Global Security Mag : Y a-t-il eu cette année de réels nouveaux types malwares qui ont retenu votre attention ?

Bernard Ourghanlian : Nous avons publié, le 3 novembre dernier, notre « rapport sur les données de sécurité » qui couvre la période janvier - juin 2008. Il présente l’ensemble des vulnérabilités logicielles (pour les logiciels Microsoft comme pour ceux d’éditeurs tiers), codes malveillants, logiciels malveillants et logiciels potentiellement indésirables observés par Microsoft au cours des dernières années, avec une attention particulière sur le premier semestre 2008. Ce rapport contient également de nouvelles informations sur les attaques véhiculées par navigateur et des informations actualisées sur les failles de sécurité et le non-respect de la vie privée. Il est téléchargeable à l’adresse suivante : http://www.microsoft.com/france/sir et a été établi sur la base des informations que les utilisateurs de plusieurs centaines d’ordinateurs dans le monde ont accepté de nous remonter de manière totalement anonyme. Ces informations sont, par exemple, récoltées lors de l’exécution mensuelle du MSRT (Malicious Software Removal Tool), ainsi que par nos différents produits de sécurité. L’analyse de ces données présente de manière complète et unique les événements concernant les programmes malveillants et les logiciels potentiellement indésirables signalés dans le monde entier.

Aux termes de ce rapport :
• Nous avons trouvé 27 % d’ordinateurs en plus qui comportaient des logiciels malfaisants ou non désirés au premier semestre 2008
• La part des vulnérabilités de systèmes d’exploitation divulguées continue à diminuer : plus de 90 % des vulnérabilités déclarées au cours de du 1er semestre 2008 ont touché des applications
• Voici le top 25 des familles de malwares qui ont été rencontrés en France aux termes de ce rapport.

Ranf Famille Catégorie Nombre d’ordinateurs infectés
1 Zlob Cheval de Troie Téléchargeur/injecteur 374 867
2 Vundo Autres chevaux de Troie 240 112
3 ZangoSearchAssistant Adware 153 261
4 RJump Ver 151 156
5 SpywareSecure Autre logiciel non désiré 138 959
6 MessengerSkinner Cheval de Troie Téléchargeur/injecteur 81 157
7 ZangoShoppingreports Adware 78 256
8 Advantage Adware 77 663
9 Hotbar Adware 76 987
10 Agent Autres chevaux de Troie 76 695
11 Renos Cheval de Troie Téléchargeur/injecteur 76 170
12 Rbot Porte dérobée 69 141
13 Winfixer Autre logiciel non désiré 67 297
14 ConHook Autres chevaux de Troie 60 819
15 Taterf Ver 56 681
16 BrowsingEnhancer Adware 55 937
17 SeekmoSearchAssistant Adware 53 580
18 C2Lop Autres chevaux de Troie 50 004
19 Brontok Ver 49 276
20 Sdbot Porte dérobée 46 274
21 Virtumonde Autres chevaux de Troie 42 806
22 Mirar Adware 41 864
23 WhenU Adware 39 938
24 Tibs Autres chevaux de Troie 38 108
25 Cutwail Cheval de Troie Téléchargeur/injecteur 37 688
Tous les autres 1 104 693

Sur ce top 25 des familles :
• 5 du top 10 sont des malwares.
• 5 du top 10 sont des logiciels potentiellement désirables, comme des Adwares.
• Les familles du top 25 représentent 66,9% du total des machines infectées en France (66, 9% est bas ; il y a entre 80 et 85 % dans la plupart des pays ; il y donc une plus grande diversité des malwares et des menaces en France.
• 10 parmi les familles du top 25 sont des logiciels potentiellement indésirables.

