4 tendances émergent de ce rapport sur la cybercriminalité.

1. L’évolution des kits d’exploitation qui ont toujours une longueur d’avance sur les systèmes de sécurité.
2. La généralisation du chiffrement SSL/TLS qui se poursuit et permet aux cybercriminels de dissimuler plus facilement leurs programmes malveillants.
3. Le développement de toujours plus de malwares Android.
4. Une nette augmentation du nombre des attaques de malwares.

« Nombre des tentatives de compromissions ont réussi en 2015 car les cybercriminels ont détecté et exploité une brèche dans les programmes de sécurité de leurs victimes. Ces dernières étaient équipées de solutions ponctuelles obsolètes ou déconnectées, incapables d’identifier et donc de bloquer les anomalies dans leur écosystème », déclare Curtis Hutcheson, directeur général, Dell Security. « Chaque attaque fructueuse donne l’occasion aux professionnels de sécurité d’en apprendre plus sur les tactiques opératoires et la situation des victimes, et de revoir leurs propres stratégies pour combler les failles dans leurs systèmes de défense. Chez Dell Security, nous pensons que le meilleur moyen d’aider nos clients à se protéger est d’inspecter chaque paquet sur leur réseau et de valider chaque demande d’autorisation d’accès. »

Les kits d’exploitation se développent à une cadence alarmante, les attaques sont de plus en plus furtives et diversifiées

En 2015, Dell SonicWALL a noté une progression de l’utilisation des kits d’exploitation. Les kits les plus actifs de l’année étaient Angler, Nuclear, Magnitude et Rig, mais surtout l’explosion du nombre de kits est un flux permanent d’idées qui encouragent les cybercriminels à cibler les dernières vulnérabilités de type zéro-day, y compris celles apparaissant dans Adobe Flash, Adobe Reader et Microsoft Silverlight.

Le rapport Dell Security Annual Threat Report montre que les cybercriminels ont employé un certain nombre de nouvelles tactiques pour mieux dissimuler les kits et les rendre indétectables par les systèmes de sécurité, y compris par l’utilisation de mécanismes anti-investigation légale ; des modifications des modèles d’URL ; la stéganographie qui cache le fichier, le message, l’image ou la vidéo dans un autre fichier, message, une autre image ou vidéo ; et des modifications des techniques de piégeage sur les pages de renvoi.

« L’analyse du comportement des kits d’exploitation nous a occupés toute l’année », explique Patrick Sweeney, vice-président en charge de la gestion produit et du marketing, chez Dell Security. « Par exemple, Spartan, qui a été découvert par l’équipe de détection des menaces Dell SonicWALL, réussissait à tromper les systèmes de sécurité en chiffrant son code initial et en générant son code d’exploitation en mémoire plutôt qu’en écrivant sur le disque. Les kits d’exploitation ne sont efficaces que lorsque les entreprises n’actualisent pas leurs logiciels et systèmes. Le meilleur moyen de les mettre en échec est d’observer les meilleures pratiques de sécurité et de déployer systématiquement les mises à jour et les correctifs ; de toujours utiliser des solutions de sécurité à jour et locales, y compris des pare-feu de nouvelle génération et des services de prévention des intrusions (IPS, Intrusion Prevention Services) ; et de ne jamais relâcher sa vigilance lors de la visite de sites connus et inconnus. »

Le chiffrement du trafic SSL/TLS qui continue de se généraliser a touché 900 millions d’utilisateurs via des attaques non détectées en 2015
Le développement du chiffrement du trafic Internet SSL/TLS est à la fois une tendance positive et une tentation pour les pirates qui y voient un nouveau vecteur d’attaque. Grâce au chiffrement SSL ou TLS, les pirates aguerris peuvent masquer leurs communications de commande et de contrôle et leur code malveillant pour abuser les systèmes de prévention des intrusions et les systèmes d’inspection des antivirus. Cette tactique a été employée dans une campagne de publicité trompeuse ou « malvertising » en août 2015 auprès des 900 millions d’utilisateurs de Yahoo qui étaient redirigés vers un site infecté par le kit d’exploitation Angler.

L’équipe Dell SonicWALL a noté une nette progression de l’usage du trafic HTTPS tout au long de l’année 2015 :
• au 4ème trimestre de l’année 2015, les connexions HTTPS (SSL/TLS) ont représenté 64,6% des connexions au web en moyenne, dépassant l’augmentation du trafic HTTP la majeure partie de l’année.
• En janvier 2015, les connexions HTTPS étaient 109% plus importantes qu’en janvier 2014.
• Chaque mois en 2015 l’augmentation moyenne du trafic était 53% supérieure au mois correspondant de 2014.

« La bonne nouvelle est qu’il est possible de profiter des avantages du chiffrement SSL/TLS sans ouvrir un tunnel aux agresseurs », déclare Sweeney. « En plus des meilleures pratiques de sécurité, comme d’effectuer les mises à jour des logiciels, il est recommandé de s’équiper d’un pare-feu de nouvelle génération extensible avec fonctions intégrées d’inspection SSL-DPI. »

La progression du nombre de malwares ciblant la majorité des smartphones commercialisés

En 2015, Dell SonicWALL a constaté l’émergence de techniques offensives et défensives ayant pour objectif d’augmenter l’intensité des attaques de l’écosystème Android, qui concerne une majorité de smartphones dans le monde.

