Red Hat Summit
Présentation
Un logiciel malveillant (ou malware) désigne un logiciel destiné à nuire à l'utilisateur. Il touche non seulement l'ordinateur ou l'appareil qu'il infecte en premier, mais potentiellement aussi tous les appareils avec lesquels celui-ci communique.
Il englobe les vers et chevaux de Troie les plus simples comme les virus informatiques les plus complexes.Les logiciels malveillants, les virus et les codes malveillants partagent certes des points communs, mais ils restent différents. C'est pourquoi un seul type de logiciel antivirus ou anti-logiciels malveillants ne suffit pas pour se prémunir contre toutes les menaces. Ordinateurs de bureau, ordinateurs portables, appareils mobiles… Aucun périphérique n'est épargné par les logiciels malveillants qui peuvent prendre des formes variées et utiliser différentes techniques d'attaque selon le système d'exploitation installé sur l'appareil (Windows, Android, iOS ou Apple macOS). Aucun appareil n'est jamais totalement à l'abri de ces menaces, d'où l'intérêt de les protéger, et ce, qu'ils soient destinés à un usage professionnel ou personnel.
Grâce à une stratégie de sécurité informatique efficace, votre entreprise peut se prémunir contre les attaques par logiciel malveillant. La gestion des correctifs, pour corriger les vulnérabilités de vos systèmes, et le contrôle des accès, pour limiter les dégâts causés par ces logiciels, sont deux pratiques de cybersécurité couramment utilisées. Si vous sauvegardez en plus régulièrement vos données hors des principaux systèmes de production, vous pourrez vous remettre d'une attaque de façon rapide et sûre.
Préoccupations liées aux logiciels malveillants
Imaginez que vous travaillez dans une entreprise de taille moyenne. Comme tous les matins, vous arrivez au bureau, vous vous préparez un café, puis vous allumez votre ordinateur. Et là, tout part de travers.
Au lieu de votre Bureau, un écran rouge sang s'affiche avec un cadenas, un compte à rebours et le message « Vos fichiers ont été chiffrés. Faute de paiement de votre part d'ici sept jours, ils seront irrécupérables ». Vous regardez autour de vous. Chacun leur tour, vos collègues découvrent le même message. Celui-ci s'affiche sur tous les ordinateurs, sans exception.
Cette attaque s'est réellement produite en mai 2017, dans le monde entier. Le logiciel malveillant WannaCry a touché des entreprises, des entités gouvernementales et des services publics sensibles, notamment des hôpitaux.
Les logiciels malveillants ne s'annoncent pas toujours de manière si théâtrale. Ils peuvent très bien s'exécuter sur votre ordinateur à votre insu, et ralentir le système ou compromettre la sécurité de vos informations confidentielles. Bien souvent, les cybercriminels s'arrangent pour que ces programmes soient indétectables et exécutent des tâches visibles uniquement dans des conditions bien spécifiques.
S'il est pratiquement impossible d'arrêter les logiciels malveillants, vous pouvez limiter leur impact sur l'exploitation en vous tenant informé et en appliquant des techniques de protection adaptées.
Catégories de logiciels malveillants
Intéressons-nous aux différentes catégories de logiciels malveillants pour comprendre les risques qu'ils représentent et les meilleures façons de protéger l'entreprise. Si vous ne faites pas preuve de vigilance, ils sont capables d'infiltrer n'importe quel appareil, un ordinateur portable Apple comme un appareil mobile Android.
Un logiciel malveillant utilise un système de distribution pour se propager et une charge, sous la forme de code, pour atteindre son objectif.Il est structuré schématiquement de la manière suivante (voir les explications détaillées plus loin) :
Systèmes de distribution
Cheval de Troie : trompe l'utilisateur pour l'inciter à l'installer.
Ver : se duplique de façon autonome.
Peuvent être associés aux systèmes suivants :
Exploit : accède à un système et à des données sensibles en exploitant une vulnérabilité logicielle.
Hameçonnage : trompe l'utilisateur pour l'inciter à fournir des informations qui seront utilisées pour obtenir des accès.
Rootkit ou bootkit : accède à un système avec des droits d'administrateur pour contrôler davantage de ressources de façon furtive.
Charges
Logiciel publicitaire : diffuse des annonces indésirables.
Botnet : permet à un tiers de piloter un appareil.
Logiciel de minage de cryptomonnaie : utilise les ressources de calcul pour effectuer des opérations liées aux cryptomonnaies.
Rançongiciel : extorque de l'argent à l'utilisateur.
Logiciel espion : collecte des données à l'insu de l'utilisateur, au moyen d'un enregistreur de frappe, par exemple.
Autres dommages : destruction de données, vandalisme, sabotage.
Chevaux de Troie
Les chevaux de Troie sont des fichiers exécutables qui se propagent grâce à une technique appelée « ingénierie sociale ». Ils prennent une autre apparence afin que les utilisateurs les ouvrent et les lancent à leur insu. L'attaque la plus courante consiste à convaincre l'utilisateur d'ouvrir un fichier ou un lien web, lequel va lancer l'installation du logiciel malveillant.Un alarmiciel (ou scareware), par exemple, persuadera l'utilisateur que le programme peut l'aider à protéger son ordinateur, alors qu'il fait totalement l'inverse.
Dans d'autres cas, l'utilisateur installe une application censée lui rendre service (comme une barre d'outils astucieuse pour son navigateur ou un clavier d'émoticônes rigolotes), mais qui renferme un logiciel malveillant. Les pirates peuvent également remettre à un utilisateur peu méfiant une clé USB (ou un disque USB) qui contient un logiciel malveillant avec un programme d'installation automatique.Enfin, avec les chevaux de Troie à accès distant, les cybercriminels peuvent contrôler à distance un appareil après s'être infiltrés.
Vers
Les vers envahissent des espaces où ils ne sont pas les bienvenus. Lorsqu'ils sont apparus dans les années 1970, les vers informatiques pouvaient seulement se dupliquer. Ils ont commencé à faire davantage de dégâts dans les années 1980 en s'autorépliquant. Ces premiers virus informatiques se propageaient alors d'un ordinateur à l'autre au moyen de fichiers infectés sur des disquettes et corrompaient les fichiers auxquels ils accédaient. Avec l'essor d'Internet, les développeurs de logiciels malveillants et les pirates ont eu l'idée de créer des vers capables de se dupliquer sur les réseaux, lesquels sont alors devenus une menace pour les entreprises et les utilisateurs connectés au Web.
Exploits
Un exploit représente une vulnérabilité d'un logiciel qui peut être exploitée de façon illicite pour forcer le logiciel en question à exécuter une opération non prévue à l'origine. Un logiciel malveillant peut s'appuyer sur cette faille pour pénétrer un système ou s'y déplacer. Les exploits reposent souvent sur des vulnérabilités connues (ou CVE, Common Vulnerability Enumeration) et comptent sur le fait que certains utilisateurs ne mettent pas régulièrement à jour leurs systèmes à l'aide des correctifs de sécurité. Moins courants, les exploits jour zéro profitent d'une faille critique qui n'est pas encore résolue par un programme de maintenance logicielle.
Hameçonnage
Aussi appelé « phishing », il s'agit d'une autre forme d'ingénierie sociale qui consiste à tromper un utilisateur pour l'inciter à fournir des informations sensibles ou des données personnelles au moyen, par exemple, d'un e-mail frauduleux ou d'une escroquerie. L'hameçonnage est parfois utilisé pour obtenir des mots de passe et informations d'identification ou usurper l'identité d'une personne dans le but de lancer une attaque par logiciel malveillant.
Rootkits et bootkits
Un rootkit est un ensemble d'outils logiciels dont le but est d'obtenir un accès complet à un système sans laisser aucune trace. Il parvient à prendre le contrôle d'un système en mode administrateur. Encore plus difficiles à détecter, les bootkits sont des rootkits sophistiqués qui infectent un système au niveau du noyau pour mieux le contrôler.
