Qu'est-ce qu'un programme malveillant ?
Le terme « malware » (« programme malveillant » en français) est une contraction de « malicious software ». Un programme malveillant est un logiciel intrusif qui est intentionnellement conçu pour causer des dommages aux ordinateurs et aux systèmes informatiques. Par contre, un logiciel qui cause des dommages non intentionnels est généralement appelé « bug logiciel ».
Les gens s'interrogent parfois sur la différence entre un virus et un programme malveillant. La différence est que le terme « programme malveillant » est un terme générique qui désigne une série de menaces en ligne, y compris les virus, les logiciels espions, les logiciels publicitaires, les ransomwares et d'autres types de logiciels nuisibles. Un virus informatique n'est qu'un type de programme malveillant.
Les programmes malveillants peuvent être introduits dans un réseau par le biais du phishing, de pièces jointes malveillantes, de téléchargements malveillants, de l'ingénierie sociale ou de clés USB. Dans cet aperçu, nous examinons les types de programmes malveillants les plus courants.
Les différents types de programmes malveillants
Il est important de comprendre les différents types d'attaques par des programmes malveillants pour se protéger. Si certaines catégories de programmes malveillants sont bien connues (du moins par leur nom), d'autres le sont moins :
Logiciels publicitaires
Les logiciels publicitaires (« adware », contraction de « advertising-supported software ») diffusent des annonces indésirables et parfois malveillantes sur l'écran d'un ordinateur ou d'un appareil mobile, redirigent les résultats de recherche vers des sites Web publicitaires et capturent les données des utilisateurs qui peuvent être vendues à des annonceurs sans leur consentement. Tous les logiciels publicitaires ne sont pas des programmes malveillants, certains sont légitimes et peuvent être utilisés en toute sécurité.
Les utilisateurs peuvent souvent avoir une influence sur la fréquence des logiciels publicitaires ou sur les types de téléchargements autorisés en gérant les contrôles et les préférences des fenêtres contextuelles dans leur navigateur Internet ou en utilisant un bloqueur de publicité.
Exemples de logiciels publicitaires :
- Fireball : Fireball a fait les gros titres en 2017 lorsqu'un éditeur de logiciels israélien a découvert que 250 millions d'ordinateurs et un cinquième des réseaux d'entreprise dans le monde étaient infectés par ce virus. Lorsque Fireball touche votre ordinateur, il prend le contrôle de votre navigateur. Il transforme votre page d'accueil en un faux moteur de recherche, Trotus, et insère des annonces intrusives dans toutes les pages Web que vous visitez. Il vous empêche également de modifier les paramètres de votre navigateur.
- Appearch : Appearch est un autre logiciel publicitaire courant qui agit comme un pirate de navigateur. Habituellement groupé avec d'autres logiciels gratuits, il insère tellement d'annonces dans le navigateur que la navigation sur le Web devient très difficile. Lorsque vous tentez de visiter un site Web, vous êtes redirigé vers Appearch.info. Si vous parvenez à ouvrir une page Web, Appearch convertit des blocs de texte aléatoires en liens. Ainsi, lorsque vous sélectionnez le texte, une fenêtre contextuelle vous invite à télécharger les mises à jour du logiciel.
Logiciels espions
Les logiciels espions sont des programmes malveillants qui se cachent sur votre appareil, surveillent vos activités et volent des informations confidentielles, comme des données financières, des informations sur vos comptes, des identifiants et bien plus. Les logiciels espions peuvent se propager en exploitant les vulnérabilités des logiciels, ou encore être regroupés avec des logiciels légitimes ou dans des chevaux de Troie.
Exemples de logiciels espions :
- CoolWebSearch : Ce programme a profité des failles de sécurité d'Internet Explorer pour détourner le navigateur, modifier les paramètres et envoyer les données de navigation à son auteur.
- Gator : Généralement groupé avec un logiciel de partage de fichiers comme Kazaa, ce programme surveille les habitudes de navigation de la victime sur Internet et utilise ces informations pour lui proposer des annonces particulières.
