Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

XIIIème édition du Symantec Internet Security Threat Report

avril 2008 par Symantec

Les activités malveillantes sur le Web se concentrent La vulnérabilité des sites est sans doute l’indication la plus probante de cette nouvelle tendance. Il s’agit surtout ici de vulnérabilités dans le code propriétaire et le code client d’un site Web spécifique. Au cours du dernier semestre 2007, on a relevé 11 253 vulnérabilités de script intersites sur plusieurs sites. Un chiffre très élevé comparativement aux 2 134 vulnérabilités traditionnelles relevées par Symantec sur la même période.

Ces vulnérabilités sont très préoccupantes dans la mesure où elles permettent aux cyber-criminels de compromettre un site Web spécifique et de l’utiliser ensuite pour lancer des attaques contre ses utilisateurs. Ce type de stratégie se révèle extrêmement efficace pour lancer des attaques à étapes multiples et exploiter les vulnérabilités émanant des clients.

Les cyber-criminels ont tendance à cibler des sites bénéficiant d’un fort indice de confiance tels que les sites communautaires ou réseaux sociaux. Une telle tendance laisse présager du succès de ces attaques, un utilisateur étant sans doute moins réticent à autoriser un site de confiance à exécuter un code sur son PC, ou à ouvrir un fichier téléchargé depuis ce même site. En ciblant des sites de confiance, les cyber-criminels se donnent également les moyens de voler les références des utilisateurs ou de lancer des attaques massives qu’ils laisseront ensuite se propager très rapidement par le biais du réseau social de leur victime. C’est la raison essentielle de ce nouvel attrait pour les vulnérabilités contextuelles de certains sites Web.

Les cyber-criminels ont changé de cibles

Les cyber-criminels délaissent les PC. Désormais, ce sont les utilisateurs eux-mêmes qui sont victimes des activités malveillantes. Les cyber-criminels cherchent tout particulièrement à s’emparer des informations confidentielles des utilisateurs pour s’enrichir par le biais d’opérations frauduleuses. Cet engouement pour des activités malveillantes à des fins d’enrichissement personnel est une tendance observée par le rapport ISTR de Symantec depuis environ deux ans.

Un grand nombre de menaces pesant sur les informations confidentielles sont conçues pour attaquer des utilisateurs finaux. Ainsi, il existe des enregistreurs de frappe conçus pour mémoriser tout ou partie des références et des informations sensibles tapées par l’utilisateur. Ce programme intervient directement sur les informations confidentielles de l’utilisateur plutôt que sur le PC ou le périphérique sur lequel ces informations sont stockées ou émises.

Au cours du dernier semestre 2007, Symantec a constaté que les données d’identité, les cartes de crédit et les coordonnées bancaires représentaient 44% des marchandises disponibles sur les serveurs de l’économie souterraine. Les comptes bancaires figurent en tête des « articles » mis en vente sur les serveurs surveillés par Symantec pour 22% des marchandises disponibles, un chiffre en légère augmentation par rapport au premier semestre 2007 où ils atteignaient 21%.
La popularité constante de ces coordonnées bancaires pourrait être la conséquence de l’augmentation du nombre d’infections des systèmes bancaires par des chevaux de Troie durant la seconde moitié de 2007. Le nombre d’infections potentielles des systèmes bancaires par des chevaux de Troie est en augmentation de 86% par rapport à la période d’observation précédente – ce qui explique sans doute la recrudescence du nombre de vols de coordonnées bancaires mises en vente sur les serveurs de l’économie souterraine durant cette même période.

La cybercriminalité donne naissance à une véritable économie souterraine

Dans le volet précédent de son rapport ISTR, Symantec faisait état du développement de la professionnalisation et du commerce des activités malveillantes. Au cours de cette nouvelle période d’observation, cette tendance progresse à une vitesse telle que Symantec parle à présent d’une véritable économie souterraine, mature et consolidée. Cette économie se caractérise par un certain nombre de traits qui sont également présents dans des économies plus orthodoxes :

• Spécialisation de la production et de la fourniture de marchandises et de services
• Externalisation de la production
• Tarification à plusieurs variables
• Adaptation des business models

La spécialisation de la production de marchandises et de services est une indication d’une économie mature et consolidée. La production spécialisée de marchandises et de services désigne un mode de production où chaque individu va se concentrer sur une tâche particulière. Un choix qui s’explique en général par deux raisons : d’une part parce que cette économie souterraine s’est suffisamment développée pour permettre à ses acteurs de se spécialiser avec succès dans un seul et unique domaine ; et d’autre part parce qu’un individu ou groupe qui se concentre sur une seule activité devient immédiatement plus rentable.

Dans son précédent rapport ISTR, Symantec avait remarqué une tendance des cyber-criminels, auparavant isolés, à se regrouper en réseaux internationaux afin de mieux coordonner leurs activités malveillantes. Une tendance rendue possible par la production spécialisée de ces marchandises et services.

Au cours du dernier semestre 2007, Symantec a détecté 499 811 nouveaux programmes malveillants. Ce chiffre représente une augmentation de 136% par rapport à la période précédente, où 212 101 programmes avaient été détectés, et une hausse de 571% par rapport au second semestre 2006. Au total, Symantec a détecté 711 912 nouvelles menaces au cours de l’année 2007, soit une augmentation de 468% par rapport aux 125 243 menaces relevées en 2006. Ce chiffre porte le nombre total de programmes malveillants identifiés par Symantec à 1 122 311 à la fin de l’année 2007. Ce qui signifie que les deux tiers environ des programmes détectés ont été créés au cours de l’année 2007.

Cette augmentation massive s’explique par l’émergence de développeurs spécialisés dans la création de programmes malveillants et par l’existence d’organisations recrutant ces derniers pour la production exclusive de ces menaces. Cette hausse est également représentative de la récente professionnalisation des activités malveillantes, la demande étant suffisante pour créer une niche de développeurs spécialisés dans les programmes malveillants.

Un groupe de programmeurs spécialisés peut produire un nombre bien plus important de nouveaux programmes malveillants qu’un développeur isolé, engendrant par là même une économie d’échelle et, par conséquent, un meilleur retour sur investissement. Nombre de ces menaces peuvent être utilisées à des fins d’enrichissement personnel en se saisissant, par exemple, d’informations confidentielles qui seront ensuite revendues en ligne. Ces revenus permettent de rémunérer les programmeurs pour qu’ils développent de nouveaux programmes. La combinaison de ces facteurs stimule la création d’un volume important de nouveaux programmes malveillants à l’encontre des utilisateurs en ligne.

La production spécialisée de marchandises et services est bien souvent facilitée par l’externalisation accrue des activités malveillantes. Le principe d’externalisation consiste dans le transfert de certaines tâches à des personnes ou des organisations extérieures à l’organisation principale. Cette pratique a pour but d’optimiser l’activité économique de l’organisation ou encore d’acquérir de nouvelles compétences.

Au moins deux éléments confirment l’existence de ces pratiques au sein de l’économie souterraine observée. Tout d’abord, l’augmentation significative du nombre de nouveaux programmes malveillants, telle que décrite plus haut, qui permet d’affirmer que des programmeurs sont rémunérés pour développer de nouvelles menaces. Puis l’utilisation continue de kits de phishing à déploiement automatique. Un kit de phishing se compose d’une série de scripts permettant à un agresseur de créer des sites Web de phishing qui pastichent les sites Web officiels de différentes marques, y compris les illustrations et logos associés. Ces kits sont développés par des individus ou des groupes qui les revendent ensuite sur le marché souterrain. Très sophistiqués, ils sont difficiles à obtenir et coûtent relativement cher. Ils sont donc plus susceptibles d’être achetés et mis en œuvre par des groupes de phishers très bien organisés que par un utilisateur lambda.

Une économie mature et consolidée se caractérise par le développement et l’implantation de business models spécifiques, adaptés aux conditions qui prévalent dans cette économie. Symantec a ainsi pu observer que les organisations ou les individus membres de cette économie souterraine modifient volontiers leur modèle de fonctionnement ou le remplacent par de nouveaux modèles mieux adaptés au champ des menaces.

Les tarifs pratiqués par l’économie souterraine sont sujets aux fluctuations du marché, et en particulier à l’offre et à la demande. L’établissement des tarifs semble également sujet à des intérêts à la valeur ajoutée. Ainsi, les coordonnées bancaires des comptes affichant un solde important, tels que les comptes d’entreprises et les comptes de l’UE, coûtent plus cher que les autres comptes. Les comptes bancaires assortis d’informations personnelles, comme le nom, l’adresse et la date de naissance, se vendent également plus cher.
Les cyber-criminels sont sans cesse plus dynamiques et réactifs Le champ de la menace est indubitablement plus dynamique qu’il n’a jamais été. Ce dynamisme est le résultat de la rapidité d’adaptation des cyber-criminels et de leurs activités aux nouvelles mesures de sécurité destinées à protéger les PC des particuliers et des organisations.

Des informations semblent confirmer une délocalisation des cyber-criminels vers des régions dans lesquelles les pratiques de sécurité, de même que la législation et/ou les infrastructures ne sont pas particulièrement développées. Symantec a pu constater que dans les zones ou le haut débit est récent ou en pleine expansion, les fournisseurs de services Internet sont bien souvent plus occupés à tenter de répondre à la demande qu’à renforcer leurs mesures de sécurité. De plus, les utilisateurs et administrateurs de ces régions sont sans doute moins familiers des meilleures pratiques de sécurité à mettre en place. Enfin, ces zones où l’infrastructure Internet est récente ne disposent pas encore d’une législation adaptée, ni des mesures pour l’appliquer.

Cette délocalisation des cyber-criminels vers des zones faiblement sécurisées pourrait aboutir à une régionalisation encore plus importante des activités malveillantes. Pour preuve, plusieurs pays jamais associés à des activités malveillantes jusqu’à présent ont fait leurs apparitions aux avants postes dans différentes catégories de cette édition du rapport ISTR.

LES AUTRES FAITS MARQUANTS

Tendances en matière d’attaques

• Sur l’ensemble de la période d’observation, les Etats-Unis ont été la cible de 31% des activités malveillantes, une hausse de 30% par rapport à la première moitié de 2007.
• Les Etats-Unis sont le pays d’où ont émané le plus d’attaques au cours du second semestre de l’année 2007 avec 24% de l’activité mondiale, en baisse de 25% par rapport à la première moitié de 2007.
• Avec un total de 9%, le Pérou est le pays qui possède le plus fort taux d’activités malveillantes par abonné, pour le second semestre 2007.
• Les PC dont l’adresse IP est enregistrée chez Telecom Italia sont les plus touchés par des attaques malveillantes, avec 6% de l’activité mondiale.
• Plus que tout autre secteur, l’éducation a été victime de 24% des violations de données, pouvant conduire à l’usurpation d’identité. A noter que ce chiffre est en baisse par rapport à la précédente période d’observation où il était de 30%.
• Le secteur gouvernemental est en tête des expositions d’identité avec 60% du total, une hausse significative par rapport au premier semestre 2007, à seulement 12%.
• Avec un taux de 57%, la perte ou le vol de PC ou de dispositifs de stockage sont les causes principales de la majorité des violations de données personnelles pouvant conduire à des usurpations d’identités. Elles représentent 61% des expositions d’identité durant la seconde moitié de 2007, plus que tout autre secteur.
• 58% des serveurs de l’économie souterraine identifiés par Symantec étaient hébergés aux Etats-Unis, pays en tête des hébergeurs malgré une baisse par rapport à la première moitié de 2007 où ce total s’élevait à 64%.
• Les comptes bancaires figurent en tête des « articles » mis en vente sur les serveurs surveillés par Symantec, et représentent 22% des marchandises disponibles, contre 21% à la première moitié de l’année 2007.
• On dénombre une moyenne de 61 940 PC infectés par un bot par jour sur la seconde moitié de l’année 2007, soit 17% d’augmentation par rapport à la période d’observation précédente.
• La durée de vie moyenne d’un PC infecté par un bot pour le second semestre 2007 est restée la même que durant la période d’observation précédente, soit 4 jours.
• Avec 14% du total mondial, les Etats-Unis arrivent en première place du nombre de victimes d’infections de PC par un bot, contre 13% au premier semestre.
• Madrid est la ville où l’on a recensé le plus de PC infectés par un bot, avec 3% du total mondial.
• Au cours des 6 derniers mois de l’année 2007, Symantec a pu identifier 4 091 serveurs utilisés pour commander et contrôler des bots. A noter que ce chiffre est en baisse de 11% par rapport aux 4 622 serveurs du premier semestre. 22% de ces serveurs étaient hébergés aux Etats-Unis, le pourcentage le plus important pour un seul pays.
• Les Etats-Unis sont la cible privilégiée d’attaques par déni de service (DoS) avec 56% du pourcentage total. Un chiffre en baisse puisqu’il était de 61% au premier semestre 2007.

