Cheval de Troie, keylogger, rootkit, ver : 4 types de malware à connaître

Le terme de malware (ou « logiciel malveillant ») désigne un programme informatique ou code utilisé pour nuire à un système informatique.  Si le mot générique « malware » est couramment utilisé, il fait référence dans les faits à un ensemble de sous-programmes au comportement distinct : cheval de Troie, keylogger, rootkit, ver, ransomware, adware, spyware, scareware… Mais alors comment fonctionnent-ils ? Quelles sont leurs particularités ? Explications.

Le cheval de Troie, appelé également Trojan, est une portion de code malveillant qui se cache le plus souvent dans un programme d’apparence légitime.

Les chevaux de Troie peuvent être utilisés de différentes manières pour infecter un système et mener des actions malveillantes. En voici quelques-unes parmi les plus couramment observées.

• Mise en place d’une backdoor ou porte dérobée : via un tunnel de communication ouvert à l’insu de l’utilisateur victime, le cheval de Troie communique avec le centre de commande et de contrôle de l’attaquant, (C2) offrant par la même occasion un accès à la machine.
• Vol de données : certains chevaux de Troie sont développés dans le but d’exfiltrer des données : vol de données personnelles, de données bancaires, de mots de passe. Ces données peuvent être utilisées pour de nouvelles actions ou revendues.
• Téléchargement et installation de malwares supplémentaires.

Dans les années 2000, les chevaux de Troie ont été largement diffusés au travers des réseaux peer-to-peer (P2P). Ancêtre du streaming, ces logiciels comme le célèbre eMule étaient utilisés à des fins de téléchargement illégal, comme des fichiers exécutables crackés tels qu’Adobe Photoshop, Autocad ou encore Microsoft Office.

Plus récemment, c’est Emotet, cheval de Troie bancaire, qui a fait parler de lui. Lancé en 2014 et démantelé en 2021 par Europol, Emotet est, à ce jour, considéré comme l’un des chevaux de Troie les plus sophistiqués. Selon le site Internet ZDNet, ce ne serait pas moins de 1,6 million de machines qui étaient toujours infectées à l’heure du démantèlement.

Un keylogger ou enregistreur de frappe en Français est, comme son nom l’indique, un malware conçu pour enregistrer les frappes de clavier d’un utilisateur. Défini comme un spyware (ou « logiciel espion »), il peut être utilisé pour enregistrer des informations sensibles (mots de passe, numéros de carte de crédit) et des conversations en ligne ou encore surveiller les activités des employés. Les keyloggers peuvent être installés à distance ou localement, et souvent utilisés dans le cadre d’attaques simples contre des organisations ou des individus.

Les keyloggers sont diffusés de différentes manières, depuis des campagnes de phishing jusqu’à l’ajout au sein d’un fichier d’installation de logiciel d’apparence légitime, en passant par les navigations sur des sites compromis.

On distingue deux grands types de keyloggers.

• Les keyloggers logiciels, qui exploitent des fonctionnalités du système d’exploitation (Windows, en général).
• Les keyloggers matériels, beaucoup plus rares car ils se présentent sous la forme d’un équipement physique détourné (un câble, un dongle USB) qui enregistre les touches tapées sur le clavier.

Dès 2010, le groupe d’espionnage DarkHotel a ciblé les accès Wi-Fi non sécurisés d’hôtels haut de gamme en Asie et aux États-Unis. En invitant les utilisateurs à télécharger un keylogger caché dans un logiciel légitime, les cybercriminels ont pu enregistrer les frappes des utilisateurs lorsqu’ils se connectent à leur messagerie ou à leur compte bancaire. Après avoir exfiltré les informations, les cybercriminels supprimaient l'exécutable dans le but de couvrir leurs traces. Une stratégie qui fonctionne puisqu’en 2017, un mode opératoire similaire a été utilisé par le groupe Inexsmar selon les analystes de l’éditeur BitDefender.

Le rootkit est particulièrement discret et furtif. Il permet à l’attaquant d’obtenir un accès privilégié et persistant à un système infecté. Il s’installe dans le noyau du système d’exploitation et peut masquer la présence d’autres activités ou logiciels malveillants. Le rootkit peut être utilisé à diverses fins. Vol d’informations sensibles, surveillance des activités des utilisateurs, installation de malwares supplémentaires sur le système infecté en sont les principaux usages. On retrouve souvent les rootkits derrière des attaques avancées visant des entreprises, des gouvernements ou encore des organisations militaires.

