verifuite

Type de menace

Ver informatique (Worm)

Ver informatique (Worm)

Un ver informatique (ou Worm en anglais) est un type de malware particulièrement virulent qui se distingue par sa capacité à se reproduire et à se propager automatiquement d'un ordinateur à un autre, sans aucune intervention humaine.

Contrairement à un virus classique qui a besoin de s'attacher à un programme hôte et qu'un utilisateur clique dessus pour s'activer, le ver exploite directement des vulnérabilités de sécurité dans le système d'exploitation ou le réseau.

L'impact sur les fuites de données

Si les premiers vers historiques (comme ILOVEYOU ou Mydoom) cherchaient surtout à ralentir les réseaux et détruire des données, les vers modernes sont conçus comme de véritables "véhicules de livraison" (des droppers).

Une fois qu'un ver s'est propagé sur tout le réseau d'une entreprise (parfois en quelques minutes), il déploie une "charge utile" (payload). C'est cette charge utile qui va causer la fuite :

  • Déploiement de Ransomware : Le tristement célèbre ransomware WannaCry (2017) s'est propagé mondialement en utilisant un ver exploitant une faille Windows, causant l'exfiltration et le chiffrement de données à une vitesse inédite.
  • Portes dérobées (Backdoors) : Le ver ouvre silencieusement des accès aux attaquants pour qu'ils puissent venir exfiltrer les bases de données plusieurs semaines plus tard.

Comment fonctionne la propagation ?

Le ver scanne le réseau local ou internet à la recherche de machines vulnérables. Il exploite souvent :

  • Des failles de sécurité non corrigées (systèmes d'exploitation obsolètes).
  • Des mots de passe de serveurs faibles ou par défaut (notamment sur les objets connectés ou les routeurs).
  • Des vulnérabilités dans les protocoles de partage de fichiers (comme SMB sous Windows).

Comment se défendre face à un ver ?

Étant donné que la propagation est automatique, les défenses doivent être structurelles :

  • Gestion stricte des correctifs (Patch Management) : Appliquer systématiquement les mises à jour de sécurité de l'ANSSI ou de l'éditeur sur tous les postes et serveurs.
  • Segmentation réseau : Diviser le réseau en sous-réseaux étanches (VLANs). Si un ver infecte la comptabilité, il ne doit pas pouvoir atteindre automatiquement les serveurs de production.
  • Désactivation des protocoles obsolètes : Bloquer les ports et protocoles de partage anciens ou inutilisés (ex: SMBv1).

Sources : Cybermalveillance.gouv.fr · MITRE ATT&CK

Dernières fuites liées

Aucune fuite recensée pour le moment.