Définition d’un logiciel malveillant en informatique (Malware)

Définition préalable d’un logiciel informatique

Cauchemar de tout propriétaire d’ordi ou de smartphone, un logiciel malveillant est d’abord un logiciel informatique. Avant de voir la définition d’un logiciel malveillant, un logiciel informatique ou programme informatique est un ensemble d’instructions exécutables par un ordinateur. Cette exécution a pour but de produire un résultat précis à partir de données initiales.

Comme par exemple calculer la somme de deux nombres, afficher la page Web que vous êtes en train de lire ou prévoir le temps qu’il fera demain.

Et cet ensemble d’instructions se présente sous la forme d’un fichier sur votre ordi ( sur votre disque dur, votre clé USB, etc). Comme par exemple « calc.exe » pour la calculatrice sous Windows ou « iexplore.exe » pour le navigateur Internet Explorer 11.

Ainsi votre navigateur est un logiciel informatique qui va chercher sur le réseau Internet cette page Web et l’affiche sur votre écran sous une forme précisée par l’auteur. De même la calculatrice enregistre votre saisie des deux nombres, en calcule la somme qu’elle affiche à l’écran.

Enfin la très grande majorité des programmes informatiques sont bienveillants. Maintenant voyez en quoi certains logiciels sont malveillants.

Définition d’un logiciel malveillant (malware)

Définition d’un logiciel malveillant (malware) : c’est un logiciel qui nuit à un système informatique ou directement à son propriétaire. Par exemple il s’agit de :

• contaminer des fichiers sur l’ordi ciblé en leur ajoutant un code exécutable viral
• gêner ou d’empêcher certaines applications de l’ordinateur cible de fonctionner (voire de bloquer complètement le système d’exploitation)
• supprimer ou crypter des fichiers créés par l’utilisateur (documents textuels, feuilles de calcul, photos, morceaux de musique, etc)
• désactiver les logiciels de sécurité de la cible pour mieux l’infecter
• intercepter les comptes et mots de passe pour usurper l’identité de la victime sur le Web, voire lui voler de l’argent sur un site Web financier
• installer un relai sur l’ordi de la victime pour commettre des méfaits ailleurs via cet ordi piraté, et ainsi cacher son identité
• etc

Il peut s’agir aussi d’un programme inoffensif en tant que tel à l’origine, qui détourne son utilisation à des fins malveillantes.

Dans la suite on utilise indifféremment les termes « logiciel malveillant » et « programme malveillant ».

Le terme anglais est malware, contraction de « malicious software », signifiant « logiciel malveillant ». Et non « logiciel malicieux » comme on peut le lire encore souvent. Confondre la malice et la malveillance c’est un peu confondre Coluche et Bernard Tapie.

Les premiers malwares de l’histoire

Le virus Creeper en 1971

D’après cet article, le premier malware de l’histoire était un virus apparu dans les années 1970. Il s’appelait « Creeper » sur le réseau ARPANET, ancêtre d’Internet. Ce virus accédait à un système distant via un modem RTC à 56 kpbs. Et il s’y intégrait, imprimait un ficher et affichait un message à l’écran :

I’M THE CREEPER : CATCH ME IF YOU CAN

Mais le virus Creeper était inoffensif puisqu’il n’infectait pas de fichier et ne causait aucun dommage à l’ordinateur.

Alors en quoi était-il malveillant ? Même si c’est mineur, il était nuisible parce qu’il s’introduisait sur un ordi sans le consentement de l’utilisateur. Et il se répandait sur le réseau d’un ordi à l’autre. Donc pour certains spécialistes, ce programme ne correspond pas vraiment à la définition d’un logiciel malveillant.

Le virus Reaper

Ensuite des hackers ont créé le programme malveillant « Reaper » pour éliminer le virus « Creeper » quand il le détectait. En fait c’était un autre virus, capable aussi de se propager sur les ordinateurs en réseau. Mais on peut aussi dire que c’était le premier antivirus de l’histoire.

Maintenant voyons des exemples de logiciel malveillant plus récents décrits ici.

Quelques exemples de logiciel malveillant plus récents

Parmi les programmes malveillants vus sur ce site depuis plus de quinze ans, on peut citer quelques exemples.

Le virus « Locky » en 2016

Le virus Locky est un autre ransomware dangereux qui verrouille les fichiers personnels des utilisateurs d’ordinateurs et leur demande de payer une rançon s’ils souhaitent récupérer leurs fichiers.Le ransomware Locky modifie les noms des fichiers cryptés en une combinaison unique de 16 caractères de lettres et de chiffres et ajoute l’ extension de fichier .locky .

Selon le programme, pour déverrouiller les fichiers, vous avez besoin du code de décryptage, que vous pouvez obtenir si vous payez la rançon. Le programme utilise RSA-2048 (il est donc parfois appelé virus RSA-2048) et les algorithmes AES-1024 pour chiffrer les fichiers.

Le ransomware « Storm Worm » en 2017

Considérée comme la plus importante cyberattaque par ransomware de l’histoire, WannaCry a infecté en quelques heures plus de 300 000 ordinateurs, dans plus de 150 pays. Parmi ses victimes : FedEx, Renault, ou encore le ministère de l’intérieur russe. Cette attaque a été revendiquée par le groupe de hackers Shadow Brokers, ceux-là mêmes qui, au premier trimestre 2017, avaient réussi à s’introduire dans le réseau informatique de la NSA, et à y dérober un attirail considérable de failles, virus et autres outils informatiques, dont la faille exploitée par WannaCry, baptisée Eternal Blue. 

Il s’agissait d’une faille déjà identifiée par Microsoft, mais le patch correctif proposé n’avait pas été suffisamment massivement installé pour que l’attaque échoue. In fine, les coûts de WannaCry ont été évalués autour d’un milliard de dollars, sans compter bien évidemment toutes les conséquences indirectes qu’ont pu subir ses victimes.

Petya / NotPetya 

Parmi les cyberattaques qui ont marqué l’année, il faut encore citer Petya / NotPetya. Petya, ransomware apparu en 2016, avait déjà réussi à contaminer des milliers d’ordinateurs, via la même faille de sécurité Windows, exigeant le paiement d’une rançon de 300 dollars (en bitcoins bien sûr) en échange de la récupération des fichiers. 

NotPetya, quant à lui, a vu le jour en juin 2017 : il s’agissait en réalité d’un virus déguisé en un ransomware ayant pour vocation de rappeler son prédécesseur Petya. Cette cyberattaque bien plus puissante, dont on ne connait pas l’origine, s’est propagée presque sans intervention humaine (contrairement à Petya qui requérait le téléchargement d’un spam envoyé par email) : il suffisait d’un seul poste non mis à jour sur un réseau pour que l’ensemble du réseau soit potentiellement compromis, sans compter que l’intégralité du disque dur était touchée (et non seulement, comme Wannacry, le système d’exploitation et les fichiers stockés). 

On estime à plus de 2 000 le nombre de sociétés qui ont été infectées par ce virus. Parmi elles, Saint-Gobain (coût de 220 millions d’euros) et la SNCF, mais aussi le publicitaire WPP ou encore le labo pharmaceutique Merck ; le système de surveillance des radiations de la centrale nucléaire ukrainienne de Tchernobyl a lui aussi été infecté. Les victimes ne pouvaient même pas payer la rançon pour récupérer la clé de décryptage, l’adresse mail associée à l’attaque étant invalide…