Le niveau de spam a fluctué tout au long de l’année, au gré des changements remarqués dans les activités des botnets. Le mois d’Août a connu un pic dans le niveau de spams quand le botnet Rustock s’est agressivement étendu grâce à de nouvelles variantes de logiciels malveillants. Cela a fait croître le niveau de spams de 1,4 % par rapport à 2009 pour atteindre 89,1 % en moyenne. Les botnets ont ainsi été à l’origine de 88,2 % de tous les spams envoyés en 2010. Ce chiffre est tombé fin 2010 à 77 % suite à la disparition de Spamit, grand expéditeur de spams, début octobre 2010. Le nombre total de bots actifs est donc actuellement proche de celui enregistré fin 2009, malgré une hausse de 6 % environ au cours des 6 derniers mois de 2010. On compte entre 3,5 et 5,4 millions de botnets au total dans le monde.

Il faut s’attendre en 2011 à ce que les contrôleurs de botnet aient recours aux techniques de stéganographie pour diriger les ordinateurs infectés. Autrement dit, ils dissimuleront leurs commandes, dans des images ou des fichiers audio diffusés par des sites de partage ou des réseaux sociaux, par exemple. Ils pourront ainsi envoyer des ordres à leurs botnets sans passer par les services d’hébergement de FAI, ce qui compliquera leur découverte.

Si 2010 a connu des fluctuations du nombre de botnets et donc des volumes de spams, les trois principaux botnets au second semestre 2010 étaient les mêmes qu’en 2009 : Rustock en tête, suivi de Grum, puis de Cutwail. Rustock contrôle plus d’1 million de bots et son rendement a plus que doublé en un an, surpassant les 44 milliards d’e-mails de spam par jour. Cutwail et Grum ont eux aussi participé à la recrudescence des logiciels malveillants envoyés par les botnets sous la forme de spams.

« Les cybercriminels n’ont pas ménagé leurs efforts pour maintenir leurs campagnes de spam actives cette année », explique Paul Wood, analyste senior pour MessageLabs Intelligence chez Symantec Hosted Services. « Les spammeurs ont fait preuve d’une grande ingéniosité pour contourner les filtres anti-spam et tromper leurs cibles, surfant sur l’actualité, à l’occasion de la coupe du monde de la FIFA par exemple, ou tirant parti de l’engouement actuel pour les réseaux sociaux et services de raccourcissement d’URL, notamment. »

L’une des attaques les plus marquantes de cette année fut toutefois le virus « Here You Have », un virus distribué à partir du 9 septembre 2010 au moyen d’une technique de diffusion de masse par e-mail des plus traditionnelles. Le service MessageLabs AntiVirus en a bloqué jusqu’à 2 000 par minute, soit plus de 100 000 copies au total, avant qu’ils n’infiltrent les réseaux des clients. La règle heuristique de détection du virus y avait été ajoutée en mai 2008, plus de deux ans auparavant. C’est cette même règle qui a aussi permis de neutraliser l’attaque de spoofing visant le US Internal Revenue Service début novembre.

En 2010, plus de 339 600 souches de logiciels malveillants différentes ont été identifiées dans les e-mails malveillants interceptés, soit un chiffre 100 fois supérieur à 2009. Cette augmentation étourdissante s’explique principalement par la multiplication des variantes polymorphes des logiciels malveillants, généralement générées à partir de kits d’outils permettant la création simple et rapide d’une nouvelle version d’un code donné. Ce procédé a notamment donné naissance à la famille de chevaux de Troie Bredolab, un botnet à usage général disséminée par le botnet Cutwail et source de près de 7,4 % de tous les logiciels malveillants expédiés par e-mail en 2010. Le type d’attaque permis par Bredolab est également baptisé « Pay Per Install » (PPI). Si sa nature peut varier, ce logiciel malveillant est conçu pour prendre le contrôle de l’ordinateur de sa victime afin qu’il puisse être exploité par les opérateurs de Bredolab ou loués/vendus à d’autres cybercriminels. A l’instar de nombreux autres programmes malveillants présentés sous la forme d’un fichier compressé, Bredolab est passé d’une simple protection par code polymorphe à une protection par moteur polymorphe mis à jour, ce qui lui permet de se comporter comme son prédécesseur et d’éviter d’être détecté. Cela résulte en un emballeur polymorphique agressif distribué fin 2010, envoyé en masse par e-mail et comprenant des centaines de variantes afin de maximiser le potentiel de l’infection.

Parallèlement à l’envoi en masse de Bredolab, les attaques ciblées, normalement distribuées en petit nombre, ont également augmenté. A l’époque de l’apparition des premières attaques ciblées, dites « menaces persistantes avancées », en 2005, MessageLabs Intelligence en interceptait une ou deux par semaine, chiffre qui est passé à une ou deux par jour dès 2006. Par la suite, le nombre d’attaques ciblées est passé de 10 par jour à approximativement 60 par jour en 2010, puis à 77 par jour en cette fin d’année.

« Avec la multiplication des attaques ciblées, nous avons constaté l’émergence de différents modes d’exécution et une évolution de la complexité de ce type d’attaques », explique M. Wood. « Généralement, 200 à 300 organisations sont ciblées par ces menaces chaque mois. Les secteurs les plus touchés varient régulièrement, ceci dit, les cadres dirigeants restent les plus visés, que ce soit via l’adresse mail d’un assistant ou une adresse générale. Il y a cinq ans, les victimes étaient surtout de grandes entreprises de renom. Aujourd’hui, le champ d’action s’est élargi au point qu’aucune entreprise n’est à l’abri. »

MessageLabs Intelligence a également comparé les habitudes de navigation sur la toile des salariés distants, à savoir en déplacement ou à domicile, avec celles des employés de bureau. Il en ressort que ces deux catégories d’utilisateurs présentent les mêmes habitudes de navigation. Les premiers ne représentent qu’une légère augmentation du risque pour leur entreprise que les seconds. Les comportements les plus à risque reviennent aux travailleurs alternant entre le travail au bureau et à distance, qui relâchent grandement leur attention en dehors du bureau. Ces conclusions devraient aiguiller les entreprises sur la stratégie à adopter en termes de politiques de navigation afin de gérer le comportement de leurs salariés en ligne. Conscientes de la nécessité d’un accès en ligne plus flexible, les entreprises ont plus volontiers opté en 2010 pour une approche plus granulaire, basée sur des listes d’accès autorisés plutôt que des listes d’accès interdit comme c’était le cas les années précédentes. Le nombre de permissions d’accès a ainsi augmenté de 0,8 % par mois en moyenne en 2010, contre 0,6 % en 2009.

Les principales tendances en 2010

Sécurité Web : En 2010, les statistiques montrent une recrudescence des nouveaux sites Web malveillants, avec 3 066 sites Web bloqués en moyenne chaque jour contre 2 465 en 2009, soit une hausse de 24,3 %. MessageLabs Intelligence a identifié les sites Web malveillants de 42 926 domaines distincts. La plupart d’entre eux étaient des domaines légitimes infectés.

Spam : En 2010, la proportion des e-mails s’avérant être des spams était de 89,1 %, en augmentation de 1,4 % par rapport à l’année précédente, avec un pic à 92,2 % en août, alors que la proportion de spams expédiés par les botnets est passée à 95 % suite à la mise en service de la nouvelle variante du botnet Rustock.

Virus : En 2010, la proportion moyenne de logiciels malveillants dans les e-mails était de 1 pour 284,2 e-mails (0,352 %), un chiffre relativement stable depuis 2009 (1 pour 286,4, soit 0,349 %). Plus de 115,6 millions d’e-mails ont été bloqués par Skeptic™ en 2010, soit 58,1 % de plus qu’en 2009. 339 673 souches de logiciels malveillants différentes y ont été identifiées, soit plus de 100 fois plus qu’en 2009. Cette augmentation s’explique par la multiplication des variantes polymorphes des logiciels malveillants.

Phishing : En 2010, le nombre moyen d’attaques de phishing était de 1 pour 444,5 e-mails (0,23 %) contre 1 pour 325,2 (0,31 %) en 2009. Les prévisions annonçaient environ 95,1 milliards d’e-mails de phishing en circulation en 2010.

Le rapport de sécurité MessageLabs Intelligence de Symantec constitue une source reconnue de données et d’analyses des problèmes de sécurisation des messages, des tendances et des statistiques. MessageLabs Intelligence fournit un assortiment d’informations sur les menaces mondiales au départ des données produites par ses tours de contrôle qui, aux quatre coins du monde, analysent des milliards de messages chaque semaine.