Pandora FMS au ASLAN 2025 : 18-19-20 mars. Plus d'informations →

 
← Retour à IT Topics

Qu’est-ce que le malware et comment protéger vos systèmes informatiques

Sections

Découvrez ce qu’est un malware, ses types et comment protéger vos systèmes informatiques contre les menaces. Apprenez des stratégies efficaces pour prévenir les attaques de logiciels malveillants.

Qu’est-ce que le malware ?

Le malware, abréviation de logiciel malveillant, désigne tout programme ou fichier conçu pour endommager, exploiter des données ou compromettre des systèmes à partir de n’importe quel appareil ou réseau programmable. Parmi les types de malwares, on trouve les virus, vers ( worms), chevaux de Troie (trojans) et ransomwares. Leur importance actuelle en cybersécurité réside dans le fait qu’ils sont constamment à l’affût des endpoints qui constituent leur cible principale. Leur objectif est de détruire ou d’obtenir un accès aux informations confidentielles des particuliers et des organisations. Le diagramme suivant explique le processus d’attaque typique d’un malware.

Comment fonctionne une attaque de malware typique

Brève histoire du malware

En 1971, le premier malware connu est Creeper, qui se propageait via ARPANET (le précurseur d’Internet) et affichait le message “I’m the creeper, catch me if you can!” (Je suis Creeper, attrape-moi si tu peux !). En 1982, un adolescent de 15 ans, Rich Skrenta, a développé Elk Cloner, reconnu comme le premier virus informatique. Ce virus ciblait les ordinateurs personnels Apple II, corrompant les disques contenant une copie de DOS (Disk Operating System, système d’exploitation sur disque) en écrasant les pistes réservées sans tenir compte du contenu. À chaque démarrage avec un disque infecté, le virus affichait un poème à l’écran, ce qui ne plaisait évidemment pas aux victimes.
Dans les années 80 et 90, les premiers vers et chevaux de Troie (trojan horses): sont apparus Brain, créé par les frères Alvi au Pakistan, infectait les appareils via des disquettes. Le ver Morris conçu pour exploiter les vulnérabilités des systèmes UNIX, a été si dévastateur qu’il a conduit à la création du premier CERT (Computer Emergency Response Team, Équipe de Réponse aux Urgences Informatiques). À la fin des années 80, le AIDS Trojan chiffrait les données de l’ordinateur de la victime et demandait une rançon pour les décrypter.
Au début des années 2000, les malwares ont évolué sous des formes plus créatives : ILOVEYOU, un ver qui se propageait par e-mail, écrasait des fichiers et se répliquait automatiquement ; SQL Slammer, un ver exploitant une faille de Microsoft SQL Server pour infecter des milliers de systèmes en quelques minutes ; Stuxnet, un malware sophistiqué ciblant les installations nucléaires iraniennes, avec le potentiel de déclencher une guerre informatique.

En 2013, CryptoLocker fut le premier ransomware de grande envergure, chiffrant les fichiers et exigeant une rançon en Bitcoins. En 2017, WannaCry, est devenu une attaque mondiale, infectant des centaines de milliers d’ordinateurs dans 150 pays et réclamant des paiements en Bitcoins pour récupérer l’accès aux fichiers.

Les premiers malwares sans fichier (Fileless Malware) sont apparus à partir de 2014 ; Poweliks (2014) insérait des scripts malveillants dans le registre Windows ; Duqu 2.0 (2015), un outil sophistiqué de cyberespionnage, facilitait le mouvement latéral et l’exfiltration de données ;PowerSniff (2016), se cachait dans des documents Word apparemment inoffensifs pour exécuter du code malveillant dans la mémoire PowerShell.
Parmi les malwares les plus récents, on retrouve : Emotet (2018-2020), qui a commencé comme cheval de Troie bancaire, puis s’est transformé en une plateforme de distribution de malwares, incluant des ransomwares ; Conti Ransomware (2021), un ransomware hautement rentable, ayant extorqué des millions de dollars à ses victimes.
Comme vous pouvez le constater, les malwares sont devenus plus sophistiqués et furtifs, ciblant aussi bien les particuliers que les entreprises, à partir de n’importe quel endpoint (ordinateur portable, PC, tablette, smartphone, appareil IoT, etc.), dès lors qu’il est connecté à un réseau ou un système d’entreprise. C’est pourquoi il est essentiel de disposer des connaissances, outils et stratégies anti-malwares appropriés afin d’implémenter la cybersécurité de manière continue sur les réseaux informatiques et les systèmes d’exploitation, et ce, au moment opportun.

Types de malwares les plus courants

Le nombre exact d’entreprises et de personnes ayant été exposées à une cybermenace est incertain ; cependant, pour donner une idée, selon le rapport X-Force Threat Intelligence Index d’IBM Security, 59 % des attaques en 2021 ont utilisé une stratégie de double extorsion. Le rapport Global Cybersecurity Outlook 2022 du World Economic Forum indique que 39 % des organisations ont été affectées par un incident cybernétique impliquant un tiers au cours des deux dernières années. Quelques-uns des malwares les plus courants sont :

  • Virus, vers et chevaux de Troie :
    Ces malwares sont des programmes malveillants conçus pour endommager, perturber ou accéder à des systèmes informatiques sans l’autorisation de l’utilisateur. Les virus et les chevaux de Troie utilisent un fichier ou un programme hôte pour se propager, tandis que les vers peuvent se répliquer et se propager de manière autonome. Une fois que le malware a été introduit, il corrompt les fichiers, perturbe le fonctionnement du système ou vole des données. Ils sont généralement difficiles à détecter, ce qui leur permet d’opérer pendant un certain temps sans que l’utilisateur en ait conscience.
  • Spyware, ransomware et adware :
    Ces types de malwares cherchent à compromettre la confidentialité et la sécurité des endpoints. Leur objectif principal est de s’infiltrer dans un système à l’insu de l’utilisateur. Ils peuvent également causer des problèmes de performance, des fuites ou des pertes de données. Ils se propagent par le biais d’e-mails, de sites malveillants, de téléchargements sur Internet et de fichiers joints. Ils utilisent également des techniques pour éviter d’être détectés par les logiciels antivirus ou anti-malware.
  • Autres types de malwares avancés :31
    • Rootkits : Ce type de malware prend le contrôle total du système. Son nom reflète sa grande dangerosité : root, administrateur système ou super utilisateur sont des termes interchangeables. Un rootkit cherche ainsi à s’introduire via un e-mail, par exemple, afin d’accéder et de contrôler à distance votre système au niveau racine.
    • Keyloggers : Ce malware est connu sous le nom de registreur de frappes, ce qui lui permet d’obtenir des informations confidentielles (telles que mots de passe et données personnelles). Actuellement, il est l’un des malwares les plus utilisés pour l’espionnage cybernétique.
    • Cryptojacking : Aussi connu sous le nom de cryptoséquestration, ce malware prend le contrôle d’un appareil électronique afin d’accéder aux ressources des endpoints et de les exploiter pour le minage de cryptomonnaies. La cryptoséquestration est largement utilisée pour le minage de Bitcoin et Ethereum en raison de leur forte valeur sur le marché financier.
    • Fileless malware : Ce type de malware fonctionne sans fichiers, ce qui le rend pratiquement invisible. Il s’exécute directement dans la mémoire d’un ordinateur plutôt que sur le disque dur, ce qui lui confère une capacité accrue à échapper aux logiciels antivirus, qui s’appuient généralement sur des listes blanches basées sur des fichiers, la détection de signatures, la vérification matérielle, l’analyse de motifs, le scellage temporel, etc. De plus, il laisse très peu de traces, compliquant ainsi le travail des enquêteurs en criminalistique numérique pour identifier toute activité illicite.

Méthodes d’attaque des malwares

Maintenant que vous connaissez les malwares les plus courants, il est essentiel de comprendre les principales méthodes d’attaque afin de préparer la meilleure stratégie pour détecter et bloquer tout logiciel malveillant.

