Les vers informatiques sont une catégorie de malwares qui diffèrent des virus par …
leur capacité à se propager de manière autonome, sans nécessiter l’exécution d’un fichier hôte.
Ver ≠ Virus — un ver se propage seul, alors qu’un virus a besoin d’un fichier hôte et d’une action utilisateur. |
Un ver informatique est un programme malveillant capable de se répliquer
et de se propager automatiquement à d’autres ordinateurs via des réseaux ou des supports amovibles.
Contrairement aux virus, les vers n’ont pas besoin de s’attacher à des fichiers ou programmes hôtes pour se propager.
Ils peuvent infecter d’autres systèmes en exploitant des failles de sécurité ou en utilisant des méthodes comme l’ingénierie sociale.
Les vers se propagent et infectent les systèmes en utilisant différentes techniques :
Un ver se duplique sans intervention de l’utilisateur, envoyant des copies de lui-même à travers des réseaux ou des e-mails.
Il exploite des vulnérabilités dans les systèmes d’exploitation, les logiciels, ou les protocoles réseau pour se propager.
Une fois qu’il a réussi à infecter un système, le ver peut se dupliquer …
et attaquer d’autres machines sur le même réseau ou envoyer des e-mails malveillants à des contacts pour continuer sa propagation.
En plus de se propager, les vers peuvent être programmés pour effectuer d’autres actions, telles que :
Installer des portes dérobées (backdoors) pour un accès à distance.
Voler des données sensibles.
Consommer les ressources système, ralentissant ainsi les ordinateurs infectés.
Lancer des attaques DDoS (Distributed Denial of Service).
Propager d’autres malwares comme des ransomwares.
Les vers peuvent être classés en différentes catégories selon leur mode de propagation ou leurs objectifs.
Ces vers se propagent en exploitant des failles de sécurité dans les protocoles réseau ou les services.
Ils peuvent infecter des systèmes sur un même réseau local ou à distance via Internet.
WannaCry, un ver de réseau qui s’est propagé rapidement en 2017 via une vulnérabilité dans le protocole SMB de Windows.
Ces vers utilisent des e-mails pour se propager.
Ils envoient des copies d’eux-mêmes en pièces jointes ou via des liens malveillants dans des e-mails.
ILOVEYOU, un célèbre ver qui se propageait par e-mail avec une pièce jointe intitulée "LOVE-LETTER-FOR-YOU.TXT.vbs".
Ces vers se propagent via des services de messagerie instantanée en envoyant des liens infectés ou des fichiers malveillants.
Kelvir, un ver qui se propageait via MSN Messenger en envoyant des liens vers des sites infectés.
Ce type de ver se propage via des périphériques amovibles comme des clés USB, des disques durs externes, ou d’autres supports de stockage.
Stuxnet, un ver qui se propageait via des clés USB pour attaquer les systèmes de contrôle industriels.
Ce ver se propage discrètement sans attirer l’attention. Il se cache et peut rester inactif pendant une période prolongée avant de se déclencher.
Conficker, un ver qui infectait les systèmes Windows et se propageait via des réseaux, des failles de sécurité et des périphériques amovibles.
Ces vers se propagent en exploitant des vulnérabilités des applications connectées à Internet, comme les serveurs web ou FTP.
Code Red, un ver Internet qui a infecté des serveurs Web Microsoft IIS en exploitant une faille.
Les vers informatiques utilisent plusieurs vecteurs pour se propager, notamment :
Les vers peuvent scanner un réseau local pour trouver des appareils vulnérables et les infecter.
Certains vers peuvent se propager à l’échelle mondiale en exploitant des vulnérabilités dans des protocoles ou services Internet.
En se propageant via des pièces jointes infectées ou des liens malveillants envoyés à des contacts.
Des vers comme Stuxnet utilisent des supports physiques pour infecter des ordinateurs isolés ou protégés par des pare-feux.
De nombreux vers tirent parti de vulnérabilités non corrigées dans les systèmes d’exploitation ou les logiciels pour se propager.
Bien que certains vers soient furtifs, voici des signes potentiels indiquant qu’un ordinateur est infecté par un ver :
L’ordinateur devient lent ou affiche des performances dégradées.
Utilisation excessive du réseau sans raison apparente.
Apparition de fichiers ou de programmes inconnus.
Le système plante ou se fige régulièrement.
L’ordinateur se comporte de manière étrange, par exemple en envoyant des e-mails sans l’intervention de l’utilisateur.
Augmentation inexpliquée du trafic réseau.
Les vers peuvent causer de sérieux dommages, notamment :
En se répliquant de manière incontrôlée, les vers peuvent consommer une grande quantité de ressources système, …
ralentissant considérablement les ordinateurs et les réseaux.
Les vers peuvent causer des interruptions de service en surchargeant les réseaux ou en exploitant des ressources critiques.
Certains vers sont programmés pour voler des informations sensibles (mots de passe, informations bancaires, etc.).
Les vers peuvent être utilisés pour télécharger et installer d’autres malwares, comme …
des ransomwares, des chevaux de Troie, ou des logiciels espions.
Certains vers transforment les machines infectées en zombies, les utilisant pour lancer des attaques de déni de service distribué (DDoS).
