Si le débat se poursuit pour savoir si ce que nous appelons un malware sans fichier ne fait réellement appel à aucun fichier, personne ne conteste le danger que ce type de logiciel malveillant représente. Les attaques par malware sans fichier sont plus faciles à mener, plus difficiles à détecter et généralement plus efficaces que les attaques traditionnelles.

En fait, ils seraient à l’origine d’une grande majorité des intrusions. Le rapport "2017 Thread Report" de Carbon Black révèle qu’ils cumulent 52% des attaques de 2017. L'Institut Ponemon a même découvert que, cette même année, 77% des attaques réussies étaient sans fichier, précisant également que ce type d’attaque a dix fois plus de chances d’atteindre son but que celles basées sur un fichier (Ponemon Institute, The State of Endpoint Security Risk Report, novembre 2017).

Un malware sans fichier est un code malveillant qui n’existe que dans la mémoire. Il n'est pas installé sur le disque dur de l'ordinateur cible. Écrit directement en RAM, ce code est injecté dans un processus en cours d'exploitation, où il peut servir à lancer une attaque. De plus, comme il n'existe pas sous forme de fichier à proprement parler, les logiciels antivirus et les systèmes de prévention des intrusions sont souvent incapables de le détecter.

Il se cache derrière des programmes autorisés pour passer inaperçu. Pour faire court, un malware sans fichier retourne Windows contre lui-même. Les attaques ciblent les outils Windows par défaut, comme PowerShell ou Windows Management Instrumentation (WMI), pour exécuter des opérations malveillantes. Cette intrusion « sans empreinte » utilise des programmes légitimes pour exécuter les opérations voulues, tout en restant pratiquement indétectable avec les méthodes de détection traditionnelles. L'infection peut rester active jusqu'au redémarrage du système. Le malware sans fichier est alors purgé hors de la mémoire du système infecté, ce qui donne le temps aux pirates de voler des données ou de télécharger un malware plus persistant pour de futures attaques.

Il n'est cependant pas totalement indétectable. Il est possible de consulter et d'auditer les journaux pour repérer les quantités importantes de données qui quittent le système, par exemple, et comparer ces informations au comportement de base (référence). Vous pouvez aussi, le plus souvent, voir si un script malveillant a été caché dans le fichier de registre de l'OS. Pourtant, au moment où ces malwares sont détectés, il est souvent trop tard pour éviter les dommages.

6 conseils pour éviter les malwares sans fichier

1. Mettez en place un contrôle avancé des applications qui empêche l'exécution des logiciels malveillants et des scripts. En interdisant les langages de script inutiles, vous pouvez limiter les structures susceptibles d'être utilisées pour exécuter en secret des commandes sur le système hôte.
2. Appliquez des techniques de protection de la mémoire et désactivez les macros, si possible. Si vous ne pouvez pas désactiver les macros, pensez à appliquer des technologies de signature numérique des macros pour reconnaître celles que l'entreprise autorise.
3. Utilisez les technologies antivirus les plus avancées. De nouvelles techniques permettent de gérer le problème des malwares sans fichier dans le noyau (kernel) pour résoudre le problème.
4. Veillez à mettre en œuvre des pratiques de gestion des privilèges et des stratégies d'isolement strictes. En attribuant aux utilisateurs les droits dont ils ont besoin pour faire leur travail (ni plus ni moins), vous garantissez que les références d'authentification utilisateur exposées ne permettent pas d'accéder à davantage que ce qui est nécessaire, au cas où elles tomberaient entre de mauvaises mains. De même, en utilisant des stratégies d'isolement, vous limitez le champ d'action des éventuelles intrusions de malwares sans fichier.
5. Soyez irréprochable dans l'application des correctifs. Ne laissez jamais vos postes client ou serveurs sortir du cycle d'application des correctifs de sécurité, pour vous assurer de mettre en place la meilleure protection possible contre les menaces. Si ce n'est pas possible, exploitez des outils de collecte de données pour obtenir une meilleure vue de vos systèmes les plus vulnérables et appuyez-vous sur d'autres techniques que les correctifs, notamment les pare-feux d'application Web, pour protéger les systèmes potentiellement exposés.
6. Appliquez des stratégies de sécurité aux périphériques amovibles. Le verrouillage des périphériques utilisateur, comme les lecteurs Flash, peut également vous aider à contrer les malwares sans fichier.