Vecteurs d’infection courants

Un vecteur de cyberattaque est le chemin (ou ensemble de nœuds) qu’un malware utilise pour découvrir et exploiter des endpoints vulnérables dans un réseau, tels que :

  • Ingénierie sociale pour usurper une identité légitime et ainsi accéder à des données sensibles (phishing), ou provoquer de l’anxiété et de la panique chez l’utilisateur (scareware) afin de le manipuler et de l’inciter à acheter des produits ou logiciels non désirés.
  • Réseaux non sécurisés ou mal protégés comme l’utilisation de Wi-Fi public non sécurisé, ce qui permet aux attaquants d’intercepter des données sensibles et d’envoyer des malwares aux appareils connectés.
  • Vulnérabilités dans des logiciels et systèmes d’exploitation obsolètes, lorsque ceux-ci ne sont pas mis à jour ou ne disposent pas des correctifs nécessaires, laissant ainsi la possibilité à un malware de s’installer.

Attaques contre les endpoints

Dans notre IT Topic : Qu’est-ce qu’un Endpoint ? nous soulignons l’importance de protéger les appareils à partir desquels les utilisateurs accèdent aux systèmes d’entreprise et partagent des données. Ces appareils représentent des points vulnérables que les cybercriminels exploitent pour mener des attaques de malware. Par exemple, si un appareil de l’Internet des Objets (IdO) n’est pas correctement sécurisé, il peut devenir une porte d’entrée permettant de propager un ver informatique, infectant ainsi tous les utilisateurs de l’organisation. Dans certains cas, cela peut même compromettre l’ensemble des opérations de l’entreprise. C’est pourquoi vous et votre équipe devez vous familiariser avec les techniques modernes d’attaque.

Techniques modernes d’attaque

  • Attaques sur la chaîne d’approvisionnement : Cela consiste à insérer un code malveillant dans le logiciel de fournisseurs de cybersécurité ; à attaquer des développeurs et fournisseurs de logiciels pour accéder aux codes sources ou mises à jour ; ou encore à utiliser un code malveillant signé numériquement avec les clés privées d’un fournisseur.
  • Utilisation de périphériques USB infectés : De nombreux virus peuvent être dissimulés dans des fichiers exécutables (.exe) présents sur une clé USB infectée. Certains virus exploitent également le fichier autorun.inf pour s’exécuter automatiquement dès que la clé USB est connectée.
  • Téléchargements non autorisés (drive-by downloads) : Cette technique permet aux attaquants d’insérer des éléments malveillants dans des sites web. Les cybercriminels peuvent également acheter des publicités sur des sites légitimes pour y injecter du malware. Leur ingéniosité va jusqu’à utiliser des fenêtres pop-up, qui semblent provenir d’un logiciel légitime, mais qui contiennent en réalité un malware.

Détection et analyse des malwares

Pour lutter contre les malwares, il existe des stratégies et des outils permettant de les détecter et les analyser, tels que les suivants :

Comment identifier les signes d’infection

  • Ralentissement du système, lorsque l’appareil ou le système fonctionne plus lentement que d’habitude en raison de la consommation excessive de ressources par le malware.
  • Augmentation inhabituelle du trafic réseau, qui peut indiquer une activité accrue sur le réseau ou une utilisation excessive des données, car le malware communique avec son serveur de commande et de contrôle.
  • Modifications anormales des appareils, comme des redémarrages spontanés, des redirections indésirées, ou encore des logiciels installés sans autorisation ou de manière involontaire.
  • Fenêtres pop-up demandant de télécharger un logiciel, d’exécuter une commande spécifique, ou affichant des messages d’erreur suspects.
  • Fichiers chiffrés et bloqués, nécessitant le paiement d’une rançon pour être déverrouillés.

