Le malware fantôme qui fait exploser les antivirus et met vos données à genoux
Imaginez un intrus qui pénètre chez vous sans forcer la serrure, se sert de vos propres outils pour cambrioler votre coffre, puis s’évapore avant que vous ne remarquiez quoi que ce soit. C’est exactement le scénario du fileless, cette variante de malware qui opère sans laisser la moindre empreinte sur le disque et qui, depuis six mois, multiplie les raids contre les entreprises françaises.
Des attaques qui naissent dans la mémoire vive
Contrairement aux chevaux de Troie classiques, le fileless n’installe aucun fichier .exe ni ne droppe de payload sur le système. Il s’injecte directement dans la RAM via des scripts légitimes — PowerShell, WMI, macros Office — déjà présents sur la machine. Résultat : les moteurs de signature des antivirus tournent à vide, faute de « corps » à identifier. Le temps moyen de détection? 260 jours, selon l’éditeur CrowdStrike. Pendant ce laps, les attaquants pillent les coffres-forts Active Directory, siphonnent les bases clients et revendent les accès sur les forums fermés.
Le mode opératoire est d’une simplicité déconcertante. Un salarié clique sur un lien piégé, une macro invisible déclenche une ligne PowerShell de 128 caractères, et voilà la porte ouverte sur l’ensemble du parc informatique. « Nous avons vu des ransomwares déployés en moins de trois minutes après l’infestation initiale », confie à Tech Insights une source au CERT Santé. « Le fileless sert de première étape pour installer Cobalt Strike ou des implants persistants. »
Quand le comportement devient la seule preuve
Face à cette évaporation des traces, les défenseurs changent de lunettes. Exit la chasse aux hash, place à l’analyse comportementale en temps réel. Les EDR (Endpoint Detection and Response) scrutent chaque appel système, chaque connexion sortante, chaque modification de registre. Objectif : repérer la séquence anormale avant qu’elle ne bascule en action malveillante. Le coût? Entre 18 et 45 € par poste par an, un budget que les PME jugent encore trop élevé.
Pourtant, la facture d’un incident fileless avoisine les 1,8 million d’euros de dommages moyens, d’après l’étude IBM Cost of a Data Breach 2024. « On nous appelle quand les sauvegardes sont déjà chiffrées et que la direction découvre que l’assureur refuse l’indemnisation faute de mesures “appropriées” », raille un incident responder parisien. Le cliché du hacker masqué s’efface devant celui d’un script de 200 octets dormant dans le ventilateur de la mémoire.
La parade la plus urgente reste la segmentation réseau et la désactivation de PowerShell sur les postes non critiques. Mais, dans les faits, la majorité des DSI hésite à brider les outils de productivité. Le fileless n’a donc pas fini de vider les coffres. Et les antivirus de tomber en dépression.