Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



10 astuces simples pour renforcer la sécurité de votre Mac



Enquête sur un incident : vol dans une banque électronique



PAC et la problématique de la configuration automatique
 
 

  Page d'accueil / Analyses

Tournant dans le développement des programmes malicieux

29.07.2005   |   comment

Yury Mashevsky
Expert Antivirus, Kaspersky Lab

Cela fait plusieurs années maintenant que les experts de Kaspersky Lab remarquent une criminalisation du réseau Internet. Les truands solitaires se rassemblent au sein de groupes criminels internationaux dont l'influence dans le milieu des programmes malicieux est devenue si grande qu'elle a changé, pour ne pas dire "briser", les tendances de développement de nombreux programmes malveillants. Le marché "professionnel" des programmes malveillants qui a commencé à émerger vers la fin 2003 est très vite entré dans une phase de consolidation (2004) qui s'est terminée avec succès au début de l'année 2005. L'année 2004 peut dès lors être considérée comme l'année de la criminalisation totale de la communauté Internet internationale. Examinons les chiffres qui confirment ces propos.

  1. Virus
  2. Chevaux de Troie
  3. MalWare
  4. Attention: les logiciels publicitaires
  5. Autres plates-formes (.NET, UNIX, Symbian)
  6. La résistance s'organise
  7. Conclusion et prévisions

Virus

Cette catégorie, selon la classification de Kaspersky Lab, reprend tous les virus et les vers, c.-à-d. tous les programmes malveillants qui peuvent se multiplier. Le graphique suivant (illustration 1) reprend tous les nouveaux virus découverts chaque mois par nos experts :


Ill. 1. Développement des virus.

Ce graphique montre clairement qu'après avoir connu un recul marqué à la fin 2003, les virus se sont stabilisés au cours des deux dernières années. Toutefois, si l'on procède à une analyse plus détaillée du comportement de cette catégorie (tableau 1), on remarque clairement que la stagnation est le résultat d'un changement d'intérêts : les virus traditionnels sont abandonnés au profit de nouveaux comportements et de nouvelles plates-formes. Et le déclin des virus, des vers P2P, etc. se poursuit, quoique à un rythme moindre.

Comportement Taux de croissance en 2004 par rapport à 2003 Taux de croissance en 2005 par rapport à 2004
Email-Worm -20% 8%
IM-Worm — (val. moyenne = 1/mois) ^ (val. moyenne = 28/mois)
IRC-Worm -28% -1%
Net-Worm 21% 29%
P2P-Worm -50% -36%
Worm -1% 24%
Virus -54% -28%
VirWare -37% 7%
Tableau 1. Taux de croissance des virus en 2004-2005.

Examinons ces données en détail. Les vers de messagerie électronique, après avoir connu une baisse de 20% l'année dernière, affichent une petite hausse de 8%. Mais peut-on vraiment parler de hausse ? - Sur fond de croissance quasi identique des virus (7%) et en tenant compte de la croissance sensible des programmes malveillants dans l'ensemble, il serait plus judicieux de parler de renforcement de la stagnation.

Le déclin de l'intérêt porté aux vers de messagerie électronique s'explique non seulement par l'activité des éditeurs de logiciels antivirus et par l'éducation des utilisateurs, ce qui a porté ses fruits, mais également par le gain de popularité, chez les cybercriminels, de la diffusion des chevaux de Troie selon les techniques du courrier indésirable. Un tel gain de popularité s'explique par des raisons purement économiques. Les auteurs n'ont pas besoin de développer la partie autonome du programme malveillant, ce qui la rend moins chère et réduit les délais de production. Sa taille est également réduite, ce qui facile la diffusion en masse.

Les vers de messagerie instantanée sont peut-être la catégorie qui affichent le taux de croissance le plus élevé. Les représentants de cette catégorie sont apparus en 2001 et n'ont connu pratiquement aucune croissance au cours des dernières années. 2005 fut pour eux une année de développement intensif. Alors qu'en 2004, nos spécialistes relevaient en moyenne l'émergence d'un nouveau ver de messagerie instantanée par mois, cette année ce chiffre est déjà de 28 (!), ce qui témoigne du regain d'intérêt des auteurs de programmes malveillants vis-à-vis de cette catégorie. Cela s'explique par la nouveauté relative des vers de messagerie instantanée et par le fait que tous les utilisateurs ne sont pas encore conscients de toutes les menaces qu'ils représentent.