Tendances en matière de vulnérabilités

• Si l’on ignore les vulnérabilités contextuelles, Symantec a relevé 2 134 vulnérabilités durant la seconde moitié de 2007, soit 13% de moins qu’au premier semestre de la même année.
• 3% de ces vulnérabilités ont été évaluées comme très sensibles, 61% comme moyennement sensibles et 36% comme peu sensibles. Pour la première moitié de 2007, le classement était le suivant : très sensibles : 9%, moyennement sensibles : 51%, et peu sensibles : 40%.
• 58% des vulnérabilités relevées concernent des applications Web, contre 61% pour le premier semestre 2007.
• 73% des vulnérabilités relevées durant le second semestre 2007 sont considérées comme facilement exploitables, contre 72% au premier semestre.
• Mis à part Apple et Sun, tous les fournisseurs de systèmes d’exploitation affichent des temps moyens de développement de correctifs plus courts au second semestre 2007. Microsoft arrive premier avec 6 jours seulement et Sun dernier avec 157 jours.
• Plus de la moitié des correctifs des vulnérabilités très sensibles et moyennement sensibles des systèmes d’exploitation de Microsoft, HP et Sun concernaient des vulnérabilités inhérentes au navigateur ou émanant des clients. Au premier semestre 2007, ces vulnérabilités représentaient la majeure partie des failles de systèmes d’exploitation corrigées, et ce pour l’ensemble des fournisseurs, à l’exception d’Apple.
• Durant le dernier semestre 2007, la fenêtre d’exposition des fournisseurs d’entreprises avait une durée de 46 jours. Au cours du premier semestre, cette durée était de 55 jours.
• Sur l’ensemble des navigateurs, Safari est celui dont la fenêtre d’exposition est la plus courte, avec une durée d’exposition moyenne de moins d’une journée pour un échantillon de 18 vulnérabilités corrigées. C’était déjà le cas lors de la période d’observation précédente, avec une moyenne de 3 jours pour 13 vulnérabilités comblées.
• Au second semestre 2007, 88 vulnérabilités ont été détectées sur les navigateurs Mozilla, 22 sur les navigateurs Safari, 18 sur Internet Explorer et 12 sur Opera. Au cours des 6 premiers mois de 2007, ces chiffres étaient les suivants : Internet Explorer 39, Mozilla 34, Safari 25 et Opera 7.
• Au cours du second semestre 2007, Symantec a relevé 239 vulnérabilités sur les plug-in des navigateurs, contre 237 au premier semestre. 79% de ces vulnérabilités concernaient des composants ActiveX, contre 89% au premier semestre.
• Au second semestre 2007, 58% de ces vulnérabilités concernaient des applications Web. Un chiffre en baisse puisqu’il s’élevait à 61% au premier semestre 2007.
• Au cours des six derniers mois de l’année 2007, Symantec a identifié 11 253 vulnérabilités de script intersites sur plusieurs sites contre 6 961 au début de l’année 2007 (à noter que les mesures n’ont débuté qu’au mois de février).
• Symantec a relevé 9 vulnérabilités « zero-day » durant la seconde moitié de l’année 2007, toutes concernaient des applications tierces sur des plates-formes Windows. Au premier semestre 2007, ce chiffre s’élevait à 6 vulnérabilités « zéro-day ».
• 88 vulnérabilités ayant affecté des fournisseurs au cours du second semestre 2007 n’étaient toujours pas comblées au terme de cette période. A noter que ce chiffre est en hausse par rapport à la première moitié de 2007 où il s’élevait à 81. Microsoft détient pour sa part le record du plus grand nombre de vulnérabilités non-comblées pour les deux périodes d’observation.
• Symantec a relevé 92 vulnérabilités affectant des produits de sécurité au cours du second semestre 2007 ; chiffre en baisse puisqu’il était de 113 au premier semestre. Sur ces 92 vulnérabilités, 15 étaient considérées comme très sensibles, 48 comme moyennement sensibles et 29 comme peu sensibles.

