Les vers informatiques

Contrairement à d’autres logiciels malveillants, les vers informatiques peuvent se propager sans être téléchargés via un site Web ou une pièce jointe à un courrier électronique.

Qu’est-ce qu’un ver informatique ?

Un ver est un programme informatique malveillant autonome capable de propager des copies de lui-même, sans intervention humaine, d’ordinateur en ordinateur, en exploitant des failles de sécurité du réseau ou par e-mail. Le ver est un fichier indépendant (ce n’est pas un parasite). Contrairement à un virus, il n’a pas besoin de contaminer de programme « hôte » pour se reproduire et se propager. Il dispose d’un « moteur » (automatisme) qui lui permet de délivrer et d’exécuter automatiquement son code puis, par la suite, de rechercher des nouvelles machines cibles à infecter. Les vers sont capables de se propager très rapidement, et d’infecter un grand nombre de machines.

Les différents types de vers informatiques

Les vers de courrier électronique :

Ces vers se propagent via des messages infectés. Certains de ces e-mails comportent une pièce jointe. Ne la téléchargez surtout pas : elle pourrait exécuter et installer le ver sur votre ordinateur. D’autres comportent un lien dans le corps du texte : ne cliquez pas dessus car il pourrait vous diriger vers un site Web infecté (site Web malveillant ou site légitime compromis) qui télécharge automatiquement le ver. Les vers de courrier électronique les mieux élaborés se basent sur des techniques d’ingénierie sociale pour inciter les utilisateurs à télécharger des pièces jointes ou à cliquer sur des liens malveillants.

Une fois installé sur l’ordinateur, le ver peut utiliser le programme de messagerie (par exemple, Microsoft Outlook ou Mozilla Thunderbird) présent sur l’ordinateur infecté ou son propre moteur de messagerie SMTP pour se reproduire en envoyant des copies de lui-même à d’autres victimes. Les vers de courrier électronique utilisent les adresses de courrier électronique stockées sur la machine de la victime (carnet d’adresses du client de courrier électronique, adresses e-mail présentes dans des documents…) pour se propager.

Les vers de messagerie instantanée :

Ces vers se propagent via les applications de messagerie instantanée (Skype, Messenger, WhatsApp, etc.). La méthode d’infection est la même que pour les vers de courrier électronique. Un lien malveillant ou une pièce jointe est envoyé à une victime potentielle via un message instantané qui tentera d’inciter l’utilisateur à cliquer sur le lien ou à télécharger le fichier. Une fois qu’un appareil est infecté, il enverra le même message à toutes les personnes de votre liste de contacts.

Les vers de réseaux de partage de fichiers (P2P) :

Ces vers se propagent via les programmes de partage de fichiers. Sur les ordinateurs infectés, les vers placent des copies d’eux-même dans le dossier partagé à partir duquel les autres utilisateurs peuvent télécharger des fichiers. Là, ils attendent leurs victimes sous des noms de fichiers attrayants, comme ceux de titres de chansons, de films, de logiciels, de jeux informatique, de personnalités importantes ou de fichiers à caractère sexuel. Lorsqu’une recherche de fichiers est effectuée par les autres utilisateurs du réseau P2P, celui-ci les informe de l’existence de tels fichiers, les incitant ainsi à télécharger sur leur ordinateur une copie du ver. A l’ouverture du fichier, le ver infecte l’ordinateur de l’utilisateur.

Les vers de réseaux sociaux :

Ces vers se propagent via les réseaux sociaux. Le ver se répand en envoyant automatiquement des messages à tous les contacts d’un utilisateur dans un site Web de réseau social tel que Facebook. Le message contient généralement un lien vers une copie de lui-même.

Les vers de lecteurs amovibles :

Ces vers se propagent via les disques amovibles (clés USB, disques durs externes, etc.) et tirent parti de la fonction d’exécution automatique de Windows. Ces types de vers sont appelés vers autorun, car, en dehors de créer des copies d’eux-mêmes dans les disques amovibles, ils créent aussi un fichier, généralement appelé autorun.inf. Ce fichier INF permet à la copie du ver de s’exécuter automatiquement lors de l’accès au disque et lorsque l’Autorun (l’exécution automatique) est activée. L’Autorun est la même fonctionnalité qui permet, par exemple, à votre lecteur CD d’exécuter automatiquement un fichier de configuration (setup) lorsque (quand) vous installez un logiciel, ou jouer de la musique lorsque vous insérez un CD de musique. Remarque : Sur les systèmes d’exploitation corrigés et plus récents, la fonction d’exécution automatique est désactivée par défaut.

Les vers Internet (ou vers de réseau) :

Contrairement aux types de vers que nous venons de citer (dont la propagation passe par l’utilisateur), les vers Internet ne requièrent aucune action de l’utilisateur pour se propager. Ils exploitent les erreurs de configuration des réseaux ou les failles de sécurité des systèmes d’exploitation et des applications.

Depuis l’ordinateur infecté, le ver Internet scanne Internet ou le réseau local (LAN) pour y trouver d’autres ordinateurs présentant les mêmes failles. Il se propage alors sur ces appareils, les infecte et répète ce même processus.

Certains vers s’attaquent aux serveurs Web et FTP cherchant à entrer sur des machines d’hébergement de sites Web, ce qui leur permet d’attaquer ensuite tous les visiteurs de tous les sites Web hébergés. Vous pouvez alors vous retrouver exposé à une attaque alors que vous ne faites que passer sur un site Web sans danger apparent mais où se trouve un ver qui exploite des vulnérabilités présentes dans votre système d’exploitation ou votre navigateur Web.

De quoi sont capables les vers informatiques ?

De nombreux vers n’ont d’autre but que de se reproduire en grand nombre et rapidement. Ces vers finissent souvent par perturber le fonctionnement des appareils infectés : un ver peut ralentir, voire bloquer un ordinateur en accaparant progressivement toutes ses ressources (processeur, mémoire, disque…) ou saturer un réseau en utilisant trop de bande passante.

D’autres vers sont en revanche plus dévastateurs. Ils peuvent transporter une « charge utile » (en anglais, payload) malveillante, c’est-à-dire du code qui peut rendre votre ordinateur vulnérable à d’autres logiciels malveillants. Un cybercriminel peut ainsi insérer du code malveillant dans un ver pour qu’il ouvre une backdoor (porte dérobée) dans l’appareil infecté. Le cybercriminel peut alors revenir plus tard et prendre le contrôle à distance de celui-ci (du système). D’autres charges utiles permettent de récolter des données sensibles, d’installer un ransomware (rançongiciel) ou de convertir des appareils en « zombie » pour des attaques de botnet (réseau de bots).

Comment fonctionnent les vers informatiques ?

Le plus souvent, les vers sont envoyés sous forme de fichiers attachés à des e-mails. Le programme nocif s’active dès que la pièce jointe est ouverte ou que le courriel est affiché dans la fenêtre de visualisation du programme d’e-mail. En général, le ver qui s’est introduit dans un ordinateur va lire le carnet d’adresses du programme d’e-mail et s’expédier de lui-même automatiquement à toutes les adresses enregistrées, sous la forme d’une pièce jointe. Les vers se cachent derrière des textes parfaitement anodins.

Comment les vers informatiques se propagent-ils ?

Les méthodes de propagation les plus courantes sont l’utilisation des connexions réseaux ainsi que par le biais de pièces jointes à des messages électroniques, des messages instantanés…

Les vers peuvent exploiter les erreurs de configuration des réseaux (en s’auto-répliquant sur un disque accessible, par exemple) ou exploiter les failles de sécurité des systèmes d’exploitation et des applications pour se propager d’ordinateur à ordinateur (d’un ordinateur à un autre) via Internet ou un réseau local. Le simple fait de connecter sa machine à Internet ou à un autre réseau de communication peut être dans certains cas suffisant pour infecter sa machine.

Dans le cas de la messagerie, ils exploitent généralement les adresses situées dans le carnet d’adresses de la machine infectée pour envoyer des copies d’eux-même à tous les contacts répertoriés dans le carnet d’adresses. Ces vers sont la plupart du temps des scripts (généralement VBScript) incorporés dans le corps de l’e-mail ou des fichiers exécutables envoyés en pièce jointe. Ils se déclenchent lorsque l’utilisateur destinataire visualise l’e-mail (dans le cas de scripts) ou clique sur le fichier attaché en pièce jointe.

Les vers utilisent souvent des techniques d’ingénierie sociale. Ainsi, les piratent donnent des noms attractifs aux fichiers malveillants qu’ils créent pour dissimuler leur nature. Ces fichiers portent des noms évoquant des personnes célèbres, des cracks de logiciels, des contenus pornographiques, des sujets d’actualité et plus généralement tout ce qui est susceptible d’attirer (d’attiser) la curiosité des gens.

Exemples de vers informatiques

ILOVEYOU (2000)

Portant le nom de l’objet de l’e-mail par lequel il se propage, le ver ILOVEYOU était un ver malveillant conçu pour écraser aléatoirement des fichiers sur l’ordinateur des victimes.

