Qu'est-ce qu'un spyware ?

juin 6, 2022

Définition d’un spyware

Un spyware, ou logiciel espion, est un type de logiciel malveillant indésirable qui infecte un ordinateur ou un autre terminal et qui collecte des informations sur l’activité Internet de l’utilisateur à son insu ou sans son consentement, notamment des mots de passe, des codes PIN, des informations de paiement et d’autres données sensibles.

Les spywares sont l’une des menaces les plus répandues sur Internet. Ce type de logiciel malveillant ne limite pas son activité aux navigateurs de bureau, il peut aussi infiltrer une application ou un téléphone mobile. Ces dernières années, les attaques de spywares ciblant des terminaux mobiles se sont multipliées et perfectionnées parallèlement à la généralisation de l’utilisation des téléphones mobiles pour effectuer des transactions bancaires et communiquer de toutes les façons possibles.

Par définition, un spyware opère à l’insu de l’utilisateur, mais dans certains cas, il peut être utilisé à des fins légitimes et en toute légalité. Ainsi, des publicitaires et des entreprises de traitement de données intègrent parfois un spyware dans des téléchargements d’applications, ce qui n’apparaît qu’en petits caractères sur le contrat de licence. Certains employeurs peuvent également utiliser des spywares pour détecter les vols, les compromissions ou les fuites de données liés à leurs collaborateurs. Enfin, les spywares peuvent être utilisés par des agences gouvernementales et les forces de l’ordre pour collecter des informations sur le comportement et l’activité en ligne d’un individu.

Comme ce type de logiciel malveillant s’exécute en arrière-plan du système d’exploitation, il est difficile à détecter et encore plus compliqué à neutraliser sans le recours à des outils et solutions de sécurité avancés.

2023 CrowdStrike Global Threat Report

Téléchargez le Global Threat Report 2023 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

Types de spywares

On distingue plusieurs types de spywares et, si tous ont pour objectif de voler des données personnelles, chacun utilise des tactiques qui lui sont propres pour y parvenir.

Adware

Un adware surveille l’historique et l’activité de navigation d’un utilisateur sur Internet afin de mieux cibler les publicités qui lui sont proposées. Bien qu’il s’agisse d’une forme de spyware d’un point de vue technique, l’adware n’installe aucun logiciel sur l’ordinateur de l’utilisateur et n’enregistre pas ses frappes. En revanche, il porte atteinte à la vie privée de l’utilisateur : les données qu’il capture sont regroupées avec des données collectées, ouvertement ou non, sur l’activité de l’utilisateur sur Internet. Ces informations sont ensuite utilisées pour créer un profil qui peut être partagé ou vendu à des publicitaires sans le consentement de l’utilisateur.

Les cookies, également appelés cookies HTTP ou cookies Internet, ont été conçus pour que les navigateurs web suivent et personnalisent l’expérience d’un utilisateur sur un site web donné. Il en existe deux types : les cookies de session et les cookies persistants.

Les cookies de session sont stockés dans la mémoire vive et ne sont pas écrits sur le disque dur. Ils sont généralement utilisés pour améliorer l’expérience de navigation de l’utilisateur (bouton Retour, par exemple) sans avoir à recharger la page.

Les cookies persistants facilitent l’authentification (en mémorisant les mots de passe) et le suivi des interactions de l’utilisateur avec un site web (pages ou produits consultés).

Un cyberattaquant peut utiliser des cookies à des fins malveillantes en infiltrant la session web d’un utilisateur lorsque ce dernier clique sur un adware ou en installant secrètement des cookies, connus sous le nom de cookies zombies, sur l’ordinateur de l’utilisateur.

Cheval de Troie

Un cheval de Troie est une forme de cyberattaque qui prend l’apparence d’un code ou logiciel légitime. Les chevaux de Troie peuvent se dissimuler dans des jeux, des applications et même des correctifs logiciels. Ils peuvent également être incorporés dans les pièces jointes d’e-mails de phishing. Une fois téléchargés par un utilisateur peu méfiant, ils prennent le contrôle des systèmes de la victime à des fins malveillantes. Un cheval de Troie peut par exemple supprimer et chiffrer des fichiers ou partager des informations sensibles avec des tiers.

Enregistreur de frappe

Un enregistreur de frappe est un type de spyware qui surveille l’activité de l’utilisateur. Une fois installé, il peut dérober des mots de passe, des noms d’utilisateur, des informations bancaires et d’autres données sensibles. Il peut être introduit dans un système par le biais d’e-mails de phishing, de techniques d’ingénierie sociale ou de téléchargements malveillants.

Les enregistreurs de frappe peuvent également être utilisés à des fins légitimes, par exemple par un employeur pour surveiller l’activité des collaborateurs de l’entreprise ou par des parents pour suivre le comportement en ligne de leurs enfants.