Tendances en matière de codes malveillants

• Au cours du second semestre 2007, 499 811 nouveaux programmes malveillants ont été détectés puis révélés à Symantec soit une augmentation de 136% par rapport au premier semestre.
• Sur les 10 types de nouveaux programmes malveillants les plus fréquemment détectés au cours des 6 derniers mois de l’année 2007, on compte 5 chevaux de Troie, 2 vers, 2 vers backdoor et un ver virus.
• Au cours de la seconde moitié de 2007, les chevaux de Troie représentaient 71% des 50 programmes malveillants les plus détectés, un taux en baisse puisque ce chiffre s’élevait à 73% au premier semestre.
• 83% des vers proviennent de la région EMEA (Europe, Moyen-Orient, Afrique).
• L’Amérique du Nord a été victime de 46% des chevaux de Troie.
• 68% du volume des 50 programmes malveillants les plus détectés sont des programmes ciblant des informations confidentielles.
• Sur l’ensemble des programmes ciblant des informations confidentielles détectés au cours de cette période, 76% étaient dotés d’un enregistreur de frappe et 86% disposaient de capacités d’accès à distance ; au premier trimestre 2007, ce dernier taux était de 88%.
• 40% des programmes malveillants détectés se sont propagés par l’échange de fichiers exécutables, une hausse considérable par rapport aux 14% du premier semestre 2007. Par conséquent, l’échange de fichiers exécutable devient le mécanisme de propagation le plus employé sur la période d’observation.
• 7% des 50 programmes malveillants les plus détectés sur cette période ont modifié des pages Web, un chiffre en hausse par rapport au premier semestre 2007 où il s’élevait à 3%.
• Au cours du second semestre 2007, 10% des 1 032 programmes malveillants détectés exploitaient des vulnérabilités. Un chiffre en baisse par rapport aux 18% des 1 509 programmes malveillants détectés au cours de la première moitié de l’année 2007.
• 7 des 10 téléchargeurs progressifs (staged dowloaders) les plus détectés sur cette période étaient des chevaux de Troie, contre 2 vers, et 1 seul ver virus.
• Parmi les 10 composants les plus téléchargés sur cette période, on compte 8 chevaux de Troie et 2 backdoor.
• Les programmes malveillants ciblant des jeux en ligne représentent 8% des 50 programmes potentiellement malveillants les plus détectés, un chiffre en hausse par rapport à la période d’observation précédente à 5%.

Tendances en matière de phishing

• Le réseau Symantec Probe Network a détecté au total 207 547 messages uniques de phishing, soit une augmentation de 5% par rapport au premier semestre 2007. Ramené à la journée, ce chiffre correspond à une moyenne de 1 134 messages de phishing par jour.
• 80% des marques uniques utilisées lors d’attaques de phishing font partie du secteur financier, contre 79% pour le premier semestre 2007.
• Durant cette même période, sur l’ensemble des sites Web de phishing, 66% pastichaient des marques de services financiers, contre 72% au premier semestre 2007.
• Durant la seconde moitié de l’année 2007, sur l’ensemble des sites Web de phishing identifiés par Symantec, 66% étaient localisés aux Etats-Unis. Deux sites communautaires ont été la cible de 91% des attaques de phishing à partir de sites Web hébergés aux Etats-Unis.
• Avec un pourcentage d’utilisation de 44%, le domaine de premier niveau (TLD) le plus communément utilisé pour des sites Web de phishing sur cette période est .com ; le second étant .cn avec 23% de sites Web utilisés.
• Symantec a comptabilisé 87 963 hôtes de phishing à travers le monde pour cette période, soit une augmentation de 147% par rapport aux 32 939 hôtes observés au premier semestre.
• Sur l’ensemble des hôtes de phishing identifiés, 63% se trouvaient aux Etats-Unis, un taux qui dépasse de loin celui des autres pays observés.
• 3 kits de phishing ont déclenché 26% du nombre total des attaques comptabilisées par Symantec durant les 6 derniers mois de l’année 2007.

Tendances en matière de spam

• Entre le 1er juillet et le 31 décembre 2007, 71% des emails contrôlés par la passerelle étaient des spams, soit une hausse de 16% par rapport au second semestre 2006 où 61% des emails avaient été classés comme spams.
• 80% des spams détectés sur cette période étaient rédigés en anglais. Ces derniers ne représentaient que 60% lors du dernier rapport ISTR.
• Durant la seconde moitié de 2007, 0,16% des spams contenaient un programme malveillant contre 0,43 au premier semestre de la même année. Ce qui signifie qu’un message sur les 617 spams bloqués par le système AntiSpam Brightmail de Symantec contenait un programme malveillant.
• Les spams vantant le mérite de produits commerciaux atteignent 27% du volume total de spams sur cette période, de loin la catégorie la plus présente et une hausse certaine par rapport aux 27% du premier semestre 2007.
• Durant les six derniers mois de 2007, 42% des spams détectés à travers le monde provenaient des Etats-Unis contre 50% au premier semestre.
• Les Etats-Unis hébergeaient au second semestre 2007 plus de spams zombies que tout autre pays, soit 10% du total mondial, un chiffre identique à celui observé durant les 6 premiers mois de l’année 2007.
• Durant le second semestre 2007, 7% du volume quotidien des spams étaient des images. Une baisse considérable par rapport aux 27% enregistrés durant la première moitié de l’année 2007.




Voir les articles précédents

    

Voir les articles suivants