Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct Nov Dec
Les Analyses les plus Populaires



Kaspersky Security Bulletin 2014. Prévisions pour les APT



Bulletin de Kaspersky sur la sécurité en 2014. Principales statistiques pour 2014



Kaspersky Security Bulletin 2014. Prévisions 2015



Kaspersky Security Bulletin 2014. Evolution des malwares



Evolution des menaces informatiques au 3e trimestre 2014
 
 

  Page d'accueil / Analyses

Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012

12.12.2012   |   comments (2)

Denis Maslenikov
Yury Namestnikov

Cette partie du rapport est incluse dans le Kaspersky Security Bulletin 2012 et elle a été rédigée sur la base de données obtenues et traitées à l’aide de Kaspersky Security Network (KSN). Le KSN, qui est une des technologies les plus importantes de Kaspersky Lab, utilise une architecture dématérialisée dans les logiciels destinés aux particuliers et aux entreprises.

Kaspersky Security Network permet à nos experts de découvrir en temps réel les nouveaux programmes malveillants pour lesquels il n'existe pas encore de moyen de détection à l'aide de signatures ou d'analyse heuristique. KSN permet d'identifier les sources de propagation des programmes malveillants sur Internet et d'en bloquer l'accès pour les utilisateurs.

De la même manière, KSN permet de réagir très rapidement aux nouvelles menaces. À l'heure actuelle, nous pouvons bloquer l'exécution d'un nouveau programme malveillant sur les ordinateurs des utilisateurs quelques dixièmes de seconde après la prise de décision sur son caractère nocif et cela, sans le recours à la mise à jour traditionnelle des bases antivirus.

Les statistiques présentées dans le rapport reposent sur les données obtenues via les logiciels de Kaspersky Lab dont les utilisateurs ont accepté de transmettre des données statistiques.

Menaces sur les appareils nomades

Le développement des menaces pour appareils nomades en 2012 s'est déroulé sous le slogan "Plein feu sur Android". Les auteurs de virus se sont principalement concentrés sur le "petit robot vert". Nos prévisions relatives au développement des menaces pour appareils nomades en 2012 portant sur la création de réseaux d'appareils nomades zombies, d'attaques ciblées et de programmes malveillants pour appareils nomades spécialisés dans l'espionnage se sont vérifiées.

Programmes malveillants pour Android

En 2012, les auteurs de virus ont concentré tous leurs efforts sur la création de programmes malveillants pour Android. Cela s'est traduit par une augmentation aussi bien quantitative que qualitative des programmes malveillants pour cette plateforme. 99 % des programmes malveillants pour plateformes mobiles détectés chaque mois visaient Android.


Répartition des programmes malveillants par plateforme en 2012


Dynamique mensuelle de l'apparition de nouveaux programmes malveillants pour appareils nomades en 2012

 
TOP 10 des programmes malveillants pour Android

Les objets les plus souvent détectés sur les smartphones Android peuvent être scindés en trois catégories principales : les chevaux de Troie par SMS, les modules publicitaires et les codes d'exploitation permettant d'obtenir les privilèges root sur le smartphone.

Les plus répandus ont été les chevaux de Troie par SMS qui visaient principalement des utilisateurs en Russie. Ceci n'a rien d'étonnant si l'on tient compte de la popularité de longue date de ce genre de programme malveillant chez les auteurs de virus russes. Les SMS chers restent le moyen de gagner de l'argent préféré des cybercriminels qui visent les utilisateurs de téléphones mobiles.

Le deuxième groupe de menaces pour appareils nomades du Top 10 contient les modules de publicité Plangton et Hamob. La première famille est détectée en tant que cheval de Troie et ce n'est pas un hasard. Plangton se trouve dans les applications gratuites et affiche bel et bien des publicités. Toutefois, il possède une fonction complémentaire qui lui permet de remplacer la page d'accueil du navigateur. Cette page est remplacée sans avertissement et sans l'accord de l'utilisateur, ce qui est considéré comme un comportement malveillant. S'agissant de Hamob, les applications qui se font passer pour un programme utile quelconque mais qui en réalité ne font que montrer des publicités aux utilisateurs sont détectées sous le nom Adware.AndroidOS.Hamob.

S'agissant du troisième et dernier groupe, il réunit diverses modifications de codes d'exploitation pour obtenir les privilèges root sur les smartphones Android de différentes versions.

Cette popularité des codes d'exploitation repose en partie sur le fait que diverses modifications de portes dérobées issues de différentes familles, dont le nombre a augmenté cette année, utilisent les mêmes modifications de codes d'exploitation pour élargir leurs privilèges (privilèges root sur l'appareil).

Augmentation du nombre d'incidents impliquant des programmes malveillants dans les magasins officiels d'applications

Malgré l'introduction du module antivirus Google Bouncer (analyse automatique de toute nouvelle application chargée sur Google Play, ex Android Market) par Google, le nombre moyen d'incidents et leur ampleur n'ont enregistré aucune modification digne d'être citée. Les incidents provoquant le plus grand nombre d'infections sont ceux qui attirent souvent l'attention, par exemple le cas du programme malveillant Dougalek dont la copie a été téléchargée par des dizaines de milliers d'utilisateurs, principalement au Japon. Cela a débouché sur une des plus grandes fuites d'informations personnelles suite à l'infection d'un appareil nomade. Ceci étant dit, il ne faut pas négliger les centaines d'incidents comptant un nombre plus modeste de victimes.

Nous tenons aussi à signaler la première détection d'un programme malveillant pour iOS dans l'App Store. Au début du mois de juillet, nous avons détecté une application suspecte appelée "Find and Call" qui était proposée à la fois dans l'App Store et dans Android Market. Après avoir installé et exécuté cette application, l'utilisateur était invité à s'inscrire en saisissant son adresse de messagerie électronique et son numéro de téléphone. Une fois l'enregistrement terminé, les données saisies et le répertoire téléphonique de la victime étaient envoyés sur un serveur distant à l'insu de celle-ci.

 
Partie de la procédure de chargement du répertoire téléphonique sur le serveur distant

Après un certain temps, chaque numéro du répertoire téléphonique volé recevait un SMS non sollicité contenant un lien pour télécharger l'application "Find and Call".

Premiers réseaux d'appareils nomades zombies

Le premier signe fut la découverte au début de l'année d'un bot IRC pour Android baptisé Foncy qui coopérait avec un cheval de Troie par SMS portant le même nom. Ce bot IRC était en mesure de contrôler le smartphone après l'infection. Outre le cheval de Troie par SMS, le dropper APK contenait également un code d'exploitation root utilisé pour étendre ses privilèges dans le système infecté. Une fois que la connexion au serveur de commande avait été établie, le bot était en mesure de recevoir et d'exécuter des instructions shell. En fait, tous les smartphones infectés par le bot IRC Foncy formaient un réseau de zombies et étaient prêts à réaliser n'importe quelle action à la demande de leur "maître".

Des auteurs de virus chinois ont réussi à créer un réseau de zombies dont le nombre de membres actifs oscillait entre 10 000 et 30 000 appareils, mais le nombre total de smartphones infectés se chiffrait en centaines de milliers. Ce réseau de zombies reposait sur la porte dérobée RootSmart qui offre diverses fonctionnalités pour l'administration à distance d'un appareil nomade doté d'Android. Pour diffuser RootSmart, les cybercriminels utilisaient une astuce vieille comme le monde : ils remballaient une application légitime et la proposaient sur un des nombreux sites non officiels mais très fréquentés pour la diffusion d'applications pour Android. Les personnes qui croyaient avoir téléchargé une application pour configurer leur appareil obtenaient en plus une porte dérobée chargée d'inclure l'appareil mobile dans le réseau de zombies.

L'ampleur de l'infection par RootSmart a permis aux individus malintentionnés de gagner de l'argent avec ce réseau composé de téléphones infectés. Pour ce faire, ils ont choisi la méthode privilégiée des cybercriminels mobiles, à savoir l'envoi de SMS à un numéro surtaxé. Les individus malintentionnés ont utilisé les numéros les moins chers pour que les victimes mettent le plus de temps à découvrir les retraits d'argent de leur compte mobile. Grâce au contrôle complet de l'appareil nomade, les individus malintentionnés pouvaient masquer le plus longtemps possible la présence de l'application malveillante sur le téléphone et retirer ainsi pendant plus longtemps de l'argent du compte.

Attaques ciblées à l'aide de programmes malveillants pour appareils nomades

En 2012, certains nouveaux programmes malveillants pour des systèmes d'exploitation autres qu’Android ont été exploités dans le cadre d'attaques ciblées.

Les attaques menées à l'aide de ZitMo et SpitMo (ZeuS et SpyEye-in-the-mobile) sont des exemples marquants de ce phénomène. De nouvelles versions de ZitMo et SpitMo sont apparues régulièrement aussi bien pour Android que pour d'autres systèmes d'exploitation. Les auteurs de virus utilisent les mêmes techniques de dissimulation qu'il y a deux ans. Soit, ils se cachent derrière des "certificats de sécurité", soit ils se présentent comme une application pour la protection des smartphones.


Méthodes traditionnelles de dissimulation de ZitMo/SpitMo

Bien que les systèmes d'exploitation autres qu'Android ne soient pas aussi répandus, cela ne signifie pas que personne ne les utilise. Ainsi, les auteurs de virus ne prêtent absolument aucune attention aux rumeurs sur la disparition prochaine de Blackberry. La preuve en est qu'en 2012, de nouvelles versions de ZitMo ont été diffusées pour cette plateforme. De plus, lors d'une vague d'attaques, les individus malintentionnés ont utilisé des programmes malveillants pour Blackberry et pour Android. Du moins, le numéro de commande qu'ils renfermaient était identique.

Espionnage à l'aide de programmes malveillants pour appareils nomades

L'année dernière, nous avions avancé l'hypothèse que le vol de données depuis les téléphones mobiles et la surveillance d'une personne via son téléphone et les services de géolocalisation seraient des phénomènes répandus et sortiraient du domaine habituel de l'application de ces technologies par les autorités judiciaires et les bureaux de détectives privés.

Cette hypothèse s'est malheureusement vérifiée. Le nombre de programmes malveillants qui peuvent être classés parmi les chevaux de Troie d'espionnage ou les portes dérobées en fonction de leur comportement a été multiplié par 100. Il faut signaler également l'augmentation du nombre d'applications commerciales de surveillance qui, parfois, se distinguent à peine des programmes malveillants.

L'exemple le plus frappant d'espionnage à l'aide de programmes malveillants pour appareils nomades est un incident qui implique le module logiciel FinSpy. Ce module a été développé par la société britannique Gamma International, spécialisée dans le développement de logiciels de surveillance pour les entités gouvernementales. Dans les faits, cette application ne se distingue pas d'un cheval de Troie d'espionnage. C'est en août 2012 que la société The Citizen Lab a détecté des versions mobiles de FinSpy. Les modifications du cheval de Troie détectées pouvaient tourner sous Android, iOS, Windows Mobile et Symbian. Il existe bien entendu des différences entre ces versions, mais elles sont toutes en mesure de consigner pratiquement n'importe quelle activité de l'utilisateur sur l'appareil infecté, de relever sa position, de réaliser des appels masqués ou de charger des informations sur des serveurs distants.

A l'heure actuelle, on ne connaît rien de l'identité des commanditaires des attaques de FinSpy et des victimes. Et il est peu probable que ces questions trouvent une réponse à l'avenir. Toutefois, même privés de ces informations, nous pouvons dire que l'apparition de FinSpy marque le début d'un nouveau chapitre dans l'histoire des programmes malveillants pour appareils nomades : les appareils nomades deviennent la cible d'attaques ciblées ou d'espionnage à l'instar des ordinateurs traditionnels.

Programmes malveillants pour Mac

L'année 2012 aura été l'année où tous les mythes relatifs à la sécurité des Mac auront été mis en pièces. Les programmes malveillants pour Mac ont démontré cette année qu'ils représentaient bel et bien une menace pour la sécurité.

ВLe début de l'année a été marqué par la découverte du réseau de zombies Flashfake composé de 700 000 Macs exclusivement. (Une présentation détaillée de ce cheval de Troie téléchargeur avait été publiée sur securelist.com.