Outils et processus de détection

Il existe des logiciels antivirus ou anti-malware conçus pour prévenir, détecter et éliminer les malwares. Les pare-feu anti-malware servent de barrière entre un réseau fiable et un réseau non sécurisé, surveillant et contrôlant le trafic réseau entrant et sortant conformément aux politiques de sécurité.
Il existe également la gestion des événements et des informations de sécurité (SIEM – Security Incident and Event Management) qui permet d’identifier, de superviser, d’enregistrer et d’analyser en temps réel les événements ou incidents de sécurité dans un environnement informatique. Le SIEM offre une vue intégrée et centralisée de l’ensemble du paysage de la sécurité informatique.
Pour comprendre comment un SIEM détecte des schémas suspects dans les logs des endpoints, prenons cet exemple : un SIEM peut collecter des logs à partir de plusieurs sources, y compris les appareils des utilisateurs connectés au réseau de l’entreprise. Ces logs sont ensuite normalisés pour être transformés en données structurées, facilitant leur analyse. Le SIEM peut corréler des événements provenant de différentes sources pour identifier des schémas et des relations (en s’appuyant sur des tableaux de bord et des outils de visualisation), ce qui peut révéler la présence d’une cybermenace, tout comme un accès non autorisé, un transfert de données inhabituel, une activité en dehors des heures de travail, etc. Une fois un schéma anormal détecté, le SIEM génère des alertes et notifications, permettant à l’équipe de sécurité d’enquêter et de réagir rapidement.

Analyse forensique des malwares

L’analyse forensique des malwares consiste à examiner le malware afin de comprendre son comportement, son origine et son impact sur les appareils et systèmes infectés. Ce type d’analyse permet d’identifier la porte d’entrée du malware, son mode de propagation et les vulnérabilités exploitées.
Parmi les techniques utilisées pour investiguer la source d’une infection et minimiser les dommages futurs, on trouve l’analyse des logs (via SIEM en examinant les journaux d’événements et les logs système pour repérer des anomalies) ; l’analyse du trafic réseau (surveillance des communications inhabituelles ou suspectes) ; l’analyse des fichiers (examen de fichiers suspects contenant potentiellement un malware, via des analyses statiques et dynamiques) ; l’ingénierie inverse (désassemblage et analyse du code du malware pour comprendre son fonctionnement et ses objectifs).
L’analyse automatisée et l’intelligence artificielle contribuent également à analyser en temps réel les systèmes et fichiers, permettant ainsi de détecter plus efficacement les malwares.

Prévention et protection contre les malwares

Il est toujours préférable de prévenir plutôt que de regretter une attaque de malware, en adoptant les meilleures pratiques et outils de protection.

Bonnes pratiques essentielles

  • Mettez à jour régulièrement les logiciels et les systèmes d’exploitation. Rappelez-vous que les cybercriminels recherchent en permanence des vulnérabilités, qui peuvent souvent être corrigées par une simple mise à jour.
  • Utilisez des mots de passe sécurisés (longs et complexes, difficiles à deviner ou à décrypter) et changez-les fréquemment.
  • L’authentification multifactorielle est recommandée afin que les utilisateurs fournissent au moins deux formes d’identification : un mot de passe, l’utilisation d’un appareil (téléphone portable) ou une identification biométrique (empreinte digitale ou reconnaissance faciale). Les utilisateurs doivent également pouvoir bloquer immédiatement les accès suspects. Effectuer régulièrement des sauvegardes des données critiques permet de les restaurer en cas de compromission par un malware. Cela permet également de réduire autant que possible les temps d’arrêt et les pertes de productivité.

Point important : Ces bonnes pratiques ne servent pas seulement à se protéger contre les malwares, mais aussi à prévenir les catastrophes, les erreurs humaines et les pannes d’infrastructure.

Autres outils de protection

  • Pare-feu et antivirus avancés. Il existe plusieurs types de pare-feu : les pare-feu à inspection d’état (Stateful Inspection Firewalls), qui surveillent l’état des connexions actives et prennent des décisions en fonction du contexte du trafic. Les pare-feu applicatif (Application Firewalls), qui filtrent le trafic au niveau des applications et de leurs fonctionnalités spécifiques. Les pare-feu à filtrage de paquets (Packet-Filtering Firewalls), qui examinent les paquets de données échangés entre ordinateurs et permettent de bloquer certains accès en fonction des adresses IP, des ports et des protocoles prédéfinis. Les pare-feu avec IDS/IPS (Intrusion Detection and Prevention Systems), qui utilisent l’analyse comportementale du trafic pour identifier des schémas suspects, détecter des activités malveillantes et bloquer les menaces en temps réel.
    Les antivirus avancés effectuent des scans en temps réel contre les malwares et menaces avancées (malware scanner). Certains intègrent également des VPN et des scans intelligents pour analyser la configuration des systèmes et des appareils.
    Certains antivirus incluent l’intelligence artificielle, permettant d’accélérer l’analyse et la réponse anti-malware de manière plus automatisée et rapide.
  • Sandboxing (bac à sable) qui consiste à exécuter des programmes ou applications dans un environnement virtuel isolé et contrôlé. Il est principalement utilisé pour tester en toute sécurité les fichiers suspects.