Moniteur système

Forme avancée de spyware, un moniteur système capture quasiment tout ce que fait l’utilisateur sur l’ordinateur ou le terminal infecté. Il peut être programmé pour enregistrer toutes les frappes, l’activité et l’historique de navigation de l’utilisateur, ainsi que toute forme de communication – e-mails, chats ou activité sur les réseaux sociaux.

Spyware mobile

Un spyware mobile est un type de logiciel malveillant qui cible les terminaux mobiles, notamment les iPhones et les téléphones Android. À l’instar d’un spyware classique, le spyware mobile s’exécute en arrière-plan et vole des informations telles que mots de passe, photos, SMS, e-mails, journaux d’appels, listes de contacts et historique de navigation.

Des formes avancées de spyware mobile peuvent également servir d’enregistreurs de frappe afin d’enregistrer l’activité de l’utilisateur, ainsi que ses identifiants de connexion et ses mots de passe. Certains types peuvent également accéder au micro, à la caméra, au GPS ou à d’autres applications du terminal, afin de surveiller et même d’enregistrer les conversations téléphoniques, la localisation et les déplacements de l’utilisateur.

Les spywares mobiles sont particulièrement dangereux, car ils peuvent être déployés via un SMS ou un message texte traditionnel. En outre, ils peuvent généralement exécuter des commandes sans l’intervention de l’utilisateur.

Fonctionnement d’un spyware

La plupart des spywares se présentent sous la forme d’une application qui se fixe au système d’exploitation et s’exécute en continu à l’arrière-plan lorsque le terminal est allumé. Le spyware peut alors effectuer différentes activités :

  • Enregistrer les frappes pour collecter tout ce que l’utilisateur tape sur le clavier, notamment des noms d’utilisateur, mots de passe, coordonnées bancaires, numéros de carte de crédit et coordonnées
  • Suivre l’activité en ligne, notamment les sites web consultés, les interactions avec d’autres personnes et les messages envoyés, afin de créer un profil détaillé de l’utilisateur
  • Prendre le contrôle de l’ordinateur ou du terminal et réinitialiser la page d’accueil du navigateur, modifier les résultats de recherche ou inonder le terminal de fenêtres pop-up publicitaires
  • Reconfigurer les paramètres de sécurité du terminal, notamment du pare-feu, pour permettre le contrôle à distance du terminal ou intercepter les tentatives d’élimination du spyware

Même si le spyware ne collecte pas d’informations personnelles, sa présence ralentit généralement l’ordinateur ou le terminal, et altère sa maniabilité et son fonctionnement au fil du temps.

Dans quelles circonstances êtes-vous susceptible d’être infecté par un spyware ?

Le spyware est l’une des menaces les plus courantes sur Internet et touche aussi bien les entreprises que les particuliers. Même si, par le passé, les attaques de spywares ciblaient principalement les utilisateurs de Windows, l’augmentation du nombre d’utilisateurs de Mac a entraîné un essor des attaques contre le système d’exploitation iOS, rendant les fans d’Apple tout aussi vulnérables à ce risque de sécurité.

Certaines des méthodes les plus courantes d’infection des terminaux par des spywares peuvent être reliées au comportement des utilisateurs, notamment :

  • Téléchargement de contenus piratés (musique, jeux vidéo, films, livres, logiciels, contenus payants, etc.)
  • Téléchargement de documents non sollicités, comme des pièces jointes, des photos ou des fichiers, même provenant de sources connues
  • Validation ou acceptation d’une notification contextuelle sans lire le message affiché ou en comprendre le contenu
  • Accord d’utilisation non lu lors du téléchargement d’applications ou de logiciels légitimes
  • Mises à jour et correctifs non installés sur les navigateurs, les systèmes d’exploitation, les applications et les logiciels

Une attaque de spyware peut également infecter un ordinateur ou un terminal par l’intermédiaire de vulnérabilités de sécurité ou d’attaques coordonnées, auxquelles l’utilisateur lambda est peu sensibilisé ou sur lesquelles il n’a aucun contrôle. En voici quelques exemples :

Vulnérabilités de sécurité. De nombreux terminaux ou applications logicielles contiennent des erreurs de code (ou « bugs ») qui peuvent être détournées ou exploitées par des cyberadversaires pour obtenir un accès non autorisé. Une fois à l’intérieur, le cybercriminel peut installer une porte dérobée qui lui permettra de s’introduire à nouveau discrètement dans le système dans le cas où la vulnérabilité initiale viendrait à être identifiée et corrigée.

Phishing et usurpation d’identité. Le phishing et l’usurpation d’identité sont deux tactiques couramment utilisées par les cybercriminels dans le cadre d’une attaque coordonnée pour susciter une action de l’utilisateur, comme le téléchargement d’un fichier infecté ou le partage d’identifiants de connexion. Souvent greffée à une attaque de phishing, l’usurpation d’identité est une tactique consistant à prendre l’apparence d’e-mails et de sites web légitimes pour susciter un sentiment de légitimité, de fiabilité ou de familiarité.

