Ver informatique

01 — DéfinitionQu'est-ce qu'un ver ?

Un ver informatique (worm en anglais) est un type de malware autonome qui se propage activement de machine à machine via le réseau, sans nécessiter d'action de l'utilisateur.

Le terme « worm » en informatique a été popularisé par le roman de science-fiction The Shockwave Rider de John Brunner (1975), puis formalisé par John Shoch et Jon Hupp dans un article Xerox PARC en 1982. L'idée : un programme qui se réplique de façon autonome à travers un réseau d'ordinateurs connectés.

Caractéristiques fondamentales

• Autonome : n'a pas besoin d'un fichier hôte comme le virus.
• Auto-propagation : se copie lui-même vers d'autres machines.
• Pas d'action utilisateur requise : exploite directement le réseau.
• Exploitation de vulnérabilités : services réseau faiblement protégés, credentials par défaut, CVE non patchées.
• Vitesse de propagation : capable d'infecter des milliers à millions de machines en quelques heures.

Charge utile (payload)

Un ver peut se contenter de se propager (cas historique du Morris Worm qui n'avait pas de charge destructrice explicite) ou porter une charge :

• Ransomware : chiffrement (WannaCry).
• Destruction de données (NotPetya).
• Backdoor : accès persistant pour les attaquants.
• Botnet : enrôlement dans un réseau zombie (Mirai).
• Espionnage : collecte de données (Stuxnet).
• Cryptomining : WannaMine et variants.

Impact économique historique

• ILOVEYOU (2000) : 5-15 milliards USD de dégâts.
• Code Red (2001) : 2,6 milliards USD.
• SQL Slammer (2003) : 1,2 milliards USD, ralentissement global d'Internet.
• Conficker (2008+) : 9 milliards USD estimés.
• WannaCry (2017) : 4-8 milliards USD (impact sur NHS britannique paralysé).
• NotPetya (2017) : 10 milliards USD, incident cyber le plus coûteux de l'histoire (Maersk, Merck, FedEx, Saint-Gobain).

Le ver est le malware qui concrétise le cauchemar industriel de la cybersécurité : une infection qui se propage plus vite que la réponse humaine. D'où la priorité absolue du patching rapide et de la segmentation réseau — c'est tout ce qui nous sépare du prochain WannaCry.

02 — DistinctionVer vs virus vs cheval de Troie

Virus

Programme qui s'insère dans un fichier exécutable légitime et se réplique quand ce fichier est exécuté. Nécessite :

• Un fichier hôte à infecter.
• Une action utilisateur pour l'exécution du fichier hôte.

Usage historique : disquettes infectées, puis pièces jointes email. Moins dominant aujourd'hui car les pratiques de sécurité limitent les vecteurs (désactivation macros par défaut, Gatekeeper macOS, SmartScreen Windows).

Ver (worm)

Programme autonome qui se propage via le réseau sans action utilisateur.

• Pas besoin de fichier hôte : c'est lui-même le programme.
• Pas besoin d'action utilisateur : exploite directement les services réseau.
• Propagation massive rapide : caractéristique distinctive.

Cheval de Troie (trojan)

Programme qui se fait passer pour légitime pour inciter l'utilisateur à l'exécuter volontairement.

• Ne se réplique pas automatiquement.
• Repose sur la tromperie : phishing, faux installeurs, cracks.
• Vecteur dominant des infections modernes (~70% des malwares selon AV-TEST).

Tableau de synthèse

• Virus : besoin d'un fichier hôte + action utilisateur. Se réplique dans d'autres fichiers.
• Ver : autonome, exploite le réseau, pas d'action utilisateur, propagation auto.
• Cheval de Troie : pas de réplication, tromperie pour exécution volontaire.

Confusion fréquente dans le langage courant

Dans le langage grand public, « virus » est utilisé de façon générique pour désigner n'importe quel malware. C'est techniquement inexact mais largement accepté. Même les éditeurs d'antivirus utilisent « antivirus » pour parler de protection contre toutes les familles de malwares. Les distinctions strictes sont pertinentes pour comprendre les mécanismes et concevoir les défenses.

Hybrides modernes

Les malwares contemporains combinent souvent plusieurs techniques :

• WannaCry : ransomware avec capacités de ver.
• NotPetya : destructeur déguisé en ransomware + ver.
• Emotet : trojan avec propagation latérale limitée.
• Mirai : ver IoT avec composante botnet.
• Ransomware modernes (LockBit, Conti) : arrivent par trojan initial puis se propagent latéralement comme des vers dans le réseau interne.

La classification stricte reste utile pour analyser chaque composante, mais les menaces réelles sont multi-modales.

