Le Logiciel Malveillant est généralement représenté avec des symboles de danger. |
Un logiciel malveillant ou maliciel (en anglais : malware) est un programme développé dans le but de nuire à un système informatique, sans le consentement de l'utilisateur infecté.
De nos jours, le terme « virus » est souvent employé, à tort, pour désigner toutes sortes de logiciels malveillants. En effet, les maliciels englobent les virus, les vers, les chevaux de Troie, ainsi que d'autres menaces. La catégorie des virus informatiques, qui a longtemps été la plus répandue, a cédé sa place aux chevaux de Troie en 2005.
Terminologie
Le terme « logiciel malveillant » , dont l'usage est préconisé par la Commission générale de terminologie et de néologie en France, est une traduction du mot anglais « malware », qui est une contraction de « malicious » (qui signifie « malveillant », et non « malicieux ») et « software » (« logiciel »). Dans les pays francophones, l'utilisation de l'anglicisme « malware » est le plus répandu ; le mot « virus » est bien souvent utilisé au Québec.
Classification
Les logiciels malveillants peuvent être classés en fonction des trois mécanismes suivants :
- le mécanisme de propagation (par exemple, un ver se propage sur un réseau informatique en exploitant une faille applicative ou humaine) ;
- le mécanisme de déclenchement (par exemple, la bombe logique — comme la bombe logique surnommée vendredi 13 — se déclenche lorsqu'un évènement survient) ;
- la charge utile (par exemple, le virus Tchernobyl tente de supprimer des parties importantes du BIOS, ce qui bloque le démarrage de l'ordinateur infecté).
La classification n'est pas parfaite, et la différence entre les classes n'est pas toujours évidente. Cependant, c'est aujourd'hui la classification standard la plus couramment adoptée dans les milieux internationaux de la sécurité informatique.
Dans une publication, J. Rutkowska propose une taxonomie qui distingue les logiciels malveillants suivant leur mode de corruption du noyau du système d'exploitation : ne touche pas au noyau (ie, applications, micrologiciel), corruption d'éléments fixes (code), corruption d'éléments dynamiques (données) et au-dessus du noyau (hyperviseurs).
Les virus
Les virus sont capables de se répliquer, puis de se propager à d'autres ordinateurs en s'insérant dans d'autres programmes ou des documents légitimes appelés « hôtes ». Ils se répartissent ainsi : virus de secteur d'amorçage ; de fichier ; de macro ; et de script. Certains intègrent des rootkits. Les virus peuvent s'avérer particulièrement dangereux et endommager plus ou moins gravement les machines infectées.
Les vers
Les vers (worm) sont capables d'envoyer une copie d'eux-mêmes à d'autres machines. Ils peuvent être classés selon leur technique de propagation : les vers de courrier électronique ; Internet ; IRC ; les vers de réseau ; et ceux de partage de fichiers. Certains, comme le ver I Love You, ont connu une expansion fulgurante.
Les chevaux de Troie
Les chevaux de Troie (Trojan horse) sont divisés en plusieurs sous-catégories, et comprennent notamment les portes dérobées, les droppers, les notificateurs, les logiciels espions (dont les keyloggers) etc. Ils ont chacun des objectifs spécifiques. Certains chevaux de Troie utilisent également des rootkits pour dissimuler leur activité.
Autres menaces
D'autres menaces existent. Elles ne sont pas dangereuses en elles-mêmes pour la machine, mais servent à installer des infections ou à réaliser des attaques DNS. Il s'agit des outils de déni de service (DoS et DDoS), des exploits, inondeurs, nukers, du pharming, et des programmes qui servent à créer des logiciels malveillants, en particulier les virtools, les générateurs polymorphes, ou les crypteurs de fichiers. Les publiciels (adware) et les rogues (rançongiciels ou riskwares) ne sont pas non plus directement dommageables pour la machine. Il s'agit de programmes utilisant des techniques de mise en marché (ouverture de fenêtres intempestives, enregistrement automatique dans la barre URL, modification des liens référencés) bien souvent contraires à l'éthique.
Certains éléments, qui ne sont pas à l'origine conçus pour être malveillants, sont parfois utilisées à des fins illégales et/ ou compromettantes. Il s'agit notamment des composeurs, téléchargeurs, enregistreurs de frappes, serveurs FTP, mandataires (proxy), Telnet et Web, clients IRC, canulars, utilitaires de récupération de mots de passe, outils d'administration à distance, décortiqueurs et moniteurs.
Environnement de prédilection
Les programmes malveillants ont été développés pour de nombreux systèmes d'exploitation et applications. Pourtant, certains d'entre eux n'ont jamais été concernés. En effet, les auteurs de virus privilégient les systèmes d'exploitation largement utilisés ; les systèmes comportant des vulnérabilités ; et ceux pour lesquels une documentation détaillée est disponible (puisqu'elle inclut des descriptions des services et des règles en vigueur pour écrire des programmes compatibles). Le volume de logiciels malveillants destinés à Windows et Linux est à peu près proportionnel à leurs parts de marché respectives.
Auteurs de maliciels et motivations
Tous les groupes d'auteurs de logiciels malveillants représentent un danger pour la sécurité informatique. Les programmes malveillants sont majoritairement développés par des auteurs professionnels.
Auteurs
Le cyber vandalisme
Aux débuts du logiciel malveillant, certains, peu dangereux et peu répandus, étaient écrits par des programmeurs qui voulaient tester leurs propres capacités. D'autres, assez peu évolués, l'ont été par des étudiants en programmation informatique. Avec le développement d'Internet, des sites et des forums spécialisés, de nouvelles perspectives se sont ouvertes.
Les professionnels
Certains anciens script kiddies ont continué à œuvrer dans le milieu de l'informatique underground. Ils forment désormais un réseau de professionnels très secret, auteurs d'épidémies particulièrement virulentes.
Les scientifiques
Les auteurs de POC (Proof of Concept) se définissent eux-mêmes comme des chercheurs, dont la motivation ne serait pas pécuniaire, mais scientifique. Ils forment un petit groupe qui se consacre au développement de nouvelles méthodes de pénétration et d'infection des systèmes d'exploitation, cela sans être détectés par les logiciels antivirus. Ils ne dévoilent généralement pas le code source de leurs maliciels, mais discutent de leurs trouvailles sur des sites spécialisés.
L'appât du gain
La principale motivation est sans conteste financière. En 1997, les premiers chevaux de Troie ont été développés avec pour but de récolter les mots de passe d'AOL (puis d'autres FAI), pour que leurs auteurs puissent accéder gratuitement à Internet. De nos jours, il s'agit de trouver et/ou de créer des clefs de licence (voir keygen) pour les logiciels payants, les auteurs de ce type de fraudes prônant le libre-partage des informations. Le cyber crime est également très répandu, pratiqué par des fraudeurs particuliers ou professionnels. Ils extirpent directement de l'argent aux utilisateurs via des rançongiciels ou des rogues ; créent puis vendent des réseaux de bots destinés à l'envoi massif de spam (ils sont ainsi rémunérés) ou aux attaques de DOS suivies de chantage (ces attaques visent surtout les boutiques en lignes, les sites bancaires et de jeux en ligne). Les chevaux de Troie espions sont utilisés afin de dérober de l'argent des comptes bancaires et paypal. Les auteurs de logiciels malveillants et les hackers sont également rémunérés à développer et entretenir des moyens pour rediriger les navigateurs vers des sites web payants, ou contenant des programmes malveillants, en particulier grâce aux adwares et aux composeurs.