Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



IoT : comment j'ai piraté ma maison



Baromètre de Kaspersky sur la cybercriminalité. Courrier indésirable en 2008



Courrier indésirable et phishing au deuxième trimestre 2014



Courrier indésirable en juillet 2014



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos
 
 

  Page d'accueil / Analyses

Développement des menaces informatiques au deuxième trimestre 2011

19.08.2011   |   comment

Yury Namestnikov

Survol de la situation

Au cours du deuxième trimestre 2011, les tendances que nous avions évoquées dans les rapports antérieurs se sont précisées. Il s'agit notamment de l'augmentation du nombre de programmes malveillants pour les plateformes nomades et leur diffusion via les boutiques d'applications et des attaques ciblées contre des sociétés et des services Internet très utilisés. Il y a eu également quelques surprises que nous aborderons ci-après.

Nouvelle étape dans le développement des faux antivirus

Le retour des faux

Nous avions signalé en 2010 la réduction du nombre d'acteurs sur le marché des faux antivirus et, par conséquent, la réduction du nombre de fausses applications qu'ils diffusaient. Cette situation est restée inchangée pendant un certain temps. Toutefois, au cours du deuxième trimestre 2011, le nombre de faux antivirus détectés à travers le monde par les logiciels de Kaspersky Lab a commencé à augmenter. De son côté, le nombre d'utilisateurs sur les ordinateurs, desquels des tentatives d'installation de faux logiciels ont été bloquées, a augmenté de 300 % en trois mois. L'offensive des faux antivirus a été lancée au mois de mars de cette année et le nombre d'attaques ne cesse d'augmenter.

 
Nombre de faux antivirus détectés par jour au T2 2011

Alors qu'en 2009 les individus malintentionnés tentaient d'infecter des ordinateurs à l'aide de faux antivirus dans le monde entier, les développeurs actuels de ces programmes s'intéressent plus spécialement aux utilisateurs de pays développés comme les Etats-Unis, le Royaume-Uni et le Canada.

 
Répartition géographique des attaques impliquant de faux antivirus au T2 2011

Ceci est lié à l'évolution technologique de ce type de programmes malveillants.

Evolution des faux antivirus : chevaux de Troie pour Mac

C'est en 2008 qu'est apparu le premier faux antivirus pour Mac OS X et pendant très longtemps, il n'y a eu aucun autre exemplaire de ce type de programme pour Mac. Mais au cours du deuxième trimestre 2011, les spécialistes de la lutte contre les virus ont détecté plusieurs " logiciels " portant des noms évocateurs tels que MacDefender, MacSecurity, MacProtector, etc. et diffusés probablement par les mêmes personnes dans le but de gagner illégalement de l'argent sur le compte d'utilisateurs crédules de Mac OS X.

Ces individus malintentionnés ont estimé qu'il était plus judicieux de se lancer sur le nouveau marché des programmes malveillants pour OS X avec de faux antivirus car de tels programmes confondent plus facilement les utilisateurs.

Pour amener l'utilisateur à installer le faux antivirus, les escrocs ont utilisé des sites qui imitent l'analyse d'un ordinateur. Grâce à des méthodes de référencement désapprouvées (référencement noir), ils ont réussi à placer ces sites dans le haut des résultats de recherche sur Google Images pour les recherches les plus souvent lancées à l'époque. Ainsi, un utilisateur qui lançait par exemple une recherche sur " photo de la mort d'Oussama ben Laden " se retrouvait sur une page Web où l'analyse de son ordinateur était effectuée. Ensuite, cet utilisateur recevait un message signalant la présence de nombreux problèmes de sécurité et il était invité à installer un logiciel antivirus " gratuit ". En cas d'acceptation de l'offre, l'utilisateur devait saisir son mot de passe d'administrateur pour l'installation. Une fois installé, ce faux antivirus, à l'instar des versions existantes sous Windows, fonctionnait selon un scénario bien connu : il décelait des milliers de menaces inexistantes et proposait de " nettoyer " l'ordinateur. Il faut d'ailleurs signaler que le nombre de signatures dans ces faux antivirus est plusieurs fois supérieur au nombre de programmes malveillants connus à ce jour pour Mac. Afin de pouvoir réaliser la réparation, il fallait absolument acheter la " version complète " du faux antivirus pour un prix compris entre 50 et 100 dollars américains. Il faut savoir que dans un cas pareil, l'utilisateur qui achète le logiciel proposé avec sa carte de crédit transmet toutes les données aux individus malintentionnés qui pourront par la suite retirer pratiquement n'importe quelle somme.

Le 31 mai, soit près d'un mois après l'apparition du premier faux antivirus pour Mac détecté en 2011, Apple a diffusé une mise à jour de sécurité pour le système de protection intégré Xprotect d'OS X qui permet de supprimer automatiquement les faux antivirus. Mais à peine quelques heures plus tard, les individus malintentionnés ont diffusé une nouvelle version de leur programme qui a échappé à Xprotect pendant 24 heures. Si les individus malintentionnés ont déjoué si rapidement la protection, c'est parce que Xprotect utilise une technologie très élémentaire pour détecter les programmes malveillants : l'analyse sur la base de signatures. Il suffit donc aux individus malintentionnés de modifier quelques octets du programme pour rendre leur création indétectable. Par la suite, pour contourner encore plus efficacement la protection offerte par Xprotect, les auteurs du virus ont ajouté au mode d'infection un petit téléchargeur détecté par les logiciels de Kaspersky Lab sous le nom de Trojan-Downloader.OSX.FavDonw. En quoi cette méthode est-elle plus efficace ? Xprotect n'analyse que les fichiers qui ont été téléchargés à l'aide du navigateur. Si le faux antivirus est récupéré à l'aide d'un gestionnaire de téléchargements, il n'est absolument pas détecté. Par conséquent, les individus malintentionnés peuvent contourner sans grande difficulté la protection intégrée : il suffit de mettre à jour en permanence le téléchargeur sans modifier considérablement le fichier principal. Qui plus est, ce mode d'attaque ne requiert pas la saisie d'un mot de passe par l'utilisateur lors de l'installation du programme malveillant.

A l'instar des faux antivirus sous Windows, les faux antivirus pour Mac OS sont diffusés à l'aide des tristement célèbres partenariats. La présence de la ligne " affid " (abréviation de affiliate ID) dans les fichiers du téléchargeur en témoigne. Ce paramètre permet au propriétaire du partenariat d'identifier le partenaire à payer pour l'installation du faux antivirus.


Extrait du code du téléchargeur du faux antivirus pour OS X Trojan-Downloader.OSX.FavDonw

Vu que les utilisateurs de Mac OS X se trouvent principalement dans les pays développés où la diffusion de faux antivirus peut rapporter le plus aux individus malintentionnés, la géographie de la répartition des faux antivirus pour Mac OS X correspond à la géographie de la répartition des programmes similaires sous Windows dont nous avons parlé plus haut.

