Qu’est-ce qu’une cyberattaque via “malware” ?
Pour se protéger efficacement des cyberattaques, il faut savoir les reconnaître et décortiquer leurs logiques. À chaque type de cybercrime correspond effectivement un moyen de se défendre.
Définition du “malware”, ou “logiciel malveillant”
Le terme “Malware” est un mot anglais qui contracte "malicious" et “software”, pour désigner un “programme malveillant”. Le malware se définit comme tout logiciel ou code nuisible aux systèmes informatiques.
Il s'agit ainsi d’un terme générique, qui recoupe une série de programmes développés dans l’objectif de nuire à un ordinateur ou un réseau de machines. La démarche s’effectue, bien sûr, sans le consentement de l'utilisateur. On parle donc aussi de "maliciel" ou de “pourriciel”.
Le malware s'organise soit autour de scripts, soit via des codes exécutables ou d’autres logiciels pour :
- pirater les fonctions IT (Information Technology) de votre société
- espionner vos systèmes informatiques
- voler vos données confidentielles, ou les supprimer
Le logiciel malveillant fait donc partie d’une autre catégorie de cybermenaces que le vol d’identité, l’attaque au PDG ou le phishing ou “hameçonnage”. Les hackers les utilisent pour détourner des informations sensibles, notamment financières ou commerciales. L'objectif peut aussi parfois être politique.
Les différents types de “malicious softwares”
On identifie généralement 6 catégories de malwares, dont certaines plus connues du grand public que d’autres :
- Le Cheval de Troie, ou Remote administration tool (RAT, ou logiciel de prise de contrôle à distance), s’inspire de la mythologie grecque. La légende attribue à Ulysse l’idée de cacher les Grecs dans un cheval recouvert d’or pour mieux assiéger la ville de Troie.
En informatique, le principe est le même. Le logiciel malveillant se déguise en programme utile et sécurisé pour convaincre le destinataire de l’installer dans son environnement informatique. Cela permet au cybercriminel d’accéder aux données confidentielles contenues dans l’ordinateur ou son réseau. - Ledit “virus” informatique fonctionne quant à lui comme un véritable agent infectieux. Il s’agit d’un code qui infecte un logiciel, lequel contamine lui-même tous les fichiers, logiciels et ordinateurs à son contact.
- Le logiciel espion, ou spyware, ne se propage pas d'hôte en hôte comme un virus. Il épie la navigation web de l'utilisateur, caché dans un logiciel tiers.
- les ransomwares, ou rançongiciels, prennent en otage vos données personnelles. Les pirates n’acceptent de vous les rendre indemnes que si vous payez une rançon.
- La “fraude au clic” incarne un malware spécifique au domaine du marketing. Elle consiste à encourager les clics sur les publicités en ligne d’un concurrent, en vue de lui faire dépenser inutilement son budget publicitaire.
- Les “vers” fonctionnent comme les virus, si ce n’est qu’ils n’ont pas besoin d’un hôte pour contaminer un ordinateur ou un réseau. Ils se répliquent de façon autonome pour infecter les systèmes IT.
- Le scareware est un programme qui joue sur les craintes de l’internaute. Il lui fait peur à partir d’une fausse fenêtre d’avertissement contre un virus, puis le redirige vers une page web infectée. En cliquant, l'utilisateur télécharge un code malveillant à son insu.
- Un botnet se définit comme un réseau d'ordinateurs contaminés qu’un hacker contrôle de façon groupée.
- Un “kit” ou “rootkit”, aussi parfois appelé “backdoor” ou “porte dérobée”, consiste en une méthode pour accéder à un ordinateur à distance. Le cyberpirate récupère ainsi des informations sensibles, comme les mots de passe ou les coordonnées bancaires. Il s’agit souvent du programme malveillant employé dans le cadre des attaques DDoS.
Quelles sont les entreprises concernées par les cybermenaces via logiciels malveillants ?
Les malwares ont beaucoup fait parler d’eux en octobre 2019, quand le Groupe M6 a annoncé être la victime d’un ransomware. Les TPE et PME sont pourtant bien plus touchées que les grands groupes. Un article du Journal du Net sur les cyberattaques des PME affirme ainsi que 87% d’entre elles ont déjà vécu une cybermenace.
Cette fragilité spécifique des TPE-PME françaises s’explique d’abord par le fait qu’elles investissent peu dans leur cybersécurité. Si le magazine GPO annonce une augmentation des budgets cybersécurité en 2021, il signale aussi que près d'un tiers des responsables de la sécurité des systèmes d'information (RSSI) estiment encore que la direction de leur entreprise ne prend pas la mesure de l'ampleur des cybermenaces.