Prévention sur les endpoints

Étant donné que les endpoints sont constamment menacés, vous, en tant que stratège IT, devez mettre en place des politiques de sécurité visant à protéger ces dispositifs qui permettent d’accéder aux systèmes et réseaux d’entreprise. Une stratégie de cybersécurité efficace est le Zero Trust (ZT), qui repose sur le principe de ne faire confiance à aucun appareil, utilisateur, service web ou connexion réseau, même si la demande d’accès provient du périmètre interne du réseau de l’entreprise.
Il est également recommandé de s’appuyer sur une solution de surveillance et de gestion des endpoints afin de collecter directement les données de télémétrie (processus, activité réseau, modifications, etc.) et ainsi superviser l’utilisation des dispositifs à distance. Ces données permettent d’identifier les activités suspectes ou malveillantes, en s’appuyant sur des solutions de détection et de réponse aux menaces sur les endpoints (Endpoint Detection and Response – EDR) qui utilisent des technologies avancées pour enregistrer les comportements et détecter les indicateurs de compromission (Indicator of Compromise – IOC) en temps réel.
Si un endpoint est infecté, la première étape consiste à isoler le dispositif compromis du réseau local et d’Internet, afin d’empêcher la propagation du malware. Il faut donc déconnecter l’appareil de toute connexion réseau. Ensuite, le malware doit être analysé dans un environnement contrôlé (sandboxing) pour comprendre son comportement. Une fois cette analyse terminée, le malware doit être supprimé à l’aide d’outils antivirus ou anti-malware.

Comment éliminer un malware

Selon Helpransomware, 79 % des malwares se sont propagés parmi les employés des entreprises. Si vous avez été victime d’un malware ou souhaitez prévenir une infection, voici nos recommandations :

Processus étape par étape :

  • Assurez-vous de mettre à jour régulièrement votre logiciel antivirus et/ou anti-malware.
  • Effectuez une analyse approfondie du système à l’aide d’un antivirus, afin de scanner et supprimer toute menace détectée.
  • Si un fichier suspect est détecté par l’anti-malware, il est recommandé de le mettre en quarantaine au lieu de le supprimer immédiatement. L’analyse de son comportement peut révéler des vulnérabilités et améliorer la sécurité. Si le fichier est confirmé comme malveillant, l’anti-malware peut le supprimer. Tenez compte des faux positifs, certains fichiers mis en quarantaine pourraient être sans danger et récupérables si nécessaire.

Prévention des réinfections

Éliminer le malware ne suffit pas. Une fois supprimé, il est essentiel de retrouver des copies de sauvegarde propres et de s’assurer qu’elles ne sont pas compromises. Il est recommandé de formater le disque dur du système infecté et de réinstaller complètement le système d’exploitation pour garantir qu’aucune trace du malware ne subsiste. Après cela, restaurez les fichiers système, puis les fichiers utilisateur. Installez les mises à jour et correctifs, puis reconfigurez les mesures de sécurité (authentification multifactorielle, antivirus, etc.) afin d’éviter toute vulnérabilité menant à une nouvelle infection.
Enfin, mettez en place une supervision continue et en temps réel pour bloquer tout logiciel malveillant et détecter toute activité suspecte.

