Qu'est-ce qu'un virus polymorphe ?
Un virus polymorphe, parfois appelé virus métamorphique, est un type de logiciel malveillant, ou malware, programmé avec des routines de déchiffrement sans cesse renouvelées qui modifient constamment son apparence ou ses fichiers de signature. Il empêche ainsi de nombreux outils de cybersécurité traditionnels, tels les antivirus et les antimalwares, qui s'appuient sur les signatures pour assurer la détection, de reconnaître et de bloquer la menace.
Comment fonctionne un virus polymorphe ?
En règle générale, une attaque polymorphe suit le schéma ci-dessous :
- Le cybercriminel dissimule le code malveillant au moyen de techniques de chiffrement et contourne ainsi les outils de sécurité traditionnels.
- Le virus s'installe sur un endpoint. Le fichier infecté est alors téléchargé et déchiffré.
- Une fois le fichier téléchargé, un moteur de mutation crée une nouvelle routine de déchiffrement associée au virus. Le fichier semble ainsi totalement nouveau, de sorte que les outils de sécurité sont incapables de le reconnaître, même si une version antérieure du virus avait déjà été détectée et placée sur une liste de blocage.
Si les virus polymorphes peuvent évoluer en termes de nom de fichier, de taille ou d'emplacement, leur fonctionnement et leur finalité restent les mêmes. Par exemple, un cheval de Troie possédant des propriétés polymorphes fonctionnera toujours comme un cheval de Troie — même si la signature du fichier change.
Exemples de virus polymorphes
Les premiers virus polymorphes sont apparus dans les années 1990 dans le cadre d'un programme de recherche visant à démontrer les limites des antivirus existants. Le tout premier virus de ce type, appelé 1260 ou V2PX, devait servir d'avertissement aux internautes, mais il a aussi malencontreusement inspiré une vague d'activités criminelles basée sur les capacités du virus. Les décennies qui ont suivi ont vu l'apparition d'innombrables virus polymorphes et, à l'heure actuelle, presque toutes les infections par logiciel malveillant exploitent une forme ou l'autre de polymorphisme.
Voici quelques exemples connus de virus et de logiciels malveillants polymorphes :
- Storm Worm : Storm Worm, une attaque multicouche, utilisait des techniques d'ingénierie sociale pour inciter les utilisateurs à télécharger un cheval de Troie, qui infectait ensuite l'ordinateur et transformait le système cible en robot. Cette campagne a infecté plus d'un million d'endpoints et a perturbé les services Internet de centaines de milliers d'internautes.
- VirLock : considéré comme le premier exemple de ransomware polymorphe, VirLock était utilisé pour lancer des attaques qui se propageaient via des applications partagées et le stockage cloud. Il se comportait comme un ransomware type, en limitant l'accès de la victime à son endpoint et en bloquant les fichiers jusqu'au paiement d'une rançon.
- Beebone : cette attaque avancée par logiciel malveillant polymorphe a pris le contrôle de milliers d'ordinateurs dans le monde entier, formant un botnet, ou réseau de robots, dans le but d'interrompre les activités bancaires au moyen d'un ransomware et d'un spyware.
Si le terme « virus polymorphe » est couramment utilisé dans le monde de la cybersécurité, les attaques polymorphes ne sont pas toutes lancées par des virus. Certaines s'appuient sur d'autres types de logiciels malveillants — chevaux de Troie, enregistreurs de frappe, robots, spywares et ransomwares — dotés d'un moteur de mutation. Techniquement parlant, ces attaques impliquent un logiciel malveillant polymorphe ou métamorphique.
Comment détecter un virus polymorphe ?
Il peut être difficile de détecter un virus polymorphe — ou tout autre type de logiciel malveillant intégrant des techniques polymorphes — à l'aide des méthodes de détection traditionnelles en raison de leurs capacités avancées de mutation.
En effet, les antivirus ou logiciels malveillants traditionnels recherchent des signatures ou des heuristiques, c'est-à-dire des séquences de code dans le fichier. Ces outils sont incapables de reconnaître la menace une fois celle-ci rechiffrée, et ce même si un autre endpoint a déjà été infecté sur le même réseau par un virus polymorphe connu ajouté à la liste de blocage.
Pour détecter des virus polymorphes, les entreprises doivent employer des outils de cybersécurité avancés qui assurent une protection antimalware sans fichiers de signatures.