Les PME incarnent aussi des cibles privilégiées pour les cyberpirates, car elles ont un rôle de passerelle vers les grands groupes. Le Journal du Net illustre ce fonctionnement en utilisant l’exemple de Target, un grand groupe de distribution alimentaire américain. Des pirates ont volé les numéros de cartes bancaires de près de 40 millions de ses clients, simplement en piratant les identifiants de connexion d’un de ses sous-traitants.
Conséquences d’une cyberattaque pour l’entreprise
Les dégâts dus à un malware varient en ampleur selon le type de cyberattaque réalisée. Il s’agit, dans un premier temps, de défaillances du système informatique. Celles-ci peuvent être graves, comme dans le cas d’un Cheval de Troie, ou réduites, comme ça arrive souvent avec les rançongiciels.
Il arrive que les programmes malveillants paralysent tout le réseau local informatique d’une entreprise. La Bank of America se souvient encore du ver Slammer de 2003. Assez puissant pour bouleverser le réseau internet de l’ensemble des Etats-Unis, de l'Australie, de la Nouvelle-Zélande et de la Corée du Sud, ce malware incontrôlable avait forcé les banques à stopper leurs opérations.
Le vol d’informations sensibles occasionne également d’importantes pertes. Il peut s’agir de données financières, bancaires, d'informations confidentielles sur une innovation ou de bases de données clients, par exemple. Les logiciels malveillants font aussi perdre du temps passé à l'identification de l’attaque, à sa désinfection et à l’interruption du réseau.
Tous ces dégâts en créent d’autres, réputationnels cette fois. Une entreprise victime d’un Cheval de Troie, par exemple, peut ne pas identifier tout de suite la menace. Pendant ce temps, ses serveurs envoient des courriers indésirables à ses clients. Une mauvaise analyse des risques cyber peut aussi faire peur aux éventuels investisseurs.
Les programmes malveillants s’avèrent en réalité fatals pour la plupart des PME. Le Journal du Net souligne ainsi que 80% d’entre elles doivent fermer boutique dans les 6 mois qui suivent une attaque visant l’intégrité de leurs données. On estime en outre qu’en moyenne 60% des petites entreprises font faillite sur ce même laps de temps après une attaque au malware.
Comment fonctionne un malware ?
Les malwares représentent ce qu’on appelle techniquement des APT, pour Advanced Persistent Threats, ou “menaces persistantes avancées”. Les techniques des cybercriminels se complexifient constamment. Elles suivent malgré tout souvent la même genèse en 5 étapes. Voici un petit résumé exemplifié autour d’un programme malveillant qui serait destiné au vol de données confidentielles.
1 / Le ciblage
C’est le premier objectif du hacker, quelques mois avant l'attaque. Son but : identifier vos systèmes de protection pour choisir son arme d’attaque. Le pirate peut par exemple entreprendre de vous suivre sur vos réseaux sociaux, ou même vous appeler. Il peut aussi créer de faux profils en ligne pour vous convaincre d’échanger avec lui. Certains n’hésitent pas, en outre, à corrompre un employé en difficulté.
2 / L’intrusion
Toujours plusieurs mois avant de commencer sa cyberattaque, le pirate va s’introduire dans votre réseau informatique. Pour bien faire, il doit dans ce cas rester invisible. Cette démarche passe par l’utilisation d’un email, d’un fichier exécutable ou de n’importe quelle faille de sécurité de votre réseau informatique.
Il accède désormais à votre environnement IT à distance. Si certains antivirus détectent une anomalie, elle reste généralement très compliquée à expliquer. Le hacker n’emploie effectivement pas de moyens illégaux pour pénétrer votre système.
3 / L’ancrage
Le hacker s’est connecté à votre système informatique et doit maintenant identifier le réseau qui héberge les données sensibles qu’il cherche à récupérer. Quelques semaines avant de mener l’assaut, il va donc cartographier votre environnement informatique pour localiser vos informations confidentielles.
Cette démarche l'amène à contaminer toujours plus de fichiers et de comptes utilisateurs. Il identifie l’ensemble des accès potentiels, pour avoir une solution de rechange si jamais vous parvenez à lui bloquer un point d'entrée. Il craque de nombreux mots de passe et leurs identifiants.
4 / La cyberattaque
Quand le hacker a identifié l’ensemble de vos vulnérabilités, il est prêt à déployer son cybercrime. Fort de ses différents canaux d’entrée, il parvient à accéder aux données confidentielles qui l'intéressent. Il les enregistre alors sur un autre serveur. Il a par ailleurs le champ libre pour corrompre vos systèmes informatiques et en empêcher le fonctionnement.
5 / La manipulation
Une fois vos données sensibles exfiltrées, le cyberpirate a les mains libres. Il peut vous réclamer une rançon, comme dans le cas d’un ransomware, ou se servir de vos informations pour vous nuire, commercialement ou politiquement.
