Malwares et ransomwares : identifier le problème et y faire face


Temps de lecture : 4 minutes
Share Button

Les malwares se tapissent dans différents recoins de nos systèmes, comme dans les e-mails, des bandeaux publicitaires ou des logiciels téléchargés, et peuvent causer des dommages importants. Julien Valiente*, expert en cybersécurité/hacking éthique et formateur ORSYS, a répondu à nos questions pour mieux identifier les multiples facettes de ces logiciels malveillants… et les meilleures manières de s’en protéger.

malwares - orsys - digital

Quelle serait une bonne définition du malware ?

Par définition, un malware (ou logiciel malveillant) est un logiciel. Leur but n’est pas forcément de porter préjudice à la victime, mais surtout d’apporter un gain à la personne qui va le mettre en œuvre.

Par exemple, un logiciel malveillant peut être un ransomware (ou rançongiciel), qui séquestre les fichiers d’une victime dans le but de lui demander une rançon en échange de leur restitution. Ou encore un logiciel dont le but est d’utiliser l’ordinateur de la victime pour envoyer des campagnes de spams que l’attaquant propose en tant que service à des spammeurs qui le rémunèrent pour cela.

Le logiciel malveillant ne porte donc pas nécessairement préjudice directement à la victime ; il peut aussi utiliser ses ressources au profit de l’attaquant, ce qui reste indésirable. Si des attaques, des spams ou du phishing sont émis par notre ordinateur, on peut notamment en être tenu responsable juridiquement car notre propre matériel aura participé à des actes répréhensibles, allant de la simple diffusion de spams, à des actes plus graves comme la propagation de contenus pédopornographiques…

Quels sont les différents types de malwares ?

On classifie les logiciels malveillants en fonction de trois facteurs :

  • Le vecteur de propagation (comment le transmettre à la victime, par exemple par USB, e-mail, réseaux sociaux, etc.) ;
  • La charge utile (que va-t-il faire : comme détruire un disque dur, chiffrer des fichiers, envoyer des e-mails, espionner son environnement, miner des bitcoins…) ;
  • Le déclencheur (à quel moment le logiciel malveillant va-t-il agir, ce qui peut être continuellement lorsque l’ordinateur se met en veille ou à une date précise…).

Le virus n’est pas le seul « malware ». C’est une grande famille qui comprend aussi le ver informatique (ou « worm »), ou le cheval de Troie, qui a l’apparence et toutes les propriétés d’un logiciel légitime.

Ils comprennent aussi les adwares : des campagnes de publicité ou des clics réalisés à notre insu sur des bandeaux publicitaires rémunérés. En l’occurrence, ce ne sont pas des logiciels que l’on installe par mégarde sur notre ordinateur, mais des scripts installés sur des sites web. Ils s’exécutent automatiquement dans le navigateur. C’est intrusif, mais ils restent dans le navigateur… Ces techniques permettent aussi le vol d’identifiants par incitation via des pop-ups ou la création d’onglets.

Les spywares et les ransomwares, enfin, ont pour objectif d’espionner leur environnement (webcam, touches frappées au clavier, WiFi, composant du réseau, etc.), ou de chiffrer les fichiers et de demander une rançon pour récupérer le contenu.

On a l’impression d’avoir affaire à un système bien organisé…

Il y a toute une activité bien organisée derrière le ransomware, comprenant même un support technique qui répond aux questions de la victime, notamment pour l’aider à se procurer des bitcoins pour payer sa rançon.

Il arrive que des logiciels malveillants soient organisés sous la forme de « botnets » qui communiquent avec des centres de commande gérés par les attaquants. Ces réseaux d’ordinateurs sous contrôle viennent s’inscrire dans ces centres pour être maintenus à jour et surtout recevoir leurs instructions (par exemple, propager un e-mail). Nous avons affaire à une cybercriminalité de plus en plus organisée et structurée, qui fonctionne comme de vraies entreprises, avec des actionnaires, des gérants, des équipes encadrées par des managers, des équipes de recherche et développement, des experts financiers et juridiques, etc.

Est-ce que les attaques par rançongiciels ne sont pas relativement récentes sur le marché de la cybercriminalité ?

Oui, tout à fait : à l’échelle de l’histoire de l’informatique, c’est la dernière innovation du marché. Jusqu’alors, les gens se disaient qu’ils ne risquaient rien parce qu’ils n’avaient « rien à cacher », « pas de secrets défense », et que les attaquants ne s’intéressaient pas à eux. Ils ne faisaient alors pas vraiment attention à l’aspect sécurité. Ce qui a laissé une belle marge de manœuvre pour ce type d’attaque qui aujourd’hui marche très bien. Le ransomware vise principalement les particuliers, car les chances de réussite sont grandes et les risques de représailles faibles. Mais il s’est aussi fait connaître par quelques attaques de plus vaste ampleur, ciblant des hôpitaux, des installations industrielles, des gouvernements ou de grandes sociétés. Sauf qu’en étant conçus plutôt pour des particuliers, les rançons étaient faibles.

Certains ransomwares aujourd’hui sont donc capables d’analyser leur environnement avant de déterminer le montant de la rançon… Une sorte de devis personnalisé à la tête du client.

Comment réagir, dans ce cas, face à un ransomware ?

Dans les faits, lorsqu’on est victime d’un ransomware il faut savoir évaluer les risques. Faut-il tout réinstaller, restaurer les sauvegardes et repartir de zéro ? C’est la réponse idéale, d’autant que rien ne nous certifie que l’on sera débarrassé du ransomware une fois la rançon payée. La faille reste potentiellement présente, et le système potentiellement vulnérable. Mais le coût peut-être très important, ne serait-ce qu’en ressources humaines. Il faut donc bien délimiter le périmètre compromis pour limiter le volume des systèmes à restaurer. On doit toujours partir du principe qu’il faut de toute façon réinstaller un système qui a été compromis.

Mais il est surtout essentiel de prévenir plutôt que de guérir. Pour cela, il faut tout d’abord disposer d’un antivirus, et le mettre à jour fréquemment ainsi que le système. Surtout, surtout, faire des sauvegardes – si on menace vos données mais que vous en avez des sauvegardes, vous pouvez ignorer et tout réinstaller. Bien sûr, il faut que la sauvegarde soit faite de manière sécurisée, c’est-à-dire, pour commencer, non connectées en permanence aux appareils, sinon le rançongiciel pourrait les chiffrer elle aussi. Le ransomware, en général, ne se déclenche pas sans connexion Internet puisqu’il a besoin de transmettre la clé de déchiffrement. Ainsi, un bon réflexe peut être de déconnecter immédiatement la machine du réseau.

On peut aussi utiliser deux disques durs plutôt qu’un seul pour alterner les sauvegardes et, en cas d’attaque, diminuer les pertes. Enfin, toujours télécharger ses logiciels chez des éditeurs vérifiés – et non pas sur un site lambda – et se méfier particulièrement des logiciels « crackés » qui sont un vecteur de propagation de choix… En somme, tout ce que l’ANSSI appelle « adopter des mesures d’hygiène numérique »


Pour se former :

Julien Valiente - expert - ORSYS

VALIENTE Julien

 

Spécialiste en Systèmes d’Information et réseaux de données : conception, optimisation, restructuration, continuité de service/résilience, qualité de services. Il traite aussi de la sécurité des réseaux, des applications, de la sécurité économique et, est consultant-formateur indépendant depuis 2001.

Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *