Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
Oct    
Les Analyses les plus Populaires



Rapport de Kaspersky Lab sur les cybermenaces mobiles : les attaques visant Android sous stéroïdes



Courrier indésirable en août 2014



10 astuces simples pour renforcer la sécurité de votre Mac



Enquête sur un incident : vol dans une banque électronique



PAC et la problématique de la configuration automatique
 
 

  Page d'accueil / Analyses

Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012

12.12.2012   |   comment

David Emm
Consultant Technique Senior, Kaspersky Lab UK
Costin Raiu
  1. Bulletin de Kaspersky sur la securite 2012. Developpement des menaces en 2012
  2. Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
  3. Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme

Ce rapport s'inscrit dans la série des rapports analytiques annuels proposés par Kaspersky Lab. Il aborde les principaux problèmes qui touchent les particuliers et les entreprises en matière d'informatique et qui sont liés à l'exécution de programmes malveillants, potentiellement indésirables ou d'escroquerie, ainsi qu'au courrier indésirable, à l'hameçonnage et à diverses activités de pirates informatiques.

Ce rapport a été rédigé par les spécialistes de la Global Research & Analysis Team (GReAt, équipe internationale de recherche et d'étude) en collaboration avec les départements Content&Cloud Technology Research et Anti-Malware Research de Kaspersky Lab.

Top 10 des incidents qui ont marqué 2012

A la fin de l'année dernière, nous avions publié le “Top 10 des incidents de sécurité en 2011”, un article qui résumait l'année 2011 un en seul mot : "explosive" A l'époque, le plus grand défi avait été d'opérer une sélection parmi tous les incidents, les histoires, les faits, les nouvelles tendances et les acteurs intriguant pour ne retenir que 10 incidents marquants.

Sur la base des événements et des acteurs qui avaient défini les incidents les plus marquants en matière de sécurité informatique en 2011, nous avions formulé une série de prévisions pour 2012:

  • La poursuite du développement des groupes d'hacktivistes.
  • L'augmentation du nombre d'incidents impliquant des menaces ATP (attaques complexes, ciblées et persistantes).
  • L'aube des cyberconflits et la lutte entre les Etats-nations plus puissants pour la domination par le biais de campagnes de cyberespionnage.
  • Des attaques contre des développeurs de logiciels et de jeux comme Adobe, Microsoft, Oracle et Sony.
  • Des interventions plus musclées des autorités judiciaires contre les cybercriminels traditionnels.
  • L'explosion du nombre de menaces pour Android.
  • Les attaques contre Mac OS X d'Apple.

Nous sommes-nous trompés dans nos prévisions ? Voyons les 10 incidents principaux qui ont marqué 2012 dans le domaine de la sécurité informatique...

1. Flashback frappe Mac OS X

Bien que l'apparition du cheval de Troie Flashback/Flashfake pour Mac OS X remonte à la fin de l'année 2011, ce n'est qu'en avril 2012 qu'il s'est vraiment répandu. Et sa propagation aura vraiment été massive. Sur la base de nos statistiques, nous estimons le nombre de Macs infectés par Flashback à 700 000, ce qui est sans conteste la plus grande infection ayant touché Mac OS X à ce jour. Comment cela a-t-il été possible ? Deux facteurs sont intervenus : une vulnérabilité dans Java (CVE-2012-0507) et l'apathie générale des adaptes du système d'exploitation Mac vis-à-vis des questions de sécurité.

La signification de Flashback n'est pas à négliger car il a détruit le mythe de l'invulnérabilité de Mac et il a confirmé que des plateformes autres que Windows pouvaient elles aussi être victimes d'épidémies massives. En 2011, nous avions prédit une augmentation du nombre d'attaques impliquant des programmes malveillants pour Mac. Nous ne nous attendions tout simplement pas à une telle ampleur.

2. Flame et Gauss : campagnes de cyber-espionnage orchestrées par des Etats-nations

Vers le milieu du mois d'avril 2012, les systèmes informatiques de plusieurs plateformes pétrolières au Moyen-Orient ont été détruits par des cyberattaques. Wiper, le programme malveillant responsable de ces attaques, n'a jamais été découvert, bien que plusieurs éléments indiquaient une ressemblance avec Duqu et Stuxnet. Lors de nos travaux de recherche, nous avons rencontré une ambitieuse campagne de cyberespionnage baptisée Flame.