Les ransomwares et les cryptovirus
Les ransomwares sont des programmes malveillants conçus pour empêcher les utilisateurs d'accéder à leur système ou leur interdire l'accès aux données jusqu'au paiement d'une rançon. Les cryptovirus sont des programmes malveillants qui chiffrent les fichiers des utilisateurs et exigent un paiement avant une date limite particulière, souvent au moyen d'une monnaie numérique comme le bitcoin. Depuis de nombreuses années, les ransomwares constituent une menace persistante pour les entreprises de tous les secteurs. Alors que de plus en plus d'entreprises s'engagent dans la transformation numérique, la probabilité d'être visé par une attaque par ransomwares a considérablement augmenté.
Exemples de ransomwares :
- CryptoLocker est une forme de programme malveillant répandu en 2013 et 2014 que les cybercriminels utilisaient pour accéder aux fichiers d'un système et les chiffrer. Les cybercriminels ont utilisé des tactiques d'ingénierie sociale pour inciter les employés à télécharger le ransomware sur leurs ordinateurs, infectant ainsi le réseau. Une fois téléchargé, CryptoLocker affichait un message de rançon proposant de déchiffrer les données si un paiement en espèces ou en bitcoins était effectué avant la date limite indiquée. Bien que le ransomware CryptoLocker ait été supprimé depuis, on pense que ses opérateurs ont extorqué environ trois millions de dollars à des organisations peu méfiantes.
- Les programmes malveillants Phobos : une forme de ransomwares apparue en 2019. Cette souche de ransomwares repose sur la famille de ransomwares Dharma (alias CrySis) déjà connue.
Chevaux de Troie
Un cheval de Troie se camoufle en logiciel légitime pour vous inciter à exécuter un logiciel malveillant sur votre ordinateur. Étant donné qu'il semble digne de confiance, les utilisateurs le téléchargent, autorisant par inadvertance l'installation de programmes malveillants sur leur appareil. Les chevaux de Troie eux-mêmes sont un point d'entrée. Contrairement à un ver, ils ont besoin d'un hôte pour fonctionner. Une fois qu'un cheval de Troie est installé sur un appareil, les pirates informatiques peuvent l'utiliser pour supprimer, modifier ou capturer des données, exploiter l'appareil en tant que botnet, espionner l'appareil ou accéder au réseau.
Exemples de chevaux de Troie :
- Le programme malveillant Qbot, également connu sous le nom de « Qakbot » ou « Pinkslipbot », est un cheval de Troie bancaire actif depuis 2007, dont l'objectif est de voler les données des utilisateurs ainsi que leurs identifiants bancaires. Le programme malveillant a évolué pour inclure de nouveaux mécanismes de diffusion, des techniques de commande et de contrôle ainsi que des fonctionnalités anti-analyse.
- Le programme malveillant TrickBot, pour la première fois identifié en 2016, est un cheval de Troie développé et exploité par des acteurs avancés du monde de la cybercriminalité. Conçu à l'origine comme un cheval de Troie bancaire destiné à voler des données financières, TrickBot est devenu un programme malveillant modulaire et multiétape qui fournit à ses opérateurs une suite complète d'outils pour mener à bien de nombreuses cyberactivités illégales.
Vers
L'un des types de programmes malveillants les plus courants, les vers, se propagent sur les réseaux informatiques en exploitant les vulnérabilités des systèmes d'exploitation. Un ver est un programme autonome qui se reproduit pour infecter d'autres ordinateurs sans exiger d'intervention de quiconque. Comme ils peuvent se propager rapidement, les vers sont souvent utilisés pour exécuter une charge utile : un morceau de code créé pour endommager un système. Les charges utiles peuvent supprimer des fichiers sur un système hôte, chiffrer des données pour mener une attaque par ransomwares, voler des informations, supprimer des fichiers et créer des botnets.
