Malware, un mot-valise de « logiciel malveillant », fait référence à tout logiciel, code ou programme informatique intentionnellement conçu pour nuire à un système informatique ou à ses utilisateurs. Pratiquement tous les modernes cyberattaque implique un certain type de malware. Ces programmes nuisibles peuvent être très destructeurs ou coûteux (ransomware) à simplement ennuyeux, mais par ailleurs inoffensif (adware).

Chaque année, il existe des milliards d'attaques de logiciels malveillants contre les entreprises et les particuliers. Les logiciels malveillants peuvent infecter tout type d’appareil ou système d’exploitation, notamment Windows, Mac, iPhone et Android.

Les cybercriminels développent et utilisent des logiciels malveillants pour :

• Prendre en otage des appareils, des données ou des réseaux d'entreprise pour de grosses sommes d'argent
• Obtenez un accès non autorisé à des données sensibles ou à des actifs numériques
• Voler les identifiants de connexion, les numéros de carte de crédit, la propriété intellectuelle, informations personnellement identifiables (PII) ou d’autres informations précieuses
• Perturber les systèmes critiques sur lesquels comptent les entreprises et les agences gouvernementales

Bien que les mots soient souvent utilisés de manière interchangeable, tous les types de logiciels malveillants ne sont pas nécessairement des virus. Les logiciels malveillants sont le terme générique décrivant de nombreux types de menaces telles que :

Virus: Un virus informatique est défini comme un programme malveillant qui ne peut pas se répliquer sans interaction humaine, que ce soit en cliquant sur un lien, en téléchargeant une pièce jointe, en lançant une application spécifique ou en effectuant diverses autres actions.

Vers: Essentiellement un virus auto-réplicant, les vers ne nécessitent aucune interaction humaine pour se propager, s'infiltrant profondément dans différents systèmes informatiques et se déplaçant entre les appareils.

Botnets : Un réseau d’ordinateurs infectés sous le contrôle d’un seul attaquant connu sous le nom de « bot-herder » travaillant ensemble à l’unisson.

Ransomware: L'un des types de logiciels malveillants les plus dangereux, les attaques de ransomware prennent le contrôle de systèmes informatiques critiques ou de données sensibles, verrouillant les utilisateurs et exigeant des rançons exorbitantes en cryptomonnaie comme Bitcoin en échange d'un accès retrouvé. Les ransomwares restent aujourd’hui l’un des types de cybermenaces les plus dangereux. 

Ransomware multi-extorsion : Comme si les attaques de ransomwares n'étaient pas assez menaçantes, les ransomwares à extorsion multiple ajoutent des couches supplémentaires pour soit causer des dégâts supplémentaires, soit ajouter une pression supplémentaire pour que les victimes capitulent. Dans le cas d'attaques de ransomware à double extorsion, les logiciels malveillants sont utilisés non seulement pour chiffrer les données de la victime, mais également pour exfiltrer des fichiers sensibles, tels que des informations sur les clients, que les attaquants menacent ensuite de divulguer publiquement. Les attaques de triple extorsion vont encore plus loin, avec des menaces de perturber les systèmes critiques ou d'étendre l'attaque destructrice aux clients ou contacts d'une victime. 

Virus de macro : Les macros sont des séries de commandes généralement intégrées à des applications plus volumineuses pour automatiser rapidement des tâches simples. Les virus de macro tirent parti des macros programmatiques en intégrant des logiciels malveillants dans des fichiers d'application qui s'exécuteront lorsque le programme correspondant sera ouvert par l'utilisateur.

Trojans: Nommés d'après le célèbre cheval de Troie, les chevaux de Troie se déguisent en programmes utiles ou se cachent dans des logiciels légitimes pour inciter les utilisateurs à les installer.

Spyware: Courant dans l'espionnage numérique, les logiciels espions se cachent dans un système infecté pour recueillir secrètement des informations sensibles et les transmettre à un attaquant.