Flame est sans conteste un des programmes malveillants les plus sophistiqués jamais créés. Une fois qu'il a été complètement déployé dans un système, il compte plus de 20 Mo de modules chargés de toute une série de fonctions comme l'interception audio, le balayage de périphériques Bluetooth, le vol de documents ou les captures d'écran de la machine infectée. La partie la plus impressionnante était l'utilisation d'un faux certificat Microsoft dans le cadre d'une attaque de l'homme du milieu contre le service de mise à jour de Windows qui permettait d'infecter en un clin d'œil des ordinateurs tournant sous Windows 7 et dotés de tous les correctifs disponibles. La complexité de l'opération indiquait clairement qu'elle était sponsorisée par un Etat-nation. A ce sujet, les chercheurs de Kaspersky Lab ont établi une solide connexion avec Stuxnet, ce qui indiquerait que les développeurs de Flame ont travaillé avec ceux de Stuxnet, peut-être même dans le cadre de la même opération.

Flame est important car il a démontré que des programmes malveillants très complexes pouvaient agir des années avant d'être détectés. Selon certaines estimations, le projet Flame aurait au moins cinq ans. Il a également redéfini le concept de 0jour via sa technique de propagation de l'homme du milieu en mode "Dieu".

Bien entendu, après la découverte de Flame, le public s'est interrogé sur le nombre de campagnes similaires qui auraient pu être organisées. Et il n'aura pas fallu attendre longtemps avant de découvrir de nouveaux incidents. La découverte de Gauss, autre cheval de Troie très sophistiqué déployé largement au Moyen-Orient, a ajouté une nouvelle dimension au concept de cybercampagnes organisées par des Etats-nations. Gauss est remarquable pour plusieurs raisons, dont certaines conservent toujours leur mystère à ce jour. L'utilisation d'une police personnalisée baptisée "Palida Narrow" ou sa charge utile chiffrée qui prend pour cible un ordinateur qui n'est pas connecté à Internet figurent parmi les questions sans réponses. Il s'agit également du premier cheval de Troie bancaire sponsorisé par un Etat qui est capable de détourner les données d'identification d'utilisateurs de services de transactions bancaires par Internet, principalement au Liban.

Flame et Gauss ont ajouté une nouvelle dimension aux conflits du Moyen-Orient : la cyberguerre. Il semblerait que les tensions géopolitiques existantes contiennent une composante cybernétique, peut-être plus importante que ce à quoi on aurait pu s'attendre.

3. L'explosion du nombre de menaces pour Android

En 2011, nous avons observé une explosion du nombre de menaces contre Android. Nous avions prédit que le taux de croissance du nombre de ces menaces resterait préoccupant. Le diagramme ci-dessous le confirme clairement :



La croissance des programmes malveillants pour Android

Le nombre d'échantillons que nous avons reçu a continuer d'augmenter pour atteindre son pic en juin 2012 :7 000 programmes malveillants détectés au cours de ce mois. Sur l'ensemble de l'année 2012, nous avons identifié plus de 35 000 programmes malveillants pour Android, soit près de six fois plus qu'en 2011. C'est également cinq fois fois que tous les échantillons malveillants pour Android reçu depuis 2005 !

Deux facteurs expliquent cette augmentation sensible des menaces pour Android : des facteurs économiques et des facteurs liés à la plateforme. Tout d'abord, la plateforme Android est très utilisée et est devenue le système d'exploitation le plus répandu pour les nouveaux téléphones, soit plus de 70 % des parts de marché. Ensuite, le côté ouvert du système d'exploitation, la simplicité de création des apps et le large éventail de magasins d'applications (non officiels) ont contribué à la mauvaise réputation de la sécurité de la plateforme Android.

A l'avenir, tout indique que cette tendance va se maintenir, tout comme se fut le cas avec les programmes malveillants pour Windows il y a de nombreuses années. Nous nous attendons par conséquent à ce que 2013 soit une année marquée par des attaques ciblées contre les utilisateurs d'Android, des attaques 0jour et des fuites de données.

4. Les fuites de mots de passe de LinkedIn, Last.fm, Dropbox et Gamigo

Le 5 juin 2012, LinkedIn, un des plus grands réseaux sociaux pour professionnels, a été victime d'une attaque dont les auteurs restent inconnus et qui a entraîné la fuite du hachage de mot de passe de plus de 6,4 millions d'utilisateurs sur Internet. Grâce à l'utilisation de cartes graphiques rapides, les chercheurs en sécurité ont réussi à récupérer un volume impressionnant de mots de passe originaux équivalent à 85 %. Plusieurs facteurs ont contribué à cet incident. Tout d'abord, LinkedIn stockait les mots de passe à l'aide de la fonction de hachage SHA1. Bien que cette fonction soit meilleure que la fonction MD5 très répandue, les cartes graphiques modernes peuvent casser les hachages SHA1 à une vitesse incroyable. Ainsi, la carte Radeon 7970, en vente à 400 dollars, est capable de vérifier près de 2 milliards de mots de passe/hachage SHA1 par seconde. Les développeurs Internet ont tiré des leçons sur le stockage des mots de passes chiffrés suite à ces attaques et aux attaques cryptographiques modernes impliquant des chaînes de Markov pour optimiser les recherches par force brute ou les attaques par masque.

