Malware : quels sont les mécanismes de reproduction et de diffusion des logiciels malveillants ?

Si la planète connait actuellement une pandémie, le monde informatique en a vu passer des dizaines depuis que les ordinateurs se sont démocratisés. Nous avons quasiment tous été confrontés un jour ou l'autre à un virus ou toute autre menace. Si beaucoup se sont aujourd'hui éteints, d'autres survivent, mutent et de nouveaux naissent.

Les parallèles entre le monde du numérique et du vivant sont nombreux. D'ailleurs, si une partie des malwares se nomment virus ou ver ce n'est pas anodin. Ces termes renvoient à leurs pendants organiques puisqu'ils s'en inspirent dans leur fonctionnement. Mais comment arrivent-ils à subsister et se diffuser ?

Aux origines du mal(ware)

Si les malwares sont aujourd'hui dans notre quotidien sous bien des formes, ils trouvent leurs origines sur un vieil ordinateur IBM. En janvier 1986 au Pakistan, Amjad Farooq Alvi et Basit Farooq Alvi codent ce qui est aujourd'hui considéré comme le premier virus informatique. Répondant au doux nom de Brain, il saturait la mémoire du disque de démarrage des PC IBM et se distribuait par ce qui est considéré aujourd'hui comme une antiquité dans le monde de l'informatique : la disquette (floppy disk). Si l'histoire de Brain est fascinante, c'est son moyen de diffusion qui nous intéresse ici.

La disquette est sans doute le support de stockage physique le plus iconique avec la clé USB, mais il s'agit également du premier mode de diffusion d'un virus. C'est grâce aux disquettes que Brain a pu atterrir à des milliers de kilomètres du Pakistan, aux États-Unis et en Europe. Il faut dire que jusque dans les années 2000 et le déploiement d'Internet dans bon nombre de foyers, le stockage physique était l'un des principaux moyens de distribution d'informations.

L'évolution des technologies de stockage a également permis aux virus d'infecter plus d'ordinateurs, d'autant que Windows a commencé à s'imposer peu à peu comme le maître du marché des systèmes d'exploitation. Avec un seul hôte à infecter, les virus ont pu se complexifier et intégrer des scripts pour se reproduire au sein de Windows et infecter chaque clé USB (et autres cartes mémoires). Ces dernières seraient alors insérées dans l'ordinateur, le tout avec une empreinte mémoire quasi nulle. Les logiciels malveillants étaient ainsi plus complexes à détecter. S'ils devaient l'être, leur capacité à se reproduire leur permettait d'infecter différentes parties du système afin de créer une chaîne difficile à briser.

Le stockage physique n'est pas mort

Si aujourd'hui sa popularité est moindre, la diffusion par stockage physique garde un intérêt, notamment par l'accès matériel à l'appareil qu'elle demande et des « avantages » que cela procure aux hackers. Toutefois, cet intérêt reste limité et très conditionnel, le web ayant supplanté le stockage physique dans bien des cas.

Le web, nouvelle plaque tournante des logiciels malveillants

Si au début des années 2000, Windows devenait commun dans beaucoup de foyers et d'entreprises, il en est de même pour Internet. Le web marque une rupture dans la manière dont les malwares sont distribués. Désormais, un support physique n’est plus nécessaire puisque tout (ou presque) peut être téléchargé… pour peu qu’on réussisse à déjouer la sécurité de l’ordinateur, de l’antivirus et que l’utilisateur ne se doute de rien. Les solutions de sécurité ESET tendent ainsi à maximiser vos appareils.

Dès lors, de nombreuses stratégies sont développées par les hackers. Si une faille existe dans le système, un virus à peine téléchargé pourra accéder à l'intégralité de celui-ci et faire ce qu'il veut. Sinon, il pourra simplement se mettre en « veille » et attendre son heure. Très vite, des antivirus arrivent pour contrer les hackers. Mais ces solutions ne peuvent protéger de toutes les menaces. Certains navigateurs intègrent même un détecteur de virus qui analyse chaque téléchargement. Mais le risque n'existe pas que du côté client. Les serveurs sont également des cibles privilégiées puisqu'ils représentent des carrefours de l'information. Prenons par exemple le cas d'un site de téléchargement de logiciels. S'il venait à être hacké, chaque exécutable téléchargeable pourrait être infecté faisant du site une véritable usine à virus. Le pire étant que Google et votre navigateur pourraient ne rien remarquer et toujours définir le site en question comme sécurisé et sans menaces.

Les botnets et les vers, des experts de la reproduction

Jusqu'ici, nous avons seulement parlé de virus dont la reproduction était, au mieux, partiellement automatisée. Certains ont fait de l'autonomie leur spécialité, et c'est le cas des botnets et des vers. Les botnets sont des programmes conçus pour automatiser des tâches. Même si leur utilisation première est bénéfique, leur modularité peut en faire de redoutables armes. Ils sont capables non seulement de se multiplier pour infecter tout un réseau, mais également de communiquer entre eux pour prévenir leur détection ainsi que leur suppression. Parmi les différentes besognes dont peuvent se charger les botnets malveillants, utiliser les ressources de l'ordinateur pour miner des cryptomonnaies est bien souvent le choix privilégié. Dans d'autres cas, le botnet se servira du client mail de son hôte pour envoyer des spams. Dans l'éventualité d'un déni de service (DDos), le botnet ralentira l'entièreté du réseau.

Assez similaires aux botnets, les vers étaient initialement conçus pour ralentir des réseaux fermés. L'un des exemples les plus connus est Stuxnet, un ver connu pour avoir infecté de nombreux systèmes majoritairement présents en Iran. Des analyses ont indiqué que le ver s'était multiplié et avait réussi à s'infiltrer en utilisant une faille « Zero Day » de Windows. Si dans la quasi-totalité des cas, le ver est resté en veille, il est responsable du dérèglement des centrifugeuses de la centrale de Natanz, mettant à mal le programme nucléaire iranien.

L’humain, un vecteur de transmission ?  

Avec des mesures de protection toujours plus importantes de la part de Microsoft, des éditeurs de navigateur et des stores d'application, les hackers se sont tournés vers le dernier maillon faible pour diffuser leurs virus : l'humain.

Car oui, nous pouvons aussi participer à la diffusion de malwares dès lors que nous manquons de prudence. Le pair-à-pair (torrent) est rapidement devenu un terrain de jeu pour les hackers. En effet, cette méthode de partage peu régulée est souvent utilisée pour la diffusion de contenus, de logiciels et de jeux piratés. Avec un tel appât, il n'est pas difficile pour les hackers de trouver des proies, d'autant plus si celles-ci deviennent des « seeders » une fois le téléchargement terminé, participant ainsi à la diffusion plus large du virus infiltré dans le contenu téléchargé.

Dans un autre registre, ce sont les mails qui peuvent également être des vecteurs de propagation des malwares, notamment par le phishing. En plus de l'inciter à cliquer sur le lien ou la pièce jointe infectée, il suffit pour le hacker de manipuler l'utilisateur et le pousser à repartager le mail frauduleux à ses contacts.

Eset Smart Security Premium, le remède miracle contre les menaces 

Disponible sur Windows comme sur Mac, ESET Smart Security est une suite de sécurité pensée pour répondre à toutes les menaces mentionnées au cours de cet article. Pour ne pas être infecté et infecter les autres, sortez couverts avec notre partenaire ESET !