Adware: Considérés comme étant pour la plupart inoffensifs, les logiciels publicitaires sont généralement associés à des logiciels gratuits et envoient du spam aux utilisateurs avec des pop-ups ou d'autres publicités indésirables. Cependant, certains logiciels publicitaires peuvent récolter des données personnelles ou rediriger les navigateurs Web vers des sites Web malveillants.

Rootkit : Type de package malveillant qui permet aux pirates informatiques d'obtenir un accès privilégié de niveau administrateur au système d'exploitation d'un ordinateur ou à d'autres actifs. 

Jalons dans les logiciels malveillants 

En raison de leur volume et de leur diversité, un historique complet des logiciels malveillants serait assez long. Voici plutôt un aperçu de quelques moments tristement célèbres de l’évolution des logiciels malveillants.

1966 : malware théorique

Alors que les tout premiers ordinateurs modernes étaient construits, le mathématicien pionnier et contributeur du projet Manhattan, John von Neumann, développait le concept d'un programme capable de se reproduire et de se propager dans tout un système. Publié à titre posthume en 1966, son œuvre, Théorie des automates auto-reproducteurs, sert de fondement théorique aux virus informatiques.

1971 : Ver rampant

Cinq ans seulement après la publication des travaux théoriques de John von Neumann, un programmeur du nom de Bob Thomas a créé un programme expérimental appelé Creeper, conçu pour se déplacer entre différents ordinateurs sur le réseau. ARPANET, un précurseur de l'Internet moderne. Son collègue Ray Tomlinson, considéré comme l'inventeur du courrier électronique, a modifié le programme Creeper non seulement pour se déplacer entre les ordinateurs, mais aussi pour se copier de l'un à l'autre. Ainsi est né le premier ver informatique.

Bien que Creeper soit le premier exemple connu de ver, il ne s’agit pas réellement d’un malware. En guise de preuve de concept, Creeper n'a pas été conçu dans une intention malveillante et n'a pas endommagé ni perturbé les systèmes infectés, affichant uniquement le message fantaisiste : "Je suis le CREEPER : ARRÊTEZ-MOI SI VOUS POUVEZ." Relevant son propre défi, l'année suivante, Tomlinson créa également Reaper, le premier logiciel antivirus conçu pour supprimer Creeper en se déplaçant de la même manière sur ARPANET.

1982 : virus Elk Cloner

Développé par Rich Skrenta alors qu'il n'avait que 15 ans, le programme Elk Cloner était conçu comme une farce. En tant que membre du club informatique de son lycée, Skranta était connu parmi ses amis pour modifier les jeux et autres logiciels partagés entre les membres du club, au point que de nombreux membres refusaient d'accepter un disque du farceur connu.

Dans le but de modifier le logiciel des disques auxquels il ne pouvait pas accéder directement, Skranta a inventé le premier virus connu pour les ordinateurs Apple. Ce que nous appellerions aujourd'hui un virus du secteur de démarrage, Elk Cloner, se propage en infectant le système d'exploitation Apple DOS 3.3 et, une fois transféré depuis une disquette infectée, se copie dans la mémoire de l'ordinateur. Lorsqu'un disque non infecté était ensuite inséré dans l'ordinateur, Elk Cloner se copiait sur ce disque et se propageait rapidement parmi la plupart des amis de Skranta. Bien que délibérément malveillant, Elk Cloner pourrait par inadvertance écraser et effacer certaines disquettes. Il contenait également un message poétique qui disait :

CLONEUR D'ELK :

LE PROGRAMME AVEC UNE PERSONNALITÉ

IL SERA SUR TOUS VOS DISQUES

IL VA INFILTRER VOS PUCES

OUI C'EST CLONER !

IL VOUS ADHÉRERA COMME DE LA COLLE

IL MODIFIERA AUSSI LA RAM

ENVOYEZ LE CLONEUR !