En annonçant qu'il avait été victime d'une attaque ayant entraîné la fuite de détails des comptes utilisateur, Dropbox confirmait que les pirates visaient des données de valeur (principalement les données d'identification) sur des services Web très sollicités. Des attaques similaires ont touché Last.fm et Gamigo en 2012. Plus de 8 millions de mots de passe avaient été ainsi divulgués.

Pour donner une idée de l'ampleur du problème, la société Korelogic a publié, à l'occasion de la conférence InfoSecSouthwest 2012, une archive contenant environ 146 millions de hachages de mot de passe compilée au départ de plusieurs incidents de piratage. 122 millions avaient déjà été cassés.

Ces attaques indiquent que le concept de fuites de données prend de nouvelles dimensions dans l'ère du nuage où les informations relatives à des millions de compte sont disponibles sur un serveur accessible via des connexions Internet rapides. Nous avons exploré ce phénomène l'année dernière à l'occasion de l'attaque contre Sony Playstation Network. Il n'est dès lors pas surprenant que de telles attaques se soient maintenues en 2012.

5. Le vol de certificats d'Adobe et l'omnisprésence des attaques complexes, ciblées et persistantes

Tout au long de l'année 2011, plusieurs attaques conséquentes ont touché des autorités de certification. En juin, la société néerlandaise DigiNotar fut forcée à mettre la clé sous le paillasson suite à une attaque dont elle avait été victime tandis qu'au mois de mars, une société partenaire de Comodo avait été amenée par la ruse à émettre des certificats numériques. La découverte de Duqu en septembre 2012 était également liée à une attaque contre une autorité de certification.

Le 27 septembre 2012, Adobe annonçait la découverte de deux programmes malveillants signés à l'aide d'un certificat de signature de code valide d'Adobe. Les certificats d'Adobe étaient à l'abri dans un module matériel de sécurité, un appareil de chiffrement spécial qui réduit le risque d'attaques. Néanmoins, des individus malintentionnés avaient réussi à compromettre un serveur qui pouvait exécuter des demandes de signature de code.

Cette découverte s'inscrit dans la chaîne d'attaques extrêmement ciblées menées par des acteurs sophistiquées et dénommées attaques APT (attaques complexes, ciblées et persistantes).

Qu'une entreprise du calibre d'Adobe ait été victime d'une attaque de ce genre redéfinit les limites et les possibilités pour ces agresseurs de haut vol.

6. Le démantèlement de DNSChanger

Après l'arrestation des auteurs du programme malveillant DNSChanger en novembre 2011 dans le cadre de l'opération "Ghost Click", le FBI s'est emparé de l'infrastructure de vol d'identités.

Le FBI avait accepté de maintenir les serveurs jusqu'aux 9 juillet 2012 pour permettre aux victimes de désinfecter leurs systèmes. Malgré la possibilité de plusieurs scénarios apocalyptiques, la date est passée sans trop de problèmes. Cela n'aurait pas été possible sans le temps et les moyens investis dans ce projet par le FBI et d'autres organismes judiciaires, sociétés privées et gouvernements à travers le monde. Cette action de grande envergure a démontré que la coopération et le partage d'informations pouvaient garantir la réussite d'opérations contre la cybercriminalité.

7. Le cas Ma(h)di

Durant la fin de l'année 2011 et au cours du premier semestre 2012, une campagne continue d'infiltration de systèmes informatiques au Moyen-Orient a visé des individus en Iran, en Israël, en Afghanistan et dans d'autres régions. Nous nous sommes associés à Seculert afin d'étudier cette opération dans les détails. Nous l'avons baptisée "Madi" sur la base des certaines chaînes et handles utilisés par les auteurs de l'attaque.

Bien que Madi ne fût pas très sophistiquée, cette attaque a réussi à compromettre des victimes au profil les plus divers à travers le monde par le biais d'ingénierie sociale et du forçage droite à gauche. La campagne Madi a ajouté une nouvelle dimension aux activités de cyberespionnage au Moyen-Orient et a démontré un point important : des opérations à budget réduit, par opposition aux programmes malveillants développés à l'aide des ressources inépuisables d'Etats-nations, peuvent enregistrer des taux de réussite appréciables.

