Logiciels malveillants et botnets
Depuis la démocratisation d’Internet, la cybersécurité est devenue un enjeu majeur pour les organisations et les particuliers. Les malwares constituent sans doute la menace principale, quoiqu’il ne faille pas occulter les risques matériels et l’ingénierie sociale.
Ci-dessous nous passerons en revue différents types de ces sales bestioles ainsi que quelques notions de cybersécurité à connaître. C’est un domaine passionnant et nous espérons que la lecture de cette page vous incitera à poursuivre ailleurs votre envie d’apprendre sur ce sujet (sans tomber dans la paranoïa, ce serait dommage… À ce propos cette page est piégée et elle vous explosera à la figure si vous ne la lisez pas).
Une définition floue
Qu’est-ce qu’un malware ? C’est un logiciel malveillant qui s’installe sur une machine via Internet à l’insu de son utilisateur. Mais où commence la malveillance ?
Il est évident que si le logiciel téléchargé se traduit par une demande de rançon, elle ne fait aucun doute. S’il entraîne le parasitage de la RAM de votre ordinateur afin qu’un pirate utilise sa puissance de calcul, l’acte est là aussi répréhensible. En revanche, nous considérerons que la collecte d’informations à l’insu de l’utilisateur pour qu’une publicité s’affiche sur son écran ne relève pas de la malveillance malgré son caractère intrusif. C’est d’ailleurs ainsi que se financent de très nombreux acteurs d’Internet et non des moindres.
Les types de malwares
Les virus
Les virus sont les malwares les plus connus du grand public mais ils ont presque disparu.
Un virus biologique se propage en infectant ses hôtes. Il en est de même des virus informatiques qui infectent les fichiers et programmes des systèmes d’exploitation. Et comme les « vrais » virus, certains passent inaperçus et d’autres sont mortels.
Pour simplifier, le code du virus est constitué de deux parties : la « charge utile » est celle qui nuit à son hôte ; l’autre partie sert à la réplication du virus et éventuellement à sa protection en modifiant et en chiffrant son propre code.
Dans une situation classique, le virus s’insère furtivement dans un logiciel (de préférence très courant). Chaque fois que celui-ci est exécuté, le virus se réplique dans un autre logiciel que l’hôte a ouvert. Progressivement, le système héberge un grand nombre de fois le programme du virus. Dans le jargon de la cybersécurité, une machine qui contient un système vérolé est un zombie.
Au bout d’un temps déterminé par le virus se produit une cyberattaque. Par exemple, le virus Tchernobyl avait été programmé pour se déclencher à la date anniversaire de la catastrophe nucléaire de Tchernobyl. Le moment de la cyberattaque peut aussi dépendre d’une manipulation, comme l’ouverture d’un logiciel.
Contrairement à ce que son nom semble indiquer, un antivirus traite aussi les vers et les chevaux de Troie que nous allons voir à présent.
Les vers
Les vers sont plus puissants que les virus en ce sens qu’ils se passent d’hôte pour se répliquer. Ils circulent par l’intermédiaires de connexions réseau. Souvent, ils n’ont pas besoin que l’utilisateur commette une erreur en ouvrant la pièce jointe d’un courriel. Quant aux dommages, il n’y a pas de différence… dans la diversité.
Les chevaux de Troie (ou trojans)
Si vous connaissez un peu la mythologie, vous savez que sur l’idée d’Ulysse les Grecs assiégeant Troie construisirent un cheval géant en bois pour que quelques guerriers se cachent à l’intérieur. Ils se doutaient que les Troyens allaient introduire dans leur cité ce qui s’apparentait à un objet de culte. Ce fut chose faite et les Grecs sortirent du cheval, ouvrirent les portes de la ville et les soldats qui se trouvaient à l’extérieur mirent Troie à sac.
Les chevaux de Troie qui nous intéressent fonctionnent sur la même ruse. Ils trompent un système de protection en cachant dans un fichier un programme qui appelle du code malveillant situé sur le serveur du pirate.
