Pourquoi les antivirus classiques sont-ils inefficaces contre les attaques “fileless” ?

Les attaques fileless représentent une menace croissante pour les entreprises et les particuliers. Contrairement aux logiciels malveillants traditionnels, elles ne laissent presque aucune trace sur le disque dur et exploitent des processus légitimes du système d’exploitation. Cette particularité rend les antivirus classiques souvent inefficaces.

Fileless : une attaque invisible pour l’antivirus

Les attaques fileless se distinguent par leur capacité à fonctionner entièrement en mémoire sans laisser de traces sur le disque dur. Elles utilisent des scripts ou des commandes système comme PowerShell, Windows Management Instrumentation (WMI) ou les macros Office pour exécuter du code malveillant.

Cette approche trompe les antivirus classiques. Ces derniers analysent principalement :

• Les fichiers présents sur le disque dur,
• Les signatures connues de malwares,
• Les comportements suspects liés aux fichiers exécutables.

Or, une attaque fileless ne correspond à aucun de ces critères. Elle existe uniquement en mémoire, ce qui empêche les scanners basés sur les fichiers de la détecter avant qu’elle ne s’exécute. Pour les attaquants, c’est un moyen idéal de rester invisible, tandis que l’utilisateur et l’administrateur ne remarquent souvent rien jusqu’à ce que les dégâts apparaissent.

Exploitation des outils légitimes du système

Une des forces des attaques fileless réside dans l’usage de processus légitimes du système pour exécuter du code malveillant. Parmi les vecteurs les plus utilisés :

• PowerShell : permet de télécharger et d’exécuter des scripts directement en mémoire, souvent sans écrire de fichiers sur le disque.
• WMI (Windows Management Instrumentation) : utilisé pour exécuter des commandes et scripts à distance, facilitant la propagation d’une attaque sur plusieurs postes.
• Macros Office : intégrées dans Word ou Excel, elles peuvent exécuter du code dès l’ouverture d’un document.

En utilisant ces fonctionnalités natives, les attaquants font passer leur code pour une opération légitime, rendant les actions indétectables pour un antivirus classique. Même un comportement suspect est difficile à repérer, car les processus utilisés sont couramment exécutés par le système lui-même.

La mémoire comme terrain d’attaque

La mémoire RAM devient le terrain privilégié pour les attaques fileless. Exécuter du code en mémoire présente plusieurs avantages pour les attaquants :

• Échapper aux scanners de fichiers sur le disque,
• Disparaître après un redémarrage du système, laissant peu de traces,
• Exploiter des processus légitimes déjà en fonctionnement, minimisant les anomalies visibles.

Selon des données de Cybereason, les attaques fileless représentent près de 70 % des intrusions détectées dans les entreprises en 2024, confirmant la tendance à privilégier les actions invisibles. La mémoire offre un environnement dynamique où le code malveillant peut exécuter ses commandes avant même que les solutions classiques ne réagissent.

Pourquoi les antivirus classiques échouent ?

Les antivirus traditionnels présentent plusieurs limites face aux attaques fileless :

• Signatures limitées : ils ne peuvent identifier que les malwares connus, souvent sous forme de fichiers.
• Analyse heuristique insuffisante : certaines solutions tentent de détecter des comportements inhabituels, mais les scripts légitimes utilisés à des fins malveillantes passent souvent inaperçus.
• Réaction tardive : un antivirus basé sur la signature ne peut réagir qu’après que l’attaque ait été cataloguée ailleurs.

Cette combinaison de limites fait que les attaques fileless peuvent rester actives pendant des jours ou des semaines avant d’être détectées, exposant les systèmes à un vol de données, à un espionnage industriel ou à des ransomwares.

---