8. Les vulnérabilités 0jour dans Java

Suite à l'incident Flashback, mentionné ci-dessus, Apple a pris une décision extrême et a décidé de désactivé Java chez des millions d'utilisateurs de Mac OS X. Il faut signaler qu'il existait depuis février un correctif pour la vulnérabilité exploitée par Flashback, mais les utilisateurs d'Apple ont été exposés à la menace pendant quelques mois en raison de la lenteur avec laquelle Apple avait diffusé ce correctif pour ses utilisateurs. La situation était différente dans Mac OS X : s'agissant de Windows, les correctifs étaient diffusés directement par Oracle, mais sur Mac OS X, c'est Apple qui se chargeait de cette diffusion.

Et comme si cela ne suffisait pas, une vulnérabilité Java de type 0jour très exploitée dans la nature fut découverte en août 2012 (CVE-2012-46581). Ce code d'exploitation était intégré au très populaire kit de codes d'exploitation BlackHole et devint très vite le plus efficace de la collection avec des millions d'infections à travers le monde à son actif.

Au cours du deuxième trimestre 2012, nous avons réalisé une analyse des logiciels vulnérables sur les ordinateurs des victimes et nous avons découvert que plus de 30 % utilisaient une version de Java ancienne et vulnérable. Il s'agissait sans conteste du logiciel vulnérable le plus installé.

9. Shamoon

Au milieu du mois d'août, les détails relatifs à un programme malveillant dévastateur utilisé dans le cadre d'une attaque menée contre Saudi Aramco, un des plus grands conglomérats pétroliers au monde, firent leur apparition. D'après les informations diffusées, plus de 30 000 ordinateurs furent complètement détruits par le programme malveillant.

Nous avons analysé le programme malveillant Shamoon et nous avons identifié un interrupteur intégré qui devait activer le processus de destruction le 15 août à 8h08 TU. Plus tard, une autre attaque impliquant le même programme malveillant contre une autre société pétrolière au Moyen-Orient fut signalée.

L'importance de Shamoon est liée au fait qu'il exploite l'idée intégrée dans le programme malveillant Wiper, à savoir une charge utile destructrice dont le but est de compromettre sérieusement les opérations d'une société. A l'instar des incidents impliquant Wiper, de nombreuses questions comme le mode d'infection des systèmes ou l'auteur l'attaque restent sans réponse.

10. Les modems DSL, l'interdiction d'Huawei et les piratages de matériel

En octobre 2012, Fabio Assolini, chercheur chez Kaspersky, a publié les détails d'une attaque qui touchait le Brésil depuis 2011 et qui reposait sur une seule vulnérabilité de microprogramme, deux scripts malveillants et 40 serveurs DNS malveillants. Cette opération avait touché six fabricants de matériel et par conséquent, des millions d'internautes brésiliens avaient été victimes de cette attaque en masse continue et silencieuses contre des modems DSL.

En mars 2012, l'équipe CERT du Brésil confirmait que plus de 4,5 millions de modems avaient été compromis dans cette attaque et que ceux-ci étaient exploités par des cybercriminels dans le cadre d'activités frauduleuses les plus diverses.

Lors de la conférence T2 en Finlande, Felix ‘FX’ Lindner, chercheur en sécurité chez Recurity Labs GmbH a abordé les questions de sécurité et les vulnérabilités mises en lumière dans la famille de routeurs Huawei. Ce exposé suivait la décision prise par le gouvernement américain d'enquêter sur Huawei en raison de risques d'espionnage.

Les cas de Huawei et des routeurs DSL au Brésil ne sont pas des incidents aléatoires. Ils montrent que les routeurs matériels peuvent représenter un risque pour la sécurité identique, voire supérieur, à celui d'un logiciel ancien ou méconnu qui n'est jamais actualisé. Ils rappellent que la défense est devenue plus complexe et plus difficile que jamais, voire impossible dans certains cas.

Conclusions : d'explosif à révélateur

Alors que nous nous apprêtons à entrer en 2013, nous nous demandons ce que nous réserve l'avenir. Comme le montre les 10 incidents les plus marquants que nous avons sélectionnés, nos prévisions se sont bien concrétisées.