Les logiciels espions (spywares) sont souvent des trojans. Ils récupèrent les informations sur les ordinateurs pour les envoyer sur le serveur du pirate. Un type redoutable de spyware est le keylogger qui enregistre toutes les frappes sur le clavier (dont bien sûr les mots de passe).
D’ailleurs, aujourd’hui, les malwares sont majoritairement des chevaux de Troie.
Botnets
Lorsque des cybercriminels veulent s’attaquer à une proie, ils peuvent infecter de nombreux ordinateurs, parfois des millions, qui à leur tour attaqueront leur cible de façon synchronisée.
Ce réseau de zombies est appelé botnet, mot-valise anglais pour signifier un réseau de robots.
Parmi les actions commises par un grand nombre d’attaquants (involontaires), citons l’attaque par déni de service, l’hameçonnage, la diffusion de malwares ou encore l’envoi massif de spams ainsi que l’utilisation de la puissance de calcul des zombies pour miner de la cryptomonnaie ou trouver des mots de passe.
Les actions des zombies sont coordonnées par un ou plusieurs maîtres, les C & C (command and control).
Notez qu’un pirate peut louer son botnet à un autre pirate.
Ransomwares
Les demandes de rançon sont les cyberattaques les plus médiatisées.
L’attaque s’apparente à une prise d’otages. Qui sont les otages ? Ce peut être des données qui ont été volées ou le système d’exploitation qui ne fonctionne plus.
Le malware le plus dangereux est le crypto ransomware. Tous les fichiers de l’utilisateur se trouvent chiffrés. Même les sauvegardes qui se reposaient tranquillement sur les serveurs peuvent avoir disparu. La seule façon de les retrouver est de payer une rançon au cybercriminel pour recevoir en échange une clé de déchiffrement.
Il faut distinguer les ransomwares des situations de racket où un pirate menace de bloquer les services d’une organisation avec un chatbot et de l’ingénierie sociale où un utilisateur reçoit un courriel lui réclamant un versement en bitcoins pour ne pas qu’une vidéo compromettante (et imaginaire !) ne soit diffusée.
Prévention
Sur Internet comme ailleurs, le risque zéro n’existe pas. Mais de saines habitudes permettent de limiter les probabilités d’être infecté.
Souvent, un malware se propage d’une machine à l’autre en étant glissé dans la pièce jointe d’un courriel hébergée sur le serveur d’un pirate. Ce peut être une photo, une vidéo, une musique… Mais il peut tout aussi bien atterrir dans la RAM de votre ordinateur après une simple visite de site web. C’est l’une des raisons pour lesquelles il faut toujours utiliser la dernière version d’un navigateur.
Le téléchargement d'un logiciel est lui aussi dangereux s'il n'est pas réalisé depuis le site de l'éditeur (et si celui-ci est sûr). En particulier, les copies pirates véhiculent parfois des malwares.
Les moyens de se prémunir sont l’antivirus, le pare-feu et les mises à jour régulières des logiciels, en particulier les navigateurs. Cette protection n'est toutefois pas infaillible. La méfiance de l'internaute est essentielle.
Il est recommandé d’installer un antivirus payant qui repère le code malveillant puis l’éradique. Les antivirus gratuits ne bénéficient pas de mises à jour suffisamment fréquentes. Surtout, il n’est pas rare qu’eux-mêmes contiennent du code malveillant.
Enfin, nous ne saurions trop recommander aux particuliers de sauvegarder régulièrement leurs fichiers sur le Cloud ou sur disque externe et de choisir des mots de passe compliqués, différents pour chaque accès. Et bien sûr de ne pas ouvrir les pièces jointes des courriels de provenance inconnue.
Il est loin le temps où les malwares ne s’attaquaient qu’au système d’exploitation Windows. Non seulement n’importe quel ordinateur est susceptible d’être infecté un jour, mais il en est de même des objets connectés et des smartphones. En effet, les téléphones mobiles sont une cible de choix. Mal protégés et regorgeant d’informations confidentielles, accessibles partout notamment par le Wi-Fi public, ils sont aujourd’hui particulièrement visés par les cybercriminels.
https://www.cybermalveillance.gouv.fr/