Relation entre les malwares et les endpoints

Les endpoints sont les appareils qui se trouvent à l’extrémité d’une connexion réseau ou système (d’où leur nom), tels que les ordinateurs de bureau ou portables, les smartphones, les tablettes ou les dispositifs de l’Internet des Objets (IoT). Chaque endpoint est un lien vers les réseaux et systèmes d’entreprise. Nous soulignons l’importance des endpoints car ils sont les cibles privilégiées par les cybercriminels pour exploiter la moindre vulnérabilité en raison de leur nature :

  • Ubiquité : qu’il s’agisse d’une grande ou petite entreprise, ou de l’utilisateur final, en particulier avec la mobilité accrue dans la plupart des organisations ;
  • Diversité : chaque appareil a une combinaison unique d’applications et de services, nécessitant une gestion de la sécurité des appareils qui accèdent aux systèmes et réseaux de l’entreprise ;
  • Exploitabilité : les cybercriminels disposent du temps et des ressources pour trouver des vulnérabilités ;
  • Manque de contrôle : le facteur humain est le plus difficile à maîtriser.

Un simple e-mail ou la visite d’un site compromis est une porte d’entrée pour les malwares. Par exemple, si un utilisateur clique depuis un smartphone sur une annonce apparemment inoffensive, mais en réalité infectée par un ransomware, cela peut déclencher la catastrophe du chiffrement des fichiers importants pour l’utilisateur, les rendant inaccessibles à moins de payer une rançon. Si vous voulez éviter cela pour vos utilisateurs, mettez en œuvre une protection complète des endpoints.

Protection des endpoints

Nous vous recommandons d’implémenter une solution SIEM pour identifier, surveiller, enregistrer et analyser les événements ou incidents de sécurité dans un environnement informatique en temps réel, avec une vision intégrée et centralisée de ce qui se passe dans l’infrastructure informatique. Profitez de sa capacité à stocker, agréger et analyser visuellement les données (via des tableaux de bord) afin de prendre des décisions éclairées. Le SIEM permet également de faire des corrélations, apportant plus de contexte sur les caractéristiques communes. En outre, à partir du SIEM, il est possible d’activer des protocoles d’alerte aux utilisateurs (par notifications reflétées sur le tableau de bord, par e-mail ou par message texte automatisé).
De plus, mettez en place des politiques de sécurité strictes telles que le Zero Trust, des mots de passe complexes avec des changements fréquents, ainsi qu’une sécurité multifactorielle. Nous recommandons également de s’appuyer sur la supervision des systèmes informatiques pour obtenir une visibilité sur l’état de l’infrastructure et de ses services, ainsi que sur le rôle joué par un NOC (Network Operations Center pour la surveillance et le contrôle des réseaux, depuis lequel on peut identifier les facteurs qui affectent les performances de connectivité (l’un des symptômes de la présence de malware), dans le but de chercher des solutions pour contrer les malwares et même entreprendre des actions préventives.

Conclusion

L’analyse et les cadres de référence du NIST (National Institute of Standards and Technology, Institut National des Normes et de la Technologie) sur les pratiques de profilage des malwares montrent l’impact majeur sur la sécurité informatique pour toute organisation, en concernant notamment la propriété intellectuelle, les données sensibles des utilisateurs (telles que les cartes bancaires ou les informations d’identification personnelle), l’exfiltration de données à des fins de monétisation et la possibilité d’interrompre les opérations de l’entreprise.
Les endpoints ne doivent pas être le point faible de la sécurité d’une organisation. Au contraire, ils doivent devenir la première ligne de défense contre toute forme de malware. Les stratèges informatiques et leurs équipes doivent implémenter des processus clairs pour prévenir, contrer et éliminer les malwares. Pour y parvenir, il est essentiel d’adopter des outils de surveillance en temps réel et de manière continue pour les endpoints, ainsi que des solutions SIEM robustes qui exploitent les données collectées à partir des agents et des pare-feu afin d’agir sur la base de règles personnalisées en utilisant les décodeurs existants.
Nous vous invitons à découvrir la solution SIEM de Pandora FMS, qui permet de détecter, corréler et répondre aux menaces en temps réel sur l’ensemble de votre infrastructure. Cliquez ici et découvrez comment tirer parti des informations de surveillance pour gérer efficacement les événements de sécurité.

← Retour à Thèmes IT

Au-delà des limites, au-delà des attentes

Obtenez votre essai GRATUIT !

Share your experience
with Pandora FMS and get

20€


Review now →