Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Trend Micro : adresses IP infectées, les chiffres de la contagion…

octobre 2009 par Trend Micro

Si les experts du secteur de la sécurité estiment qu’en moyenne une machine infectée le reste pendant 6 semaines environ, l’étude menée récemment par Trend Micro remet en cause ce statut-quo. Après analyse d’environ 100 millions d’adresses IP infectées*, Trend Micro a constaté qu’une majorité des infections durait au-delà de deux ans et que la durée de vie moyenne d’une adresse IP infectée était de 300 jours environ sur les pays les plus touchés. Selon les statistiques de Trend Micro, 80 % des machines infectées l’ont été pendant plus d’un mois.

Adresses IP infectées : quelle répartition ?

Et ces chiffres sont, à vrai dire, en deçà de la réalité. En effet, Trend Micro a déterminé que 75 % des adresses IP infectées provenaient du grand public. En revanche, les 25 % restants appartiennent à des entreprises. Une adresse IP corporate est généralement associée à une passerelle Internet et à un réseau de machines, ce qui laisse suggérer que plusieurs de ces machines sont susceptibles d’être associées à une adresse IP précise : la proportion des ordinateurs professionnels infectés se situerait bien au-delà des 25% et viendrait ainsi augmenter le nombre de machines infectées.

Vol de données confidentielles, première finalité des réseaux de botnets

Lorsqu’un ordinateur est infecté, il se retrouve souvent au sein d’un vaste réseau (un botnet) constitué de machines dites “zombies”. Ces réseaux sont à l’origine d’attaques malveillantes ou servent à perpétrer des exactions de type fraudes ou détournements d’informations. En 2009, la quasi-totalité des logiciels malveillants étudiés par les experts de Trend Micro avait pour principal objectif celui de détourner des informations (identifiants et autres données confidentielles).

L’étude Trend Micro s’est penchée sur les réseaux botnets les plus dangereux pour les données confidentielles, les informations financières et les détournements d’identité. À ce jour, les trois réseaux botnets les plus étendus sont sans doute les suivants :
- Koobface
- ZeuS/Zbot
- Ilomo/Clampi

De manière générale, ces botnets contrôlent davantage de machines infectées qu’on ne le pense. Une poignée de criminels dans le monde, quelques centaines à peine, contrôlent ainsi plus de 100 millions de machines. Les cybercriminels disposent ainsi d’une puissance supérieure à celle de tous les super-ordinateurs associés dans le monde. On ne s’étonnera donc qu’à moitié que 90 % des échanges d’emails dans le monde est aujourd’hui lié au spam.

D’autre part, on note également une forme de corrélation entre les 10 pays comptant le plus de machines infectées et les 10 plus grands pays émetteurs de spam :

Dans le cas spécifique de Koobface, les experts de Trend Micro ont établi que ce botnet englobait à lui seul environ 51 000 machines infectées. À tout moment, Koobface utilise 5 à 6 centres de commande et de contrôle (C&C) pour piloter ces machines infectées. Si le domaine d’un C&C est supprimé par un fournisseur précis, le gang Koobface enregistre ce même domaine auprès de fournisseurs tiers. Trend Micro a ainsi identifié 46 domaines C&C liés à Koobface.

À titre de comparaison, 69 domaines de C&C ont été identifiés pour le botnet Ilomo. Ce chiffre reste difficile à confirmer, puisque de nouveaux domaines sont rajoutés chaque jour. De plus, le nombre de machines infectées au sein d’Ilomo ne peut être évalué précisément, compte tenu de la structure de ce réseau botnet.

De nouvelles technologies émergent pour contrer cette forte recrudescence de menaces. Asini, Trend Micro Smart Protection Network, qui permet de détecter et se protéger contre les infections, neutralise chaque année plus d’1 milliard de tentatives d’infections de ses utilisateurs. Cette infrastructure décline son analyse en trois domaines principaux : la réputation email, la réputation web et la réputation de fichiers. Ces fonctions viennent enrichir des outils plus classiques de lutte contre le spam et les logiciels malveillants.


*Le nombre d’adresses IP infectées est le fruit d’une estimation basée sur les statistiques de Trend Micro.




Voir les articles précédents

    

Voir les articles suivants