Dell SonicWALL a relevé quelques tendances des attaques des appareils Android 6.0 en 2015.
• La popularité des ransomwares (ou rançongiciels) spécifiques à Android s’est accélérée tout au long de l’année.
• L’émergence d’un nouveau malware Android qui stocke ses contenus malveillants dans un fichier de la bibliothèque Unix plutôt que dans les fichiers classes.dex que les systèmes de sécurité analysent généralement.
• Le fait que le secteur financier demeure la principale cible des malwares Android, avec un certain nombre de menaces malveillantes ciblant les applications de services bancaires sur les appareils infectés.

« Même si la nouvelle version du système d’exploitation Android Marshmallow lancée en octobre 2015 comporte toute une série de nouvelles fonctions de sécurité, il faut s’attendre à ce que les cybercriminels continuent de trouver des moyens de contournement de ces défenses », déclare M. Sweeney. « Les utilisateurs d’Android devraient n’installer que des applications d’app stores de confiance comme Google Play, se montrer prudents vis-à-vis des permissions que demandent les applications et éviter de rooter leurs smartphones. »

Les attaques de malwares ont quasiment doublé au point d’atteindre le chiffre de 8,19 milliards

Le nombre des tentatives de propagation de malwares a continué sa forte progression en 2015, provoquant des dommages aussi bien pour les organismes publics, les entreprises du secteur privé jusqu’ aux particuliers.

Dell SonicWALL a noté une forte progression du nombre et du type des attaques de malware ciblant les systèmes surveillés par SonicWALL.

• L’équipe a reçu 64 millions d’échantillons de codes malveillants uniques, contre 37 millions recensés en 2014, soit une augmentation de 73%, qui reflète l’intensité de l’activité des cybercriminels.
• Les tentatives d’attaques en 2015 ont aussi doublé de 4,2 milliards à 8,19 milliards.
• La combinaison de Dyre Wolf et Parite a dominé le trafic réseau tout au long de l’année 2015, devant le malware TongJi, un programme en JavaScript connu depuis longtemps et amplement utilisé dans les campagnes de drive-by (le malware se télécharge automatiquement et en silence quand un utilisateur visite un site web infecté), Virut, un botnet actif depuis 2006, et Conficker, un ver bien connu qui cible les PC sous Microsoft Windows depuis 2008 et connaît une phase de résurgence.
• En octobre et novembre 2015, il a été constaté une concentration bien plus forte en Russie qu’ailleurs du kit d’exploitation Spartan.

« Les vecteurs d’attaque pour la distribution de malwares sont quasiment illimités, depuis les tactiques classiques d’envoi de spams par e-mail jusqu’aux technologies plus récentes, de type caméras connectées, voitures électriques et terminaux de l’Internet des objets », déclare M. Sweeney. « Dans un monde de plus en plus connecté, il est vital de faire preuve d’une vigilance à 360 degrés et de veiller à la sécurité des logiciels et systèmes que l’on possède, des accès des salariés et de quiconque entre en contact avec votre réseau et vos données et de bien former les collaborateurs aux pratiques de sécurité. »

Autres prévisions : recul des virus Flash zéro-day, augmentation des attaques d’Android Pay et piratage des véhicules équipés d’Android Auto

Plusieurs tendances et prévisions sont détaillées dans le rapport Dell Security Annual Threat Report :
• La bataille entre le chiffrement HTTPS et le scan des menaces va continuer de faire rage, entretenue par la crainte des entreprises de souffrir de pertes de performances
• Le nombre des virus ciblant les vulnérabilités zéro-day Adobe Flash va continuer de chuter car les principaux navigateurs ne prennent plus en charge Adobe Flash.
• Des menaces vont cibler Android Pay en tirant profit des vulnérabilités de la technologie Near Field Communication (NFC). Ces attaques pourront se servir d’applications malveillantes pour Android et de terminaux point de vente, qui sont faciles à acquérir et à manipuler pour les pirates.
• Il faut s’attendre à des attaques des véhicules équipés d’Android Auto, éventuellement avec des ransomwares où les victimes devront payer une rançon pour quitter le véhicule voire des scénarios plus sophistiqués encore.

A propos du rapport annuel de Dell sur les menaces pour la sécurité informatique
Les données ayant servi à la création de ce rapport ont été collectées par l’équipe du réseau GRID (Global Response Intelligence Defense) de Dell, à partir de nombreux terminaux et ressources :

• plus d’1 million de capteurs de sécurité dans plus de 200 pays ;
• les informations relatives aux menaces que s’échangent des systèmes de sécurité, y compris les pare-feu, solutions de sécurité des e-mails, systèmes de sécurité des terminaux, appâts (honeypots), système de filtrage de contenu et technologie de sandbox des centres de recherche sur les menaces de Dell ;
• le framework propriétaire de Dell SonicWALL d’automatisation de l’analyse des malwares ;
• les données relatives aux malwares et à la réputation IP de dizaines de milliers de pare-feu et de mécanismes de sécurité des e-mails partout dans le monde ;
• les renseignements sur les menaces mis en commun par plus de 50 associations et groupes de chercheurs ;
• les remontées d’information de chercheurs freelance ; et
• les alertes de spams de millions d’utilisateurs protégés par les mécanismes de sécurité des e-mails Dell SonicWALL.

Kelley Parkes, directeur technique des opérations, First Source
« En tant que distributeur de spécialités alimentaires et de confections des marques de chocolats Godiva, Ghirardelli et Lindt, notre priorité est d’avoir une longueur d’avance sur l’évolution des risques pour la sécurité afin de préserver nos réseaux. Les programmes de sécurité des organisations doivent s’adapter à l’évolution des attaques maintenant qu’elles sont combinées et multidimensionnelles. Les solutions de sécurité Dell que nous avons déployées nous assurent un périmètre de protection suffisamment large pour nos 8 sites d’est en ouest. »