Nous supposons que la prochaine étape dans le développement des programmes malveillants pour Mac OS X portera sur des outils de dissimulation de l'activité et des téléchargeurs universels pour Mac ainsi que des chevaux de Troie destinés à voler les informations bancaires comme ZeuS ou SpyEye. Le temps est venu pour les utilisateurs de Mac de penser sérieusement à la sécurité de leur système et d'installer un logiciel antivirus.

Maintien de l'offensive des chevaux de Troie pour appareils nomades

Un parent de DroidDream

Des programmes malveillants ont une fois de plus été détectés à la fin du mois de mai sur Android Market, la boutique officielle d'applications sous Android. A l'instar de ce qui s'était produit au trimestre précédent, il s'agissait principalement de version recompactée d'applications légitimes auxquelles des modules de type cheval de Troie avaient été ajoutés. Au total, ce sont 34 paquets malveillants qui ont été identifiés. Le cheval de Troie ajouté au fichier d'installation était une nouvelle modification de notre ancienne connaissance DroidDream (Backdoor.AndroidOS.Rooter). Afin que le cheval de Troie puisse à nouveau se retrouver sur Android Market, les individus malintentionnés ont du légèrement modifier sa fonction. Le code d'exploitation qui permet au cheval de Troie d'obtenir les privilèges d'administrateur et qui facilitait la détection du paquet malveillant ne se trouvait plus quant à lui dans le fichier d'installation, mais il était téléchargé par le cheval de Troie sur le téléphone infecté.

Porte dérobée KunFu

La deuxième menace pour Android OS qui a connu un développement actif au deuxième trimestre est une porte dérobée détecté par les logiciels de Kaspersky Lab sous le nom de Backdoor.AndroidOS.KunFu. Ce cheval de Troie fonctionne de manière traditionnelle : il se connecte à un serveur dont le nom figure dans le corps du programme. Une fois installé, le cheval de Troie utilise le code d'exploitation connu " Rage against the cage " pour obtenir les privilèges d'administrateur. Le cheval de Troie récolte les informations relatives à l'appareil infecté et les envoie à l'individu malintentionné. Il reçoit ensuite des instructions du serveur. Ce programme malveillant peut installer, puis exécuter à l'insu de l'utilisateur des paquets d'applications ou accéder à des pages Web. Ce cheval de Troie se diffuse principalement par diverses boutiques d'applications non officielles. Il vise principalement les utilisateurs chinois. Les serveurs de commande sont également hébergés dans ce pays.

Il convient de signaler que l'auteur de ce cheval de Troie est très intéressé par sa survie et emploie toutes les techniques possibles pour éviter la détection par les logiciels antivirus. En trois mois, ce sont plus de 29 (!) modifications de ce programme malveillant qui ont été détectées. De plus, le code d'exploitation utilisé pour obtenir de plus grands privilèges est chiffré à l'aide d'un algorithme DES. Les dernières versions du cheval de Troie ont été fortement remaniées : la bibliothèque contenant la fonctionnalité principale a été traduite du code Java au code Native. L'auteur du programme voulait visiblement compliquer de la sorte l'analyse du code.

Statistiques menaçantes

A en croire nos statistiques, la croissance du nombre de menaces pour les diverses plateformes mobiles prend de la vitesse.


Nombre de signatures ajoutées pour les nouveaux programmes
malveillants sous diverses plateformes mobiles au T1 et T2 2011

Le nombre d'enregistrements qui détectent les programmes malveillants sous J2ME (programme malveillant pour téléphone portable et smartphone d'entrée de gamme) a doublé au cours du trimestre et le nombre de détections de programmes malveillants pour Android OS a presque triplé.

Le mode actuel selon lequel la majorité des chevaux de Troie pour appareil nomade gagne de l'argent repose sur l'envoi de SMS vers des numéros payants. L'argent est soit retiré du compte de l'utilisateur, soit le propriétaire du téléphone s'abonne sans le savoir à un service payant. Dans ce deuxième cas, plus répandu en Asie, l'utilisateur reçoit un SMS en provenance du service qui confirme l'inscription. Afin que le propriétaire du téléphone ne se doute de rien, ces chevaux de Troie suppriment le message de confirmation de l'inscription dès sa réception. Ainsi, les chevaux de Troie peuvent rester très longtemps sur un appareil et offrir à leur auteur un revenu constant.

Il est inquiétant de constater que les programmes malveillants pour les appareils nomades se propagent non seulement via diverses ressources appartenant à des tiers, mais également via les boutiques d'applications officielles. Il est évident qu'Android Market doit revoir sa politique de diffusion des applications. Mais pour l'instant, les propriétaires des boutiques, qu'elles soient officielles ou non, ne se pressent pas pour changer les règles, ce qui favorise les auteurs de virus. Dans ce contexte, le nombre de personnes désireuses de gagner de l'argent de manière illégale sur le compte des utilisateurs lambda va augmenter, avec un effet sur le nombre de menaces et leur qualité. Pour l'utilisateur lambda, la conclusion est simple : si vous n'avez pas encore installé un logiciel antivirus sur votre appareil nomade, faites-le. Dans le cas contraire, il est fort probable que vous ne serez pas l'unique utilisateur de votre téléphone.

Menaces sur la réputation

Le deuxième trimestre 2011 aura été marqué par un nombre plus important encore d'attaques contre de grandes sociétés. Parmi les victimes, nous retrouvons des grands noms tels que Sony, Honda, Fox News, Epsilon ou Citibank. Dans la majorité des cas, ce sont les données des clients de ces sociétés qui ont été dérobées.

Les données personnelles d'un grand nombre d'utilisateurs peuvent intéresser aussi bien les cybercriminels (pour réaliser diverses attaques, dont des attaques ciblées) que certaines structures commerciales légitimes. Il semblerait également que les pirates n'ont jamais utilisé les données volées à des fins commerciales. Nous ne disposons d'aucune information faisant état de la vente de ces données au marché noir ou de leur utilisation par des individus malintentionnés. Ce comportement des pirates signifie qu'ils ne recherchaient pas en priorité l'enrichissement rapide à l'aide des données volées.

Pour beaucoup de personnes, l'événement marquant du deuxième trimestre 2011 aura été un des plus grands vols de données personnelles suite aux attaques menées contre des services appartenant à Sony : PlayStation Network et Sony Online Entertainment. Selon les estimations de Sony (http://republicans.energycommerce.house.gov/Media/file/Letters/112th/050411Hirai.pdf), les individus malintentionnés auraient mis la main sur les données de 77 millions de comptes (!) d'utilisateurs des services PSN et Qriocity. Les services de Sony ont été inaccessibles dans le monde entier pendant quelques semaines afin de permettre l'enquête et de mettre à jour les systèmes de protection, ce qui a bien évidemment provoqué l'indignation des clients de la société. Une fois que les services furent rétablis, les utilisateurs durent restaurer leurs comptes en s'identifiant à l'aide, entre autres, de certaines données personnelles qui avaient peut-être été volées lors de l'attaque. Il convient de noter qu'aucun utilisateur n'a signalé de problème lors de la restauration des comptes.