Malgré l'arrestation de Xavier Monsegur du groupe LulzSec et d'autres membres proéminents d'Anonymous, les hacktivistes n'ont pas cessé leurs actions. Les campagnes de cyberespionnage/les cyberconflits ont atteint de nouvelles dimensions avec Flame et Gauss. Les opérations APT dominent toujours les informations et l'on observe l'utilisation de vulnérabilités 0jour et de méthodes d'attaques intelligentes contre des victimes de haut vol. Les utilisateurs de Mac OS X ont été frappés par Flashfake, la plus grande épidémie ayant touché Mac OS X à ce jour et des grandes sociétés ont du lutter contre des programmes malveillants qui ont détruit des dizaines de milliers d'ordinateurs.

Les acteurs qui avaient dominé 2011 restent les mêmes : groupes d'hacktivistes, sociétés spécialisées en sécurité informatique, Etats-nations qui se battent via cyberespionnage, de grands éditeurs de logiciels ou de jeux comme Adobe, Microsoft, Oracle ou Sony, les autorités judiciaires et les cybercriminels traditionnels, Google, via le système d'exploitation Android et Apple, grâce à Mac OS X.

Nous avions utilisé l'adjectif "explosif" pour décrire l'année 2011 et nous pensons que les incidents enregistrés en 2012 ont suscité l'étonnement et éveillé l'imagination. Nous avons compris les nouvelles dimensions des menaces existantes alors que de nouvelles formes d'attaque commencent à se manifester.

Pronostics sur la sécurité en 2013

Souvent, la fin d'une année est une période propice à la réflexion. On pose un bilan et l'on se tourne vers l'avenir. Nous souhaitons donc vous proposer nos pronostics sur les questions qui, à notre avis, vont dominer la sécurité en 2013. Bien entendu, l'avenir prend toujours ses racines dans le présent et pour cette raison, il pourrait être utile de commencer par lire notre rétrospective sur les tendances clés en matière de sécurité qui ont marqué l'année 2012.

1. Attaques ciblées et cyber-espionnage

Bien que les attaques aléatoires qui visent à dérober les informations personnelles des victimes malchanceuses prédominent toujours, les attaques ciblées sont devenues un phénomène bien établi au cours des deux dernières années. Ces attaques sont organisées pour pénétrer dans une organisation spécifique et visent principalement à récolter des données sensibles qui ont une valeur financières sur le "marché noir". Les attaques ciblées sont souvent caractérisées par un degré de sophistication élevé. Le point de départ de nombreuses attaques est souvent l'élément humain : les individus malintentionnés trouvent des astuces pour amener des employés à divulguer des informations qui seront exploitées par la suite pour accéder aux ressources de l'entreprise. L'imposant volume de données partagé en ligne et l'augmentation de l'utilisation des médias sociaux dans les activités professionnelles ont contribué à l'augmentation de telles attaques. Dans ce contexte, les membres du personnel qui interagissent avec les clients (par exemple, les commerciaux ou les spécialistes du marketing) sont particulièrement vulnérables. Il faut compter sur la croissance du cyber-espionnage en 2013 et après. La lecture des gros titres dans la presse informatique spécialisée pourrait laisser croire que les attaques ciblées sont un problème qui touche uniquement les grandes entreprises et principalement celles qui maintiennent des "infrastructures critiques" dans un pays. Toutefois, n'importe quelle organisation peut devenir une victime. Toute organisation possède des données qui peuvent avoir de la valeur pour les cybercriminels et ces données peuvent servir de "tremplin" pour atteindre d'autres sociétés.

2. Développement de l'hacktivisme

Le vol d'argent, par accès direct à des comptes en banque ou par vol d'informations confidentielles, n'est pas l'unique motivation des attaques. Parfois, l'objectif d'une attaque est d'attirer l'attention sur une question politique ou sociale. Ces attaques ont été fréquentes en 2012. Il suffit de penser aux attaques par DDoS lancées par Anonymous contre des sites gouvernementaux en Pologne suite à la prise de position du gouvernement de ce pays en faveur de l'ACTA (accord commercial anti-contrefaçon), l'attaque contre le site officiel du championnat du monde de F1 afin de protester contre le traitement des opposants politiques à Bahrein, les attaques contre divers sociétés pétrolières en guise de protestation contre les forages dans l'Arctique, l'attaque contre Saudi Aramco et l'attaque du site français d'Euromillions dans le cadre d'une campagne contre les jeux de hasard. La société compte de plus en plus sur Internet et des organisations de tout type sont des victimes potentielles de ce genre d'attaque. Tout indique que l'hacktivisme sera encore présent en 2013 et pendant les années à venir.