03 — FonctionnementComment un ver se propage

Les 4 phases de propagation

1. Identification des cibles

Le ver scanne le réseau pour identifier des machines potentiellement vulnérables. Méthodes :

• Scan d'IP : génération aléatoire ou séquentielle d'adresses IP.
• Scan de ports : détection de services spécifiques exposés (445 SMB, 3389 RDP, 22 SSH, 80/443 HTTP, 25 SMTP).
• Banner grabbing : identification de versions de services pour cibler celles vulnérables.
• Réseau local : propagation sur le LAN d'une machine infectée, généralement plus permissif.

2. Exploitation

Le ver exploite une vulnérabilité pour obtenir l'exécution de code sur la machine cible :

• CVE critiques non patchées : MS17-010/EternalBlue (WannaCry), MS08-067 (Conficker), CVE récentes Fortinet/Ivanti/Citrix.
• Credentials faibles ou par défaut : Mirai exploitait les mots de passe par défaut des caméras IoT.
• Services mal configurés : SMB avec authentification null, shares ouverts.
• Bugs de protocoles : buffer overflow, injection, désérialisation non sécurisée.

3. Installation et persistance

Une fois l'exécution de code obtenue :

• Téléchargement ou copie du payload complet.
• Installation dans un emplacement système.
• Persistance : démarrage automatique, service, tâche planifiée, registre.
• Élévation de privilèges si nécessaire.
• Évasion : désactivation d'antivirus, masquage de processus.

4. Propagation

La machine nouvellement infectée devient à son tour un agent de propagation : elle scanne, exploite, infecte d'autres machines. Croissance exponentielle caractéristique des vers : chaque infection peut en générer plusieurs, conduisant à des courbes de propagation très rapides.

Vecteurs de propagation historiques

• SMB (Server Message Block, port 445) : cible privilégiée. WannaCry, NotPetya, Conficker tous via SMB.
• RDP (Remote Desktop, port 3389) : brute force ou exploitation (BlueKeep CVE-2019-0708).
• SSH : brute force sur mots de passe faibles.
• SQL : SQL Slammer (2003) exploitait Microsoft SQL Server.
• Telnet/HTTP IoT : Mirai sur caméras, routeurs, imprimantes avec identifiants par défaut.
• Email : certains vers se propagent par envoi massif à toutes les adresses du carnet (ILOVEYOU, Mydoom). À la frontière entre ver et virus.
• USB : Stuxnet utilisait l'autorun des clés USB pour franchir l'air gap des systèmes isolés.
• Partages réseau : shares ouverts avec permissions permissives.

Dynamique de propagation

Les vers exhibent des courbes de propagation exponentielles :

• Phase initiale lente (patient zéro puis premiers cas).
• Phase exponentielle : chaque infection en génère plusieurs.
• Saturation : toutes les cibles vulnérables sont infectées.
• Déclin : patching d'urgence, isolation, kill switches.

SQL Slammer (2003) a infecté 75 000 machines en 10 minutes, doublant le nombre d'infectés toutes les 8,5 secondes. WannaCry a infecté 230 000 machines dans 150 pays en 24 heures.

04 — ExemplesLes vers qui ont marqué l'histoire

Morris Worm (novembre 1988)

Premier grand incident Internet. Développé par Robert Tappan Morris, étudiant au MIT, comme expérience accidentellement sortie de contrôle. A infecté ~6 000 machines UNIX (sur les ~60 000 connectées à Internet à l'époque, soit 10%) via trois vecteurs : exploitation de sendmail, fingerd, et mots de passe faibles. Paralysie partielle d'Internet pendant plusieurs jours. Morris a été la première personne condamnée sous le Computer Fraud and Abuse Act américain en 1990 — 3 ans de probation, 400 heures de service communautaire. Devenu professeur au MIT par la suite.

ILOVEYOU (mai 2000)

À la frontière ver/virus. Se propageait par email avec un fichier joint "LOVE-LETTER-FOR-YOU.TXT.vbs". Une fois ouvert, s'auto-envoyait à tous les contacts du carnet d'adresses Outlook. Infectait 10% des ordinateurs connectés à Internet en quelques jours. Dégâts estimés 5-15 milliards USD. Auteur identifié aux Philippines mais non poursuivi faute de législation applicable à l'époque — a conduit à l'adoption de lois cybercriminalité aux Philippines.

Code Red (juillet 2001)

Exploitait une vulnérabilité buffer overflow dans Microsoft IIS. ~359 000 machines infectées en moins de 14 heures au pic. Défaçait les pages web avec « Hacked by Chinese! » puis tentait des attaques DDoS contre la Maison Blanche. A conduit Microsoft à revoir en profondeur sa politique sécurité et à lancer l'initiative Trustworthy Computing.