Après avoir attaqué son appareil hôte, ILOVEYOU envoyait par e-mail des copies de lui-même via Microsoft Outlook à tout le carnet d’adresses de l’utilisateur.

SQL Slammer (2003)

SQL Slammer est un ver Internet qui a exploité une vulnérabilité du SQL Server de Microsoft Windows 2000.

Après avoir généré aléatoirement des adresses IP, il a envoyé des copies de lui-même à ces adresses. Si par hasard l’ordinateur hôte exécutait une version obsolète (non corrigée) de SQL Server, SQL Slammer se mettait au travail. Enrôlés dans des réseaux de bots, les ordinateurs infectés servaient à lancer des attaques par déni de service (DDoS).

WannaCry (2017)

WannaCry est un ver qui utilisait l’exploit EternalBlue pour profiter des failles de sécurité de Windows dans les versions antérieures à Windows 8. WannaCry est aussi un bon exemple de ransomware. Il détecte les ordinateurs vulnérables et y crée une copie de lui-même. Ensuite, il chiffre les fichiers de l’ordinateur victime et demande à l’utilisateur de payer une rançon pour en récupérer l’accès.

Comment puis-je savoir que mon ordinateur est infecté par un ver ?

  • L’ordinateur semble plus lent que d’habitude :
    • Windows met plus de temps à démarrer et à s’arrêter,
    • Les programmes sont ralentis dans leur fonctionnement,
    • Il vous faut beaucoup trop de temps pour ouvrir un dossier ou une fenêtre,
    • Le curseur de la souris réagit à retardement lorsque vous le déplacez,
    • Les mots que vous tapez, dans votre programme de traitement de texte, n’apparaissent pas immédiatement à l’écran (le décalage est sensible),
    • Vos fichiers son ou vidéo font des à-coups lorsque vous les lisez.
  • L’ordinateur ne fonctionne pas correctement (absence de réponse…) et se bloque fréquemment.
  • Vous constatez un manque d’espace de stockage disponible. Comme les vers se reproduisent, ils ont besoin d’espace pour stocker leurs copies. Si l’espace de stockage de votre ordinateur est plus réduit qu’il ne devrait l’être, essayez de déterminer ce qui prend tant de place : il pourrait s’agir d’un ver.
  • Des fichiers sont manquants ou verrouillés et vous ne connaissez pas le mot de passe permettant d’y accéder.
  • Vous constatez, en consultant votre compte de messagerie (dossier « Messages envoyés »), que des e-mails que vous n’avez pas écrits ont été envoyés à votre insu à des personnes de votre liste de contacts.
  • Vos contacts vous disent qu’ils ont reçu un étrange message en provenance de votre adresse e-mail.
  • Vous recevez des messages d’avertissement de votre antivirus ou de votre pare-feu.
  • Votre logiciel antivirus ne peut plus se mettre à jour.

Comment protéger votre ordinateur des vers informatiques ?

Mettez à jour votre système d’exploitation et vos logiciels. Les vers exploitent les vulnérabilités des systèmes d’exploitation et des logiciels pour infecter votre ordinateur. Pour contourner ce risque, installez les correctifs de sécurité au fur et à mesure de leur publication.

Installez un logiciel antivirus. Il est votre première ligne de défense contre tous les logiciels malveillants. Optez toujours pour un antivirus d’une société de cybersécurité dont la réputation est bonne.

Ne désactivez jamais votre pare-feu. Le pare-feu représente un excellent moyen de défense contre toutes les menaces envoyées par l’intermédiaire de connexions réseau sur Internet.

Utilisez des mots de passe complexes et uniques. Certains vers se servent des identifiants d’usine pour infecter des appareils. Protégez votre téléphone, votre ordinateur et vos autres appareils avec des mots de passe forts (difficiles à deviner). Et surtout, n’utilisez pas le même mot de passe pour plusieurs comptes.

N’ouvrez jamais de pièce jointe suspecte. La réception d’une pièce jointe inattendue ou étrange n’augure jamais rien de bon, même de la part d’un de vos contacts. En cas de doute, demandez à votre contact si cet envoi était bien intentionnel.

Ne cliquez pas sur des liens inconnus. Les cybercriminels sont assez malins pour déguiser leurs liens malveillants de façon à ce que, même en passant le curseur dessus, vous ne vous doutiez de rien.

N’utilisez pas de programmes P2P. Sur les réseaux de partage de fichiers, vous ne pouvez jamais être totalement sûr de télécharger le fichier souhaité.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *