Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Symantec : Le Top 10 des Tendances 2007

décembre 2007 par Symantec

1. Violations de données – Des violations de données de premier plan ont souligné l’importance des technologies et des stratégies de prévention en matière de pertes des données.

Des victimes de premier plan se retrouvent dans les domaines les plus divers et notamment dans le secteur financier, le recrutement et la vente au détail. Art.com, par exemple, a été récemment la victime d’un acte de piratage qui a entraîné la divulgation des données des cartes de crédit de ses clients. La nécessité de disposer d’une stratégie en matière de prévention des pertes de données est mise en évidence.

La plupart des violations sont la conséquence d’une perte physique d’équipement. Au cours du premier semestre 2007, le vol ou la perte d’un ordinateur ou d’un moyen de sauvegarde des données ont représenté 46 % de toutes les infractions sur les données susceptibles d’engendrer un vol d’identité.

30 % des infractions sur les données pouvant conduire au vol d’identité ont été enregistrées dans le secteur de l’éducation au cours de la période de janvier à juin 2007, soit un taux plus élevé que dans n’importe quel autre secteur. Le secteur des administrations, quant à lui, représente 26 % et le secteur de la santé, 15 % des infractions sur les données.

2. Lancement de Vista – Dès l’introduction de Microsoft Vista, des pirates informatiques y ont trouvé des failles. Microsoft a déjà diffusé 16 patches de sécurité pour son nouveau système d’exploitation.

Vista n’assure aucune protection contre un certain nombre de menaces émergentes. La première année de Vista a prouvé qu’il ne constitue pas la panacée de sécurité que l’on pouvait espérer.

Depuis le 29 octobre, Microsoft a sorti 16 patches de sécurité et trois d’entre eux étaient propres à Windows Vista. Microsoft a déclaré qu’aucune des nouvelles fonctionnalités introduites par Microsoft ne constitue des barrières sécuritaires car ils ne sont pas imperméables à l’exploitation malveillante ou à l’utilisation de codes malveillants. Symantec a relevé une faiblesse au niveau de l’UAC (user access control). Symantec a noté un problème au niveau du processus de signature des pilotes (driver signing process) pouvant permettre à un code malveillant, un rootkit par exemple, de se charger dans le noyau sans signature préalable, empêchant ainsi Microsoft d’en identifier l’auteur. Symantec a également relevé des faiblesses au niveau des pilotes tiers. PatchGuard, présentée par Microsoft comme l’une des pierres angulaires dans l’amélioration de la sécurité de Vista, a été « désossée » par des chercheurs en sécurité. Ceci prouve que PatchGuard ne garantira à Microsoft qu’une protection à court terme contre les codes malveillants. Symantec et des chercheurs tiers ont détecté des vulnérabilités dans l’implémentation du framework Gadget.

3. Spam – En 2007, le spam a atteint de nouveaux records. Le spam image a décliné tandis qu’apparaissait une nouvelle nuisance : le spam PDF. Egalement, le spam ‘cartes de vœux’ a été responsable de la propagation du logiciel malveillant Storm Worm (également connu sous le nom Peacomm). Le spam a décliné de façon régulière jusqu’à la moitié de l’année ; pour rebondir au mois de juin et entamer ensuite une progression régulière jusqu’à la fin de l’année, pour atteindre 70,5 % en octobre.
En mars, le spam image représentait 40% de tout le spam et a ensuite entamé un déclin spectaculaire qui s’est poursuivi tout au long de l’année, pour ne représenter qu’environ 7 % de tout le spam aux mois de septembre et octobre. Le spam PDF a, quant à lui, été un feu de paille, avec une apparition et une disparition fulgurante en août. A son pic, Symantec a estimé que le spam PDF représentait près de 20 % de tout le spam. Mais à la fin du mois d’août, le spam PDF représentait moins d’1% de tout le spam.
En juillet, Symantec a rapporté que le spam E-card était devenu particulièrement virulent ; et la tendance a continué dans les mois qui ont suivi. Cette activité de spam a évolué jusqu’à intégrer divers hameçons destinés à inciter les utilisateurs à utiliser des URL infectés par des programmes malveillants. Les machines infectées font alors partie du réseau de machines robots (botnet) ‘Storm Worm’, responsable de la propagation de ces messages spam et du logiciel malveillant.

4. Kits d’attaques professionnels – MPack a fait grand bruit cette année et des « boites à outils » de phishing (hameçonnage) ont également connu un grand succès. Pas moins de 42 % des sites web de phishing recensés pendant le premier semestre 2007 étaient associés à 3 de ces kits de phishing.
Les pirates informatiques d’aujourd’hui sont de plus en plus organisés et ont commencé à employer des pratiques commerciales et des méthodes comparables au développement traditionnel de logiciels.
Ces deux dernières années, Symantec a noté une augmentation notable d’une cybercriminalité qui se professionnalise et devient plus ‘commerciale’ à la faveur du développement, de la diffusion et de l’implémentation de nombreuses activités et services malveillants.
A plusieurs égards, les outils utilisés aujourd’hui par les hackers sont le reflet d’une économie parallèle bourgeonnante qui réclame des outils professionnels en vue de satisfaire les exigences de ce qui est devenue une industrie criminelle brassant des milliards de dollars.
MPack est l’exemple actuel de « boite à outils » sophistiquée, conçue et développée de manière très professionnelle. Vendue en ligne, MPack est utilisée pour installer des codes malveillants sur des milliers d’ordinateurs. Le kit comprend également une console de gestion à partir de laquelle les pirates informatiques peuvent contrôler et gérer leur “business”.
Un autre indice de la commercialisation d’activités malveillantes est l’émergence de « boites à outils » de phishing, à savoir un éventail de scripts permettant aux hackers de créer automatiquement des sites web de phishing qui imitent les sites légitimes de différentes marques, dont les images et logos originaux.

5. Phishing –Le phishing est resté le grand gagnant de l’année 2007, avec une augmentation de 18% des sites uniques de phishing au cours des six premiers mois de l’année. Les kits de phishing ont contribué au problème. Trois kits de phishing étaient à l’origine de 42 % des sites de phishing identifiés au cours des six premiers mois de l’année.
Rock Phish est à la fois un kit de phishing et l’entité qui édite l’outil. Alors que les auteurs de ce kit demeurent anonymes, Rock Phish est devenu le kit de phishing disponible en ligne le plus populaire. C’est en 2004 qu’il a commencé à faire surface dans la communauté des hackers. Rock Phish est connu pour être le pionnier dans l’utilisation du spam image. Rock Phish n’est pas le fruit d’un individu, mais plutôt d’un groupe sophistiqué de personnes liées au crime organisé.
Le kit Rock Phish permet à des utilisateurs non techniciens de créer et d’implémenter facilement des attaques de phishing. En septembre, Symantec a relevé plus de 10.000 (10.360 précisément) URL de phishing associés à Rock Phish.
Au mois de septembre, Symantec a noté 18.424 URL de phishing uniques. Le secteur bancaire reste le secteur privilégié des phishers, avec 52 % de ces URLs usurpant des institutions financières.
Au cours de l’élection présidentielle de 2004 aux Etats-Unis, le phishing ne représentait qu’un risque marginal car, à l’époque, il n’en était qu’à ses balbutiements. Lorsque nous réévaluons le risque potentiel du phishing à l’occasion des élections fédérales de 2008, nous arrivons malheureusement à une conclusion très différente.
Les utilisateurs Internet classiques n’étant pas toujours bien familiarisés avec les noms de domaine associés aux candidats à l’élection, le risque existe que les phishers exploitent un site construit de façon comparable pour réunir les données d’innocentes victimes.

Les phishers peuvent aisément imiter des e-mails légitimes destinés à la collecte de fonds, afin d’obtenir des données personnelles ou de télécharger des logiciels criminels. Les phishers n’hésitent pas à utiliser les événements de l’actualité pour encore mieux tromper leurs proies ; l’identification d’une typographie spécifique ne suffit désormais plus pour juger de la véracité ou non d’un message. Pour preuve, les feux de forêt qui ont récemment ravagé le Sud de la Californie ont été exploités pour émouvoir les cœurs et ouvrir les portefeuilles. Le message, émanant soi-disant du ‘IRS’ (Internal Revenue Service), comportait des statistiques et lançait un appel déchirant pour inciter les gens à réagir.

6. Exploitation de marques de confiance – En exploitant un environnement web de confiance, les pirates informatiques préfèrent maintenant laisser leurs victimes venir à eux.
Les hackers ne recherchent plus activement leurs proies : ils attendent au contraire que leurs cibles viennent à eux. Pour ce faire, ils usurpent des sites et/ou des applications de confiance de façon à ce que, lorsqu’un visiteur utilise le site ou l’application, le pirate puisse compromettre l’ordinateur de la victime. Les sites de réseaux sociaux se sont révélés du pain béni pour les pirates informatiques car ils donnent accès à un grand nombre de personnes qui, pour la plupart, pensent implicitement que ces sites et leur contenu sont sécurisés. Ces sites peuvent être facilement piratés grâce aux vulnérabilités présentes dans leurs applications Web.
Cet état de fait a des implications graves pour les utilisateurs finaux qui en arrivent à développer un sentiment de défiance vis-à-vis de sites réputés. La sagesse populaire qui préconisait auparavant de rester vigilant pour éviter les ‘mauvaises rencontres’ sur Internet ne suffit plus désormais.

Au début de l’année 2007, des hackers ont réussi à pirater le site Internet du ‘Miami Dolphins Stadium’, qui accueille le Super Bowl. Un code malveillant sur le site a en effet tenté d’infecter ses visiteurs.
En octobre, des pirates ont ciblé le distributeur de billets en ligne pour assister au match des Colorado Rockies, comptant pour les World Series, mettant ainsi le système K.-O.

7. Robots (Bots) – Subrepticement, les bots et réseaux de bots (botnets) ont continué à s’immiscer dans les ordinateurs non sécurisés et à perpétrer diverses activités malveillantes. Pour exemple, des bots ont purement et simplement rayé l’Estonie de la carte en ligne et le ver informatique ‘Storm Worm’ exploite lui aussi la technologie bot. Lorsque Peacomm (AKA Storm Worm) est entré en scène au mois de janvier, les spéculations quant à la taille et au champ d’application du réseau de bots ‘Storm Worm’ sont allées bon train.
S’il est admis que Trojan.Peacomm est un réseau de bot peer-to-peer sophistiqué difficile à désamorcer complètement, il ne peut toutefois pas être immunisé contre les fluctuations de propriétés. Un réseau bot tend à fluctuer de façon à ce que le nombre de membres au sein du réseau augmente et diminue au fil du temps. Storm Worm a eu beau exploiter les nombreuses avancées technologiques pour parvenir à ses fins, ces avancées ne protégent pas le réseau de bots des pertes d’ordinateurs zombis (bot) suite à la mise hors ligne de l’ordinateur infecté ou au nettoyage par antivirus une fois l’infection détectée.
Ceci explique le large éventail d’estimations prévalant à propos de la taille de ces réseaux de bots (botnet) en particulier.
Selon Symantec, l’utilisation d’une approche de type ‘snapshot’ pour mesurer la taille du réseau de bots (botnet) donne les résultats les plus fiables. Notre enquête suggère que le réseau est moins important que d’aucun ne le pensent, nous portant à croire, du moins actuellement, que la taille du réseau Peacomm est plus conforme aux estimations les plus conservatrices publiées à ce jour.
Le 27 avril 2007, diverses ressources Internet de la République d’Estonie ont subi une série d’attaques DDOS (Distributed Denial Of Service). 8. Vulnérabilités plug-in web – Les vulnérabilités et l’exploitation des extensions web (web plug-in) n’ont pas cessé de tourmenter les informaticiens en 2007. Les contrôles ActiveX, qui englobent la majorité des vulnérabilités plug-in, représentent diverses menaces de sécurité pouvant compromettre la disponibilité, la confidentialité et l’intégrité d’un ordinateur vulnérable.
Comme les vendeurs sont désormais plus réactifs dans la correction des vulnérabilités dans les navigateurs Internet, les hackers concentrent maintenant leurs efforts sur l’exploitation des vulnérabilités des plug-ins de navigateurs, ActiveX en particulier, pour injecter des charges malveillantes par le biais de sites Internet douteux ou légitimes. Les vulnérabilités des plug-ins des navigateurs Internet sont souvent exploitées pour installer des logiciels malveillants.
89 % des vulnérabilités de plug-ins de navigateurs ont touché des composants ActiveX pour Internet Explorer, soit une augmentation de plus de 58 % par rapport à la période précédente.
Au cours du premier semestre 2007, 237 vulnérabilités affectant des plug-ins de navigateurs ont été relevées, par rapport à 108 pour toute l’année 2006. L’augmentation du nombre de vulnérabilités dans les plug-ins de navigateurs est symptomatique d’une attention accrue portée aux vulnérabilités côté client, tant de la part des chercheurs en sécurité que des pirates informatiques.
Le kit de logiciel malveillant MPack exploite automatiquement diverses vulnérabilités ActiveX.
Récemment, RealPlayer a subi une attaque “zéro-jour” exploitant une vulnérabilité non ‘patchée’ qui a affecté les dernières versions de RealPlayer et de RealPlayer 11 BETA. Le problème a touché un objet ActiveX dans le composant RealPlayer ierpplug.dll. Les utilisateurs devraient s’assurer que les paramètres de sécurité des navigateurs refusent l’exécution de script de contrôles ActiveX non marqués comme sécurisés. Le navigateur devrait activer les contrôles ActiveX et refuser le téléchargement de contrôles ActiveX non signés. En guise de garde-fou, les utilisateurs ont tout intérêt à s’abstenir de suivre des liens qui mènent à des sites inconnus ou douteux et veiller à faire tourner les applications clients du type navigateurs Web avec le minimum de privilèges requis. En outre, le script actif doit être désactivé pour empêcher l’exécution du code script ainsi que du contenu actif dans le navigateur.