La majorité des vers IRC a disparu et ils se sont transformés, en général, en trappes. La chute de croissance d'1 % en 2005 n'indique pas une stagnation mais la fin d'une époque pour ces vers car ils ont déjà atteint leur limite, leur apparition est unique et une chute plus marquée n'est tout simplement pas possible. Pour cette raison, 2004 peut être considérée comme l'année où ils ont disparu de la scène.

Les vers Internet ont préservé leur taux de croissance, qui dépasse le taux de croissance global des virus, et l'ont même amélioré. La popularité de cette catégorie s'explique avant tout par l'absence d'utilisateurs dans la chaîne de diffusion. Il n'est plus nécessaire d'attendre que l'utilisateur reçoive le message électronique et ouvre la pièce jointe infectée ou de composer des textes d'ingénierie sociale dont le but est d'augmenter la probabilité d'exécution du ver par l'utilisateur.

Les vers P2P poursuivent leur chute et sont déjà au même niveau que les vers IRC. La disparition de cette catégorie de vers est liée aux actions menées par les studios de cinéma et les compagnies de disque contre leur environnement (les réseaux d'échange de fichiers) dans le cadre de la lutte contre le piratage.

Les vers présentent une croissance remarquable après avoir connu un petit recul. Cette croissance n'est pas due à l'activité des auteurs de ver mais à une nouvelle étape dans le développement de cette catégorie qui s'attaque à une nouvelle plate-forme pour les appareils nomades : Symbian (cf. ci-dessous).

Les virus, que l'on peut considérer sans crainte comme les ancêtres des programmes malveillants, sont entrés en phase de déclin, ce qui s'explique facilement par la difficulté de création par rapport aux autres programmes malveillants ainsi que par la faible vitesse de diffusion. L'intérêt à leur égard diminue pour la deuxième année consécutive.

La faible croissance de l'ensemble de la catégorie (7%) après une baisse sensible du taux de croissance (37%) témoigne du tournant franchi par les virus qui se rapprochent de leur état stable (stagnation) Cette conclusion est confirmée par le graphique depuis 2004. A l'avenir, le déclin d'une catégorie sera compensé par la croissance d'une autre, ce qui préservera la stagnation et l'absence d'intérêts pour les virus.

Chevaux de Troie

Cette catégorie est l'une des plus peuplées et reprend les chevaux de Troie de tout type. Ce sont précisément les représentants de cette catégorie qui ont suscité ces derniers temps un regain d'intérêt chez les cybercriminels. Cette situation est clairement illustrée dans le graphique 2 qui présente le nombre de chevaux de Troie découverts chaque mois par nos experts.


Ill.2. Développement des chevaux de Troie.

Le graphique montre que le "tournant" dans le rythme de croissance des chevaux de Troie a eu lieu au deuxième semestre 2004. Le taux de croissance demeure à ce jour assez élevé et dépasse celui de toutes les autres catégories de programmes malveillants. Afin de comprendre le développement des chevaux de Troie en fonction de leur comportement, nous avons regroupé les données au sein du Tableau 2. le signe "—" indique les cas pour lesquels il est difficile d'obtenir des données ou qui ne dépassent pas la marge d'erreur statistique.

Comportement Taux de croissance en 2004 par rapport à 2003 Taux de croissance en 2005 par rapport à 2004
Banker 170% 115%
Backdoor 41% 49%
Trojan 537% 74%
Trojan-ArcBomb
Trojan-Clicker 263% 83%
Trojan-DDoS
Trojan-Downloader 184%
Trojan-Dropper 188%
Trojan-IM
Trojan-Notifier
Trojan-Proxy 61%
Trojan-PSW 52% 47%
Trojan-Spy 251% 71%
Rootkit ^ (val. moyenne = 6,25/mois) ^ (val. moyenne = 17,8/mois)
TrojWare 157% 82%
Tableau 2. Taux de croissance des chevaux de Troie en 2004-2005.

Commençons par signaler que les Banker ne sont pas une catégorie à part. Ils désignent les programmes malveillants conçus pour voler des informations à caractère bancaire des ordinateurs infectés. Si les "bankers" sont ainsi distingués, c'est en raison de l'intérêt particulier que lui accorde la communauté informatique clandestine et de leur rapide développement ces derniers temps. Les taux de croissance moyens pour cette catégorie dépasse de loin ceux des autres types de chevaux de Troie. De plus, l'écart s'est creusé depuis peu, ce qui confirme une fois de plus l'intérêt économique des milieux criminels.

Les trappes connaissent un taux de croissance stable et n'ont pas subi de modifications remarquables au cours des dernières années.

Le taux de croissance des chevaux de Troie s'est sensiblement réduit par rapport à l'année dernière (74% contre 537%) mais la croissance se maintient, ce qui laisse envisager une certaine stabilisation de cette catégorie. Pour être franc, il est difficile d'expliquer la croissance de 537% de l'année dernière.

Les Trojan-Clicker ont également connu un ralentissement de leur développement, même s'ils se maintiennent à un niveau élevé, ce qui laisse envisager la poursuite du développement de cette catégorie.

Les Trojan-Downloader possède l'une des croissances les plus élevées dans la catégorie. Le regain d'intérêt est tout à fait évident : cette catégorie est largement utilisée pour créer des réseaux bot [ññûëêà íà Bagle-botnets]. Ils sont de plus en plus souvent diffusés via courrier indésirable ce qui, à son tour a influencé le recul de l'intérêt porté aux vers de messagerie électronique. Après avoir été diffusé avec le courrier indésirable, les représentants de cette catégorie servent à l'installation et à la mise à jour permanente de n'importe quel programme malveillant sur l'ordinateur infecté. L'intérêt croissant pour le courrier indésirable est tout à fait évident si l'on tient compte du fait que les milieux criminels ont déjà testé la résolution des éditeurs de logiciels antivirus et la vitesse de leur réaction.

Les Trojan-Dropper occupent la même place que les Trojan-Downloader et présentent les mêmes taux de croissance. L'intérêt croissant pour ce type de comportement s'explique également par le fait que les Trojan-Dropper participent à la création de botnets car les représentants de cette catégorie contiennent soit un Trojan-Dowloader, soit une trappe, soit un Trojan-Proxy qui, d'ailleurs est en hausse également, même si cette croissance n'est pas aussi significative que pour Trojan-Downloader et Trojan-Dropper. Cette faible croissance de Trojan-Proxy s'explique facilement par l'absence de comportement universel. Alors que les Droppers, les Downloaders et les trappes servent à construire des botnets, les Trojan-Proxy, quant à eux, sont installés dans la plus grande majorité des cas avec un seul objectif en vue : envoyer des messages non sollicités via les machines infectées.

La croissance remarquable des Trojan-Spy et des Trojan-PSW témoigne une fois de plus de l'intérêt manifesté par les cybercriminels pour l'aspect financier étant donné que la majorité des données volées sont utilisées pour accéder de manière illicite aux ressources réseau et financières des utilisateurs et même pour revendre ces données.

Ce n'est que récemment que les Rootkits ont fait l'objet d'une classification séparée et l'on peut d'ores et déjà parler d'un intérêt croissant pour ce comportement. Cela s'explique par le fait que les représentants de cette catégorie peuvent augmenter sensiblement la durée de vie des programmes malveillants sur les machines infectées, ce qui pousse les éditeurs de logiciels antivirus à développer de nouveaux moyens de protection des utilisateurs [ññûëêà íà ïóáëèêàöèþ î Ðóòêèòàõ]. Le succès de l'implantation de la technologie rootkit dans les systèmes Windows dépend en grande partie de l'ignorance des utilisateurs qui, dans la majorité des cas, continuent à utiliser l'ordinateur avec les privilèges administrateurs, ce qui est la condition sine qua non pour la réussite de l'installation de rootkit dans le système.

Il convient de remarquer le déplacement de l'intérêt des rootkits utilisateurs vers les rootkit noyau qui s'explique par la meilleure qualité de dissimulation des données.

Dans l'ensemble, les chevaux de Troie connaissent une croissance dont le taux dépasse le taux de croissance moyen de toutes les catégories de programme malveillant. Nous pouvons sans crainte affirmer que le tournant a déjà été franchi pour cette catégorie et que tous ses représentants se rapprochent de plus en plus d'une croissance stable.

MalWare

Cette catégorie est la plus nombreuse dans notre classement, mais il n'y a pas grand chose à dire à son sujet. L'intérêt manifesté à leur égard reste faible et il est fort probable qu'ils entrent dans une phase de stagnation qui sera suivie par un léger recul. Le rythme de croissance des représentants de cette catégorie est repris sur le schéma 3.

Seuls deux représentants de cette catégorie méritent d'être cités au niveau de leur rythme de croissance : il s'agit des exploits et des outils de piratage qui affichent une croissance de 49 et de 36% respectivement.


Ill.3. Développement des MalWare.

Un nouveau comportement est apparu dans cette catégorie en 2004 : [SpamTool]. Bien qu'ils ne fassent preuve d'aucun développement, chaque mois voit l'apparition de quelques nouvelles versions. Ces outils servent à rechercher en permanence de nouvelles adresses de courrier électronique sur les machines infectées. La diffusion des SpamTool s'opère souvent soit à l'aide du courrier indésirable, soit à l'aide de botnet.

L'absence d'intérêt envers les autres représentants de cette catégorie est lié en grande partie à l'impossibilité d'en retirer des avantages économiques.

Attention: les logiciels publicitaires

Les logiciels publicitaires (applications installées sur l'ordinateur à des fins publicitaires) ont connu un rythme de croissance accéléré au cours du deuxième semestre 2004 (pour l'ensemble de l'année, le rythme de croissance est de 789% (!)), ce qui témoigne de l'attention toute particulière accordée à cette catégorie (illustration 4).


Ill.4. Développement des logiciels publicitaires.

Cela s'explique par le fait que les représentants de cette catégorie sont légaux, bien qu'ils soient plutôt à la limite de la légalité. C'est précisément cette prétendue légalité qui permet à de nombreuses compagnies de développer ouvertement de telles applications. Par exemple, les recettes de Claria Corporation, le plus grand éditeur de logiciels publicitaires au monde (dont le célèbre Gator) s'élèvent déjà à 90,5 millions de dollars américains. Et selon les prévisions présentées par Jupiter Communications Inc., le marché publicitaire sur Internet devra atteindre cette année une valeur de 28 milliards de dollars américains.

Ces derniers temps, les logiciels publicitaires franchissent en permanence la frontière flottante entre légalité et application malicieuse : on a signalé l'apparition de logiciels publicitaires qui infectent les fichiers exécutables, il existe des logiciels publicitaires qui exploitent la technologie rootkit pour dissimuler leur présence dans le système, on recense de nombreux logiciels publicitaires qui s'installent dans le système via un exploit ou qui recueillent illégalement des informations, etc. Tout ceci indique que les auteurs de ces programmes sont bel et bien conscients des méfaits dont leur "création" peuvent être capable. C'est précisément pour cette raison qu'ils utilisent des technologies propres aux virus (rootkit et autres) afin de prolonger la présence de leur produits dans les systèmes infectés.

Le nombre croissant de procès impliquant des éditeurs de logiciels publicitaires témoigne de la volonté des éditeurs de logiciels antivirus de très bientôt classer les logiciels publicitaires dans la catégorie des programmes malicieux. Pour illustrer cette tendance, citons la compagnie Symantec qui a intenté une action en justice contre l'éditeur de logiciels publicitaires Hotbar.com. Symantec affirme que Hotbar, par l'intermédiaire de ses codes publicitaires, menace la sécurité informatique. Il est néanmoins étonnant de voir que la Deutsche Bank et Eurofund figurent parmi les investisseurs de Hotbar.com.

Les faits cités ci-dessus permettent d'affirmer sans se tromper que la frontière entre logiciel publicitaire et programme malicieux s'amenuise de plus en plus.