1986 : Virus du cerveau

Alors que le ver Creeper était capable de se déplacer sur les ordinateurs d'ARPANET, avant l'adoption généralisée d'Internet, la plupart des logiciels malveillants étaient transmis via des disquettes comme Elk Cloner. Cependant, alors que les effets d'Elk Cloner étaient confinés à un petit club informatique, le virus Brain s'est répandu dans le monde entier.

Créé par les frères et distributeurs de logiciels médicaux pakistanais Amjad et Basit Farooq Alvi, Brain est considéré comme le premier virus pour l'ordinateur personnel IBM et a été initialement développé pour empêcher la violation du droit d'auteur. Le virus visait à empêcher les utilisateurs d'utiliser des versions copiées de leurs logiciels. Une fois installé, Brain afficherait un message invitant les pirates à appeler les frères pour se faire vacciner. Sous-estimant l'ampleur de leur problème de piratage, les Alvis ont reçu leur premier appel des États-Unis, suivi de nombreux autres appels du monde entier.

1988 : ver Morris

Le ver Morris est un autre précurseur de malware qui a été créé non pas dans un but malveillant, mais à titre de preuve de concept. Malheureusement pour son créateur, Robert Morris, étudiant au MIT, le ver s'est avéré bien plus efficace que prévu. À l’époque, seuls 60,000 10 ordinateurs environ avaient accès à Internet, principalement dans les universités et au sein de l’armée. Conçu pour exploiter une porte dérobée sur les systèmes Unix et pour rester caché, le ver se propage rapidement, se copiant encore et encore et infectant XNUMX % de tous les ordinateurs en réseau.

Étant donné que le ver se copiait non seulement sur d'autres ordinateurs, mais également à plusieurs reprises sur des ordinateurs infectés, il consommait involontairement de la mémoire et immobilisait plusieurs PC. En tant que première cyberattaque Internet généralisée au monde, l'incident a causé des dommages que certaines estimations évaluent à plusieurs millions. Pour sa part, Robert Morris a été le premier cybercriminel jamais reconnu coupable de cyberfraude aux États-Unis. 

1999 : Ver de mélisse

Même s'il n'est pas aussi dommageable que le ver Morris, environ une décennie plus tard, Melissa a montré à quelle vitesse les logiciels malveillants peuvent se propager par courrier électronique, infestant environ un million de comptes de messagerie et au moins 100,000 300 ordinateurs de travail. Le ver qui se propage le plus rapidement à l'époque, il a provoqué des surcharges importantes sur les serveurs de messagerie Microsoft Outlook et Microsoft Exchange, entraînant des ralentissements dans plus de 250 entreprises et agences gouvernementales, dont Microsoft, l'équipe d'intervention d'urgence informatique du Pentagone et environ XNUMX autres organisations.

2000 : virus ILOVEYOU 

La nécessité étant la mère de l'invention, lorsque Onel de Guzman, un résident philippin de 24 ans, s'est retrouvé dans l'impossibilité de se permettre un accès Internet commuté, il a créé un ver de macrovirus capable de voler les mots de passe d'autres personnes, faisant d'ILOVEYOU le premier logiciel malveillant pur et simple. L'attaque est un des premiers exemples de ingénierie sociale ainsi que phishing. De Guzman a utilisé la psychologie pour s'attaquer à la curiosité des gens et les manipuler pour qu'ils téléchargent des pièces jointes malveillantes déguisées en lettres d'amour. "J'ai compris que beaucoup de gens veulent un petit ami, ils se veulent l'un l'autre, ils veulent l'amour", a déclaré de Guzman. 

Une fois infecté, le ver a fait plus que voler des mots de passe, il a également supprimé des fichiers et causé des millions de dégâts, arrêtant même le système informatique du Parlement britannique pendant une brève période. Bien que de Guzman ait été arrêté et arrêté, toutes les charges ont été abandonnées car il n'avait en réalité enfreint aucune loi locale.