Aucune nouvelle vague d'épidémies n'a déferlé après FlashFake, mais les individus malintentionnés ont activement utilisé des programmes malveillants pour Mac tout au long de l'année afin de mener des attaques ciblées. Ceci s'explique avant tout par le fait que les produits de la société Apple sont très recherchés par des hommes politiques ou des hommes d'affaires influents et les informations qui se trouvent sur les périphériques de ces personnes sont très intéressants pour une catégorie déterminée d'individus malintentionnés cybernétiques.

Au cours de l'année 2012, nos spécialistes de la lutte contre les virus ont ajouté 30 % de signatures de chevaux de Troie pour Mac par rapport à 2011. Si l'on compare ces chiffres à 2010, alors on peut dire que le nombre de signatures ajoutées en un an a été multiplié par 6.


Nombre de nouvelles signatures antivirus ajoutées chaque année pour la détection de programmes malveillants pour Mac OS X

La palme du programme malveillant pour Mac le plus diffusé cette année revient à FlashFake dont la première version fut découverte en 2011. A l'issue du premier semestre 2012, FlashFake était devenu leader absolu. Voyons les programmes malveillants pour Mac OS X qui ont été propagés au deuxième trimestre 2012.

Top 10 des programmes malveillants pour Mac OS X, 2e semestre 2012

Classement Nom % de l'ensemble des attaques
1 Trojan.OSX.FakeCo.a 52%
2 Trojan-Downloader.OSX.Jahlav.d 8%
3 Trojan-Downloader.OSX.Flashfake.ai 7%
4 Trojan-Downloader.OSX.FavDonw.c 5%
5 Trojan-Downloader.OSX.FavDonw.a 2%
6 Trojan-Downloader.OSX.Flashfake.ab 2%
7 Trojan-FakeAV.OSX.Defma.gen 2%
8 Trojan-FakeAV.OSX.Defma.f 1%
9 Exploit.OSX.Smid.b 1%
10 Trojan-Downloader.OSX.Flashfake.af 1%

Trojan.OSX.FakeCo.a (52 %) occupe la première position. Ce programme malveillant se déguise sous la forme d'un fichier d'installation de codecs vidéo. Après l'installation, aucun codecs n'apparaît dans le système et le programme installé se comporte comme un logiciel publicitaire : il collecte les informations relatives à l'utilisateur intéressantes d'un point de vue marketing et les transmet aux individus malintentionnés.

La deuxième place est occupée par le cheval de Troie Jahlav (8 %) connu depuis quatre ans déjà. Ce programme malveillant se déguise également sous la forme d'un fichier d'installation de codecs vidéo. Un programme malveillant est installé au lieu du codecs. Ce programme se connecte au serveur des individus malveillants à l'insu de l'utilisateur et y télécharge d'autres fichiers sur la machine infectée. En général, ce programme malveillant tente de charger un cheval de Troie qui remplace l'adresse dans les paramètres DNS par l'adresse des serveurs des individus malintentionnés (dénommé Trojan.OSX.Dnscha par Kaspersky Lab).

La quatrième et la cinquième place reviennent à des programmes de la famille Trojan-Downloader.OSX.FavDonw qui ont été responsables de 7 % des incidents. Ces programmes n'ont qu'un seul objectif : une fois installés sur le Mac, ils téléchargent de faux antivirus.

En 7e et 8e places du Top 10, nous trouvons de faux antivirus de la famille Trojan-FakeAV.OSX.Defma qui extorquent de l'argent aux victimes en prétextant la découverte de programmes malveillants.

Le code d'exploitation Exploit.OSX.Smid.b qui vise une vulnérabilité dans Java et qui permet à l'individu malintentionné d'exécuter un code aléatoire sur un ordinateur doté d'une ancienne version de Java se trouve en 9e position.

Après la découverte du réseau de zombies FlashFake, Apple a été plus active dans la résolution des questions de sécurité de son système d'exploitation. Prenons par exemple la diffusion des correctifs critiques pour Oracle Java au même moment que pour Windows et l'introduction de nouvelles fonctions de protection dans Mac OS X Mountain Lion : possibilité d'installation par défaut des applications uniquement en provenance de l'App Store, utilisation de la technologie du bac à sable pour les applications téléchargées depuis le magasin, installation automatique des mises à jour, etc.

Programmes malveillants sur Internet (attaques via Internet)

Le nombre d'attaques réalisées via des navigateurs est passé de 946 393 693 à 1 595 587 670 en un an. Dans ce contexte, nos produits ont protégé les utilisateurs sur Internet 4 371 473 fois par jour en moyenne.

Par rapport à l'année dernière, le taux de croissance du nombre d'attaques menées via un navigateur n'a pratiquement pas changé. Le nombre d'attaques via Internet repoussées en 2012 est de 1,7 fois supérieur à celui de 2011. En 2011, nous avions noté une multiplication du taux de croissance de 1,6. Le mode d'attaque principal, via des ensembles de codes d'exploitation, garantit à coup sûr l'infection des ordinateurs si ceux-ci ne sont dotés d'aucune protection et si au moins une application populaire et vulnérable (non mise à jour) y est installée.

Applications vulnérables utilisées par les individus malintentionnés

Alors que nous avions baptisé 2011 l'année des vulnérabilités, nous pouvons affirmer sans crainte que 2012 aura été l'année des vulnérabilités Java : cette année, la moité de toutes les attaques impliquant un code d'exploitation qui ont été enregistrées visait des vulnérabilités dans Oracle Java.

De nos jours, Java est installé sur plus de 3 milliards de périphériques sous divers systèmes d'exploitation. Par conséquent, il est possible de créer des codes d'exploitation multiplateformes pour certaines erreurs dans Java. Tout au long de l'année, nous avons recensé aussi bien des attaques en masse impliquant des sélections de codes d'exploitation que des attaques ciblées à l'aide de codes d'exploitation Java pour PC ou Mac.


Applications dont les vulnérabilités ont été exploitées par des codes d'exploitation Internet en 2012

La popularité des codes d'exploitation pour Adobe Reader a reculé en 2012 : ils n'ont été impliqués que dans 28 % de l'ensemble des incidents. Adobe Reader se trouve en deuxième position dans notre classement. Il faut signaler que la problématique des vulnérabilités a été prise très au sérieux dans les dernières versions d'Adobe Reader. Ainsi, des mécanismes empêchant le déclenchement du code d'exploitation ont été intégrés à l'application. De telles mesures compliquent énormément la création de codes d'exploitation efficaces.

