Imaginez un logiciel invisible pour les systèmes de sécurité, un logiciel capable d’apporter des modifications sans être détecté par les experts en sécurité. C’est effrayant, n’est-ce pas ? Cette menace grandissante est connue sous le nom de « malware sans fichiers » et progresse à grands pas. Le qualificatif « sans fichiers » fait référence à la capacité de ces menaces à s’exécuter entièrement en mémoire. Cela signifie qu’aucune trace de la signature du malware ne peut être trouvée sur un périphérique de stockage ou dans le système de fichiers pendant son fonctionnement et sa transmission.
Pour comprendre le concept de malware sans fichiers, il nous faut d’abord revenir sur le mode de fonctionnement des systèmes antimalware.
- Signatures/définitions : un logiciel antimalware scrute les fichiers et dossiers sur un système en les comparant à sa base de données correspondant à des malwares connus. Cette base de données doit être actualisée régulièrement afin que tout nouveau malware soit pris en compte.
- Heuristique : il s’agit d’une méthode d’identification d’un malware par l’examen des caractéristiques et du comportement de ses fichiers ainsi que des actions du programme sur le système. Si le programme tente d’effectuer sur le système des modifications que le logiciel antimalware juge illicite, ce dernier bloque l’action. Cela peut parfois déclencher des faux positifs et donc le blocage de logiciels légitimes.
- Sandbox : l’antimalware peut exécuter les logiciels dans une zone de quarantaine sur l’ordinateur. Cet espace est conçu pour présenter une réplique du système entier afin que le malware s’y exécute comme prévu par ses auteurs. Ce faisant, l’antimalware peut détecter un comportement malveillant et y mettre fin.
La dernière action de l’antimalware consiste à éliminer les fichiers du logiciel malveillant de l’ordinateur en les mettant en quarantaine pour éviter tout autre dommage puis en les détruisant.
Cette description nous indique que les produits antimalware examinent les systèmes de fichiers et de stockage afin de protéger les systèmes contre les menaces. Malheureusement, tandis que nous nous reposions sur la sécurité offerte par ces outils, les « méchants » du monde de l’informatique ont imaginé un moyen d’échapper à toutes les méthodes antimalware décrites ci-dessus.
Entrée en scène du malware sans fichiers…
Bien qu’un malware sans fichiers s’exécute en mémoire, il a néanmoins besoin d’un fichier comme point d’entrée dans le système. Prenons l’exemple des macros dans Microsoft Word : un acteur malveillant s’en sert pour incorporer du code dans un document Word et l’envoyer à sa victime. Lorsque celle-ci ouvre le document et active les macros (afin d’y avoir « accès » dans son intégralité), elle active également, à son insu, la charge malveillante à implanter en mémoire. En effet, Windows considère cette action comme légitime.
L’une des autres utilisations de Microsoft PowerShell est l’automatisation de tâches administratives telles que la vérification des services système, l’exécution de commandes en tâche de fond ou la gestion des configurations. Selon McAfee Labs, les malwares exploitant PowerShell ont vu leur nombre croître de 267 % au 4ème trimestre 2017 et de 432 % en un an.
Les malwares à base de scripts PowerShell sont de plus de en plus répandus, ce qui leur donne plus de chances de succès que d’être détectés.
Selon les études, les malwares sans fichiers ont dix fois plus de chances de succès que les malwares à base de fichiers.
Quelques faits sur les malwares sans fichiers
- Ils sont identiques aux malwares à base de scripts mais ne déposent pas de fichiers exécutables dans le système.
- Ils exploitent des processus système légitimes.
- Aucun code n’est implanté sur le disque dur, l’exécution se déroule dans la mémoire de processus et donc échappe aux systèmes de détection classiques. L’absence de code et de fichiers est synonyme d’absence de détection.
- L’utilisation possible de PowerShell permet à ces malwares d’effectuer des modifications dans le système.
- Les logiciels antivirus classiques sont inopérants dans ce cas.
Cela signifie-t-il que nous devons revenir à l’âge de pierre et cesser d’utiliser la technologie ? Evidemment non mais, une prise de conscience du phénomène par les entreprises est indispensable. Aucune d’entre elles ne peut encore se permettre une politique de l’autruche. Les services compétents doivent dispenser des formations à leurs employés afin de les sensibiliser aux bonnes pratiques en matière de cyberhygiène. Le personnel ne peut en effet pas maîtriser tout ce qu’il faut savoir sur la cybersécurité sans y être correctement formé. Or, il constitue notre première ligne de défense.
Manque de formation = faible sensibilisation = irresponsabilité = cybermenace accrue
Les entreprises doivent veiller à ce que tous leurs systèmes soient à jour avec les plus récents correctifs et configurés correctement. Le cycle de développement des logiciels doit être respecté. Des aspects tels que les tests de sécurité des applications, de pénétration et de vulnérabilité ne doivent pas être négligés afin de réduire les risques. L’évaluation des risques est également indispensable pour déterminer quels sont les atouts les plus précieux d’une entreprise et quelles mesures de sécurité sont nécessaires à leur protection.
Il est en outre essentiel d’utiliser les bons systèmes de détection et de prévention d’intrusion car ceux-ci peuvent repérer des modifications du système, par exemple une escalade des privilèges, et surveiller les comportements, mais aussi inspecter le trafic réseau et vérifier les fichiers journaux et les alertes.
En résumé, les entreprises doivent repenser leurs vieilles méthodes de surveillance des systèmes car celles-ci ne sont plus suffisantes.