SQL Slammer (janvier 2003)

Ver extrêmement rapide exploitant une CVE Microsoft SQL Server. Seulement 376 octets. A infecté 75 000 machines en 10 minutes, générant assez de trafic réseau pour ralentir Internet au niveau mondial. Impact sur distributeurs automatiques, 911 américains, centrales électriques. Un des incidents les plus rapides de l'histoire.

Conficker (novembre 2008)

Un des vers les plus persistants : exploitait MS08-067 (CVE dans le service Server Windows). Pic : 10-15 millions de machines infectées dans 190+ pays. Techniques sophistiquées : génération de noms de domaines pour le C2, résistance aux tentatives de neutralisation. Conficker Working Group formé pour le combattre (Microsoft, ICANN, universités). Encore actif en 2024 sur des machines anciennes non patchées — signe d'une persistance exceptionnelle.

Stuxnet (découvert 2010)

Cyberarme développée conjointement par les USA et Israël pour saboter le programme nucléaire iranien (opération « Olympic Games », NSA + Unit 8200). Premier malware connu capable de dégâts physiques : faisait accélérer/ralentir anormalement les centrifugeuses de l'usine d'enrichissement de Natanz. A exploité 4 zero-days Windows pour se propager et franchir l'air gap via clés USB. Découvert par accident — sortie non prévue au-delà des cibles initiales. Marque une rupture : entrée officielle des États dans la cyberguerre offensive.

WannaCry (mai 2017)

Voir section dédiée ci-dessous.

NotPetya (juin 2017)

Voir section dédiée ci-dessous.

Mirai (2016)

Ver ciblant les objets connectés (caméras, routeurs, DVR) avec identifiants par défaut. Créé à l'origine par des étudiants pour attaquer des serveurs Minecraft, code source publié en septembre 2016. A infecté des centaines de milliers d'appareils IoT, utilisés ensuite pour le plus grand DDoS de l'époque contre Dyn (21 octobre 2016), perturbant Twitter, Netflix, Spotify, PayPal, Reddit pendant plusieurs heures. De nombreuses variantes dérivées encore actives (Okiru, Satori, Masuta).

Slapper (2002), Nimda (2001), Sasser (2004), Blaster (2003)

Vers marquants des années 2000, chacun exploitant des CVE critiques Windows différentes. Illustrent la progression des mécanismes de défense : après chacun, Microsoft et les défenseurs durcissaient le système (Windows XP SP2 en 2004 a été une réponse directe à Sasser, Blaster).

05 — WannaCry et NotPetyaLe tournant de 2017

WannaCry (12 mai 2017)

Ver-ransomware qui a marqué un tournant dans la cybersécurité mondiale. Chronologie :

• Août 2016 : le groupe « Shadow Brokers » commence à publier des outils volés à la NSA.
• 14 avril 2017 : Shadow Brokers publient EternalBlue, exploit zero-day SMB de la NSA.
• 14 mars 2017 : Microsoft avait publié le patch MS17-010 deux mois avant (suite à notification NSA).
• 12 mai 2017 : WannaCry est lâché, exploitant EternalBlue sur les machines non patchées.
• En 24 heures : 230 000+ machines dans 150 pays infectées.
• Même jour : Marcus Hutchins (chercheur britannique) découvre un « kill switch » (domaine codé en dur) et l'enregistre, ralentissant massivement la propagation.

Impact WannaCry

• NHS britannique paralysé : 70 000 machines et équipements médicaux touchés, consultations annulées, opérations reportées.
• Renault et Nissan : arrêt de plusieurs usines.
• Deutsche Bahn : panneaux d'affichage bloqués.
• Telefónica, FedEx, Banco Santander : opérations perturbées.
• Dégâts estimés : 4-8 milliards USD.
• Rançons effectivement payées : environ 140 000 USD — plus bas que attendu, signe de la maturité relative des réponses.

Attribution WannaCry

Attribué officiellement à la Corée du Nord (groupe Lazarus) par les gouvernements américain, britannique et d'autres en décembre 2017. Objectif : financement du régime via cryptomonnaies. WannaCry était techniquement imparfait (kill switch, problèmes de déchiffrement même après paiement).

NotPetya (27 juin 2017)

Un mois après WannaCry. Officiellement ransomware mais en réalité destructeur déguisé : ne permettait pas de récupérer les données même après paiement de rançon.