En troisième position, nous retrouvons les programmes qui exploitent les vulnérabilités des composants Windows et Internet Explorer. Des codes d'exploitation contre des vulnérabilités dont la découverte remonte à 2010 ont été beaucoup utilisés tout au long de l'année. MS10-042 dans Windows Help and Support Center et MS04-028 associé à un traitement incorrect des fichiers jpeg.

Les codes d'exploitation pour la plateforme pour appareil nomade Android OS occupent la 4e position avec 2 %. Les individus malintentionnés utilisent ces codes d'exploitation afin d'obtenir les privilèges root qui permettent de réaliser pratiquement n'importe quelle manipulation dans le système.


Répartition du système d'exploitation Windows par version, 2011


Répartition du système d'exploitation Windows par version, 2012

Au cours de cette année, la part de Windows 7 parmi les versions de Windows est passée de 30 à 50 %. Bien que Windows 7 bénéficie d'une mise à jour automatique à intervalle régulier, les attaques contre les utilisateurs de Windows continuent : comme nous l'avons indiqué ci-dessus, l'intrusion s'opère non pas via les composants Windows, mais via des applications installées qui proviennent d'autres éditeurs.

Top 20 des programmes malveillants sur Internet

Parmi tous les programmes malveillants impliqués dans ces attaques contre les ordinateurs des utilisateurs via Internet, nous avons identifié les 20 programmes les plus actifs. Ils sont responsables de 96 % de toutes les attaques sur Internet.

Classement Nom* Nombre d'attaques % de l'ensemble des attaques**
1 Malicious URL 1 393 829 795 87,36%
2 Trojan.Script.Iframer 58 279 262 3,65%
3 Trojan.Script.Generic 38 948 140 2,44%
4 Trojan.Win32.Generic 5 670 627 0,36%
5 Trojan-Downloader.Script.Generic 4 695 210 0,29%
6 Exploit.Script.Blocker 4 557 284 0,29%
7 Trojan.JS.Popupper.aw 3 355 605 0,21%
8 Exploit.Script.Generic 2 943 410 0,18%
9 Trojan-Downloader.SWF.Voleydaytor.h 2 573 072 0,16%
10 AdWare.Win32.IBryte.x 1 623 246 0,10%
11 Trojan-Downloader.Win32.Generic 1 611 565 0,10%
12 AdWare.Win32.ScreenSaver.e 1 381 242 0,09%
13 Trojan-Downloader.JS.Iframe.cxk 1 376 898 0,09%
14 Trojan-Downloader.JS.Iframe.cyq 1 079 163 0,07%
15 Trojan-Downloader.JS.Expack.sn 1 071 626 0,07%
16 AdWare.Win32.ScreenSaver.i 1 069 954 0,07%
17 Trojan-Downloader.JS.JScript.ag 1 044 147 0,07%
18 Trojan-Downloader.JS.Agent.gmf 1 040 738 0,07%
19 Trojan-Downloader.JS.Agent.gqu 983 899 0,06%
20 Trojan-Downloader.Win32.Agent.gyai 982 626 0,06%

* Verdicts détectés du module Antivirus Internet. Informations transmises par les utilisateurs des logiciels de Kaspersky Lab ayant marqué leur accord à l'envoi des statistiques.
** Pourcentage de l'ensemble des attaques via Internet enregistrées sur les ordinateurs d'utilisateurs uniques.

Les sites malveillants détectés à l'aide des méthodes heuristiques dans le nuage sans mise à jour des bases antivirus classiques occupent la première place du classement. Le développement de nouvelles technologies de détection qui reposent sur les possibilités offertes par le KSN a permis de faire passer la part de menaces détectées de cette manière de 75 à 87 % en un an. La majorité des URL malveillantes détectées sont associées à des sites hébergeant des codes d'exploitation.

En deuxième position, nous retrouvons les scripts malveillants introduits par les individus malintentionnés dans le code de site compromis à l'aide de programmes spéciaux. Cela veut dire qu'il existe des injections de code malveillant sous la forme de balises "iframe" invisibles sur de nombreux sites légitimes. Ces scripts redirigent les utilisateurs à leur insu vers des sites Internet malveillants dans le cadre d'attaques par téléchargement à la dérobée. Des scripts malveillants similaires occupent la 13ème et la 14ème places.

En 3e, 4e et 5e positions, nous trouvons divers verdicts heuristiques, des scripts malveillants et des fichiers PE exécutables que l'on peut répartir en deux catégories. Les programmes malveillants de la première catégorie téléchargent et exécutent d'autres programmes malveillants. Les programmes malveillants de la deuxième catégorie sont les plus "utiles" : ils volent les données d'accès aux services de transactions bancaires par Internet, aux réseaux sociaux et autres services.

La neuvième place est occupée par Trojan-Downloader.SWF.Voleydaytor.h détecté sur divers sites pour adultes. Divers programmes malveillants sont installés sur l'ordinateur de la victime en prétextant la mise à jour du lecteur de vidéo.

Le classement compte deux représentants des codes d'exploitation : Exploit.Script.Generic, dont le téléchargement a été bloqué dans 3 millions de cas, et Exploit.Script.Bloker, avec 4,5 millions de tentatives de téléchargement bloquées. Dans la majorité absolue des cas, les utilisateurs ne sont pas confrontés aux actions d'un seul code d'exploitation, mais bien d'une sélection de codes. Ils représentent aujourd'hui une partie considérable des attaques par téléchargement à la dérobée. Il est important de noter que ces paquets de codes d'exploitation se modifient et s'actualisent afin d'inclure les codes d'exploitation pour les vulnérabilités les plus récentes et de lutter efficacement contre les outils de protection.