Offres logicielles groupées et outils dissimulés. De nombreux développeurs de spywares font passer leurs programmes pour des outils utiles, comme des logiciels de nettoyage de disque dur ou des accélérateurs de navigation. Ces téléchargements contiennent souvent un module complémentaire, une extension ou un plug-in malveillant. Malheureusement, la plupart des spywares sont programmés pour persister dans le système même si l’application hôte est désinstallée ou supprimée. Dans certains cas, les conditions générales d’utilisation de l’outil ou du logiciel stipulent même la présence du spyware.

EN SAVOIR PLUS

Regardez cette vidéo sur la gestion des vulnérabilités assurée par CrowdStrike Falcon Spotlight™ et découvrez comment identifier rapidement les vulnérabilités des systèmes et applications de votre entreprise. Regarder la vidéo : Using Falcon Spotlight for Vulnerability Management

Comment reconnaître un spyware ?

Comme son nom l’indique, un spyware est conçu pour leurrer les utilisateurs et est donc difficile à identifier. Qui plus est, la plupart des symptômes d’une attaque de spyware sont similaires à ceux d’autres cyberattaques.

Si votre terminal présente l’un des signes suivants, il est important de procéder à une analyse de sécurité complète afin d’identifier et de résoudre le problème à la racine :

  • Ralentissement de l’ordinateur ou du terminal
  • Plantage inattendu et régulier du terminal
  • Manque de mémoire inexpliqué du terminal
  • Modification subite de la page de renvoi du navigateur ou de l’écran d’accueil du terminal
  • Apparition de nouvelles barres d’outils ou applications ou de nouveaux moteurs de recherche sur le terminal sans qu’ils aient été téléchargés
  • Affichage de fenêtres pop-up publicitaires et de messages, même lorsque le terminal est hors ligne

La détection d’un spyware sur un terminal mobile peut se révéler particulièrement difficile, car il n’existe aucun moyen simple d’analyser les programmes s’exécutant en arrière-plan.

CONSEIL D'EXPERT

Il est essentiel que votre spécialiste en sécurité des informations collabore avec les équipes de développement logiciel afin de les former aux bonnes pratiques en matière de développement sécurisé de logiciels. Des processus de codage non sécurisés peuvent accroître sensiblement la vulnérabilité aux attaques

Comment prévenir les spywares ?

Compte tenu de la diversité et de l’évolution constante des logiciels malveillants, spywares compris, seule une approche multiniveau soutenue par des innovations continues peut permettre de les prévenir. Les antivirus traditionnels, qui comparent les menaces présumées à une liste de menaces connues en fonction de différents indicateurs de compromission, ne sont tout simplement pas capables de suivre le rythme effréné d’apparition de nouveaux logiciels malveillants. Les entreprises se retrouvent ainsi dans une situation délicate, étant donné qu’elles ont toujours un temps de retard sur les cyberadversaires, et sont uniquement capables de réagir aux attaques sans pouvoir les éviter de manière proactive.

Les entreprises doivent combiner différentes méthodes pour prévenir et détecter tous les types de logiciels malveillants, spywares compris, notamment le Machine Learning, le blocage des exploits, l’analyse comportementale et des listes de blocage. Parcourons ensemble ces fonctionnalités dans le contexte de la plateforme CrowdStrike Falcon®, la solution de sécurité native au cloud leader du marché.

Machine Learning

Falcon utilise le Machine Learning pour bloquer les logiciels malveillants sans recourir à des signatures et s’appuie sur des algorithmes mathématiques pour analyser les fichiers et protéger l’hôte, même lorsque celui-ci n’est pas connecté à Internet.

Blocage des exploits

Un logiciel malveillant ne se présente pas toujours sous la forme d’un fichier pouvant être analysé par la technologie de Machine Learning. Certains types de logiciels malveillants peuvent être déployés directement en mémoire au moyen de kits d’exploit. Pour s’en prémunir, la plateforme Falcon propose une fonction de blocage des exploits, offrant ainsi un niveau de protection supplémentaire.

Analyse comportementale

Tous les logiciels malveillants sans fichier n’utilisent pas des kits d’exploit. C’est notamment le cas de certains types de ransomwares. Pour protéger les systèmes contre ces menaces, la plateforme Falcon utilise des indicateurs d’attaque, chargés de surveiller les activités légitimes et suspectes afin de détecter des chaînes furtives d’événements indiquant une tentative d’infection par un logiciel malveillant. La plupart des indicateurs d’attaque permettent également de prévenir les attaques dépourvues de logiciels malveillants.

Listes noires

La plateforme Falcon permet aux entreprises de mettre des applications sur liste noire, de façon à empêcher automatiquement leur exécution.

La plateforme CrowdStrike Falcon combine ces différentes méthodes avec des technologies innovantes qui s’exécutent dans le cloud pour offrir une protection plus rapide et toujours à jour. Pour en savoir plus, demandez une démonstration ou profitez d’un essai gratuit.