Exemple de vers :
- SQL Slammer était un ver informatique bien connu qui n'utilisait pas les méthodes de distribution traditionnelles. Il générait plutôt des adresses IP aléatoires et s'y envoyait, à la recherche de celles qui n'étaient pas protégées par un logiciel antivirus. Peu après son apparition en 2003, plus de 75 000 ordinateurs infectés ont participé à leur insu à des attaques DDoS contre plusieurs sites Web importants. Bien que le correctif de sécurité correspondant soit disponible depuis plusieurs années, SQL Slammer a néanmoins fait un retour en force en 2016 et 2017.
Virus
Un virus est un élément de code qui s'insère dans une application et s'exécute lorsque celle-ci est lancée. Une fois dans un réseau, un virus peut être utilisé pour voler des données confidentielles, lancer des attaques DDoS ou mener des attaques par ransomwares. Se propageant généralement via des sites Web infectés, le partage de fichiers ou le téléchargement de pièces jointes par email, un virus reste inactif jusqu'à ce que le fichier ou le programme hôte infecté soit activé. Une fois que cela se produit, le virus peut se reproduire et se propager dans vos systèmes.
Exemple de virus :
- Stuxnet : Apparu en 2010, Stuxnet est généralement considéré comme ayant été développé par les gouvernements américain et israélien pour perturber le programme nucléaire iranien. Diffusé par le biais d'une clé USB, il visait les systèmes de contrôle industriel Siemens, provoquant la défaillance et l'autodestruction des centrifugeuses à un rythme record. On pense que Stuxnet a infecté plus de 20 000 ordinateurs et détruit un cinquième des centrifugeuses nucléaires iraniennes, ce qui a fait reculer le programme de plusieurs années.
Enregistreurs de frappe
Un enregistreur de frappe est un type de logiciel espion qui surveille l'activité des utilisateurs. Dans certains pays, les enregistreurs de frappe peuvent être utilisés à des fins légitimes. Par exemple, les familles peuvent les utiliser pour suivre l'activité en ligne de leurs enfants, ou les organisations peuvent les utiliser pour surveiller l'activité de leurs employés. Toutefois, lorsqu'ils sont installés à des fins malveillantes, les enregistreurs de frappe peuvent être utilisés pour voler des mots de passe, des informations bancaires et d'autres informations confidentielles. Les enregistreurs de frappe peuvent être insérés dans un système par le biais du phishing, de l'ingénierie sociale ou de téléchargements malveillants.
Exemple d'enregistreurs de frappe :
- En 2017, un étudiant de l'Université de l'Iowa a été arrêté après avoir installé des enregistreurs de frappe sur les ordinateurs du personnel afin de voler des identifiants pour modifier des notes. L'étudiant a été reconnu coupable et condamné à quatre mois de prison.
Bots et botnets
Un bot est un ordinateur infecté par un programme malveillant de manière à pouvoir être contrôlé à distance par un pirate informatique. Le bot (parfois appelé ordinateur zombie) peut ensuite être utilisé pour lancer d'autres attaques ou faire partie d'une collection de bots appelée botnet. Les botnets peuvent comprendre des millions d'appareils et se propager sans être détectés. Les botnets aident les pirates informatiques dans de nombreuses activités malveillantes, notamment dans le cadre d'attaques DDoS, de l'envoi de spams et de messages de phishing, et de la diffusion d'autres types de programmes malveillants.
Exemples de botnets :
- Programme malveillant Andromeda : Le botnet Andromeda était associé à 80 familles de programmes malveillants différentes. Il a pris une telle ampleur qu'il infectait à un moment donné un million de nouvelles machines par mois, se diffusant via les réseaux sociaux, les messageries instantanées, les emails de spam, les kits d'exploitation et bien plus. L'opération a été démantelée par le FBI, le centre européen de lutte contre la cybercriminalité d'Europol et d'autres organismes en 2017, mais de nombreux ordinateurs ont continué d'être infectés.