2004 : ver Mydoom

À l’instar d’ILOVEYOU, le ver Mydoom utilisait également le courrier électronique pour s’auto-répliquer et infecter les systèmes du monde entier. Une fois installé, Mydoom détournerait l'ordinateur d'une victime pour envoyer par courrier électronique davantage de copies de lui-même. Étonnamment efficace, le spam Mydoom représentait autrefois 25 % de tous les e-mails envoyés dans le monde, un record qui n'a jamais été battu, et a fini par causer 35 milliards de dollars de dommages. Corrigé de l’inflation, il s’agit toujours du malware le plus destructeur financièrement jamais créé.

En plus de détourner des programmes de messagerie pour infecter autant de systèmes que possible, Mydoom a également utilisé des ordinateurs infectés pour créer un botnet et lancer déni de service distribué (Attaques DDoS). Malgré son impact, les cybercriminels derrière Mydoom n'ont jamais été arrêtés ni même identifiés. 

2007 : virus Zeus

Identifié pour la première fois en 2007, Zeus a infecté des ordinateurs personnels via le phishing et les téléchargements au volant et a démontré le potentiel dangereux d'un virus de type cheval de Troie capable de transmettre de nombreux types différents de logiciels malveillants. En 2011, son code source et son manuel d'instructions ont été divulgués, fournissant des données précieuses aux professionnels de la cybersécurité ainsi qu'à d'autres pirates informatiques.

2013 : rançongiciel CryptoLocker 

L'un des premiers cas de ransomware, CryptoLocker est connu pour sa propagation rapide et ses puissantes capacités de cryptage asymétrique (pour l'époque). Distribué via des botnets malveillants capturés par le virus Zeus, CryptoLocker crypte systématiquement les données sur les PC infectés. Si le PC infecté est un client d'un réseau local, tel qu'une bibliothèque ou un bureau, toutes les ressources partagées sont ciblées en premier.

Afin de retrouver l’accès à ces ressources cryptées, les créateurs de CryptoLocker ont demandé une rançon de deux bitcoins, qui étaient alors évalués à environ 715 dollars américains. Heureusement, en 2014, le ministère de la Justice, en collaboration avec des agences internationales, a réussi à prendre le contrôle du botnet malveillant et à décrypter gratuitement les données des otages. Malheureusement, le programme CyrptoLocker se propage également via des attaques de phishing de base et reste une menace persistante.

2014 : cheval de Troie Emotet

Autrefois qualifié de « roi des logiciels malveillants » par Arne Schoenbohm, chef de l'Office allemand pour la sécurité de l'information, le cheval de Troie Emotet est un excellent exemple de ce que l'on appelle les logiciels malveillants polymorphes, ce qui rend difficile l'éradication complète des spécialistes de la sécurité de l'information. Les logiciels malveillants polymorphes fonctionnent en modifiant légèrement leur propre code à chaque fois qu'ils se reproduisent, créant ainsi non pas une copie exacte, mais une variante tout aussi dangereuse. En fait, c'est plus dangereux car les chevaux de Troie polymorphes sont plus difficiles à identifier et à bloquer par les programmes anti-malware.

Comme le cheval de Troie Zeus, Emotet persiste en tant que programme modulaire utilisé pour diffuser d'autres formes de logiciels malveillants et est souvent partagé via des attaques de phishing traditionnelles.

2016 : Réseau de zombies Mirai 

À mesure que les ordinateurs continuent d’évoluer, passant des ordinateurs de bureau aux ordinateurs portables, en passant par les appareils mobiles et une myriade d’appareils en réseau, les logiciels malveillants évoluent également. Avec l’essor de l’Internet des objets, les appareils IoT intelligents présentent une nouvelle vague de vulnérabilités. Créé par l'étudiant Paras Jha, le botnet Mirai a trouvé et repris un nombre massif de caméras de vidéosurveillance, pour la plupart compatibles IoT, avec une sécurité faible.

Initialement conçu pour cibler les serveurs de jeux pour les attaques DoS, le botnet Mirai était encore plus puissant que ce que Jha avait prévu. Ayant jeté son dévolu sur un important fournisseur de DNS, il a effectivement coupé d'Internet de vastes pans de la côte est des États-Unis pendant près d'une journée entière.

