La réputation de solidité de Linux le rend souvent perçu comme moins vulnérable aux cybermenaces qui touchent régulièrement les systèmes Windows. Cette sécurité apparente s'explique en partie par le faible nombre d'utilisateurs, mais les cybercriminels semblent désormais privilégier la qualité à la quantité.
Des experts en cybersécurité chez Kaspersky et BlackBerry, ainsi que des agences comme le FBI et la NSA, alertent sur l'intérêt croissant des auteurs de malwares pour Linux.
Ce système d'exploitation est désormais vu comme une porte d'entrée vers des données sensibles : secrets commerciaux, propriété intellectuelle et informations personnelles. Les serveurs Linux servent aussi de tremplin pour infecter des réseaux plus vastes incluant Windows, macOS et Android.
Même si Linux n'équipe pas votre PC personnel, vos données y transitent via les clouds, VPN, messageries, employeurs, assurances, services publics ou universités. Sans oublier les appareils IoT que vous possédez ou posséderez.
Plusieurs malwares ont été détectés ces 12 derniers mois. Certains sont des ports Linux de menaces Windows connues, d'autres ont dormi sur des serveurs près d'une décennie, soulignant l'insuffisance des mesures de sécurité passées.
De nombreux administrateurs estiment leur organisation trop petite pour être ciblée. Pourtant, via phishing ou autres vecteurs, votre système peut servir de pivot vers des proies plus juteuses. Il est urgent d'évaluer vos défenses.
Voici un bilan complet des menaces identifiées cette année.
En novembre, Kaspersky a révélé une version Linux de ce ransomware. Les fichiers sont chiffrés en AES-256 bits, avec instructions pour contacter les attaquants.
La variante Windows a frappé Konica Minolta, le ministère des Transports du Texas et la justice brésilienne en 2020. RansomEXX est personnalisé par victime, intégrant son nom dans les fichiers et l'e-mail de rançon.
Ce ver cible serveurs x86 et IoT Linux. Nommé pour son usage de GitHub/Pastebin et ses 12 vecteurs d'attaque, il désactive AppArmor, SELinux, pare-feu, installe un mineur crypto.
Connu sur Windows depuis 2019, sa version Linux (septembre) contourne l'Out-Of-Memory Killer, tue les processus sécurité. Elle scanne via SSH, exploite Steam, clique pubs sur sites pornos et infecte Android via ADB.
Alerté par FBI/NSA en août, ce rootkit échappe à la détection, exécute commandes root, transfère fichiers. Attribué à Fancy Bear (Russie). Mise à jour noyau ≥3.7 et blocage modules non approuvés recommandés.
Bot minier/DDoS vu sur Windows en juin, Linux en août. Supporte attaques HTTP, TCP, UDP, ICMP.
Nouvelle backdoor Turla (mai, Kaspersky). Intercepte trafic, exécute commandes sans root. Détectée sur des dizaines de serveurs US/Europe en juillet.
Backdoor visant Docker mal configurés pour miner crypto. Utilise blockchain Dogecoin pour C2 dynamique. Sécurisez votre API Docker.
De banque à ransomware, sa variante Linux (Anchor_DNS, juillet) est une backdoor via ZIP, cron et DNS. En relation : Comment repérer un e-mail de phishing
Trojan (juin) via JAR ZIP compromis. Chiffre fichiers, demande rançon. Vise PME et éducation, multiplateforme.
Rootkit détournant Netfilter pour masquer vols de données (février, AWS). Fonctionne derrière tout pare-feu.
Mineur fileless (février, Trend Micro). Tue antivirus via cron, propage SSH, accède root.
Botnet P2P (janvier+), 20 variantes. Fileless en RAM, SSH crypté, backdoor persistante. Protégez par mots forts, clés SSH, ports/changements.
Outil espion (Amnesty, nov. 2019). Écoute, accède données, enregistre AV/video. Vendu à gouvernements.
Moins exposé que Windows, Linux attire par ses données critiques. Si FBI/NSA s'inquiètent, PME et indépendants doivent agir pour éviter d'être des victimes collatérales.
Nos conseils experts contre ces malwares :