Outres les données personnelles, ces services conservent également les données des cartes de crédit utilisées comme mode de paiement par les clients. Après l'attaque menée contre les services de Sony, les forums en pleine ébullition ébruitaient des rumeurs selon lesquelles les auteurs des attaques avaient également volé les codes secrets cvv2, indispensables à la finalisation des transactions. Toutefois, Sony a déclaré que les pirates pouvaient avoir obtenu uniquement une partie des informations relatives aux cartes de crédit, sans le code cvv2, à savoir le numéro de la carte et sa durée de validité. Ici aussi, rien n'indique que ces informations ont été utilisées ou vendues à des fins malintentionnées.

A ce jour, rien ne permet de se prononcer sur les auteurs de ces attaques et sur les motifs. Tout ce qui vient d'être expliqué peut nous amener à penser que le but premier des pirates n'était pas de gagner de l'argent, mais bien de nuire à la réputation de la société. A ce propos, l'association anglaise des vendeurs de jeux et de consoles a signalé que le nombre de retours et d'échanges d'appareils Sony après les problèmes rencontrés par PSN avait sensiblement augmenté. Comme vous le savez, quelques heures peuvent suffire à détruire une réputation bâtie après de nombreuses années d'efforts.

Hacktivistes

Le phénomène de l'hacktivisme qui consiste à s'attaquer à un système en particulier ou à le mettre hors service en guise de protestation face aux actions d'un gouvernement ou d'une grande entreprise continue à se développer. Un nouveau groupe, baptisé LulzSec, a fait son apparition au deuxième trimestre. En 50 jours, il a réussi à compromettre plusieurs systèmes et à publier les données personnelles de dizaines de milliers d'utilisateurs.

A l'instar des actions du groupe Anonimous que nous connaissons déjà, les actions de LulzSec ne sont pas motivées par l'argent. Les représentants du groupe eux-mêmes déclarent qu'ils attaquent les serveurs des entreprises uniquement " pour le fun ". Mais à la différence d'Anonimous, ce nouveau groupe a eu plus souvent recours aux médias sociaux, dont Twitter, pour annoncer ses actions au monde.

LulzSec s'en est pris à de grandes sociétés telles que Sony, EA, AOL, etc. et à des institutions publiques comme le Sénat américain, la CIA, SOCA UK, etc. Les informations obtenues dans le cadre de ces attaques ont été publiées sur le site du groupe LulzSec, puis diffusées via des réseaux torrent. Dans la majorité des cas, il s'agissait des données personnelles des utilisateurs.

Il sera intéressant d'étudier la manière dont ce groupe a réussi à déjouer les systèmes de protection. Il se peut que de nombreuses attaques aient été menées à l'aide de mécanismes déjà connus pour la recherche automatique de vulnérabilités telles que les injections SQL. Une fois que les pirates peuvent accéder aux données telles que des noms d'utilisateur et des mots de passe ou des caches de mots de passe sur un serveur moins protégé, ils peuvent les utiliser pour la suite de l'attaque car même les personnes qui ont des privilèges d'administrateur utilisent souvent le même mot de passe pour différents services.

Au fil du temps, les attaques de LulzSec ont pris une tournure politique. LulzSec s'est allié à Anonimous pour organiser diverses attaques contre des organismes publics et de grandes entreprises afin de publier des données secrètes. Ainsi, à l'issue d'une série d'attaques sous le nom de code " AntiSec ", les pirates ont pu accéder aux données de la police d'Arizona. La correspondance des officiers de police, des documents confidentiels ainsi que les données personnelles et les mots de passe de certains agents furent diffusés. Les porte-paroles du groupe ont déclaré que cette attaque avait été organisée en représailles face à la décision du sénat de l'Etat d'Arizona de durcir sa politique d'immigration. ("We are targeting AZDPS specifically because we are against SB1070 and the racial-profiling anti-immigrant police state that is Arizona.").

Bien entendu, les autorités judiciaires ne pouvaient pas rester indifférentes face à toutes ces attaques. Trois personnes soupçonnées d'avoir participé aux attaques organisées par le groupe Anonimous ont été arrêtées en Espagne et 32 autres en Turquie. Le groupe LulzSec annonçait son démantèlement à la fin du mois de juin. Il se peut que cette décision ait été prise en raison des enquêtes menées dans plusieurs pays afin d'identifier et d'arrêter les membres du groupes.

La divulgation des données personnelles des utilisateurs pratiquées par les hacktivistes est, malheureusement, un geste irresponsable et amoral. De telles actions, même si elles n'ont aucun rapport avec l'argent à première vue, peuvent avoir des conséquences bien réelles pour les utilisateurs, notamment sur le plan financier. Tout d'abord, nombreux sont les utilisateurs qui, malgré les recommandations des experts en sécurité informatique, utilisent le même mot de passe pour plusieurs services, y compris des services de transactions bancaires en ligne. Ensuite, les données publiées peuvent intéresser des criminels du monde réel et dans ce cas-là, qui peut encore parler d'actions menées " pour le fun " ? A ce propos, les membres de ces groupes redoublent d'efforts pour préserver leur anonymat. Dès lors, les appels à la divulgation des informations provenant de personnes qui font tout ce qui est en leur pouvoir pour masquer leur propre identité peuvent sembler étranges.

Les attaques contre les institutions gouvernementales vont certainement se poursuivre même après la dissolution officielle du groupe LulzSec. Les administrateurs systèmes des grandes entreprises et des institutions publiques doivent absolument tester leurs systèmes sans quoi, la prochaine vague d'hacktivistes pourra les toucher également.

Cybercriminalité et législation

Démantèlement du réseau de zombies Coreflood

Un autre réseau de zombies, baptisé Coreflood, a été démantelé en avril 2011. Sur décision du juge, le ministère de la Justice des Etats-Unis et le FBI ont obtenu accès à cinq serveurs de gestion, ce qui a permis de s'emparer de l'administration du réseau de zombies. Ce réseau de zombies reposait sur le programme malveillant Backdoor.Win32.Afcore et, d'après le FBI, il était composé de 2 000 000 d'ordinateurs au moment de son démantèlement.

Le démantèlement d'un réseau de zombies est une tâche complexe, non seulement du point de vue technique, mais également du point de vue juridique. Après avoir pris les commandes de Coreflood, les autorités judiciaires avaient la possibilité de supprimer d'un seul clic tous les bots sur les ordinateurs infectés. Mais ces mesures auraient pu violer les lois d'autres pays car les ordinateurs infectés par les bots ne se trouvaient pas qu'aux Etats-Unis. Par conséquent, avant de supprimer les bots, il a fallu déterminer l'emplacement des ordinateurs infectés sur la base de l'adresse IP. Ensuite, les autorités judiciaires américaines ont obtenu l'accord des organisations dont les ordinateurs étaient infectés par le bot ainsi qu'une autorisation du tribunal pour la suppression à distance du programme malveillant. Au final, le réseau de zombies Coredlood a perdu une grande partie de ses ressources. Toutefois, comme dans le cas de Rustock, tant que les véritables propriétaires du réseau de zombies ne sont pas arrêtés, il est fort probable qu'ils reprennent leurs activités clandestines et créent un nouveau réseau de zombies.