Logiciels publicitaires et logiciels espions
Les logiciels publicitaires encombrent votre appareil d'annonces indésirables (les pop-ups qui s'affichent dans votre navigateur web, par exemple).Les logiciels espions, leurs proches cousins, collectent des informations vous concernant avant de les transmettre à d'autres systèmes. Il peut s'agir de dispositifs qui surveillent vos actions sur Internet ou encore d'outils d'espionnage très perfectionnés. Les logiciels espions peuvent contenir des enregistreurs de frappe (ou keyloggers), qui enregistrent tout ce qu'un utilisateur tape sur son clavier. Ainsi, les logiciels publicitaires et les logiciels espions violent votre vie privée, et peuvent aussi ralentir votre système et engorger le réseau. Les ordinateurs sous macOS, auparavant moins ciblés par des logiciels malveillants que les appareils sous Windows, sont aujourd'hui autant sujets aux pop-ups et aux programmes potentiellement indésirables qui se font passer pour des logiciels approuvés.
Botnets
Les botnets permettent à un tiers de piloter un appareil, qui rejoint alors un réseau plus vaste d'appareils infectés. Ce type de logiciel malveillant est le plus souvent utilisé pour des attaques par déni de service distribuées (DDoS), l'envoi de courrier indésirable ou le minage de cryptomonnaie. Tout appareil non protégé accessible via un réseau est susceptible d'être infecté. Les botnets sont capables d'étendre leur réseau d'appareils et d'effectuer plusieurs actions malveillantes de manière simultanée ou séquentielle. En 2016, par exemple, le logiciel malveillant Mirai a réussi à créer un botnet DDoS géant en pilotant des caméras connectées à Internet et des routeurs domestiques.
Rançongiciels
Un rançongiciel est un logiciel malveillant destiné à extorquer de l'argent en échange de quelque chose. Une technique courante consiste à chiffrer des fichiers sur le système d'un utilisateur et à exiger une rançon en bitcoins en échange d'une clé de déchiffrement. Particulièrement répandus dans le milieu des années 2000, les rançongiciels représentent aujourd'hui encore une menace informatique grave et généralisée.
Hameçonnage par SMS
Parmi les nouvelles techniques utilisées par les pirates, l'hameçonnage par SMS (ou smishing) désigne l'envoi par SMS d'un lien vers un programme malveillant sur lequel les utilisateurs sont incités à cliquer pour télécharger ce qu'ils croient être une application. Les fraudeurs se font passer pour une institution financière, un service public ou un service d'assistance client pour tromper leur victime et l'amener à communiquer ses mots de passe, son numéro de carte bancaire ou d'autres données personnelles.
Autres dommages
Le développeur ou l'opérateur d'un logiciel malveillant a parfois pour objectif de détruire des données ou d'endommager d'autres ressources. Le virus Michelangelo qui a sévi en 1992, soit bien avant l'époque des rançongiciels, fut l'un des premiers programmes malveillants à faire autant parler de lui. Il avait été conçu pour écraser les données du disque dur des ordinateurs infectés le 6 mars très précisément. Quelques années plus tard, en 2000, le virus ILOVEYOU s'est propagé entre utilisateurs sous la forme d'un script Visual Basic envoyé en pièce jointe. Son exécution entraînait la destruction de plusieurs fichiers et l'envoi d'une copie du script à tous les contacts figurant dans le carnet d'adresses de l'utilisateur.
Ces virus semblent aujourd'hui bien désuets face aux logiciels malveillants modernes. Prenons l'exemple de Stuxnet. En 2010, la communauté des spécialistes de la sécurité a découvert un ver très déroutant et d'une extrême complexité, conçu pour pirater des équipements industriels bien spécifiques. De nombreux experts de la sécurité sont aujourd'hui convaincus que Stuxnet a été créé par les gouvernements américains et israéliens afin de saboter les programmes d'armement nucléaire de l'Iran (bien qu'aucun gouvernement ne l'ait jamais officiellement admis). Si l'information était avérée, ce virus constituerait une nouvelle forme de logiciel malveillant, à savoir une cyberattaque commanditée par un État.