Stuxnet (2010) a démontré qu’un ver peut causer des dommages physiques sur des infrastructures critiques (centrifugeuses iraniennes). |
Créé par Robert Tappan Morris, étudiant à Cornell University
Infecta ~10 % des ordinateurs connectés à Internet (6 000 sur 60 000)
Premier procès sous le Computer Fraud and Abuse Act US (1990)
Morris condamné à 3 ans de probation, 10 050 $ d’amende, 400 h TIG
Aujourd’hui professeur au MIT — son ver a déclenché la création du CERT
Exploitait une faille du serveur web Microsoft IIS
Infecta 359 000 hôtes en 14 heures
Programmé pour lancer un DDoS contre la Maison Blanche (whitehouse.gov)
La Maison Blanche a changé d’IP juste à temps
Causait l’affichage : HELLO! Welcome to http://www.worm.com! Hacked By Chinese!
SQL Slammer doublait son nombre d’infections toutes les 8 secondes — 75 000 serveurs en 10 minutes. Centrales nucléaires, urgences 911, distributeurs bancaires affectés. |
Ver UDP minuscule : seulement 376 octets
Exploitait une faille de Microsoft SQL Server 2000
Plantage de Bank of America, urgences 911 désactivées dans certaines villes US
Centrale nucléaire Davis-Besse impactée (heureusement à l’arrêt)
Ver email, le plus rapide à se propager à l’époque
DDoS contre SCO Group (entreprise hostile à Linux/open source)
Dommages : 38 milliards $ — record encore inégalé en valeur ajustée
À son pic, 25 % des emails mondiaux étaient des copies de Mydoom
Auteur jamais identifié — soupçonné d’origine russe
Exploitait la faille MS08-067 (Windows)
Infecta entre 9 et 15 millions d’ordinateurs dans 200 pays
Marine française : tous les Rafale cloués au sol pendant plusieurs jours
Hôpitaux britanniques, Bundestag allemand, ministère de la Défense UK touchés
Récompense Microsoft : 250 000 $ pour qui retrouverait l’auteur (jamais réclamée)
Stuxnet est considéré comme la première cyberarme de l’histoire — il a démontré qu’un malware peut causer des dommages physiques à une infrastructure stratégique. |
Cyberattaque conjointe USA-Israël (présumée, opération "Olympic Games")
Cible : centrifugeuses iraniennes de Natanz (programme nucléaire)
Exploitait 4 vulnérabilités zero-day (du jamais vu)
Sabotage physique via les automates Siemens S7-300
A détruit ~1000 centrifugeuses (sur 5000)
Retarda le programme nucléaire iranien de plusieurs années
Ransomworm : combinaison ver + ransomware
Exploitait EternalBlue (faille SMB) — outil NSA volé par les Shadow Brokers
230 000 ordinateurs dans 150 pays en quelques heures
Stoppé par Marcus Hutchins (kill switch enregistré pour 10,69 $)
Attribué à la Corée du Nord (Lazarus Group)
Voir Ransomware pour le volet chiffrement
Apparaît comme un ransomware mais c’est un wiper
Origine : mise à jour vérolée de M.E.Doc (logiciel comptable ukrainien)
Propagation latérale via SMB et Mimikatz
Maersk : 4000 serveurs détruits — Merck, Mondelez touchés
Total : ~10 milliards $ — attribué au GRU russe (Sandworm)
ILOVEYOU (2000) — script VBS, classé virus/ver hybride
Sobig (2003) — diffusait du spam
Bagle / Beagle (2004) — botnet email
Sasser (2004) — exploitait LSASS, redémarrage en boucle
Storm Worm (2007) — botnet P2P géant
| Année | Ver | Impact marquant |
|---|---|---|
1988 | Morris Worm | 10 % d’Internet — création du CERT |
2001 | Code Red | 359 000 hôtes en 14 h |
2003 | SQL Slammer | 75 000 serveurs en 10 min |
2003 | Sobig | Spam massif |
2004 | Mydoom | 38 Md $ (record) |
2004 | Sasser | Redémarrages en boucle |
2007 | Storm Worm | Botnet P2P géant |
2008 | Conficker | Cloue les Rafale au sol |
2010 | Stuxnet | Première cyberarme — Iran |
2017 | WannaCry | NHS UK, ransomworm |
2017 | NotPetya | 10 Md $ — wiper |
Il existe plusieurs bonnes pratiques et outils pour éviter ou limiter les infections par des vers.
Installer régulièrement les mises à jour et les correctifs de sécurité pour combler les vulnérabilités exploitées par les vers.
Les logiciels antivirus modernes sont équipés pour détecter et bloquer les vers.
Parmi les solutions efficaces, on trouve :
Bitdefender
Norton
Kaspersky
Windows Defender
Un pare-feu bien configuré peut bloquer les tentatives de propagation des vers via des réseaux.
Utilisez des solutions comme pfSense, Comodo Firewall, ou les pare-feux matériels intégrés dans les routeurs.
En plus des antivirus, des outils comme Malwarebytes ou Spybot Search & Destroy peuvent détecter les infections par des vers.
Éduquer les utilisateurs sur les dangers des pièces jointes d’e-mails non sollicitées, …
des liens suspects et des pratiques sûres d’utilisation des périphériques amovibles.
Désactiver l’exécution automatique des supports amovibles (comme les clés USB) pour empêcher les vers de se propager automatiquement via ces moyens.
Segmenter les réseaux peut limiter la propagation des vers en empêchant leur déplacement facile d’un segment à un autre.
Déconnecter l’ordinateur du réseau pour limiter la propagation du ver.
Utiliser un antivirus ou un anti-malware pour détecter et supprimer le ver.
Si le ver a causé des dommages, restaurer les fichiers depuis des sauvegardes saines.
Installer les mises à jour nécessaires pour combler les vulnérabilités exploitées par le ver.
Les vers exploitent la vitesse du réseau contre vous : un patch en retard peut compromettre toute une infrastructure en minutes. |
Voir aussi : Virus · Trojans · Ransomware · Hardening · IDS/IPS |