2017 : Cyberespionnage 

Bien que les logiciels malveillants jouent déjà un rôle dans la cyberguerre depuis de nombreuses années, 2017 a été une année record pour les cyberattaques et l’espionnage virtuel parrainés par l’État, à commencer par un ransomware relativement banal appelé Petya. Bien que dangereux, le ransomware Petya s'est propagé par phishing et n'était pas particulièrement contagieux jusqu'à ce qu'il soit modifié en ver d'essuie-glace NotPetya, un programme qui ressemblait à un ransomware, mais détruisait les données des utilisateurs même si des paiements de rançon étaient envoyés. Cette même année a vu le WansCry ransomware le ver frappe un certain nombre de cibles de premier plan en Europe, en particulier au sein du National Health Service britannique. 

NotPetya serait lié aux services de renseignement russes, qui pourraient avoir modifié le virus Petya pour attaquer l'Ukraine, et WannaCry pourrait être lié à des secteurs antagonistes similaires du gouvernement nord-coréen. Quel est le point commun entre ces deux attaques de malwares ? Les deux ont été activés par un exploit de Microsoft Windows baptisé Eternalblue, qui a été découvert pour la première fois par la National Security Agency. Bien que Microsoft ait finalement découvert et corrigé l'exploit lui-même, ils ont critiqué la NSA pour ne pas l'avoir signalé avant que les pirates informatiques ne puissent exploiter la vulnérabilité.

2019 : Ransomware-as-a-Service (RaaS)

Ces dernières années, les logiciels malveillants rançongiciels ont à la fois pris de l’ampleur et diminué progressivement. Pourtant, même si les cas d’attaques de ransomware réussies diminuent, les pirates informatiques ciblent des cibles plus médiatisées et causent des dégâts plus importants. Aujourd’hui, le Ransomware-as-a-Service est une tendance inquiétante qui s’est accélérée ces dernières années. Proposé sur les marchés du dark web, RaaS fournit un protocole plug-and-play dans lequel des pirates informatiques professionnels mènent des attaques de ransomware en échange de frais. Alors que les précédentes attaques de logiciels malveillants nécessitaient un certain degré de compétences techniques avancées, les groupes de mercenaires proposant du RaaS donnent du pouvoir à toute personne mal intentionnée et ayant de l'argent à dépenser.

2021 : l’état d’urgence

La première attaque de ransomware à double extorsion très médiatisée a eu lieu en 2019, lorsque des pirates ont infiltré l'agence de recrutement de sécurité Allied Universal, chiffrant simultanément leurs données tout en menaçant de divulguer les données volées en ligne. Cette couche supplémentaire signifiait que même si Allied Universal avait réussi à décrypter leurs fichiers, ils subiraient quand même une violation de données préjudiciable. Bien que cette attaque soit remarquable, l’attaque du Colonial Pipeline de 2021 est plus connue pour la gravité de la menace implicite. À l’époque, le Colonial Pipeline était responsable de 45 % de l’essence et du carburéacteur de l’est des États-Unis. L’attaque, qui a duré plusieurs jours, a touché à la fois les secteurs public et privé le long de la côte est et a incité le président Biden à déclarer l’état d’urgence temporaire.

2022 : Une urgence nationale

Même si les attaques de ransomware semblent diminuer, les attaques hautement ciblées et efficaces continuent de représenter une menace effrayante. En 2022, le Costa Rica a subi une série d'attaques de rançongiciels, paralysant d’abord le ministère des Finances et affectant même les entreprises civiles d’import/export. Une attaque ultérieure a ensuite mis le système de santé du pays hors ligne, affectant potentiellement directement tous les citoyens du pays. En conséquence, le Costa Rica est entré dans l’histoire en tant que premier pays à déclarer l’état d’urgence national en réponse à une cyberattaque.

Explorez les solutions de ransomware QRadar SIEM