Notre exemple implique que l’entreprise ne réussisse pas à identifier et à empêcher l’attaque avant qu’elle ne se produise. Il s’agit là malheureusement d’une réalité très fréquente, vu que les pirates passent par des moyens d'accès légitimes, comme les emails, pour s'introduire dans votre environnement IT.
Transformez la façon dont vous modélisez, mesurez et gérez les risques cyber.
N'attendez pas l'inévitable cyberincident. Construisez un programme de cybersécurité résilient et basé sur le risque avec la CRQ.
Comment se protéger des logiciels nuisibles ?
Se protéger des logiciels malveillants, c’est les comprendre, dans un premier temps, mais c’est aussi adopter des comportements en ligne sécurisés. Vous devez aussi apprendre à reconnaître un malware en cours d'installation, et mettre en place des mesures de cybersécurité fonctionnelles.
Les comportements à éviter pour bien se cyber-protéger
Le recrutement d’experts IT, de risk managers et l’adoption de logiciels antivirus anesthésient parfois la vigilance des employés, qui mériteraient pourtant d'être régulièrement formés aux cyberisques. Pour assurer la cybersécurité de votre environnement informatique, il convient que tout votre personnel évite :
- de télécharger gratuitement des logiciels d’habitude payants ;
- d’utiliser des mots de passe simplistes ;
- de passer par des réseaux WiFi publics ou inconnus pour connecter leurs PC professionnels
- de cliquer sur les publicités qui prétendent avoir repéré un virus sur leur ordinateur ;
- d’ouvrir des mails d'expéditeurs inconnus, ou pire, leurs pièces jointes ;
- de se rendre sur les pages web aux URLs incompréhensibles.
Les signes d’un pourriciel en action
Dans le cas où, malgré vos précautions, votre entreprise se soit exposée à un cyberisque, certains indices permettent le révéler :
- des fichiers apparaissent à des endroits où vous ne vous souvenez pas de les avoir enregistrés ;
- votre souris vous joue des tours ;
- l’ordinateur rame anormalement, sans raison évidente ;
- vos comptes en ligne vous signalent des tentatives d’accès ;
- vos accès en ligne ont été réinitialisés ;
- les mots de passe et identifiants de connexion ne fonctionnent plus ;
- quelque chose redirige vos recherches internet ;
- des onglets ou des fenêtres non-souhaités apparaissent pendant votre navigation internet.
Les indispensables mesures de protection informatique
Un risk management rationalisé reste bien sûr le seul vrai rempart contre les malwares. La survie d'une société ne peut pas dépendre que des bonnes intentions du personnel, qui ne peut pas être tenu responsable de toutes ses erreurs de clics.
Outre l’acquisition d’un logiciel antivirus, une collaboration avec des professionnels de la sécurité des systèmes d’information peut vous amener à mettre en place des mesures de protection informatique efficaces :
- Un système d'authentification avancée. Celui-ci consiste à multiplier les moyens d'authentifier vos utilisateurs pour vous assurer de leurs identités, mais aussi pour complexifier le travail de cyberpiratage.
- Le télétravail massif qui accompagne la crise économico-sanitaire de la COVID-19 encourage le chiffrement des données. Bien moins contraignant qu’il n’y paraît, celui-ci sécurise les données au repos, comme celles qui sont l'objet d’échanges en ligne.
- Certains type de logiciels de sécurité, dit anti-malwares, sont programmés pour connaître les comportements révélateurs de l'attaque en préparation. Ils s’activent ainsi suffisamment tôt pour éviter la contamination de l'ensemble du système informatique.
FAQ
Quels sont les différents types de malwares ?
Les malwares recoupent une diversité de logiciels malveillants, dont les virus, les vers informatiques, le cheval de troie, les spywares, les botnets, les rootkits qui fonctionnent par “backdoors” et les “ransomwares”.
Comment détecter un malware ?
Pour identifier la présence d’un programme malveillant, il faut rester vigilant aux indices révélateurs d’un problème de cybersécurité, comme une lenteur anormale de l’ordinateur ou des difficultés liées aux mots de passe. Si vous disposez d’un logiciel antivirus, un scan complet est nécessaire pour identifier les malwares cachés.
Comment supprimer un malware ?
Sur ordinateur, un malware détecté par un antivirus peut être supprimé facilement depuis votre logiciel de cybersécurité. Sur un appareil mobile, la priorité consiste à supprimer l’application suspecte.
Nous avons conçu des solutions évolutives pour quantifier les risques cyber en termes financiers afin que les organisations améliorent leur gouvernance et leur résilience grâce à des décisions éclairées.