9. Vulnérabilités à vendre - Wabi Sabi Labi a lancé un système de vente aux enchères d‘informations relatives aux vulnérabilités. Cette vente au plus offrant n’a pas manqué de susciter la controverse et le débat quant à la façon de traiter l’information sur les vulnérabilités.
Selon Symantec, payer pour des vulnérabilités logicielles ou vendre aux enchères de telles informations met le vendeur et ses clients en danger potentiel. En effet, même si les intentions de départ sont louables, l’introduction d’intérêts financiers dans le cadre de l’échange de ce type d’informations sensibles ouvre grand la porte à des abus qui, à terme, peuvent gangrener le système.
Des sociétés renommées et animées des meilleures intentions payent des chercheurs pour gérer leurs données vulnérables. Des entreprises, comme Tipping Point, se sont d’ailleurs spécialisées dans la gestion des processus de révélation.
Quoi qu’il en soit, toute transaction financière effectuée dans le cadre de recherches de vulnérabilités place l’industrie sur un terrain miné. En effet, tous les chercheurs ne feront pas des choix avisés et les motivations financières risquent d’inciter un nombre accru de chercheurs à collaborer avec des sociétés qui ne feront pas toujours montre d’un sens aigu des responsabilités.
Si l’argent devient le moteur de la recherche de vulnérabilités, les vendeurs pourraient être mis dans une position qui ne leur offre guère plus d’autre choix que de payer le prix exigé par le chercheur – au risque, s’ils n’obtempèrent pas, de mettre le client en danger.

10. La sécurité des machines virtuelles – La virtualisation a fait la une des médias en 2007 avec l’introduction en Bourse d’acteurs majeurs. Cependant, l’industrie n’a pas étudié à fond la question de la sécurité en matière de technologie virtuelle. Les entreprises adoptent de plus en plus la technologie de virtualisation pour maximiser l’usage de leur matériel informatique, améliorer leur évolutivité, assurer la répartition des tâches et diminuer leur coût global. La question de la sécurité en matière de virtualisation n’a néanmoins pas été envisagée par beaucoup d’entreprises.
La rapidité et la simplicité de la fourniture et du déploiement des machines virtuelles peuvent susciter un faux sentiment de satisfaction au risque de ne pas envisager une sécurité adéquate pour ces machines et l’environnement dans lequel elles sont déployées. La majorité des responsables de centres de données (data center) réfléchissent beaucoup à l’architecture de la sécurité de leurs systèmes et du déploiement de ces derniers. Il conviendrait de faire autant attention à la configuration et au déploiement des machines virtuelles.
La technologie de virtualisation n’a pas été conçue comme une solution de sécurité dans la plupart des cas.
La façon dont certaines entreprises déploient cette nouvelle technologie présente des risques considérables et on commence seulement à comprendre les conséquences qu’elle peut avoir sur la sécurité.
En analysant la virtualisation d’un point de vue sécurité, Symantec a noté quelques limitations majeures illustrant les risques alors que les pirates concentrent leur énergie sur la technologie de virtualisation.
Echapper d’environnements virtualisés – Dans le pire des scénarios, il s’agit d’une menace compromettant le système d’exploitation du module invité pouvant profiter d’une faille pour sortir du module invité et compromettre le système d’exploitation du module hôte.
Utilisation de la technologie de virtualisation par un code malicieux – Il s’agit de l’une des méthodes Rootkit les plus avancées et des projets d’étude tels que SubVirt, BluePill et Vitriol en décrivent le processus.
Détection des environnements virtualisés – Les machines logicielles virtuelles sont relativement faciles à détecter. Un code malicieux peut faire appel à ces connaissances pour exploiter une faille connue dans le monde virtuel ou pour modifier son comportement dans un environnement virtuel comme mécanisme de défense. Déni de service – Les pirates peuvent s’introduire dans VVM (Virtual Machine Monitor) ou l’un de ses composants et entraîner un déni de service complet ou partiel. Si la virtualisation présente des risques de sécurité, Symantec voit également l’occasion d’étudier des modèles de sécurité entièrement nouveaux pour l’optimiser. Citons à titre d’exemple la collaboration avec Intel.
En avril 2006, Symantec a annoncé un partenariat avec Intel en vue de créer des solutions de sécurité pour la nouvelle technologie Intel vPro. Cette technologie permet aux responsables IT de gérer les menaces à la sécurité en dehors du principal système d’exploitation PC dans un environnement virtuel isolé.
La solution de sécurité virtuelle de Symantec sécurise la couche hardware en offrant de nouvelles couches de protection de système. Basée sur la technologie de virtualisation, elle constitue une solution de sécurité virtuelle sur le PC.
Un grand nombre d’attaques aujourd’hui dépendent des utilisateurs et nécessitent une action de la part des victimes. Ces attaques réussiront systématiquement si l’utilisateur travaille dans un environnement virtuel ou nativement sur la machine. Cela signifie que la protection « end-point » est tout aussi importante à l’intérieur de la machine virtuelle qu’à l’extérieur de celle-ci.
La plupart des machines virtuelles sont hébergées sur des machines Thin Client ou des PC. Ces points terminaux nécessitent également une protection (au moins au niveau de la couche réseau). C’est pour cela que Symantec possède une solution de sécurité intégrée tournant sur une machine Thin Client HP.