Des représentants des familles de logiciels publicitaires iBryte et ScreenSaver occupent trois places du Top 20. Le logiciel publicitaire AdWare.Win32.IBryte.x se propage en tant que téléchargeur d'applications gratuites populaires. Une fois exécuté, il télécharge l'application gratuite que recherche l'utilisateur et installe en même temps un module de publicités. L'utilisateur peut télécharger l'application installée par IBryte.x directement depuis le site officiel et éviter ainsi l'installation du module de publicité. L'année dernière, les représentants de la famille Adware avait été deux fois plus nombreux. Le remplacement progressif de ces programmes par des méthodes plus efficaces et plus légitimes de publicité comme les publicités contextuelles dans les moteurs de recherche et sur les réseaux sociaux explique la contraction de la part de ces programmes.

A la différence de l'année dernière, le classement ne compte aucun programme utilisé dans les escroqueries impliquant des numéros surtaxés (Hoax.Win32.ArchSMS). Il s'agit de programmes qui requièrent l'envoi d'un SMS à un numéro surtaxé afin d'obtenir un code pour déchiffrer le contenu d'une archive téléchargée par l'utilisateur. En 2011, les escrocs avaient créé des sites semblables à des sites de stockage de fichiers en ligne, mais les archives ne contenaient pas le contenu indiqué. En 2012, les individus malintentionnés ont créé des sites qui permettent de mettre en place des escroqueries similaires, mais sans devoir télécharger de fichier sur un disque. Kaspersky Lab classe automatiquement ces sites dans une liste noire.

Top 20 des pays dont les ressources hébergent des programmes Internet

Pour réaliser les 1 595 587 670 attaques via Internet recensées, les individus malintentionnés ont utilisé 6 537 320 hôtes uniques, soit une augmentation de 2,5 millions par rapport à 2011. Des serveurs hébergeant du code malveillant ont été détectés dans 202 pays et territoires. 96,1 % de l'ensemble des attaques que nous avons recensées sur Internet provenaient d'hébergements malveillants répartis dans 20 pays.

Classement Pays* Nombre d'attaques** % de l'ensemble des attaques
1 États-Unis 413 622 459 25,5%
2 Russie 317 697 806 19,6%
3 Pays-Bas 271 583 924 16,8%
4 Allemagne 184 661 326 11,4%
5 Royaume-Uni 90 127 327 5,6%
6 Ukraine 71 012 583 4,4%
7 France 56 808 749 3,5%
8 Chine 31 637 561 2,0%
9 Îles vierges britanniques 26 593 331 1,6%
10 Canada 19 316 279 1,2%
11 République tchèque 13 311 441 0,8%
12 Israël 9 953 064 0,6%
13 Suède 9 093 053 0,6%
14 Roumanie 6 881 404 0,4%
15 Vietnam 6 624 570 0,4%
16 Espagne 6 543 135 0,4%
17 Pologne 6 325 848 0,4%
18 Luxembourg 5 669 370 0,3%
19 Irlande 4 854 163 0,3%
20 Lettonie 4 685 861 0,3%

Ces statistiques reposent sur les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
* Pour définir la source géographique de l'attaque, nous employons une technique de comparaison du nom de domaine et de l'adresse IP authentique sur laquelle se trouve ce domaine et la définition de l'emplacement géographique de cette adresse IP (GEOIP).
** Total des attaques uniques détectées par l'Antivirus Internet depuis les sites Web dans ces pays.

Les Etats-Unis et la Russie forment le duo de tête du classement avec respectivement 25,5 et 19,6 %. Les Pays-Bas (16,8 %) et l'Allemagne (11,4 %) se maintiennent dans le Top 5 et pour la 3e année consécutive, ils occupent respectivement la 3ème et 4ème places. Si l'indice pour les Etats-Unis n'a augmenté que de 0,1 % en un an, la part d'hébergements malveillants a sensiblement augmenté en Russie (+5 %), en Hollande (+7 %) et en Allemagne (+2,7 %).

Avant 2010, la Chine occupait la première position : ses serveurs représentaient plus de 50 % de l'ensemble des hébergements malveillants à travers le monde. En 2010, les autorités chinoises ont commencé à mettre de l'ordre dans le cyber-espace local : elles ont fermé une multitude d'hébergements malveillants et ont rendu les règles d'enregistrement de domaines dans la zone .cn plus strictes. Suite à ces mesures, la part d'hébergements malveillants en Chine a fortement chuté et nous observons une consolidation progressive des hébergements aux Etats-Unis, en Russie, aux Pays-Bas et en Allemagne.

La croissance stable de l'indice pour la Russie a deux origines. Tout d'abord, les attaques contre des sites légitimes, dont les plus grands portails de la zone .ru, en vue d'infecter les ordinateurs des utilisateurs via des codes d'exploitation ne sont malheureusement pas rares. La deuxième raison est que les cybercriminels russes se sentent assez libre dans le cyber-espace russe et créent une multitude de sites malveillants. Le code pénal russe ne prévoit que des peines légères contre les cybercriminels (la majorité des criminels sont condamnés avec sursis) et les cas de mises hors ligne de serveurs de commande de réseaux de zombies en Russie sont très rares. Si le taux de croissance de la part des hébergements malveillants sur des serveurs russes se maintient à son niveau actuel, la Russie pourrait décrocher la première place en fonction du nombre d'hébergements malveillants dès l'année prochaine.

Aux Pays-Bas et en Allemagne, les cybercriminels sont plus prudents : ils enregistrent ou s'infiltrent dans un nombre incroyable de sites et quand l'adresse des sites malveillants est reprises dans une liste noire des fournisseurs, ils déplacent le contenu malveillant d'un serveur à un autre.

Menaces locales

Les statistiques relatives aux infections locales des utilisateurs sont un indicateur important. Ces données concernent les objets qui se sont introduit sur les ordinateurs par d'autres moyens qu'Internet, le courrier ou les messages électroniques.

Nos logiciels antivirus ont découverts près de 3 milliards d'incidents liés à des virus sur les ordinateurs membres du Kaspersky Security Network.

2,7 millions de programmes malveillants ou potentiellement indésirables ont été recensés dans l'ensemble dans ces incidents.

Top 20 des objets malveillants découverts sur les ordinateurs Internet

Les programmes malveillants du premier Top 20 sont les menaces les plus répandues en 2012.

Classement Objet détecté Nbre d'utilisateurs uniques* %%
1 Trojan.Win32.Generic 9 761 684 22,1%
2 DangerousObject.Multi.Generic 9 640 618 21,9%
3 Trojan.Win32.AutoRun.gen 5 969 543 13,5%
4 Trojan.Win32.Starter.yy 3 860 982 8,8%
5 Virus.Win32.Virut.ce 3 017 527 6,8%
6 Net-Worm.Win32.Kido.ih 2 752 409 6,2%
7 Net-Worm.Win32.Kido.ir 2 181 181 4,9%
8 Virus.Win32.Sality.aa 2 166 907 4,9%
9 Hoax.Win32.ArchSMS.gen 2 030 664 4,6%
10 Virus.Win32.Generic 2 017 478 4,6%
11 Virus.Win32.Nimnul.a 1 793 115 4,1%
12 HiddenObject.Multi.Generic 1 508 877 3,4%
13 Trojan.WinLNK.Runner.bl 1 344 989 3,1%
14 Worm.Win32.AutoRun.hxw 948 436 2,2%
15 Virus.Win32.Sality.ag 841 994 1,9%
16 Virus.Win32.Suspic.gen 408 201 0,9%
17 Trojan.Win32.Patched.dj 367 371 0,8%
18 Email-Worm.Win32.Runouce.b 295 887 0,7%
19 Trojan-Dropper.Script.Generic 232 007 0,5%
20 AdWare.Win32.GoonSearch.b 196 281 0,4%

Ces statistiques sont les verdicts détectés du module Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques.
* Nombre d'utilisateurs uniques sur les ordinateurs desquels l'antivirus a détecté l'objet en question.

Des tentatives d'infection détectées à l'aide de différentes méthodes heuristiques ont été bloquées sur 13,5 millions d'ordinateurs : Trojan.Win32.Generic (1re position), Virus.Win32.Generic (8e position), HiddenObject.Multi.Generic (12e position), Trojan-Dropper.Script.Generic (19e position).

La deuxième place du classement revient à divers programmes malveillants détectés à l'aide de technologies dans le nuage sous le nom DangerousObject.Multi.Generic. Ces technologies interviennent lorsque les bases antivirus ne contiennent pas encore les définitions et qu'il n'est pas possible de détecter le programme malveillant à l'aide de l'analyse heuristique, mais l'éditeur de logiciels antivirus dispose déjà dans le « nuage » d'informations relatives à l'objet. En général, c'est ainsi que sont détectés les programmes malveillants les plus récents. Grâce au système d’identification instantanée des menaces (UDS) intégré à Kaspersky Security Network, plus de 9,6 millions d'ordinateurs ont pu être protégés en temps réel.

Huit programmes du Top 20 soit possèdent un mécanisme de diffusion automatique, soit interviennent comme une des composantes du mode de diffusion des vers : Trojan.Win32.Starter.yy (4e position), Net-Worm.Win32.Kido.ih (6e position), Net-Worm.Win32.Kido.ir (7e position), Virus.Win32.Sality.aa (8e position), Virus.Win32.Nimnul.a (11e position), Virus.Win32.Sality.ag (15e position) et Virus.Win32.Suspic.gen (16e position).

En 2012, plus de 2 millions d'utilisateurs ont été confrontés à des escroqueries impliquant des numéros surtaxés (Hoax.Win32.ArchSMS.ge, 9e position). Les individus malintentionnés invoquent divers prétextes, en général la promesse de l'accès au contenu d'une archive ou d'un programme d'installation avec un jeu, une application, un livre ou n'importe quoi d'autre, pour amener l'utilisateur à envoyer un SMS à un numéro surtaxé. Dans la majorité des cas, l'utilisateur ne reçoit rien après avoir envoyé le SMS.

Trojan.WinLNK.Runner.bl (13e position) et Worm.Win32.AutoRun.hxw (14e position) sont des détections de fichiers lnk malveillants (raccourcis). cmd.exe avec le paramètre de lancement d'un fichier exe malveillant est exécuté dans les fichiers lnk de ces familles. Ils sont utilisés activement par les vers dans le cadre de la propagation via des clés USB.

Trojan.Win32.Patched.dj (17e position) est un représentant intéressant de cette catégorie. Il est détecté dans les fichiers exe et dll infectés. La fonction malveillante consiste à utiliser le courrier électronique pour envoyer des informations relatives à l'infection à l'auteur du virus. Ensuite, le programme ouvre un port sur l'ordinateur et attend les instructions du pirate. Il peut télécharger des fichiers, les exécuter, arrêter des applications en cours sur l'ordinateur, etc. Au final, le programme malveillant sert à construire des réseaux de zombies.

Les méthodes d'infection évoluent beaucoup et nous observons que le classement ne compte aucune nouvelle famille de virus ou de vers : Sality, Virut, Nimnul (connaissance de l'année dernière) et Kido mènent la danse. Les cybercriminels ont adopté en masse la création de réseaux de zombies via des infections sur Internet à l'aide de codes d'exploitation. Les techniques d'infections de fichiers exécutables ne sont plus très populaires chez les auteurs de virus poussés par l'appât du gain car il est très difficile de contrôler le processus de propagation des virus et des vers tandis que les grands réseaux de zombies attirent vite l'attention des autorités judiciaires.

« Représentation du monde »

Pour déterminer les pays dans lesquels les utilisateurs sont le plus souvent confrontés aux cybermenaces, nous avons calculé, pour chaque pays, la fréquence de déclenchement de l'antivirus chez ses utilisateurs au cours de l'année 2011. Les données ainsi obtenues déterminent le niveau du risque d'infection des ordinateurs dans différents pays et décrivent l'agressivité du milieu dans lequel évoluent les ordinateurs dans ces différents pays.

Menaces sur Internet

Le risque d'infection via Internet, qui représente la principale source d'infections d'objets malveillants pour les utilisateurs dans la majorité des pays, est le plus intéressant.

Classement Pays % d'utilisateurs uniques*
1 Fédération de Russie 58,6%
2 Tadjikistan 58,5%
3 Azerbaïdjan 57,1%
4 Arménie 55,7%
5 Kazakhstan 55,5%
6 Biélorussie 51,8%
7 Bangladesh 51,7%
8 Sri Lanka 51,5%
9 Inde 51,1%
10 Soudan 51,0%
11 Turkménistan 51,0%
12 Oman 48,0%
13 Ouzbékistan 47,5%
14 Malaisie 47,3%
15 Moldavie, République de 47,2%
16 Maldives 46,8%
17 Ukraine 46,8%
18 Italie 45,6%
19 États-Unis 45,1%
20 Espagne 44,7%

Ces statistiques reposent sur les verdicts détectés du module Antivirus Internet transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques. Pour les calculs, nous avons exclus les pays où le nombre d'utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
*Pourcentage d'utilisateurs uniques soumis à des attaques via Internet par rapport à l'ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

La Russie est en tête de ce classement pour la deuxième année consécutive. En un an, le risque d'infection pendant la navigation sur Internet est passé de 55, 9 à 58,6 % pour les ordinateurs des utilisateurs russophones. Malheureusement, l'espace Internet russophone est un espace de prédilection pour les cybercrimes les plus divers. Vu que la popularité des services de transactions bancaires via Internet augmente aussi bien chez les utilisateurs privés que dans les entreprises, les cybercriminels ont été très actifs en 2012 dans le développement de programmes malveillants adaptés. Un autre type d'escroquerie très présent dans l'espace Internet russophone consiste à gagner de l'argent via des SMS payants : les escrocs proposent aux victimes de payer un bien/un service via un SMS, mais l'utilisateur ne reçoit jamais le bien ou le service en question.

Le Tadjikistan progresse de la 17e à la 2e place avec un résultat de 58,5. L'Azerbaïdjan progresse quant à lui de la 6e à la 3e place avec 57,1 % des utilisateurs attaqués.

Les trois dernières places du classement pour 2012 sont occupées par l'Italie, les Etats-Unis et l'Espagne.

Les Etats-Unis, en 3e position en 2011, ont chuté à la 19e position en 2012 : la part des utilisateurs attaqués dans ce pays a reculé de 50,1 à 45,1 %. Cela s'explique sans aucun doute par les victoires remportées dans la lutte contre la cybercriminalité et par la fermeture de quelques grands réseaux de zombies dont DNSChanger, Hlux et quelques réseaux de zombies ZeuS (Zbot).

L'Italie et l'Espagne apparaissent pour la première fois dans le Top 20 des pays en fonction de la part d'utilisateurs attaqués lors de la navigation sur Internet. Dans ces pays, la part d'incidents enregistrés par utilisateur a été assez élevée tout au long de l'année, ce qui s'explique avant tout par les attaques des chevaux de Troie bancaires.

Tous les pays peuvent être classés selon le risque d'infection pendant la navigation sur Internet.

  1. Groupe à risque élevé Ce groupe où le risque est compris entre 41 et 60 % reprend 31 pays.. Outre les pays du Top 20, ce groupe reprend également l'Australie (44,4 %), l'Indonésie (44,2 %), le Canada (42,8 %), la Géorgie (42,3 %) et la Grande-Bretagne (41,1 %).
  2. Groupe à risque Ce groupe où le risque est compris entre 21 et 40 % reprend 110 pays dont la Turquie (39,9 %), la France (39,8 %), le Chili (39,4 %), la Chine (38,4 %), la Pologne (37,1 %), la Lituanie (35,3 %), la Suède (34,1 %), l'Autriche (34 %), l'Equateur (33,3 %), l'Allemagne (31,8 %), la Finlande (27,9 %), la Norvège (27,3 %), le Japon (22,8 %) et le Danemark(21,6 %).
  3. Groupe des pays les plus sûrs en termes de navigation sur Internet (0-20%) Ce groupe reprenait 10 pays en 2012 : le Gabon (20,6 %), le Togo (20,5 %), la Réunion (20,2 %), le Niger (19,6 %), Maurice (18 %), la Guadeloupe (17,8 %), la Martinique (17,7 %), le Bénin (17,2 %), le Burundi (16,9 %) et le Congo (16,7 %).

Le premier groupe compte 8 pays supplémentaires. La majorité des pays de ce groupe sont des pays d'Asie et de l'espace ex-soviétique. Il est décevant de voir que le nombre de pays européens repris dans ce groupe a augmenté en un an.

Tous les pays européens ont quitté le groupe des pays les plus sûrs en termes de navigation sur Internet. Ce groupe est désormais composé exclusivement de pays africains. Il faut signaler que les pays qui figurent dans le groupe des pays sûrs pour la navigation sur Internet se retrouvent dans les groupes à risque élevé ou maximum pour les menaces locales. Leur présence dans le groupe de pays où la navigation sur Internet est sûre s'explique par le caractère de la diffusion des fichiers dans ces pays : Internet n'est pas encore très développé dans ces pays et les utilisateurs ont adopté en grande majorité les lecteurs amovibles pour le transfert de fichiers. Ainsi, nos radars ne détectent pratiquement aucune menace Internet dans ces pays, mais un large pourcentage d'utilisateurs est confronté à des virus et des vers qui se propagent via des fichiers infectés sur des lecteurs amovibles.

En moyenne à travers le monde, le niveau de danger d'Internet a augmenté pour la deuxième année consécutive et il représentait 34,7 % à l'issue de l'année 2012, soit une augmentation de 2,4 % par rapport à l'année dernière. Un Internaute sur trois dans le monde a été victime au moins une fois pendant l'année d'une attaque informatique.

Menaces locales

Outre les infections via Internet, nous disposons également de données sur la détection de programmes malveillants découverts directement sur les ordinateurs des utilisateurs ou sur des lecteurs amovibles (clés USB, carte mémoire d'appareil photo ou de téléphone, disque amovible) connectés aux ordinateurs. Ces statistiques indiquent le degré d'infection des ordinateurs dans différents pays.