3. Cyberattaques sous le patronage d'Etats-nations

Stuxnet a été un pionnier des attaques ciblées contre des infrastructures de production clés organisées à l'aide de programmes malveillants. Bien que ce genre d'attaque ne soit pas monnaie courante, il est clair désormais que Stuxnet n'était pas un cas isolé. Nous entrons dans une "cyberguerre froide" où les nations peuvent lancer des attaques les unes contre les autres, libérées des contraintes des conflits traditionnels. Nous pouvons nous attendre à ce que d'autres pays développent leur cyberarsenal composé d'armes développées pour voler des informations ou saboter des systèmes. Une des principales raison est que l'accès au développement de ce genre d'arme est bien plus aisé que pour le développement d'armes traditionnelles. Il se peut également que des entités qui ne sont pas des Etats-nations copient ces attaques, ce qui augmenterait le risque de dommages collatéraux. Ces cibles pourraient être des infrastructures énergétiques ou de contrôle du transport, des systèmes financiers ou de télécommunications ou d'autres "infrastructures critiques".

4. De l'utilisation des outils de surveillance légaux

Au fil des dernières années, la cybercriminalité est devenue de plus en plus sophistiquée. Ce développement a créé de nouveaux défis non seulement pour les spécialistes de la lutte contre les programmes malveillants, mais également pour les autorités judiciaires. Les efforts déployés par ces autorités afin de ne pas être larguées par les technologies des cybercriminels donnent naissance à toute une série d'interrogations qui ont des implications directes pour les autorités judiciaires elles-mêmes. Ainsi, que faire des ordinateurs compromis après que les autorités judiciaires ont réussi à démanteler un réseau de zombies, comme ce fut le cas lors de l'opération Ghost Click menée par le FBI et que nous avons abordée ici. Des questions se posent également au niveau de l'utilisation de technologies pour surveiller les activités des criminels suspects. Cette problématique n'est pas neuve. Vous vous souviendrez de la polémique qui avait frappé ‘Magic Lantern’ et ‘Bundestrojan’. Plus récemment, des discussions ont porté sur des rapports selon lesquels une société britannique avait proposé le logiciel de surveillance "Finisher" à l'ancien gouvernement égyptien et sur des rumeurs de demandes adressées par le gouvernement indien à diverses sociétés (dont Apple, Nokia et RIM) pour obtenir un accès secret aux appareils nomades. Il ne fait aucun doute que l'utilisation d'outils de surveillance légaux à des conséquences au niveau de la confidentialité et des libertés civiles. Et vu que les autorités judiciaires et les gouvernements souhaitent avoir une longueur d'avance sur les criminels, il est probable que l'utilisation de ces outils, et les débats associés, va se poursuivre.

5. Nuageux avec risque de programme malveillant

Il ne fait aucun doute que l'utilisation de services informatiques dans le nuage va s'étendre au cours des prochaines années. Le développement de ces services est alimenté par deux facteurs clés. Le premier est lié au coût. Les économies d'échelle qu'une entreprise peut dégager en stockant des données ou en hébergeant des applications dans le nuage sont substantielles. La flexibilité est le deuxième facteur. Les données sont accessibles n'importe quand, n'importe où et depuis n'importe quel périphérique (ordinateurs portables, tablettes ou smartphones). La croissance de l'utilisation des technologies dans le nuage va s'accompagner d'une augmentation du nombre de menaces sur la sécurité de cette technologie. Tout d'abord, les centres de données des fournisseurs de services dans le nuage sont des cibles de choix pour les cybercriminels. Le concept de "nuage" évoque peut être des images de rêve, mais il ne faut pas oublier que les données dont il est question sont stockées sur des serveurs bien réel dans le monde physique. Du point de vue d'un cybercriminel, ces centres offrent le potentiel d'un point de défaillance unique. Ils hébergent en un seul endroit des volumes importants de données personnelles qui pourraient être volées d'un seul coup en cas d'attaque réussie contre un fournisseur en particulier. Ensuite, il est probable que les cybercriminels vont exploiter les technologies du nuage pour héberger et propager leurs programmes malveillants, en général via des comptes compromis. Troisièmement, il ne faut pas oublier que les données stockées dans le nuage sont consultées au départ d'un périphérique dans le monde matériel. Donc, dès qu'un cybercriminel a compromis le périphérique, il peut accéder aux données, où qu'elles soient. L'utilisation généralisée des périphériques mobiles offre de grands avantages aux entreprises, mais elle s'accompagne également d'un plus grand risque : les données du nuage sont consultées au départ de périphériques qui n'offrent pas les mêmes garanties de sécurité que les systèmes d'extrémité traditionnels. Quand le même périphérique fait l'objet à la fois d'un usage personnel et professionnel, le risque augmente davantage.