La protection antimalware sans fichiers de signatures utilise des algorithmes de Machine Learning (ML) pour déterminer la probabilité qu'un fichier soit malveillant en analysant la situation globale et en extrayant des « caractéristiques » des fichiers analysés. Ces caractéristiques de haut niveau décrivent la structure du fichier d'un point de vue numérique. Par exemple, le modèle de ML peut rechercher dans quelle mesure différentes parties du fichier sont aléatoires, ainsi que des images, des icônes, des modèles d'interface utilisateur ou des tables de chaînes. Ce type d'outil de protection peut aussi disséquer et décrire le code de façon numérique, afin que celui-ci puisse être ingéré dans un classificateur de Machine Learning.
L'une des façons les plus efficaces de protéger une entreprise contre les virus polymorphes est d'implémenter un antivirus de nouvelle génération (NGAV) robuste, qui inclut des fonctionnalités de protection contre les menaces connues et inconnues (y compris les attaques sans fichiers ni signatures), ainsi que de prévention des attaques sans logiciels malveillants et d'intégration à des outils de recherche de menaces.
Pour en savoir plus, consultez notre article connexe, Qu'est-ce qu'un antivirus de nouvelle génération (NGAV) ?.
Bonnes pratiques de prévention des virus polymorphes
De nombreuses attaques de virus polymorphes commencent par la compromission d'un utilisateur. C'est pourquoi il est important que les internautes fassent constamment attention aux indicateurs d'attaque et adoptent un comportement responsable.
Voici quelques conseils généraux :
- Installez toujours un antivirus de nouvelle génération réputé, de préférence une solution de sécurité cloud native, et veillez à le mettre régulièrement à jour.
- Maintenez vos systèmes d'exploitation et vos applications à jour.
- Utilisez un bloqueur de fenêtres pop-up ou évitez de cliquer sur les fenêtres pop-up publicitaires.
- N'ouvrez jamais de pièces jointes à des e-mails indésirables ou suspects envoyés par des expéditeurs non vérifiés.
- N'utilisez jamais de connexion Wi-Fi non sécurisée.
- Accédez uniquement à des liens qui commencent par HTTPS.
- Méfiez-vous des logiciels gratuits et prenez soin de lire attentivement les conditions générales d'utilisation.
- Activez le verrouillage d'écran sur votre smartphone.
- Utilisez des mots de passe forts sur tous vos terminaux.
- Activez l'authentification à plusieurs facteurs sur tous vos terminaux et applications.
- Prenez le temps de vérifier les autorisations que vous accordez aux applications au moment de leur installation.
- Faites attention aux cookies que vous acceptez sur les sites Web.
Remplacement des antivirus obsolètes
La solution CrowdStrike Falcon® Prevent™, qui offre une protection supérieure contre les logiciels malveillants, les exploits, les intrusions sans logiciels malveillants et les menaces persistantes avancées, est la nouvelle norme en matière de prévention. Les entreprises bénéficient ainsi d'un niveau de visibilité inédit sur les tentatives d'attaque grâce à une arborescence claire qui offre tous les détails et le contexte nécessaires pour comprendre ce qui se passe sur les endpoints et réagir le plus efficacement possible.
CrowdStrike Falcon® Prevent offre une protection de pointe :
- Le Machine Learning et l'intelligence artificielle détectent les logiciels malveillants connus et inconnus ainsi que les ransomwares.
- Les indicateurs d'attaque basés sur les comportements préviennent les attaques sophistiquées sans fichiers ni logiciels malveillants.
- Le blocage des exploits arrête l'exécution et la propagation des menaces qui tirent parti des vulnérabilités non corrigées.
- La capacité à détecter et à mettre en quarantaine les écritures bloque et isole les fichiers malveillants dès leur apparition sur un hôte.
- La recherche de menaces de pointe intégrée à l'architecture de sécurité cloud de CrowdStrike permet de bloquer activement toute activité malveillante.
- La correction automatisée des indicateurs d'attaque nettoie les artefacts connus laissés par une activité malveillante bloquée.
Regardez la vidéo ci-dessous pour découvrir en quoi la solution antivirus de nouvelle génération de CrowdStrike peut vous offrir une protection supérieure et aider votre entreprise à se prémunir contre les compromissions.