Classement Pays %*
1 Bangladesh 99,7%
2 Soudan 88,2%
3 Malawi 78,0%
4 Tanzanie 77,4%
5 Rwanda 76,5%
6 Afghanistan 75,6%
7 Inde 75,2%
8 Laos 73,3%
9 Népal 72,9%
10 Angola 72,0%
11 Viet Nam 70,4%
12 Mauritania 69,8%
13 Irak 69,6%
14 Maldives 69,2%
15 Ouganda 69,0%
16 Sri Lanka 68,5%
17 Mongolie 68,0%
18 Djibouti 67,4%
19 Mali 67,3%
20 Côte d'Ivoire 67,0%

Ces statistiques reposent sur les verdicts détectés du module Antivirus transmis par les utilisateurs de logiciels de Kaspersky Lab qui ont accepté de transmettre des statistiques. Pour les calculs, nous avons exclus les pays où le nombre d'utilisateurs de produits de Kaspersky Lab est inférieur à 10 000.
*Pourcentage d'utilisateurs uniques sur les ordinateurs desquels des menaces locales ont été bloquées, par rapport à l'ensemble des utilisateurs uniques de produits de Kaspersky Lab dans le pays.

Le Top 20 pour l'année 2012 est composé de pays d'Afrique et d'Asie. En un an, la situation dans les pays leader du classement ne s'est pas améliorée. Comme il y a un an, 9 ordinateurs sur 10 au Soudan et au Bangladesh au cours de l'année ont été infectés au moins une fois par un programme malveillant. Les connaissances superficielles des utilisateurs sur les menaces informatiques et la culture peu développée en matière d'utilisation de logiciels antivirus rendent les ordinateurs dans ces pays particulièrement vulnérables aux programmes malveillants.

Dans le cas des menaces locales, nous pouvons également répartir les pays en différentes catégories.

  1. Niveau maximum d'infection (supérieur à 75%) : 7 pays d'Asie et d'Afrique dont l'Inde (75,2 %) et le Bangladesh (99,7 %) que l'on retrouvé dans le groupe des pays à risque élevé pour la navigation sur Internet.
  2. Niveau d'infection élevé (56 à 60 %) : 41 pays dont l'Indonésie (64,7 %), l'Ethiopie (58,2 %) et le Kenya (58 %).
  3. Niveau d'infection moyen (35 à 40 %) : 67 pays dont la Chine (52,7 %), le Kazakhstan (52,6 %), la Russie (48,7 %), la Turquie (48,67 %), le Brésil (43,5 %), la Corée du Sud (39,8 %), l'Espagne (39,8 %), le Portugal (35,8 %) et la Lituanie (35,7 %).
  4. Niveau d'infection moyen (0 à 40 %) : 38 pays. Dont les Etats-Unis (33,3 %), la France (32,8 %), la Grande-Bretagne (30,9 %), la Lettonie (31,4 %) et la Belgique (27,2 %). Par rapport à 2011, le nombre de pays dans ce groupe a été multiplié par 2,7 (il ne comptait que 14 pays en 2011). Les modifications sont avant tout liées à la disparition des virus classiques et des vers autorun.

Top 10 des pays présentant un pourcentage minime d'ordinateurs infectés :

Classement Pays* %
1 Danemark 15,0%
2 Japon 19,5%
3 Finlande 19,8%
4 Suède 22,9%
5 République tchèque 23,5%
6 Pays-Bas 23,9%
7 Norvège 24,0%
8 Luxembourg 24,2%
9 Allemagne 24,3%
10 Suisse 24,4%

En moyenne dans le groupe des pays les plus sûrs, 25,4 % des ordinateurs ont été attaqués. Par rapport à l'année dernière, ce résultat est en recul de 4 points.

Conclusion

L'année 2012 aura été l'année où les cybercriminels se sont vraiment intéressés à de nouvelles plateformes, principalement Mac OS X et Android. Les cybercriminels ont toujours été attirés par la possibilité d'infecter facilement un nombre élevé d'ordinateurs et de périphériques et le nombre d'attaques contre les utilisateurs de Mac et de périphériques Android augmente.

Un gigantesque réseau de zombies composé de 700 000 Macs créé par le programme Flashfake a été détecté au début de l'année. Les individus malintentionnés pouvaient installer sur les ordinateurs infectés n'importe quel autre module malveillant. Un de ces modules remplaçait le trafic dans le navigateur. Les histoires impliquant des programmes malveillants pour Mac ne se limitent pas aux attaques en masse. Au cours de l'année, nous avons détecté des attaques ciblées qui exploitaient des portes dérobées et qui visaient des utilisateurs de Mac OS X. Cette tendance s'est manifestée dans nos statistiques : le nombre de définition de virus pour Mac OS X a augmenté de 30% par rapport à 2011.

L'épidémie de cheval de Troie pour Mac et la succession sans fin de programmes malveillants pour Android ont mis la question de la sécurité des nouvelles plateformes à l'ordre du jour. Pour la majorité des Internautes de la planète, la nécessité d'une protection est une évidence. Les mythes sur l'imperméabilité des Mac aux virus se sont effondrés. Les fabricants ont commenté à accorder plus d'attention à la protection des plateformes : la nouvelle version de Mac OS X intègre quelques fonctions qui améliorent la sécurité ; de son côté, Google analyse les applications distribuées via Google Play. Le secteur de la lutte contre les virus a également offert un niveau de protection plus élevé. Les intervenants sont prêts à faire face à ce nouveau scénario et cela fait quelques temps déjà qu'ils proposent des solutions comme Kaspersky One développées pour garantir la protection de l'ensemble de la gamme de périphériques, depuis les PC et les Mac jusqu'aux téléphones et aux tablettes.

Malheureusement, malgré les victoires remportées dans la lutte contre la cybercriminalité, le pourcentage d'utilisateurs sur Internet attaqués en 2012 a continué d'augmenter pour atteindre 34 %. Aucun pays européen ne figure dans le groupe de pays dont le pourcentage d'internautes attaqués pendant la navigation sur Internet est inférieur à 20 %.

Alors que nous avions baptisé 2011 l'année des vulnérabilités, nous pouvons affirmer que 2012 aura été l'année des vulnérabilités Java. Selon nos statistiques, la moitié des attaques impliquant un code d'exploitation en 2012 touche des vulnérabilités dans Java. Il est important de souligner que les cybercriminels ont exploité ces vulnérabilités aussi bien dans le cadre d'attaques en masse que dans des attaques ciblées et ces codes d'exploitation étaient opérationnels sous PC et sous Mac.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
Bulletin de Kaspersky sur la sécurité en 2011. Principales statistiques pour 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com