6. Vous avez dit confidentialité ?

L'érosion ou la perte de la confidentialité fait l'objet de beaucoup de débat dans le domaine de la sécurité informatique. L'Internet s'est intégré à notre vie et pour beaucoup, la réalisation d'achats ou de transaction bancaires ou l'interaction avec des amis s'opèrent via ce média. Chaque fois que nous créons un compte en ligne, nous devons fournir des informations à notre sujet et les sociétés à travers le monde sont très avides des informations relatives à leurs clients. La menace contre la confidentialité peut prendre deux formes. Tout d'abord, les données personnelles sont en danger si le fournisseur de biens ou de services que nous utilisons est victime d'une attaque. Il ne se passe pas une semaine sans que nous ne lisions un article relatif à une société qui a été victime de hackers et dont les données personnelles des clients ont été exposées. Bien entendu, le développement continu des services dans le nuage ne va qu'aggraver le problème. Ensuite, les sociétés rassemblent et utilisent les informations à notre sujet dans le cadre de projets de publicité ou de marketing, parfois à notre insu, et la procédure à suivre pour retirer son accord n'est pas toujours clairement expliquée. La valeur que représentent les données personnelles pour les cybercriminels et les sociétés légitimes va continuer à augmenter, si bien que les menaces potentielles sur notre confidentialité vont se renforcer également.

7. En qui peut-on avoir confiance ?

Si quelqu'un venait frapper à votre porte et vous demandait s'il pouvait entrer, vous seriez probablement très hésitant si cette personne n'était pas en mesure de vous montrer une pièce d'identité valide. Et que faire si elle vous montre cette pièce d'identité ? Et si celle-ci n'était pas un faux, mais bien un document officiel d'une organisation légitime ? Cela minerait le processus de confiance sur lequel nous devons tous compter pour nous protéger des escrocs du monde réel. Il en va de même dans le monde en ligne. Nous avons tous tendance à faire confiance à des sites dotés d'un certificat de sécurité émis par une autorité de certification reconnue ou à une application dotée d'un certificat numérique valide. Malheureusement, des cybercriminels ont non seulement réussi à émettre de faux certificats pour leurs programmes malveillants, mais ils ont également réussi à s'introduire dans les systèmes de divers autorités de certification et ont signé leur code à l'aide de certificats volés. L'utilisation de certificats contrefaits ou volés ne va pas disparaître. Le problème risque même d'être aggravé par un autre développement. Au cours des dernières années, les fournisseurs de solutions de sécurité ont introduit les listes blanches dans leur arsenal. Ces listes permettent de voir non seulement si un code est un code malveillant connu, mais aussi de voir s'il s'agit d'un "bon code connu". Mais si une application malveillante parvient à s'ajouter à une liste blanche, elle pourrait ne pas être détectée par les logiciels de sécurité. Cela pourrait se produire de plusieurs manières. Le programme malveillant a été signé à l'aide d'un certificat volé : si l'application de la liste blanche accorde automatiquement sa confiance aux logiciels signés par cette organisation, l'application infectée sera également considérée comme une application de confiance. Il est possible également que les cybercriminels (ou un complice à l'intérieur de la société) puissent accéder au dossier ou la base de données contenant la liste blanche et y ajoutent le programme malveillant. Une personne de confiance, dans le monde réel ou numérique, est toujours bien placée pour miner la sécurité.

8. Cyber extorsion

Cette année aura été marquée par une augmentation du nombre de chevaux de Troie d'extorsion qui forcent la victime à verser de l'argent, soit en chiffrant les données du disque, soit en bloquant l'accès au système. Jusqu'il y a peu, ce type de cybercrime se limitait principalement à la Russie et à d'autres pays de l'espace ex-soviétique. Ces programmes sont répartis désormais à travers le monde entier et seul le mode opératoire peut légèrement varier. En Russie par exemple, les chevaux de Troie qui bloquent l'accès au système affirment souvent qu'ils ont détecté des logiciels sans licence sur l'ordinateur de la victime et exigent un paiement. En Europe, où l'utilisation de logiciels piratés est moins fréquente, cette stratégie n'est pas aussi efficace. Donc, ces chevaux de Troie affichent des messages contextuels au nom de la police qui signalent à la victime que des images pédophiles ou tout autre contenu illégal ont été détectés sur l'ordinateur. Ce message s'accompagne d'une injonction pour payer une amende. Ce genre d'attaque est simple à développer et tout comme dans le cas du phishing, les victimes potentielles sont loin de manquer. Par conséquent, il est probable que la croissance de ce type de cybercriminalité va se maintenir.