En France :
• Zlob et Vundo sont numéro 1 et numéro 2 en France, à la même place que la moyenne mondiale.
• Win32/RJump est numéro 4 en France contre numéro 9 dans le monde (une augmentation légère en France de 6,8 % au premier semestre 2008 en France).
• Win32/SpywareSecure est numéro 5 en France malgré le fait qu’il ne fasse pas partie du top 25 au niveau mondial (c’est une fausse publicité qui affiche un message d’avertissement trompeur afin de convaincre l’utilisateur d’acheter un produit qui supprime un spyware).
• Win32/MessengerSkinner est numéro 6 en France malgré le fait qu’il ne fasse pas partie du top 25 au niveau mondial (c’est un téléchargeur de cheval de Troie qui peut être distribué sous la forme d’un freeware, qui affiche des publicités, télécharge des fichiers supplémentaires et utilise un procédé de furtivité pour dissimuler sa présence).

GS Mag : Quels sont les nouveaux modes de propagation des menaces ?

Bernard Ourghanlian : Sur le 1er semestre 2008, le nombre total de programmes malveillants et de logiciels potentiellement indésirables supprimés sur des ordinateurs dans le monde a augmenté de plus de 43 % par rapport à au 2ème semestre 2008.

Les schémas de programmes malveillants détectés et supprimés par les produits de sécurité Microsoft varient selon les pays et les régions. Toutefois, les chevaux de Troie téléchargeurs/injecteurs ont compté pour plus de 30 % de l’ensemble des programmes malveillants supprimés par les produits de sécurité Microsoft dans le monde. Cette tendance confirme l’augmentation significative du volume de chevaux de Troie téléchargeurs/injecteurs détectés ces dernières années.

Tout comme sur le 2ème semestre 2007, les téléchargeurs/injecteurs ont représenté la catégorie de menaces la plus courante, en grande partie en raison du fait que certaines de ces familles s’appuient sur diverses techniques d’ingénierie sociale pour se répandre. Deux de ces familles, Win32/Zlob 6et Win32/Renos, ont été responsables de plus de 96 % des nettoyages d’ordinateurs dans cette catégorie.

GS Mag : Quels ont été les cas d’attaques qui ont été les plus significatifs cette année ?

Bernard Ourghanlian : A titre d’indication, une répartition des types de désinfection pour la France obtenue à partir de l’exécution de l’outil MSRT :

La catégorie numéro 1 correspond aux « autres chevaux de Troie » qui consiste dans tous les chevaux de Troie qui ne sont pas reconnus comme des téléchargeurs/injecteurs ou des portes dérobées ; cette catégorie a augmenté de 114,2 % par rapport au 2ème semestre 2007. La catégorie numéro 2 correspond aux « chevaux de Troie téléchargeurs/injecteurs » et représente 20,6 % du total des machines infectées, en augmentation de 41,3 % par rapport au 2ème semestre 2007.

GS Mag : Comment se situe la France ?

Bernard Ourghanlian : Si l’on compare la France avec les autres pays, celle-ci se situe dans la moyenne mondiale.

En France, le nombre d’ordinateurs nettoyés par le MSRT par millier est de 10,5, en progression de 9,4 % par rapport au 2ème semestre 2007. La moyenne mondiale est de 10, en augmentation de 22,7 % par rapport au 2ème semestre 2007.
En règle générale, les taux d’infection sont supérieurs dans les pays/régions en voie de développement, selon les rapports de l’Outil de suppression des logiciels malveillants (MSRT).

En termes de répartition normalisée des systèmes d’exploitation Microsoft :

Le taux d’infection pour Windows Vista est bien inférieur à celui de son prédécesseur, Windows XP, quelque soit le service pack :
• Les taux d’infection pour les éditions 64 bits de Windows Vista étaient tous deux inférieurs à ceux de leurs équivalents 32 bits.
• Pour chaque version du système d’exploitation, plus le niveau de service pack est élevé, plus le taux d’infection est bas. Cette tendance se vérifie de manière constante sur les systèmes d’exploitation client et serveur de semestre en semestre. Il y a plusieurs raisons qui l’expliquent :
o Au moment de leur publication, les services packs comprennent des correctifs pour toutes les vulnérabilités de sécurité corrigées dans les mises à jour de sécurité. Ils comprennent parfois des fonctions de sécurité supplémentaires et/ou des modifications des paramètres par défaut qui protègent les utilisateurs.
o Les versions serveur de Windows affichent en général un taux d’infection inférieur aux versions client, en particulier lorsque l’on compare les dernières versions de service pack de chaque système d’exploitation.