Le démantèlement de réseaux de zombies décentralisés comme Kido, Hlux et Palevo peut s'avérer encore plus complexe que la fermeture de réseaux de zombies du type Coreflood, Rustock ou Bredolab. La seule manière de fermer de tels réseaux de zombies consiste à lancer une procédure d'interception de l'administration des bots. Dans la pratique, cela implique une modification des programmes malveillants sur les ordinateurs des utilisateurs répartis dans divers pays. A l'heure actuelle, il existe un vide juridique qui empêche les autorités judiciaires et les experts en sécurité informatique d'agir de la sorte.

Il faut espérer que les autorités judiciaires continueront leurs actions pour la fermeture de réseaux de zombies et que les juristes de divers pays pourront, de leur côté, unir leurs efforts afin de créer les conditions indispensables au nettoyage des ordinateurs infectés dans le monde entier.

Législation au Japon

La pratique le démontre à chaque fois : le moyen le plus efficace de lutter contre la criminalité informatique consiste à capturer les auteurs de virus. Le 17 juin 2011, le parlement japonais a adopté une loi qui condamne la création malintentionnée et la conservation de programmes malveillants.

Avant l'adoption de ce texte, il n'existait au pays du Soleil levant aucun moyen de condamner un individu pour la création malintentionnée de programmes malveillants. Il fallait trouver des astuces pour condamner les auteurs de virus et invoquer des articles sur la violation des droits d'auteur, la piraterie informatique ou l'endommagement de la propriété d'autrui. La lutte menée de cette manière était loin d'être efficace et c'est pour cette raison que des amendements à la législation s'imposaient.

La nouvelle loi impose également aux fournisseurs d'accès Internet de conserver les journaux pendant 2 mois et de les transmettre, le cas échéant, aux autorités judiciaires.

Le Japon a franchi un pas de géant dans la lutte contre la cybercriminalité.

Devise virtuelle et problèmes réels

En 2009, le programmeur et mathématicien Satosi Natomoto lançait un projet intéressant sur la création de la cryptodevise Bitcoin. La conception de cette devise présente quelques particularités importantes. Il n'existe pas d'autorité centrale d'émission et de contrôle pour Bitcoin. L'argent est généré sur les ordinateurs des utilisateurs à l'aide d'une application spéciale et tous les transferts d'argent dans le système Bitcoin sont anonymes. De nos jours, Bitcoin est très utilisé dans les paiements en ligne pour divers biens et services ; il existe des bourses sur lesquelles cet argent électronique peut être échangé contre diverses devises réelles comme le dollar, la livre sterling, le yen, etc. Il convient de signaler que cette devise est également appréciée de divers éléments cybercriminels. Ainsi, le groupe LulzSec acceptait les dons en Bitcoin et elle a cours également sur certains forums clandestins.

Pickpockets virtuels

La popularité croissante de Bitcoin ne pouvait qu’ attirer l'attention de personnes prêtes à gagner de l'argent d'une manière pas tout à fait honnête. Le porte-monnaie crypté contenant l'argent se trouve sur l'ordinateur de l'utilisateur et pour y accéder, il suffit de saisir un mot de passe. Les individus malintentionnés sont parvenus à la conclusion qu'il était possible de voler ces porte-monnaie, puis de tenter de trouver le mot de passe. A la fin du mois de juin, les experts en sécurité ont découvert un cheval de Troie assez élémentaire capable d'envoyer le porte-monnaie Bitcoin à l'individu malintentionné par courrier dès qu'il était exécuté sur l'ordinateur. L'histoire ne raconte pas si l'auteur du programme malveillant a réussi à ouvrir les porte-monnaie, mais si ce cheval de Troie est perfectionné, il constituera une véritable menaces pour les personnes qui utilisent la cryptodevise. Si l'on tient compte de la tendance au vol à l'aide de bots de toutes les informations possibles sur un ordinateur, cette fonctionnalité peut se retrouver dans des programmes malveillants populaires qui surveillent toute les activités sur l'ordinateur.

Krach boursier

L'économie Bitcoin a été secouée au deuxième trimestre par un effondrement du cours sur une des bourses les plus utilisées, à savoir " Mt. Gox ". En l'espace de quelques minutes, le cours est passé de 16 dollars à quelques cents pour un Bitcoin. Cet effondrement du cours avait été provoqué par la vente d'une énorme quantité de Bitcoins volés sur un compte et vendus à un très bas prix. Dès que l'administration de la bourse a remarqué l'effondrement du cours, elle a très vite adopté les bonnes décisions : les échanges ont été suspendus et toutes les transactions suspectes ont été annulées.

 
Effondrement du cours du Bitcoin le 20 juin 2011

On a appris par la suite que le compte avait été compromis après le vol d'une base de noms d'utilisateur, d'adresses de messagerie et mots de passe en cache d'utilisateurs de la bourse. Il est évident que l'individu malintentionné a réussi à trouver le mot de passe et à organiser l'effondrement du cours en espérant en retirer un bénéfice. Avant cet incident sur la bourse " Mt. Gox ", une vulnérabilité de type Cross Site Request Forgery permettant aux individus malintentionnés d'utiliser des requêtes spéciales pour amener les utilisateurs à réaliser des transactions en Bitcoin avait été détectée. Ces cas ont démontré que même dans le cadre de l'utilisation de devises virtuelles, la protection d'un système de transactions boursières doit être très bien pensée. Ce n'est pas un hasard si les institutions financières accordent autant d'attention à leur protection et le monde de l'argent électronique ne doit pas constituer une exception.

Extraction de Bitcoin à la russe - Trojan.NSIS.Miner.a

Pour l'instant, 1 million de pièces Bitcoin sur les 21 millions prévus a été produit. Tout le monde peut participer à l'extraction de Bitcoins et obtenir un rémunération sous la forme des pièces créées.

Certains cybercriminels, russophones à en croire certaines lignes de code, ont estimé que voler les porte-monnaie et tenter de trouver le mot de passe était trop compliqué tandis qu'il serait excellent de pouvoir amener les utilisateurs qui ne se douteraient de rien à extraire des Bitcoins pour leur compte. A la fin du mois de juin, nos experts ont détecté un programme malveillant composé d'un programme légitime de création de pièces (bcm) et d'un module de type cheval de Troie pour l'administration. Une fois exécuté sur l'ordinateur infecté, le cheval de Troie commence à produire des pièces pour les individus malintentionnés. Ce cheval de Troie est réparti de la manière suivante : Russie (37 %), Inde (12 %), Ukraine (7 %), Kazakhstan (5 %) et Viet Nam (3 %). Heureusement, ce subterfuge a été détecté assez rapidement par le système automatique du pool de Bitcoins et le compte de l'individu malintentionné dans le système de création d'argent a été bloqué, puis supprimé.