- Mirai : En 2016, une attaque DDoS de grande ampleur a laissé une grande partie de la côte est américaine sans accès à Internet. L'attaque, dont les autorités craignaient initialement qu'elle soit l'œuvre d'un État-nation hostile, a été causée par le botnet Mirai. Mirai est un type de programme malveillant qui trouve automatiquement des appareils de l' Internet des objets (IdO) à infecter et les intègre dans un botnet. À partir de là, cette armée de l'IdO peut être utilisée pour monter des attaques DDoS dans lesquelles un tuyau de feu de trafic indésirable inonde les serveurs d'une cible avec du trafic malveillant. Mirai continue de nuire aujourd'hui.
Programmes malveillants PUP
Les PUP, qui signifient « programmes potentiellement indésirables », sont des programmes qui peuvent diffuser des annonces, des barres d'outils et des fenêtres contextuelles sans rapport avec le logiciel que vous avez téléchargé. À proprement parler, les PUP ne sont pas toujours des programmes malveillants. Les développeurs de PUP soulignent que leurs programmes sont téléchargés avec le consentement des utilisateurs, contrairement aux programmes malveillants. Toutefois, il est largement reconnu que les gens téléchargent principalement des PUP parce qu'ils ne se sont pas rendu compte qu'ils ont accepté de le faire.
Les PUP sont souvent regroupés avec d'autres logiciels plus légitimes. La plupart des gens se retrouvent avec un PUP parce qu'ils ont téléchargé un nouveau programme, n'ont pas lu les mentions en petits caractères lors de l'installation et ne se sont donc pas rendu compte qu'ils acceptaient d'installer des programmes supplémentaires qui ne servent à rien.
Exemple de programme malveillant PUP :
- Le programme malveillant Mindspark : il s'agit d'un PUP facile à installer qui se retrouve sur les machines des utilisateurs sans qu'ils ne remarquent le téléchargement. Mindspark peut modifier les paramètres et déclencher des comportements sur l'appareil à l'insu de l'utilisateur. Il est réputé pour être difficile à éliminer.
Hybrides
Aujourd'hui, la plupart des programmes malveillants sont une combinaison de différents types de logiciels malveillants, comprenant souvent des parties de chevaux de Troie et de vers, et occasionnellement un virus. En général, le programme malveillant se présente à l'utilisateur final comme un cheval de Troie, mais une fois exécuté, il attaque d'autres victimes sur le réseau comme un ver.
Exemple de programmes malveillants hybrides :
- En 2001, un développeur de programmes malveillants se faisant appeler « Lion » a publié une version hybride d'un programme malveillant : une combinaison de ver et de rootkit. Les rootkits permettent aux pirates informatiques de manipuler les fichiers du système d'exploitation, tandis que les vers sont de puissants vecteurs de diffusion rapide de morceaux de code. Cette combinaison malveillante a fait des ravages : elle a infligé des dommages à plus de 10 000 systèmes Linux. Le programme malveillant combinant ver et rootkit a été explicitement conçu pour exploiter les vulnérabilités des systèmes Linux.
Programmes malveillants sans fichier
Les programmes malveillants sans fichier sont un type de logiciel malveillant qui utilise des programmes légitimes pour infecter un ordinateur. Ils ne s'appuient pas sur des fichiers et ne laissent aucune trace, ce qui les rend difficiles à détecter et à supprimer. Les programmes malveillants sans fichier sont apparus en 2017 comme un type d'attaque courant, mais nombre de ces méthodes d'attaque existent depuis un certain temps.
Sans être stockées dans un fichier ou installées directement sur une machine, les infections sans fichier vont directement en mémoire, et le contenu malveillant ne touche jamais le disque dur. Les cybercriminels se tournent de plus en plus vers les programmes malveillants sans fichier, qui constituent une forme alternative d'attaque efficace, rendant leur détection plus difficile pour les antivirus traditionnels en raison de leur faible empreinte et de l'absence de fichiers à analyser.