Chronologie NotPetya

• Vecteur initial : supply chain attack sur M.E.Doc, logiciel de comptabilité ukrainien. Mise à jour compromise distribue NotPetya.
• 27 juin 2017 : explosion de la propagation.
• Techniques de propagation : EternalBlue (comme WannaCry) + EternalRomance + extraction de credentials Windows (Mimikatz intégré) pour propagation latérale.
• Une fois dans un réseau, propagation latérale très rapide via credentials légitimes même sur machines patchées.

Impact NotPetya

• Cible initiale : Ukraine — gouvernement, banques, entreprises.
• Propagation mondiale : entreprises mondiales avec filiales ou clients ukrainiens.
• Maersk : 45 000 PC détruits, ports mondiaux paralysés, 300 M USD de pertes.
• Merck : 870 M USD de pertes.
• FedEx/TNT Express : 400 M USD.
• Saint-Gobain : 384 M USD.
• Mondelez, Reckitt Benckiser, Nuance : dizaines à centaines de millions chacun.
• Dégâts totaux estimés : 10 milliards USD — l'incident cyber le plus coûteux de l'histoire connue.

Attribution NotPetya

Attribué officiellement à la Russie (GRU, unité 74455/Sandworm) par les USA, UK, Australie, Canada et UE en février 2018. Acte considéré comme un acte de cyberguerre contre l'Ukraine dans le cadre du conflit plus large. 6 officiers russes inculpés par le DOJ américain en 2020.

Leçons de 2017

• Patching critique : MS17-010 existait depuis 2 mois. Les organisations à jour étaient protégées.
• Stocks d'exploits étatiques = risque global : les outils NSA ont fini en liberté, causant des dégâts mondiaux massifs.
• Segmentation indispensable : les organisations avec un réseau plat ont été dévastées, celles segmentées limitaient la propagation.
• Sauvegardes 3-2-1 : seules les victimes avec sauvegardes hors-ligne ont pu se relever de NotPetya (les données étaient réellement détruites).
• Supply chain comme vecteur : M.E.Doc a démontré la vulnérabilité des mises à jour légitimes.
• Air gap insuffisant : les réseaux d'OT/SCADA connectés parfois à l'IT ont été touchés.

06 — ProtectionSe défendre contre les vers

07 — ActualitéLes vers en 2026

Déclin relatif des vers autonomes classiques

Les vraies campagnes de vers autonomes massifs sont devenues plus rares depuis WannaCry/NotPetya en 2017. Raisons :

• Patching plus rapide : les grandes organisations ont tiré les leçons.
• Pare-feu et segmentation : quasi-généralisés en entreprise.
• Protections OS : ASLR, DEP, CFG, Windows Defender, sandbox.
• SMBv1 désactivé par défaut : le vecteur principal a disparu.
• Internet plus « fermé » : NAT/IPv6, moins de services exposés.

Vers toujours présents

• Mirai et variantes : toujours actifs sur objets IoT non sécurisés.
• Vers cryptomining : WannaMine, variants Mirai orientés crypto.
• Conficker : encore détecté sur machines industrielles anciennes.
• Vers SSH/Telnet : scan continu Internet, brute force de serveurs exposés.

Évolution vers la propagation latérale interne

Les cybercriminels modernes combinent :

• Intrusion initiale ciblée : phishing, compromission VPN, supply chain.
• Propagation latérale interne : fois dans le réseau, techniques type ver (SMB, WMI, PowerShell Remoting, PsExec).
• Déploiement final : ransomware sur l'ensemble du réseau.

LockBit, Conti, BlackCat, Play utilisent des composants de propagation similaires aux vers classiques, mais avec cible précise plutôt qu'expansion aléatoire massive.

Exploitation massive de CVE — pseudo-ver

2023-2024 ont vu plusieurs CVE critiques sur appliances réseau (Fortinet, Ivanti, Citrix, Cisco) exploitées massivement et automatiquement par des attaquants. Dynamique similaire aux vers classiques : scan Internet → exploitation automatique → accès persistant. Différence technique : ce ne sont pas des vers autonomes mais des campagnes semi-automatisées par des attaquants humains. Impact opérationnel comparable.

Risques futurs

• Fuite d'exploits étatiques : Shadow Brokers a montré que c'est possible. D'autres stocks existent.
• IA et automatisation : exploitation plus rapide, détection et adaptation automatisées.
• IoT et environnements industriels : surface d'attaque croissante.
• Supply chain à grande échelle : SolarWinds, 3CX ont démontré le potentiel — XZ Utils backdoor 2024 découverte juste à temps.

La menace ver classique a diminué mais les mécanismes de propagation rapide persistent sous d'autres formes. Le patching, la segmentation, les sauvegardes immutables et la détection restent les fondamentaux.