Tendances 2008 en matière de sécurité

Campagnes électorales – Un nombre croissant de candidats politiques se tournant vers l’Internet, il est essentiel de bien cerner les risques informatiques associés à une (inter)dépendance accrue à cette technologie dans le cadre de la procédure des élections. Ces risques comprennent, notamment, le détournement de levées de fonds en ligne, la propagation de la désinformation, la fraude, le phishing et l’intrusion dans la sphère privée.
Symantec a analysé 17 noms de domaine de candidats connus afin de repérer les spéculateurs sur les noms de domaine ainsi que les squatters de typo, à l’occasion des élections aux Etats-Unis en 2008.
Un nombre important de cyber- et typosquatteurs (noms de domaine avec variante orthographique) ont été enregistrés par des tiers totalement indépendants de la campagne du candidat en question. Parmi ces sites Internet, nombreux sont ceux qui ont été enregistrés dans le but de générer du trafic vers des sites Internet de publicité. Evolution des bots – Nous nous attendons à une diversification des bots ainsi qu’à l’évolution de leur comportement. Nous pourrions voir apparaître des sites de phishing hébergés par des réseaux zombies, entre autres.
Comme les bots ont tendance à être des ‘early adopters’ des nouvelles fonctionnalités, ils peuvent être utilisés comme environnements test en vue du déploiement de nouvelles fonctionnalités malveillantes à l’encontre d’une variété de cibles, avant une exploitation à plus grande échelle.
Des bots pourraient être utilisés dans le cadre d’attaques par phishing de type ‘client-side’ au détriment de titulaires ou d’utilisateurs légitimes d’un ordinateur infecté ; cette façon de procéder permettrait aux phishers de contourner les mécanismes de protection classiques contre le phishing et de faire l’impasse sur la nécessité de s’appuyer sur un site web qui peut être supprimé une fois repéré.
Les bots pourraient donner aux pirates un accès spécifique aux ordinateurs infectés et leur permettre de cette façon de les détourner à leur avantage ; si un propriétaire de bot pouvait faire savoir qu’il contrôle un ordinateur au sein d’une organisation ciblée, des tiers ayant des intérêts dans l’organisation en question pourraient monnayer l’utilisation de l’ordinateur usurpé en vue de collecter des informations ou de lancer des attaques.
Des bots pourraient être utilisés pour gonfler artificiellement le trafic apparent vers certains sites en piratant et en dirigeant les navigateurs vers des sites incitant les utilisateurs à souscrire, à voter ou encore à recommander certains sites internet. En gonflant le trafic Internet, un utilisateur mal intentionné pourrait se servir du site pour générer des profits publicitaires ou introduire un code malveillant utilisé par la suite dans le cadre d’activités frauduleuses.
Il faut s’attendre à l’exploitation de schémas nouveaux et plus sophistiqués visant à contourner les blocages mis en place par des systèmes réputés.
Menaces Internet avancées – Comme le nombre de services Internet disponibles ne cesse d’augmenter et que les navigateurs continuent à converger vers un standard d’interprétation uniforme en matière de langages de script, JavaScript par exemple, Symantec s’attend à une augmentation des menaces internet.
Le contenu créé par les utilisateurs (UCC) peut abriter des ‘browser exploits’ (exploitation de failles de sécurité dans le navigateur), propager des ‘malwares/spywares’ (logiciels malveillants/espions), des publicités inopportunes (splogues) ou héberger des liens vers des sites Internet malveillants.

Plateformes mobiles – L’intérêt manifesté à l’égard de la sécurité mobile n’a jamais été aussi fort. Les téléphones devenant plus complexes, plus intéressants et plus connectés, nous nous attendons à ce que les pirates tirent partie de la situation. Les banques, tout comme eBay/PayPal, proposent de plus en plus des services mis à la disposition des utilisateurs par le biais de terminaux/dispositifs mobiles. Google a annoncé le lancement du téléphone SDK le 12 novembre. Quant à l’iPhone SDK, il est attendu pour le mois de février. Il sera intéressant de voir quel accès ils fourniront aux développeurs externes.

Evolution du spam – Symantec s’attend à une évolution continue du spam visant à contourner les systèmes traditionnels de blocage et à forcer les utilisateurs à prendre connaissance des messages.

Nouveaux types de pièces jointes – On s’attend à une exploitation accrue de nouveaux formats de pièces jointes comme le mp3, flash et autres. Spams ‘Pop culture’ – Les spammeurs vont continuer à mettre l’accent sur le contenu, veillant à le rendre toujours plus attrayant pour séduire leurs lecteurs, capitalisant sur l’actualité comme les campagnes présidentielles, les enthousiasmes populaires et engouements économiques.

Sites de réseaux sociaux – On s’attend à une diffusion encore plus importante de spam par le biais des sites de réseaux sociaux populaires. Attaques ciblées – Un plus grand nombre d’attaques ciblées qui visent des machines compromises et les vulnérabilités des systèmes en vue de voler des informations personnelles.

Mondes virtuels – Au regard de l’augmentation de l’utilisation de mondes virtuels persistants (PVW) et des jeux multi joueurs en ligne (MMOG), Symantec s’attend à l’émergence de nouvelles menaces puisque les criminels, phishers, spammeurs et autres pirates du web tournent leurs regards vers ces nouvelles communautés. Potentiel pour le blanchiment d’argent.




Voir les articles précédents

    

Voir les articles suivants