 
Partie du code Trojan.NSIS.Miner.a indiquant où envoyer les Bitcoin extraits

Il est important de signaler que la viabilité de l'ensemble du système de cryptodevise Bitcoin repose sur la confiance que lui portent les utilisateurs et sur l'absence de fausse monnaie. Les cas décrits ci-dessus montrent malheureusement que les individus malintentionnés recherchent activement des failles dans les systèmes de sécurité des divers composants de l'économie Bitcoin. Les administrateurs des bourses et des pools de Bitcoin doivent se préoccuper de la protection de leur système et de leur réputation, sans quoi toute leur activité pourrait s'effondrer en même temps que la confiance dans le système.

Statistiques

Nous présentons ci-dessous les statistiques obtenues suite au fonctionnement de divers composants chargés de la protection contre les programmes malveillants. Toutes les données statistiques citées dans ce rapport ont été obtenues à l'aide du réseau antivirus distribué Kaspersky Security Network (KSN). Ces données proviennent des utilisateurs du KSN qui ont marqué leur accord pour l'utilisation des données. Des millions d'utilisateurs de logiciels de Kaspersky Lab répartis dans 213 pays participent à cet échange global d'informations sur l'activité des programmes malveillants.

Menaces sur Internet

Les données statistiques présentées dans ce chapitre ont été obtenues via l'antivirus Internet qui protège les utilisateurs au moment de télécharger un code malveillant depuis une page infectée. Cette page infectée peut être un site créé spécialement par les individus malintentionnés, des sites dont le contenu est fourni par les utilisateurs (par exemple des forums) ou une ressource légitime compromise.

Objets détectés sur Internet

208 707 447 attaques organisées depuis divers sites répartis à travers le monde ont été repoussées au deuxième trimestre 2011. 112 474 programmes malveillants ou potentiellement indésirables ont été recensés dans l'ensemble dans ces incidents.

Top 20 des objets détectés sur Internet


Classement Nom* % de l'ensemble
des attaques**
1 Blocked 65,44%
2 Exploit.Script.Generic 21,20%
3 Trojan.Script.Iframer 15,13%
4 Trojan.Win32.Generic 7,70%
5 Trojan-Downloader.Script.Generic 7,66%
6 Trojan.Script.Generic 7,57%
7 AdWare.Win32.FunWeb.kd 4,37%
8 AdWare.Win32.FunWeb.jp 3,08%
9 Hoax.Win32.ArchSMS.heur 3,03%
10 Trojan-Downloader.JS.Agent.fxq 2,51%
11 Trojan.JS.Popupper.aw 2,18%
12 Trojan.HTML.Iframe.dl 1,76%
13 Trojan-Downloader.Win32.Generic 1,62%
14 AdWare.Win32.HotBar.dh 1,49%
15 Worm.Script.Generic 1,30%
16 Exploit.JS.CVE-2010-1885.k 1,20%
17 Hoax.Win32.ArchSMS.pxm 1,04%
18 Trojan.JS.Redirector.pz 0,87%
19 Trojan.JS.Agent.bun 0,85%
20 Hoax.Win32.Screensaver.b 0,84%

* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l'envoi des statistiques.
** Pourcentage de l'ensemble des attaques via Internet enregistrées sur les ordinateurs d'utilisateurs uniques.

La première place est occupée par diverses URL malveillantes (65,44 %) figurant dans notre liste noire : adresses de pages Web contenant des paquets de code d'exploitation, des bots, des chevaux de Troie d'escroquerie, etc.

La majorité des programmes du Top 20 sont des programmes malveillants qui utilisent d'une manière ou d'une autre les attaques par téléchargement à la dérobée : téléchargeurs de script, redirecteurs, codes d'exploitation. Les individus malintentionnés s'intéressent de plus en plus aux manières de déjouer divers outils d'analyse du code malveillant en langage de script (JS, VBS, etc.). Ils utilisent pour ce faire différentes ruses, notamment la dissimulation de la fonctionnalité principale du script dans des endroits du code HTML inattendus du point de vue des analyseurs. Par conséquent, la majorité de ces programmes est détectée sous le nom generic par les méthodes heuristiques.

La deuxième place du Top 20 revient au verdict Exploit.Script.Generic (%6,5 %) qui a délogé les chevaux de Troie téléchargeurs, abonnés à la première ou à la deuxième place depuis trois ans. Ce nom désigne divers codes d'exploitation de script qui représentent un cinquième de l'ensemble des attaques enregistrées via Internet. Cela signifie que le nombre d'attaques par téléchargement à la dérobée qui débutent par l'utilisation de codes d'exploitation continue à augmenter tandis que les individus malintentionnés réalisent de plus en plus rarement des attaques au cours desquelles la victime doit télécharger et lancer elle-même le fichier malveillant.

Six objets détectés dans le Top 20 sont des logiciels publicitaires ou des programmes d'escroquerie. Les logiciels publicitaires de la famille FunWeb occupent deux positions (7e et 8e) en terme de fréquence de détection. C'est chez les utilisateurs aux Etats-Unis (25,2 %) et en Inde (32,7 %) que l'installation de ces applications a le plus souvent été bloquée. Les programmes d'escroquerie du type Hoax.Win32.ArchSMS qui sont des installateurs payants d'applications gratuites occupent eux-aussi deux positions dans le classement (17e et 20e).

Top 20 des pays dont les ressources hébergent les programmes malveillants

Au deuxième trimestre 2011, 10 pays abritaient 87 % des ressources Internet utilisées pour diffuser des programmes malveillants, soit une réduction de 2 % par rapport au trimestre antérieur. Pour définir la source géographique de l'attaque, nous avons utilisé une technique de comparaison du nom de domaine et de l'adresse IP authentique sur laquelle se trouve ce domaine et la définition de l'emplacement géographique de cette adresse IP (GEOIP).

 
Répartition des sites Web abritant des programmes malveillants par pays.
Deuxième trimestre 2011

L'élaboration de nouvelles législations et les victoires remportées dans la lutte contre les cybercriminels aux Etats-Unis et dans les pays d'Europe occidentale peuvent entraîner une délocalisation progressive des services d'hébergement utilisés pour diffuser les programmes malveillants depuis les pays développés vers les pays en développement. La première place au niveau de la réduction du nombre de services d'hébergement avec du code malveillant revient aux Pays-Bas dont la part a reculé de 4,3 % par rapport au mois précédent et représente désormais 7,8 %. Les opérations menées par la police néerlandaise, notamment dans le cadre de la neutralisation de réseaux de zombies (Bredolab, Rustock) poussent les cybercriminels à abandonner les hébergeurs de ce pays.

Le nombre d'hébergeurs chez lesquels on retrouve des programmes malveillants continue à diminuer en Chine également : la part de ce pays atteint désormais 5,6 %, soit un recul de 2 %. Alors que les hébergeurs chinois étaient, il y a deux ans, la principale source de diffusion de programmes malveillants sur Internet, ils disparaissent désormais peu à peu des radars des antivirus.

Pays dont les internautes ont été le plus exposés au risque d'infection via Internet

Pour évaluer le risque d'infection via Internet auquel sont exposés les ordinateurs des utilisateurs dans différents pays, nous avons calculé la fréquence de déclenchement de l'Antivirus Internet chez les utilisateurs dans chacun des pays au cours du trimestre.

Top 10 des pays dont les internautes ont été le plus exposés au risque d'infection via Internet


Classement Pays* % d'utilisateurs
uniques**
1 Oman 55,70%
2 Russie 49,50%
3 Irak 46,40%
4 Azerbaïdjan 43,60%
5 Arménie 43,60%
6 Soudan 43,40%
7 Arabie saoudite 42,60%
8 Bélarus 41,80%
9 États-Unis 40,20%
10 Koweït 40,20%

*Pour les calculs, nous avons exclu les pays où le nombre d'utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
**Pourcentage d'utilisateurs uniques soumis à des attaques via Internet par rapport à l'ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

A l'exception des Etats-Unis, les pays du Top 10 appartiennent à une des deux catégories suivantes. La première regroupe les pays de l'espace post-soviétique. C'est dans ces pays que les divers programmes d'escroquerie sont les plus répandus. Il peut s'agir de programmes malveillant qui envoient des SMS à des numéros payants en vue de transférer l'argent aux individus malintentionnés, par exemple Hoax.Win32.ArchSMS.

La deuxième catégorie reprend des pays de l'Orient : Irak, Soudan, Oman, Arabie Saoudite et Koweït. Le risque d'infection le plus élevé a été enregistré à Oman où un utilisateur sur deux a été victime d'au moins une attaque au cours du trimestre.

Tous les pays peuvent être scindés en plusieurs groupes en fonction du risque d'infection des ordinateurs des utilisateurs.

  1. Groupe à risque élevé. Ce groupe où le risque est compris entre 41 et 60 % reprend 8 pays du Top 10 : Oman, Russie, Irak, Azerbaïdjan, Arménie, Soudan, Arabie Saoudite et Bélarus.
  2. Groupe à risque. Ce groupe où le risque est compris entre 21 et 40 % accueille 94 pays dont les Etats-Unis (40,2 %), la Chine (34,8 %), l'Angleterre (34,6 %), le Brésil (29,6 %), le Pérou (28,4 %), l'Espagne (27,4 %), l'Italie (26,5 %), la France (26,1 %), la Suède (25,3 %) et les Pays-Bas (22,3 %).
  3. Groupe des pays les plus sûrs en terme de navigation sur Internet. Au deuxième trimestre 2011, ce groupe où le risque est compris entre 11,4 et 20 % contenait 28 pays dont la Suisse (20,9 %), la Pologne (20,2 %), Singapour (19,6 %) et l'Allemagne (19,1 %).

 
Risque d'infection des ordinateurs des utilisateurs via Internet dans divers pays

Par rapport au premier trimestre 2011, la composition du groupe à risque élevé a changé : le Kazakhstan (-1 %) en est sorti, tandis que le Soudan (4,5 %) et l'Arabie Saoudite (%2,6 %) ont fait leur entrée.

Nous tenons à attirer votre attention sur la situation des Etats-Unis qui, avec un résultat de 40,2 %, se sont rapprochés du groupe à risque élevé. Ceci s'explique d'abord par l'augmentation du nombre de faux antivirus, un phénomène que nous avons évoqué dans la première partie du rapport. L'augmentation générale du nombre de faux antivirus détectés repose tout d'abord sur l'augmentation du nombre de détections aux Etats-Unis précisément. Les cybercriminels de ce pays déploient également tous leurs efforts pour infecter des ordinateurs à l'aide des clients bots de réseau TDSS et Gbot. Les sites utilisés pour propager ces programmes dans cette région occupent la deuxième et la sixième position dans le classement des fréquences des tentatives de téléchargement de programmes malveillants.

Par rapport au premier trimestre, 8 nouveaux pays sont venus s'ajouter au groupe à risque au deuxième trimestre 2011. Il s'agit de pays des quatre coins du monde.

De son côté, le groupe des pays les plus sûrs au niveau de la navigation sur Internet a perdu cinq pays. Nous citerons en particulier la Finlande (22,1 %) qui se retrouve dans le groupe à risque.

Les pourcentages les plus faibles d'internautes attaqués ont été enregistrés au Japon (13 %), à Taïwan (13,7 %), en Tchéquie (16,1 %), au Danemark (16,2 %), au Luxembourg (16,9 %), en Slovénie (17,8 %) et en Slovaquie (18,3 %).

Menaces locales

Toutes les statistiques reprises dans ce chapitre ont été obtenues à l'aide du module d'analyse à l'accès.

Objets découverts sur les ordinateurs

Au deuxième trimestre 2011, nos solutions antivirus ont bloqué 413 694 165 tentatives d'infection locales sur les ordinateurs d'utilisateurs membres du Kaspersky Security Network.

462 754 programmes malveillants ou potentiellement indésirables divers ont été recensés dans l'ensemble dans ces incidents. Il s'agit notamment d'objets qui se sont introduis sur les ordinateurs par d'autres moyens qu'Internet, que le courrier ou que les ports de réseau, par exemple via un réseau local ou via des lecteurs amovibles.

Comme vous le constatez, le nombre d'objets uniques est trois fois inférieur au nombre de tentatives d'infection. Cela signifie que le développement des programmes malveillants dangereux est au main d'un cercle restreint d'individus.

Top 20 des objets découverts sur les ordinateurs des utilisateurs


Classement Nom* % d'utilisateurs
uniques**
1 DangerousObject.Multi.Generic 35,93%
2 Trojan.Win32.Generic 23,02%
3 Net-Worm.Win32.Kido.ir 13,48%
4 Virus.Win32.Sality.aa 5,92%
5 AdWare.Win32.FunWeb.kd 4,99%
6 Net-Worm.Win32.Kido.ih 4,57%
7 Virus.Win32.Sality.bh 4,44%
8 Trojan.Win32.Starter.yy 4,43%
9 Hoax.Win32.ArchSMS.heur 3,91%
10 Worm.Win32.Generic 3,65%
11 Trojan-Downloader.Win32.Geral.cnh 2,62%
12 Virus.Win32.Sality.ag 2,45%
13 HackTool.Win32.Kiser.zv 2,29%
14 Hoax.Win32.ArchSMS.pxm 2,22%
15 HackTool.Win32.Kiser.il 2,19%
16 Worm.Win32.FlyStudio.cu 2,09%
17 Trojan.JS.Agent.bhr 2,03%
18 Virus.Win32.Nimnul.a 2,02%
19 Hoax.Win32.Screensaver.b 1,95%
20 Trojan-Downloader.Win32.VB.eql 1,81%

* Verdicts détectés du module Antivirus. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l'envoi des statistiques.
** Pourcentage d'utilisateurs uniques sur les ordinateurs desquels l'Antivirus a détecté l'objet en question, par rapport à l'ensemble des utilisateurs uniques des produits de Kaspersky Lab chez qui l'Antivirus s'est déclenché.

La première place du classement revient à divers programmes malveillants détectés à l'aide de technologies dans le nuage. Ces technologies interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu'il n'est pas possible de détecter le programme malveillant à l'aide de l'analyse heuristique, mais l'éditeur de logiciels antivirus a accès dans le " nuage " aux informations relatives à l'objet. Dans ce cas, l'objet détecté reçoit le nom DangerousObject.Multi.Genric.

Dix membres du Top 20 soit possèdent un mécanisme de diffusion automatique, soit utilisent une des composantes du mode de diffusion des vers.

Au cours de ce trimestre, nous avons assisté à l'explosion du nombre d'infections par le nouveau programme malveillant Virus.Win32.Ninmul.a. Ce programme malveillant se propage de deux manières : via l'infection de fichiers exécutables et via les disques amovibles grâce à la fonction d'exécution automatique. Il se propage principalement dans des pays d'Asie tels que l'Indonésie (20,7 %), l'Inde (20 %) ou le VietNam (16,6 %) où les systèmes d'exploitation sont rarement mis à jour et où tous les ordinateurs sont loin d'être équipés d'un logiciel de protection. La charge utile principale du programme malveillant est la porte dérobée Backdoor.Win32.IRCNite.yb qui établit une connexion à un serveur distant et qui enrôle l'ordinateur de la victime dans un réseau de zombies.

Le Top 20 contient uniquement deux familles de programmes malveillants infectieux : Sality et Nimnul. Le développement de ce type de programmes malveillants prend beaucoup de temps et exige une excellente connaissance du fonctionnement du système d'exploitation, du format des fichiers, etc. Et dans la majorité des cas, la propagation de ces programmes attirent très vite l'attention des éditeurs de logiciels antivirus. L'utilisation d'infecteurs est devenue la prérogative de quelques auteurs de virus uniquement ou de groupes criminels et il se peut que le nombre de programmes malveillants de ce genre diminue davantage. Il est plus que probable que l'utilisation d'infecteurs complexes sera réservée à des attaques ciblées dans lesquelles l'infection à 100 % de la cible est fondamentale et pour lesquelles les commanditaires sont prêts à dépenser de l'argent dans le développement de programmes malveillants complexes sur le plan technologique.

Pays où les ordinateurs des utilisateurs ont été le plus exposés au risque d'infection locale

Dans divers pays, nous avons calculé le pourcentage d'utilisateurs de KSN sur les ordinateurs desquels des tentatives d'infection locale ont été bloquées. Les chiffres obtenus montrent l'infection moyenne des ordinateurs dans un pays ou l'autre.

Top 10 des pays en fonction du degré d'infection des ordinateurs


Classement Pays* % d'utilisateurs
uniques**
1 Bangladesh 63,60%
2 Soudan 61,00%
3 Irak 55,50%
4 Népal 55,00%
5 Angola 54,40%
6 Tanzanie 52,60%
7 Afghanistan 52,10%
8 Inde 51,70%
9 Rwanda 51,60%
10 Mongolie 51,10%

* Pour les calculs, nous avons exclu les pays où le nombre d'utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
* *Pourcentage d'utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l'ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Par rapport au premier trimestre 2011, le Top 10 des pays où les utilisateurs locaux sont les plus exposés au risque d'infection locale a subi une modification intéressante. L'Inde a fait son entrée au classement : au cours des trois derniers mois, l'ordinateur d'un utilisateur sur deux a été exposé au moins à un risque d'infection locale. Cela fait plusieurs années maintenant que l'intérêt des cybercriminels pour l'Inde suit l'augmentation du nombre d'ordinateurs dans ce pays. Ce phénomène est renforcé par le faible niveau des connaissances informatiques de la population et par l'utilisation répandue de logiciels pirates qui ne sont pas mis à jour. S'agissant des caractéristiques des programmes malveillants qui tentent d'infecter les ordinateurs en Inde, nous avons affaire dans la majorité des cas à des programmes développés pour construire des réseaux de zombies. Nous pouvons observer ici une multitude de programmes malveillants qui se propagent automatiquement tels que Virus.Win32.Sality, Virus.Win32.Ninmul ou IM-Worm.Win32.Sohanad. Il convient également de signaler les diverses modifications des vers et des chevaux de Troie autorun. Comme vous le savez, Microsoft a diffusé au premier trimestre un correctif qui bloque l'exécution automatique sur les disques amovibles. Mais ce correctif s'installe automatiquement uniquement sur les systèmes mis à jour, qui sont assez rare en Inde. Selon toute vraisemblance, l'Inde constitue aux yeux des propriétaires de réseaux de zombies une réserve de millions d'ordinateurs qui ne sont pas mis à jour et qui peuvent fonctionner pendant longtemps dans un réseau de zombies.

Dans le cas des infections locales, nous pouvons regrouper les pays en fonction du niveau d'infection :

  1. Niveau d'infection maximum. Ce groupe comprend les pays ayant obtenu un résultat supérieur à 60 % comme le Bangladesh (63 %) et le Soudan (61 %).
  2. Niveau d'infection élevé. Ce groupe comprend 36 pays ayant obtenu un résultat allant de 41 à 60 %, dont l'Inde (51,7 %), l'Indonésie (48,4 %), le Kazakhstan (43,8 %), la Russie (42,2 %).
  3. Niveau d'infection moyen. Ce groupe comprend 58 pays ayant obtenu un résultat allant de 21 à 40 %, dont l'Ukraine (38,4 %), les Philippines (37,1 %) et la Thaïlande (35,7 %), la Chine (35,3 %), la Turquie (32,9 %), l'Equateur (31,1 %), le Brésil (30 %) et l'Argentine (27,3 %).
  4. Niveau d'infection le plus bas. 34 pays.

 
Risque d'infection locale des ordinateurs de différents pays

Pour l'ensemble du trimestre, le nombre de pays au niveau d'infection élevé a reculé de 12 ; le nombre de pays au niveau d'infection moyen a augmenté de 2 et le nombre de pays au niveau d'infection le plus bas a augmenté de 10.

Plusieurs pays européens ont changé de place dans le groupe du niveau d'infection le plus bas : la Grèce (19,9 %), l'Espagne (19,4 %), l'Italie (19,3 %), le Portugal (18,6 %), la Slovaquie (18,2 %), la Pologne (18,1 %), la Slovénie (17,2 %) et la France (14,7 %). Le nombre de tentatives d'infection dans ces pays diminue, ce qui s'explique avant tout par la réduction sensible du nombre d'incidents impliquant des vers autorun suite à la mise à jour du système d'exploitation Windows qui demeure prévalant. Nous attirons votre attention sur le fait que la Slovaquie et la Slovénie figurent également dans le groupe des pays où la navigation sur Internet est la plus sûre.

Voici le Top 5 des pays les plus sûrs en matière d'infection locale :


Classement Pays % d'utilisateurs
uniques**
1 Japon 8,20%
2 Allemagne 9,40%
3 Danemark 9,70%
4 Luxembourg 10%
5 Suisse 10,30%

Vulnérabilités

Au cours du deuxième trimestre 2011, 27 289 171 applications et fichiers vulnérables ont été recensés sur les ordinateurs des utilisateurs. Nous avons découvert en moyenne 12 vulnérabilités différentes pour chaque ordinateur vulnérable.

Le tableau ci-après reprend le Top 10 des vulnérabilités découvertes sur les ordinateurs des utilisateurs.


Secunia ID -
identifiant unique
de la vulnérabilité
Nom de la
vulnérabilité
et lien vers
sa description
Possibilités offertes
aux individus malintentionnés
qui décident d'exploiter
cette vulnérabilité
Pourcentage
d'utilisateurs
chez qui une
vulnérabilité
a été découverte
Date
de publication
Niveau
de danger
de la vulnérabilité
1 SA 41340 Adobe Reader / Acrobat SING "uniqueName" Buffer Overflow Vulnerability obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local 40,78% 08.09.2010 Extremely Critical
2 SA 43262 Sun Java JDK / JRE / SDK Multiple Vulnerabilities "obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local Exposure of sensitive information Manipulation of data DoS (déni de service) " 31,32% 09.02.2011 Highly Critical
3 SA 44119 Adobe Flash Player SharedObject Type Confusion Vulnerability "obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local " 24,23% 12.04.2011 Extremely Critical
4 SA 44590 Adobe Flash Player Multiple Vulnerabilities "obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local Exposure of sensitive information " 23,71% 13.05.2011 Highly Critical
5 SA 41917 Adobe Flash Player Multiple Vulnerabilities "obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local Exposure of sensitive information Contournement du système de sécurité " 21,62% 28.10.2010 Extremely Critical
6 SA 44784 Sun Java JDK / JRE / SDK Multiple Vulnerabilities "obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local Exposure of sensitive information Manipulation of data DoS (déni de service) " 12,16% 08.06.2011 Highly Critical
7 SA 43751 Adobe Flash Player / AIR AVM2 Instruction Sequence Handling Vulnerability obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local 9,40% 08.06.2011 Extremely Critical
8 SA 44964 Adobe Flash Player Unspecified Memory Corruption Vulnerability obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local 9,05% 15.06.2011 Extremely Critical
9 SA 42112 Adobe Shockwave Player Multiple Vulnerabilities obtention de l'accès au système et exécution d'un code aléatoire sous les privilèges d'un utilisateur local 8,78% 03.11.2010 Highly critical
10 SA 44846 Adobe Flash Player Unspecified Cross-Site Scripting Vulnerability Programmation de script inter site 8,18% 06.06.2011 Less Critical

Pour la première fois de son histoire, ce classement contient les logiciels de deux sociétés uniquement : Adobe et Oracle (Java). Comme nous l'avions prévu dans les rapports antérieurs, les logiciels de Microsoft ont disparu du classement. Ceci s'explique avant tout par l'amélioration du fonctionnement du mécanisme de mise à jour automatique et par la croissance des parts de Windows 7.


Editeurs des logiciels vulnérables du Top 10 des vulnérabilités

Sept vulnérabilités du classement sont en rapport avec un logiciel : Adobe Flash Player.

Remarquez que le Top 10 ne compte presque plus de vulnérabilités qui remontent aux années 2007-2008. Sur les dix vulnérabilités, sept ont été découvertes en 2011 et trois en 2010. Ceci est du à l'abandon progressif de Windows XP et Vista au profit de Windows 7 où le concept de mise à jour automatique a été perfectionné.


Répartition des vulnérabilités du Top 10 par type d'effet sur le système

Dans le Top 10, neuf vulnérabilités offrent un accès complet au système à l'individu malintentionné, tandis que quatre vulnérabilités permettent également d'accéder à des informations importantes sur l'ordinateur de l'utilisateur.

Conclusion

Au cours du deuxième trimestre 2011, nous avons observé une nouvelle étape dans le développement des faux antivirus. Les modifications observées touchent non seulement le nombre de programmes diffusés, mais également leur qualité. Le nombre de tentatives d'installation de faux antivirus déjouées sur les ordinateurs participant au KSN a augmenté de 300 %. Si le rythme de la croissance se maintient, nous pourrions atteindre les niveaux du début de l'année 2010, le pic du développement des faux antivirus, dès le trimestre prochain. Sur le plan qualitatif, nous avons constaté l'émergence de faux antivirus pour une nouvelle plateforme : Mac OS X. Malheureusement, les utilisateurs de ce système n'accordent pas une attention suffisante à sa protection et c'est la raison pour laquelle les ordinateurs à la pomme sont devenus un morceau de choix pour les auteurs de virus. Les faux antivirus pour Mac OS sont diffusés à l'aide des tristement célèbres partenariats. Cela veut dire que des auteurs de virus professionnels se sont intéressés à la plateforme et il faut s'attendre dans les prochains temps à l'apparition de programmes malveillants plus dangereux et plus complexes pour Mac OS.

Le deuxième trimestre 2011 aura été marqué par une hausse fulgurante du nombre de programmes malveillants pour les plateformes mobiles. Les individus malintentionnés d'aujourd'hui s'intéressent surtout à deux plateformes : J2ME et Android. Par rapport au premier trimestre 2011, le nombre de signatures détectant les programmes malveillants sous J2ME a doublé tandis que pour Android, ce chiffre a triplé. La méthode principale utilisée pour gagner de l'argent diffère de celle utilisée par les programmes malveillants pour PC. Les individus malintentionnés utilisent principalement les numéros payants pour l'envoi de SMS ou les abonnements à des services payants qui permettent de vider le compte mobile du propriétaire du téléphone. Dans un avenir proche, les auteurs de virus vont chercher de nouvelles manières de s'enrichir illégalement et par conséquent, les nouvelles en provenance du front des appareils mobiles vont être plus fréquentes, ce qui va renforcer la nécessité d'une protection adéquate.

La vague d'hacktivisme continue à se propager et touche de nouveaux pays. Les hacktivistes tirent leur force non seulement de leur professionnalisme, mais également du nombre de pirates impliqués : tous les sites sont loin de pouvoir résister aux assauts de ces pirates. Le nombre d'hacktiviste augmente car Internet confère un sentiment d'anonymat et d'impunité vis-à-vis des actions réalisées. Par conséquent, ce n'est qu'en identifiant et en condamnant les personnes impliquées dans ces attaques que les autorités judiciaires pourront mettre de l'ordre parmi les anonymes. Les gouvernements de plusieurs pays souhaitent non seulement l'arrestation des pirates, mais également l'arrêt du mouvement des hacktivistes, ce qui pourrait se traduire par un durcissement des peines pour les délits informatiques, dont les attaques par déni de service distribué, ou la signature d'accords de coopération et de partage des données entre les différents pays dans le cadre des enquêtes sur les hacktivistes.

Google tente pour la troisième fois une entrée sur le marché des réseaux sociaux. Mais cette fois-ci, il semble avoir tiré les leçons de ses échecs antérieurs. Le projet Google+, qui a déjà fait beaucoup parler de lui dans les médias, va probablement attirer les cybercriminels et les cybervoyoux qui chercheront à utiliser le nouveau service à leurs fins. Tout nouveau produit lancé par une grande société titille les amateurs de la recherche de vulnérabilités qui veulent tester le système de sécurité. Facebook et Twitter sont déjà devenus des lieux recherchés par les escrocs informatiques pour la diffusion de programmes malveillants. Il n'y a pas de raison pour que Google+ constitue une exception.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com