La plupart des cyberattaques actuelles sont motivées par l’appât du gain : les hackers utilisent ainsi fréquemment des ransomwares et autres logiciels malveillants pour extorquer de l’argent à leurs victimes, voler des données précieuses en vue de les revendre ou encore accéder à des systèmes pour y détourner des fonds.

Le Panorama de la cybermenace 2024 de l’ANSSI confirme d’ailleurs cette tendance : en France, les attaques à visée lucrative, notamment les extorsions par rançongiciel et les vols de données, représentent la majeure partie des incidents recensés. Toutefois, certaines cyberattaques ne visent pas le profit, mais plutôt la destruction pure et simple des systèmes ciblés comme c’est notamment le cas des logiciels malveillants
de type « Wiper ».

Comprendre la nature des attaques Wiper

Les Wiper sont de plus en plus utilisés pour des opérations de cyberguerre, des actions militantes (hacktivisme) ou des attaques à caractère politique. L’un des exemples les plus frappants est l’attaque NotPety a survenue en 2017, qui a touché des entreprises et des organismes publics dans le monde entier, y compris en France, et a causé des dommages estimés à 10 milliards de dollars au total. Cet événement atteste de l’incroyable impact financier et opérationnel que ce type malware pouvait déjà infliger il y a près de 10 ans. Malheureusement, le risque n’a cessé de croitre.

Au lieu de demander une rançon ou de voler des informations, ces attaques visent à effacer les données de manière irréversible, à désactiver les infrastructures essentielles et à semer le chaos. Ainsi, elles se révèlent être une arme privilégiée, tant dans les conflits idéologiques et militaires que dans les représailles politiques. Contrairement aux cybercriminels intéressés par le profit, ces hackers se concentrent uniquement sur la perturbation de l’activité de leurs victimes, la dégradation de leur réputation ou la promotion d’intérêts stratégiques nationaux.

Les entités les plus vulnérables sont les agences publiques, les entreprises détenant des contrats de défense, les opérateurs d’infrastructures critiques et les sociétés situées dans des régions politiquement sensibles. Le risque est particulièrement élevé pour celles impliquées dans des conflits géopolitiques ou manipulant des données sensibles que les hackers souhaitent détruire.

Impacts concrets des attaques Wiper

Les attaques Wiper contre les entreprises peuvent être dévastatrices. Contrairement aux logiciels malveillants traditionnels qui, par exemple, permettent la récupération des fichiers chiffrés moyennant une rançon, ces malwares suppriment définitivement les données, entraînant une paralysie prolongée des activités et d’importantes pertes financières.

Beaucoup se souviennent d’ailleurs de l’attaque Wiper de 2014,où la maison de production Sony Pictures avait été ciblée par le virus Shamoon. Attribuée à la Corée du Nord en représailles du film satirique The Interview, cette opération visait à effacer les données sur les machines infectées, rendant leur récupération presque impossible. Au-delà de cette perte de données, l’attaque a également entraîné la divulgation de communications internes confidentielles de Sony, de films inédits et de nombreuses données à caractère personnel des employés de la société. Selon les experts, cela aurait causé à Sony des pertes d’au moins 15 millions de dollars et un préjudice majeur pour la réputation
de la société.

Plus récemment, lesWiper sont devenus un élément clé de la cyberguerre. Dans les conflits internationaux, des hackers opérant pour des États utilisent ces outils destructeurs pour perturber différents services essentiels, paralyser des institutions financières et fragiliser des infrastructures nationales, avec des conséquences potentiellement graves sur le plan économique et sécuritaire.

8 bonnes pratiques contre les attaques Wiper

La défense contre ce type d’attaque nécessite une stratégie de cybersécurité solide, à l’instar des dispositifs de protection utilisés contre d’autres menaces avancées. Les principes fondamentaux restent les mêmes : prévenir l’intrusion initiale, réagir rapidement pour minimiser l’impact et assurer une reprise efficace afin de réduire les perturbations. Les pratiques les plus efficaces comprennent :
  1. Sensibilisation et formation des utilisateurs - Il convient d’expliquer aux équipes comment reconnaître les tentatives de phishing, les tactiques d’ingénierie sociale et les autres techniques exploitées par les hackers pour pénétrer dans les réseaux et y déployer des logiciels Wiper.

  2. Mises à jour des logiciels et gestion régulière des correctifs – Les vulnérabilités non corrigées constituent un point d’entrée fréquent pour les malwares. Il est essentiel de s’assurer que l’ensemble des systèmes, applications et dispositifs réseau soit constamment mis à jour avec les correctifs de sécurité les plus récents.

  3. Contrôle d’accès basé sur le principe du moindre privilège – Il est primordial de restreindre l’accès des utilisateurs en fonction de leur rôle dans l’entreprise et de limiter les privilèges accordés aux comptes de service. Un accès élevé ne devrait être attribué qu’en cas de nécessité et pour des tâches spécifiques. La minimisation des autorisations réduit considérablement la marge d’action des hackers en cas d’attaque interne ou de compte compromis.

  4. Segmentation du réseau – La mise en œuvre d’une segmentation du réseau permet d’isoler les éléments infectés et d’empêcher la propagation des logiciels malveillants dans les systèmes stratégiques. Il convient notamment d’assurer l’isolation des environnements contenant des données et des systèmes sensibles.

  5. Surveillance des menaces – Le déploiement de solutions de détection des menaces avancées permet d’identifier et de neutraliser les malwares avant leur exécution. Une surveillance continue de l’activité du réseau peut aider à détecter les anomalies symptomatiques d’une tentative d’attaque.

  6. Renseignements sur les menaces – Il convient d’identifier les attaquants susceptibles de cibler l’environnement informatique et de se renseigner sur leurs tactiques. Les efforts de sécurité doivent être modulés en conséquence, et les dispositifs de surveillance affinés en fonction des outils et des techniques utilisés par les hackers présentant le risque le plus immédiat.

  7. Plans de réponse aux incidents et de reprise d’activité – L’élaboration de stratégies complètes de réponse aux incidents et de reprise d’activité permet d’identifier, de contenir et de neutraliser rapidement les menaces. Il est recommandé de les tester régulièrement sous forme d’exercices au sein des équipes ; un plan bien maîtrisé peut réduire considérablement les délais d’interruption d’activité en cas d’attaque.

  8. Sauvegardes immuables – Étant donné que les logiciels Wiper provoquent une suppression irréversible de données, il est essentiel de conserver des sauvegardes immuables hors de portée. De plus, certains hackers empoisonnent les sauvegardes afin de les rendre irrécupérables avant même de lancer leur attaque. Il est donc crucial de tester régulièrement ces sauvegardes afin de vérifier qu’elles pourront effectivement permettre de restaurer les données en cas d’incident.

Renforcer la résilience contre les attaques Wiper

Les logiciels Wiper représentent une catégorie de menace en ligne particulièrement destructrice axée sur les dommages plutôt que sur les gains financiers. Face à leur capacité à paralyser irrémédiablement une organisation, il est essentiel – surtout dans les secteurs à haut risque – de renforcer les mesures de cybersécurité. En mettant en œuvre des mesures de protection rigoureuses, en formant leurs employés et en maintenant des sauvegardes sécurisées, il est alors possible pour les organisations d’assurer la continuité de leurs activités, même face aux virus les plus destructeurs.

Par Ilia Sotnikov, Security Strategist chez Netwrix

ARTICLES SIMILAIRESPLUS DE L'AUTEUR