Exemples de programmes malveillants sans fichier :
- Frodo, Number of the Beast et The Dark Avenger sont les premiers exemples de ce type de programme malveillant.
Bombes logiques
Les bombes logiques sont un type de programme malveillant qui ne s'active que lorsqu'il est déclenché, comme à une date et une heure particulières ou lors de la 20ᵉ connexion à un compte. Les virus et les vers contiennent souvent des bombes logiques pour délivrer leur charge utile (c'est-à-dire le code malveillant) à un moment prédéfini ou lorsqu'une autre condition est remplie. Les dommages causés par les bombes logiques vont de la modification d'octets de données à l'impossibilité de lire les disques durs.
Exemple de bombes logiques :
- En 2016, un programmeur a provoqué le dysfonctionnement de feuilles de calcul dans une branche de la société Siemens toutes les quelques années, si bien qu'ils ont dû le réembaucher sans cesse pour régler le problème. Dans ce cas, personne ne s'est douté de rien jusqu'à ce qu'une coïncidence fasse apparaître le code malveillant au grand jour.
Comment les programmes malveillants se propagent-ils ?
Les modes de propagation les plus courants des programmes malveillants sont les suivants :
- Email : Si votre adresse électronique a été piratée, un programme malveillant peut forcer votre ordinateur à envoyer des emails avec des pièces jointes infectées ou des liens vers des sites Web malveillants. Lorsque le destinataire ouvre la pièce jointe ou clique sur le lien, le programme malveillant est installé sur son ordinateur, et le cycle se répète.
- Supports physiques : Les pirates informatiques peuvent charger des programmes malveillants sur des clés USB et attendre que des victimes peu méfiantes les branchent sur leur ordinateur. Cette technique est souvent utilisée dans l'espionnage d'entreprise.
- Alertes contextuelles : Il s'agit notamment de fausses alertes de sécurité qui vous incitent à télécharger un faux logiciel de sécurité, qui, dans certains cas, peut être un programme malveillant supplémentaire.
- Vulnérabilités : Un défaut de sécurité dans un logiciel peut permettre à un programme malveillant d'obtenir un accès non autorisé à l'ordinateur, au matériel ou au réseau.
- Portes dérobées : Une ouverture intentionnelle ou involontaire dans un logiciel, un matériel, un réseau ou un système de sécurité.
- Téléchargements furtifs : Téléchargements involontaires de logiciels effectués à l'insu ou non de l'utilisateur final.
- Escalade de privilèges : Situation dans laquelle un attaquant obtient un accès élevé à un ordinateur ou à un réseau et l'utilise ensuite pour lancer une attaque.
- Homogénéité : Si tous les systèmes utilisent le même système d'exploitation et sont connectés au même réseau, le risque de propagation d'un ver à d'autres ordinateurs est plus élevé.
- Menaces mixtes : Les paquets de programmes malveillants qui combinent les caractéristiques de plusieurs types de programmes malveillants, ce qui les rend plus difficiles à détecter et à arrêter, car ils peuvent exploiter différentes vulnérabilités.
Signes d'une infection par un programme malveillant
Si vous avez remarqué l'un des signes suivants, il se peut qu'un programme malveillant soit présent sur votre appareil :
- Un ordinateur lent qui plante ou qui se fige
- Le fameux « écran bleu de la mort »
- Programmes s'ouvrant et se fermant automatiquement ou se modifiant eux-mêmes
- Manque d'espace de stockage
- Multiplication des fenêtres contextuelles, des barres d'outils et d'autres programmes indésirables
- Envoi d'emails et de messages sans que vous en soyez à l'origine
Utilisez un antivirus pour vous protéger des programmes malveillants :
La meilleure façon de se protéger contre une attaque de programmes malveillants et de programmes potentiellement indésirables est d'utiliser un antivirus complet. Kaspersky Total Security offre une protection 24 heures sur 24 et 7 jours sur 7 contre les pirates informatiques, les virus et les programmes malveillants, afin de sécuriser vos données et vos appareils.
Articles connexes :