Techniques de protection contre les logiciels malveillants
Le premier moyen de défense, et le plus efficace, est de ne pas être infecté.Si les logiciels antivirus ou anti-logiciels malveillants s'avèrent utiles, il existe d'autres solutions de sécurité à mettre en œuvre dès aujourd'hui pour améliorer votre résilience.
Adoption d'une architecture de sécurité Zero Trust
Pendant des décennies, les entreprises ont été conçues avec un réseau interne ou de confiance séparé du monde extérieur par des pare-feu et d'autres systèmes de défense. Les utilisateurs ou les points de terminaison situés à l'intérieur du périmètre, ou connectés à distance (comme avec des VPN), bénéficiaient d'un niveau de confiance plus élevé que ceux situés à l'extérieur. Avec ce modèle, s'il était difficile d'entrer, une fois à l'intérieur les pirates n'avaient plus aucun mal à se déplacer. Pour gérer les vulnérabilités, les entreprises adoptent aujourd'hui un accès réseau Zero Trust plus précis, qui segmente l'accès et limite les autorisations des utilisateurs à des applications et services spécifiques.
Diminution de la surface d'attaque
Limitez le nombre de systèmes, d'applications et de ports exposés à Internet.
Sensibilisation des utilisateurs
Les utilisateurs doivent apprendre à se méfier des pièces jointes et des liens inclus dans les e-mails, même s'ils semblent fiables. Ils doivent également apprendre comment des menaces internes peuvent causer des attaques de logiciels malveillants.
Détection
Plus tôt vous détectez l'intrusion d'un logiciel malveillant, plus vite vous pouvez réparer le système infecté. N'oubliez pas que certains logiciels malveillants sont indécelables. Pensez à mettre à jour régulièrement les signatures de détection des antivirus ou des anti-logiciels malveillants pour surveiller les nouvelles variantes, ainsi qu'à appliquer plusieurs mesures de détection adaptées.
Gestion des correctifs
Les programmes de maintenance logicielle essaient de corriger les failles de sécurité le plus tôt possible. En utilisant les dernières versions des logiciels de sécurité (et en maintenant le système entier à jour), vous réduisez les risques d'infection par un logiciel malveillant. La gestion des correctifs consiste à s'assurer que les correctifs de sécurité sont appliqués dans les meilleurs délais à l'ensemble des systèmes de l'entreprise. Aussi, vérifiez régulièrement si des mises à jour sont disponibles et appliquez-les afin de vous prémunir contre les exploits connus.
Contrôle des accès
Les commandes d'administration doivent être réservées aux applications approuvées et aux utilisateurs qui en ont réellement besoin. En cas d'attaque, le logiciel malveillant aura plus de difficultés à infecter les fonctions principales de votre système. Vérifiez fréquemment les commandes d'administration. Si possible, imposez l'authentification à plusieurs facteurs pour sécuriser les accès.
Sauvegarde et chiffrement des données
Un système de protection efficace des données peut radicalement changer la donne en cas d'attaque de logiciel malveillant. Dans le pire des cas, vous pourrez basculer vers une sauvegarde saine effectuée avant l'infection. Cela suppose d'isoler les sauvegardes pour éviter qu'elles ne soient endommagées ou écrasées. Vous pouvez aussi chiffrer les données afin de les rendre inexploitables en cas de vol. Pour cela, vous devrez peut-être combiner plusieurs stratégies selon la taille et la complexité de votre entreprise. Dans les structures de grande taille, le déploiement d'une solution de stockage logiciel dans un environnement de cloud hybride offre un large choix d'options pour la sauvegarde et le chiffrement des données.
Aucun système informatique n'est infaillible, et les développeurs de logiciels malveillants s'obstinent à détecter ces vulnérabilités et à les exploiter. C'est pourquoi la protection contre les logiciels malveillants évolue sans cesse.
Nous vous proposons un guide technologique sur la sécurité informatique qui explique de façon détaillée comment mettre en place des politiques, des processus et des mesures de sécurité.