Les moyens de diffusion du rootkit les plus courants sont le phishing et l’exploitation de vulnérabilité. Le rootkit n’est pas forcément toujours utilisé dans un cadre malveillant. L’entreprise Sony en a par exemple longtemps utilisé pour limiter les copies de CD et tracer les copies illégales.

Le rootkit n’est pas le malware le plus représenté lorsqu’on étudie les statistiques de la cybercriminalité. Et pour cause, selon le site Help Net Security 77% des attaques utilisant un rootkit seraient à visée d’espionnage.

L’objectif d’un rootkit est de s’installer de façon prolongée sur les couches les plus basses de l’ordinateur, afin de gagner en persistance. En effet, une réinstallation de l’OS (par exemple Windows 11) ne supprimera pas les accès obtenus, permettant dès lors de réaliser diverses actions :

• Masquer des malwares de type cheval de Troie, keylogger, spyware, par exemple.
• Obtenir un accès à distance du système d’exploitation.
• Modifier les programmes de sécurité ou les désactiver, ce qui rend les rootkits encore plus difficiles à détecter et à supprimer.
• Exfiltrer des données.
• Créer une porte dérobée dans le système de manière à pouvoir y revenir ensuite.
• Surveiller, espionner.

L’une des cyberattaques par rootkit les plus connues date de 2012. Le rootkit Flame avait alors été utilisé pour conduire des activités de cyberespionnage dans des pays du Moyen-Orient. Du fait de sa sophistication, Flame aurait été développé par un acteur étatique dans le but d’acquérir des informations permettant d’influencer des négociations diplomatiques.

Les vers informatiques sont des malwares autonomes qui ciblent des vulnérabilités d’actifs informatiques (poste de travail, serveur, imprimante, équipement réseau).  

Si les vers et les virus informatiques présentent certaines similitudes (notamment en ce qui concerne la conception de leur code source), ils ne se confondent pas pour autant. Les virus sont attachés à un fichier ou programme et peuvent très bien rester inactifs tant que le fichier n’a pas été ouvert ou que l’application n’a pas été exécutée, on parle alors ici de détonation de la charge virale. En revanche, les vers se propagent seuls dans les systèmes et de manière exponentielle, générant le plus souvent un ralentissement de la machine, une saturation de la bande passante, voire une coupure de service comme l’arrêt de fonctionnement du système d’exploitation dans les cas les plus critiques.

Si les vers se diffusent de manière autonome, ils ont, en revanche, bien besoin d’un point d’entrée pour accéder au système qu’ils cherchent à infecter. Cette porte d’entrée peut être un e-mail de phishing, un programme téléchargé gratuitement, un fichier envoyé en pièce jointe ou téléchargé en peer-to-peer. Le ver s’autoreproduit ensuite en utilisant les failles et vulnérabilités présentes dans le système d’information.

Les attaques par ver informatique font parler d’elles depuis bien longtemps. La première d’entre elles, lancée en 1988 et baptisée « Morris », avait infecté environ 10 % des machines mondiales connectées à Internet. C’est notamment cet événement qui est à l’origine de la création du CERT Coordination Center de la Darpa. En 2000, c’est le ver malveillant « ILOVEYOU » (du nom de l’objet de l’e-mail par lequel ce ver se propageait), initialement lancé aux Philippines, qui s’est fait connaître un peu partout dans le monde en s’y répandant rapidement. Son mode opératoire consistait à écraser de manière aléatoire des fichiers sur l’ordinateur des victimes.

Plus récemment, en 2010, le ver Stuxnet a servi à attaquer les systèmes de contrôle de centrifugeuses d’une usine nucléaire iranienne, à partir d’une simple clé USB infectée.

Certains signes permettent de reconnaître une infection par malware comme un poste de travail au ralenti, un écran bleu ou un espace de stockage saturé. Si l’utilisation d’outils de détection des malwares est une bonne pratique, elle ne peut faire l’économie de rappels élémentaires en matière de prévention : ne pas cliquer sur des liens inconnus, ne pas ouvrir des pièces jointes suspectes, ne pas télécharger de fichiers en peer-to-peer, mettre à jour ses logiciels, utiliser des mots de passe complexes, etc. Enfin, l’utilisation d’un outil de type « malware cleaner » est fortement recommandée pour décontaminer les clés USB, et plus généralement les supports amovibles, dont les vulnérabilités peuvent être lourdes de conséquences sur l’activité des entreprises.