08 — FAQQuestions fréquentes

Pourquoi les vers étaient-ils plus courants dans les années 2000 ?

Plusieurs facteurs ont rendu cette période propice : systèmes d'exploitation moins sécurisés (Windows XP sans SP2, pare-feu désactivé par défaut jusqu'en 2004), connexions Internet plus ouvertes (moins de NAT, IP publique pour chaque machine), patching lent ou absent sur les serveurs, services réseau très exposés par défaut, absence de segmentation interne. Depuis 2005-2010, les efforts de Microsoft (Trustworthy Computing Initiative après Sasser/Blaster), généralisation des pare-feu, NAT IPv4 et patching automatique ont drastiquement réduit la surface d'attaque. WannaCry et NotPetya en 2017 ont été des exceptions marquantes, facilitées par la fuite d'exploits NSA.

Un ver peut-il infecter un Mac ou un Linux ?

Oui, rien ne l'empêche techniquement. Le Morris Worm était un ver UNIX. Plusieurs vers Linux ont existé (Slapper 2002 ciblant Apache, multiples variantes Mirai sur routeurs/IoT Linux). Sur macOS, les vers sont plus rares mais pas impossibles — la part de marché moindre et les protections Apple (Gatekeeper, XProtect, SIP, sandboxing) les ont limités. La plupart des vers historiques célèbres ciblent Windows car c'est la plateforme avec le plus grand parc. Un ver spécifiquement conçu pour Linux server ou IoT peut cependant faire des dégâts massifs — Mirai en 2016 l'a démontré.

Les antivirus détectent-ils les vers ?

Les vers connus — oui, efficacement. Les antivirus modernes ont les signatures des vers historiques et leurs variantes. Les EDR détectent aussi les patterns comportementaux de propagation (scans réseau, tentatives SMB massives, connexions anormales). Mais contre un ver nouveau utilisant un exploit inédit, la protection est limitée : par définition, aucune signature n'existe encore. D'où l'importance du patching préventif (éliminer les vulnérabilités avant qu'elles ne soient exploitées) et de la segmentation (limiter les dégâts si un ver passe). L'antivirus seul n'est jamais suffisant contre un ver massif — la défense en profondeur est indispensable.

Que faire si mon entreprise est touchée par un ver ?

Actions immédiates (première heure) : isoler le réseau par segments (couper les routages entre zones), isoler les machines confirmées infectées (physiquement ou via EDR), alerter le RSSI/CISO et la direction, activer le plan de réponse à incident, identifier le vecteur de propagation pour le bloquer. Heures suivantes : patcher d'urgence la CVE exploitée (s'il y en a une), changer les credentials compromis, analyser l'étendue via forensic, commencer la remédiation machine par machine, notifier les autorités (CERT-FR/ANSSI, CNIL si données personnelles). Semaines suivantes : restauration depuis sauvegardes saines, post-mortem approfondi, durcissement basé sur les leçons apprises, communication clients/partenaires. Toujours documenter pour les assurances cyber et l'éventuelle action judiciaire. Ne pas céder à une éventuelle demande de rançon (surtout inutile sur les destructeurs type NotPetya).

Les vers sont-ils interdits par la loi ?

En France : oui, pénalement réprimés. Articles 323-1 à 323-7 du Code pénal (accès et maintien frauduleux dans un système, entrave, atteinte aux données). Peines lourdes : jusqu'à 7 ans d'emprisonnement et 300 000 € d'amende, circonstances aggravantes si groupe organisé ou infrastructure vitale. Morris (USA, 1990) a été le premier condamné sous le Computer Fraud and Abuse Act. NotPetya a conduit à l'inculpation de 6 officiers russes du GRU par le DOJ américain. ILOVEYOU (2000) a paradoxalement conduit à l'adoption de lois cybercriminalité aux Philippines car il n'y avait pas de loi applicable à l'époque. La création et diffusion de vers sont illégales dans tous les pays développés.

Un ver peut-il détruire mon matériel physiquement ?

Historiquement rare mais possible. Stuxnet (2010) en est l'exemple emblématique : il endommageait physiquement les centrifugeuses iraniennes en les faisant tourner à des régimes anormaux. Plus généralement, un malware peut causer des dégâts matériels en : faisant tourner le CPU/GPU à haute intensité pendant longtemps (usure, pas destruction immédiate), flashant du firmware corrompu (bricking d'appareils IoT, cas documenté avec BrickerBot), manipulant des systèmes industriels (centrifugeuses, centrales, chaînes de production). Pour un particulier, un ver classique causera essentiellement perte de données et indisponibilité, pas destruction matérielle directe. Pour infrastructures critiques, le risque est réel.