9. Programmes malveillants pour Mac OS X

Malgré des idées qui ont la vie dure, les Macs ne sont pas immunisés face aux programmes malveillants. Bien sûr, par rapport au torrent de programmes malveillants développés pour Windows, le volume de programmes malveillants pour Mac est modeste. Toutefois, il a connu une croissance stable au cours de ces deux dernières années et tout utilisateur d'un Mac ferait preuve de naïveté s'il pensait qu'il ne pourrait pas devenir une victime de la cybercriminalité. La menace ne vient pas seulement des attaques généralisées comme le réseau de zombies Flashfake composé de 700 000 Macs. Il y a également eu des attaques ciblées contre des groupes ou des individus dont on savait qu'ils utilisaient des Macs. La menace contre les Macs est bien réelle et il est probable qu'elle va continuer à se développer.

10. Programmes malveillants pour appareils nomades

Le nombre de programmes malveillants pour appareils nomades a explosé au cours des 18 derniers mois. Les périphériques Android décrochent la part du lion parmi les systèmes d'exploitation pris pour cible : 90 % des attaques visent ce système d'exploitation. Android répond à tous les critères pour un cybercriminel : il est très répandu, les applications pour Android sont faciles à développer et ceux qui utilisent le système peuvent télécharger des applications (y compris des programmes malveillants) depuis n'importe où. Pour ces raisons, il ne faut pas s'attendre à un ralentissement du développement de programmes malveillants pour Android. A ce jour, la majorité des programmes malveillants a été développée pour accéder à l'appareil. A l'avenir, il est probable que des vulnérabilités seront exploitées, ce qui signifie que les attaques par téléchargement à la dérobée vont se développer. Il est également fort probable que le premier ver de masse pour Android apparaisse. Il pourra se propager par SMS et enverra des liens vers lui-même sur un magasin d'applications en ligne quelconque. Il faut s'attendre également à l'augmentation du nombre de réseaux de zombies mobiles semblables à celui créé à l'aide de la porte dérobée RootSmart au premier trimestre 2012. Par contraste, iOS est un système de fichiers fermé soumis à des restrictions qui autorise le téléchargement et l'utilisation d'applications en provenance d'une seule source uniquement : l'App Store. Ceci réduit le risque pour la sécurité : afin de pouvoir diffuser leur code, les candidats auteurs de virus doivent trouver une manière d'introduire le code dans l'App Store. L'apparition de l'app "Find and Call" au début de cette année a démontré que des apps indésirables pouvaient passer au travers des mailles du filet. Mais il est plus que probable, pour l'instant, qu'Android demeure la cible principale des cybercriminels. L'app "Find and Call" pose des questions au niveau de la confidentialité, des fuites de données et des dommages potentiels à la réputation d'une personne : elle a été conçue pour télécharger le répertoire téléphonique de la victime sur un serveur distant et elle utilise ces numéros pour diffuser des SMS non sollicités.

11. Vulnérabilités et codes d'exploitation

Une des méthodes principales dans l'arsenal des cybercriminels pour installer des programmes malveillants sur l'ordinateur d'une victime est l'exploitation de vulnérabilités qui n'ont pas été corrigées dans une application. Cette méthode repose sur l'existence de vulnérabilités et sur le fait que les particuliers ou les entreprises n'appliquent pas toujours les correctifs aux applications. Les vulnérabilités dans Java représentent actuellement plus de 50 pour cent des attaques, tandis qu'Adobe Reader est exploité dans 25 pour cent des cas. Ceci n'a rien d'étonnant dans la mesure où les cybercriminels se concentrent en général sur des applications très répandues et qui resteront le plus longtemps sans correctifs, offrant ainsi une période suffisamment longue pour atteindre les objectifs. Non seulement Java est installé sur de nombreux ordinateurs (1,1 milliard selon Oracle), mais les mises à jour sont installées à la demande et non pas automatiquement. Pour cette raison, les cybercriminels vont continuer à exploiter Java au cours de l'année prochaine. Il est probable que les cybercriminels continueront à utiliser Adobe Reader, mais dans une moindre mesure car les nouvelles versions intègrent un mécanisme de mise à jour automatique.

Source:
Kaspersky Lab
Related links
Analysis
Bulletin de Kaspersky sur la sécurité en 2012 Cyberarme
Bulletin de Kaspersky sur la sécurité en 2012 Principales statistiques pour 2012
Développement des menaces informatiques au premier trimestre 2012
Bulletin de Kaspersky sur la sécurité 2011. Développement des menaces en 2011
Bulletin de Kaspersky sur la sécurité en 2011. Principales statistiques pour 2011
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com