la simple utilisation d'un mot de passe. Ce point est particulièrement important si vous disposez d'informations confidentielles ou personnelles sur des appareils ou des comptes.

Gestionnaires de mots de passe

Les mots de passe sont importants pour assurer la sécurité des comptes et des réseaux, mais il est essentiel d'utiliser des mots de passe forts et uniques pour chaque compte. Un mot de passe fort contient au moins 15 caractères (idéalement, un peu plus), et est composé d'un ensemble de majuscules, de minuscules, de chiffres et de symboles. Les gestionnaires de mots de passe vous aideront à contrôler vos mots de passe. Ils constituent un coffre-fort sécurisé pour les mots de passe uniques et les protègent des pirates informatiques. 

Formation de sensibilisation à la cybersécurité

Compte tenu de la progression de la cybercriminalité, les entreprises doivent informer leurs employés des risques liés aux cyberattaques, ainsi que de la manière de les gérer. En informant les utilisateurs sur la nature des cybermenaces, vous pouvez les aider à reconnaître les activités suspectes, comme les emails de phishing et bien plus encore.

Détection et réponse au niveau des terminaux

Une solution EDR surveille le comportement du réseau et des terminaux, et en stocke les journaux. Les technologies EDR peuvent apporter au personnel de sécurité les données nécessaires pour comprendre la nature d'une cyberattaque, en fournissant des alertes et des mesures de correction des terminaux automatisées. 

Les cybercriminels n'utilisent généralement pas une seule technique de contournement d’antivirus. Au contraire, les programmes malveillants sont conçus pour faire face à différentes situations de manière à maximiser les chances de réussir. Bonne nouvelle : la communauté des experts en sécurité est vigilante, elle s'informe en permanence sur les nouvelles techniques de contournement des antivirus et des programmes malveillants, et développe de nouveaux moyens de prévention.

Articles connexes :

Produits associés :

Comment les cybercriminels tentent-ils de contourner les protections antivirus ?

L'antivirus est un élément primordial de la cybersécurité, mais il peut parfois être contourné. Découvrez les techniques de contournement des antivirus et des programmes malveillants.
Kaspersky logo