Autres plates-formes (.NET, UNIX, Symbian)

La cybercriminalité est en évolution constante et cherche toujours à s'attaquer à de nouvelles plates-formes. Nos experts ont remarqué une augmentation de l'intérêt marqué pour la plate-forme .NET. Le nombre de programmes malicieux découverts pour cette plate-forme est toujours insignifiant, mais il est en augmentation. Cela signifie que cette plate-forme est toujours étudiée par les auteurs de virus et que ceux-ci ne la prennent pas encore au sérieux.

Le nombre de programmes malicieux développés pour UNIX, repris dans le tableau 3, suit une augmentation parallèle au gain de popularité de ce système d'exploitation, ce qui dément une fois de plus le mythe de l'inviolabilité d'UNIX et confirme le fait que le nombre d'infections qui touchent une plate-forme dépend en grande partie de sa popularité.

Année Nombre moyen de programmes malicieux découverts par mois
2003 12,67
2004 21,58
2005 35,20
Tableau 3. Croissance de la quantité de programmes malicieux pour UNIX.

Les cybercriminels accordent une attention toute particulière à Symbian, le système d'exploitation des appareils mobiles. L'année dernière, on comptait 1,42 programmes malicieux/mois pour cette plate-forme et ce chiffre a déjà atteint 7,4 exemplaires/mois. Tout cela témoigne de l'intérêt pour cette plate-forme qui n'en est toujours qu'à ses débuts.

Les auteurs de programmes malicieux pour cette plate-forme recevront une forte inspiration lorsque les utilisateurs auront accès à des systèmes bancaires en ligne, des systèmes de paiement électroniques ou d'autres instruments destinés au contrôle et à la gestion des flux financiers au départ des téléphones mobiles. Cela suscite une vive inquiétude chez les experts de Kaspersky Lab car, vu la sécurité et les connaissances des utilisateurs actuels de téléphones mobiles (qui, sans réfléchir, accepte les messages entrants), la première épidémie globale pourrait entraîner l'effondrement des réseaux de téléphonie mobile.

La résistance s'organise

A la fin du siècle dernier et au début de celui-ci, il était de bon ton d'affirmer que les auteurs de programmes malicieux n'avaient aucun avenir devant eux car il s'agissait dans la majorité des cas d'écoliers et d'étudiants. Autrement dit, leur activité n'avait pas de soutien financier remarquable. La situation a radicalement changé à l'heure actuelle : le développement des programmes malicieux est pris en charge par des professionnels qui poursuivent des objectifs économiques comme en témoignent les faits suivants:

  • Le nombre de programmes malicieux diffusés par courrier indésirable augmente par rapport à la diffusion traditionnelle via les vers, ce qui se manifeste déjà dans les virus et les chevaux de Troie (l'abandon des vers de messagerie est illustré par le détournement progressif des auteurs du ver de messagerie Bagle vers Trojan-PSW.Win32.LdPinch qu'ils utilisent énormément lors de la création de botnet);
  • Croissance du nombre de programmes malicieux destinés à accéder illégalement aux biens virtuels de l'utilisateur (mot de passe d'accès au réseau, ICQ, données d'accès aux informations à caractère financier) afin de les utiliser de manière illicite par la suite;
  • Le développement exponentiel des logiciels publicitaires, etc.

Par conséquent, la conclusion à tirer de ce qui précède est claire : l'absence de moyens financiers ne constitue déjà plus un frein pour le marché des programmes malicieux où les compensations peuvent être élevées. Les éditeurs de logiciels antivirus peuvent faire face à la cybercriminalité uniquement en mettant sur pied une infrastructure visant la résistance opérationnelle face aux programmes malicieux. Le contrôle permanent de l'activité de ces voyous cybernétiques montre qu'ils suivent attentivement les développement du secteur des antivirus et qu'ils franchissent des pas décidés vers la mise en place de leur propre structure dont l'objectif sera d'automatiser la recherche et l'infection de nouvelles victimes.

Sur fond d'augmentation de la fréquence des attaques sur les utilisateurs de réseau (certains virus connaissent plusieurs modifications au cours de la même journée (!)), la vitesse de réaction des éditeurs de logiciels antivirus joue un rôle décisif dans la lutte contre les épidémies. La présentation des mises à jour des bases antivirus proposées par Kaspersky Lab au sein d'un tableau nous donne la situation suivante (tableau 4):

Année Qté de mises à jour Fréquence des mises à jour Qté de mises à jour urgents
2003 818 1 fois toutes les 3 heures 120
2004 4008 Toutes les heures 215
2005 (prévision) 6500 Toutes les heures 270
Tableau 4. Croissance annuelle du nombre de mises à jour des bases antivirus.

Les chiffres relatifs aux mises à jour urgentes témoigne de la croissance du nombre de situations qui nécessitent une protection urgente des utilisateurs pour éviter l'infection.

Les chiffres relatifs aux mises à jour périodiques montrent également que Kaspersky Lab cherche à réduire le risque d'infection en augmentant le nombre mises à jour périodiques mais malheureusement, d'après un sondage réalisé par la compagnie, seuls 25% des utilisateurs actualisent leur base plus d'une fois par semaine.

Les cybercriminels utilisent de plus en plus souvent des logiciels de compactage pour dissimuler leur "?uvre" (tableau 5), ce qui s'explique par la facilité de création d'exemplaires dissimuler.

Année Quantité de fichiers compactés par rapport à leur nombre général
2003 28,94%
2004 33,06%
2005 (prévision) 35%
Tableau 5. Augmentation du nombre de copies compactées dans le flux général de programmes malveillants.

La lutte sur le plan de la criminalité virtuelle s'observe non seulement entre les éditeurs de logiciel antivirus et les cybercriminels, mais également au sein des milieux criminels. Des groupes criminels se sont déjà formés et ils devraient devenir plus importants à l'avenir. Il ne fait aucun doute qu'à l'avenir, lorsque ces criminels auront atteint l'apogée de leur développement et que les premiers conflits d'intérêts entre les groupes se présenteront, cela débouchera sur une "guerre des gangs".

Le renforcement de la position des éditeurs de logiciels antivirus sera lié non seulement à l'introduction de nouvelles technologies mas également à sa consolidation renforcée dans le système juridique qui, ces derniers temps, a redoublé d'efforts dans la lutte contre les cybercriminels, comme en témoigne le nombre croissant de procès intentés contre les auteurs de programmes malveillants et les cyber-escrocs. Un tel développement sur le plan légal s'explique principalement par l'incidence de l'activité des cybercriminels sur l'économie en ligne des pays développés.

Mais même si le nombre de procès augmente année après année, le taux de croissance des programmes malicieux est loin de ralentir. Au contraire, il est en augmentation, ce qui veut dire que bien que le système juridique remporte des victoires, il n'en est qu'à ses débuts dans la lutte contre la cybercriminalité.

Conclusion et prévisions

Comme nous l'avons dit plus haut, le marché des programmes malveillants a franchi un tournant. Que réserve l'avenir à la communauté Internet ? Voici quelques éléments de réponse:

  • Diffusions régionales de programmes malicieux afin de rendre plus difficile la découverte des programmes malicieux dans la région où la diffusion a eu lieu;
  • Diffusion ciblée de programmes malicieux pour s'attaquer à des victimes choisies, ce qui réduit la possibilité d'intervention des éditeurs de logiciels antivirus;
  • Réduction du nombre d'épidémies mondiales causées par des vers Internet, ce qui est dû en grande partie à la réduction sensible du nombre de nouvelles failles critiques découvertes et à la rapidité de la rédaction de Microsoft.
  • Recherche de nouvelles astuces d'ingénierie sociale pour accroître l'efficacité de l'infection des utilisateurs (après la diffusion par ICQ d'une version normale de Trojan-PSW.Win32.LdPinch, un bot utilisé par les cyber-criminels répond aux messages ICQ des utilisateurs);
  • Le marché criminel est loin d'être saturé et sa croissance va entraîner une "guerre des gangs" cybernétiques;
  • Augmentation du courrier indésirable, du phishing, des logiciels publicitaires, des programmes malicieux, des botnets, des cas de chantage par Internet et d'autres crimes;
  • Croissance, lente mais sûre, de l'activité des instances juridiques;
  • Conquête de nouvelles plates-formes.
Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com