Toutes les Menaces

Virus

Hackers

Spams

Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
Actualité
Glossaire

 
Calendrier

<< 2014  
Jan Feb Mar
Apr May Jun
Jul Aug Sep
     
Les Analyses les plus Populaires



IoT : comment j'ai piraté ma maison



Baromètre de Kaspersky sur la cybercriminalité. Courrier indésirable en 2008



Courrier indésirable et phishing au deuxième trimestre 2014



Courrier indésirable en juillet 2014



Opération Epic Turla : résolution de certains des mystères de Snake/Uroburos
 
 

  Page d'accueil / Analyses

Rapport Kaspersky Lab : évaluation du niveau de menace et des vulnérabilités dans les logiciels

7.02.2013   |   comments (1)

Aperçu

Les applications vulnérables sont le vecteur le plus fréquemment utilisé pour attaquer des victimes et voler des données personnelles. Les codes d'exploitation, ces morceaux de code malveillant qui utilisent des vulnérabilités dans des applications très répandues pour infecter un système, interviennent dans la création de programmes malveillants chargés de voler les données personnelles des consommateurs. Ils représentent également la pierre philosophale des cybercriminels pour les attaques ciblées ou les cyberconflits. Toutes les cyberarmes connues comme Stuxnet and Duqu ont pu s'infiltrer dans des infrastructures informatiques sous haute surveillance à l'aide de codes d'exploitation et réaliser les opérations de sabotage ou de cyberespionnage pour lesquelles elles avaient été créées.

L'objectif principal de l'équipe d'experts et d'analystes en sécurité de Kaspersky Lab est d'identifier et de bloquer toutes les nouvelles cybermenaces, y compris les codes d'exploitation. Outre les méthodes traditionnelles de détection et de blocage d'échantillons de programmes malveillants particuliers sur la base de leur définition, il existe de nouvelles techniques intelligentes qui permettent de bloquer des codes d'exploitation inconnus jusqu'à présent ou qui utilisent de nouvelles vulnérabilités dans les logiciels (vulnérabilités 0jour). La technologie Automatic Exploit Prevention (prévention automatique des codes d'exploitation) est un exemple frappant de ces technologies innovantes. Elle permet de détecter et de bloquer les codes d'exploitation sur la base de leur comportement avant même qu'ils n'aient eu le temps de nuire aux clients. Afin de pouvoir développer ce type de technologie, nous devons vraiment comprendre les besoins de nos clients : quelles applications utilisent-ils et comment traitent-ils les logiciels vulnérables.

Nous compilons ces données via le service dans le nuage Kaspersky Security Network : en échange de ces précieuses informations, nos clients profitent de ce réseau en recevant des informations d'actualité sur les menaces les plus récentes et ce en quasi temps réel. Avant d'atteindre les serveurs de Kaspersky Lab, les informations relatives aux incidents locaux de sécurité et à l'utilisation des données sont purgées de toute information personnelle, si bien que l'anonymat le plus strict est garanti.

Ce rapport repose sur les informations relatives aux applications vulnérables détectées sur les ordinateurs de nos clients. La recherche des vulnérabilités est une des fonctionnalités standard des logiciels Kaspersky Lab tels que Kaspersky Internet Security 2013 : elle aide les utilisateurs à identifier les logiciels vulnérables et à les mettre à niveau. Le but de cette étude est de comprendre comment les utilisateurs réagissent face aux applications vulnérables et d'analyser les dangers potentiels que posent de telles applications.

Méthodologie

  • Source des données : clients qui utilisent des logiciels de sécurité pour particuliers de Kaspersky Lab et qui ont accepté de rejoindre le Kaspersky Security Network.
    • Les données ont été uniquement recueillies sur des ordinateurs Windows.
    • Nombre total d'utilisateurs : plus de 11 millions
  • Période d'analyse : de janvier à décembre 2012, chaque semaine, 52 semaines au total.
  • Une analyse générale des vulnérabilités a été réalisée selon les critères suivants :
    • Année de la première découverte de la vulnérabilité
    • Niveau de gravité
  • Les 37 vulnérabilités les plus dangereuses ont été sélectionnées sur la base des critères suivants :
  • Plus de 10 % des utilisateurs possédaient un logiciel frappé par cette vulnérabilité en particulier pendant au moins une semaine en 2012. Parmi celles-ci, nous avons sélectionné huit vulnérabilités activement exploitées par les cybercriminels et nous les avons analysées de manière plus détaillée afin de voir les variations de leur prévalence relative au fil de l'année.
  • Nous avons également analysé les modèles d'utilisation pour Oracle Java à l'aide des données anonymes de Kaspersky Security Network sur les versions lancées par les utilisateurs en septembre et en octobre 2012

Principaux résultats

  • Plus de 132 millions d'applications vulnérables ont été enregistrées au total.
    • 12 vulnérabilités en moyenne par utilisateur
  • 806 vulnérabilités uniques ont été détectées. Seules 37 vulnérabilités ont été détectées sur au moins 10 % des ordinateurs pendant au moins une semaine de la période d'analyse. Il s'agit des vulnérabilités qui ont le plus de probabilité d'attirer l'attention des cybercriminels.
  • Ces 37 vulnérabilités existent dans 11 familles différentes de logiciel. Les logiciels qui comptent le plus de vulnérabilités sont Adobe Shockwave/Flash Player, Apple iTunes/QuickTime et Oracle Java.
  • Une analyse plus poussée de la liste a mis en évidence seulement huit vulnérabilités qui sont utilisées couramment par les cybercriminels dans des packs de codes d'exploitation répandus.
  • Les vulnérabilités dans Oracle Java ont le plus grand impact : sur les huit vulnérabilités exploitées activement, cinq concernent le logiciel Java. Deux autres concernent Adobe Flash et une autre touche Adobe Reader.
  • Le niveau de menace moyen des 37 vulnérabilités en tête du classement est de 3,7. Ce chiffre est obtenu en prenant le niveau de gravité de chaque vulnérabilité et va de « Moyennement critique » à « Hautement critique ».
  • L'information la plus alarmante tirée de cette recherche est que les utilisateurs des trois applications les plus vulnérables (Java, Flash Player et Adobe Reader) sont très réticents à l'idée de mettre à jour leur version de ces logiciels afin d'améliorer leur sécurité. De plus, une analyse plus poussée de la véritable utilisation d'Oracle Java a montré à quel point la situation était grave : sept semaines après la diffusion d'une nouvelle version, moins de 30 % des utilisateurs avaient réalisé la mise à jour alors que le risque de vol de données était bien réel. Il faut compter 5 à 7 jours pour les principaux navigateurs pour atteindre une part de marché similaire après la diffusion de mises à jour.

Chiffres généraux

Au cours de la période de 52 semaines, nous avons détecté un total de 806 vulnérabilités uniques sur les PC de nos clients. La plus ancienne d'entre elles avait été découverte en février 2003 tandis que la plus récente remontait à décembre 2012.


Part de vulnérabilités par année de découverte, toutes les vulnérabilités

La meilleure stratégie à adopter pour éviter les risques potentiels liés à un logiciel vulnérable est de maintenir toutes les applications à jour (notez, toutefois, que cette seule mesure ne suffit pas). L'âge de ces vulnérabilités démontre que les utilisateurs n'appliquent pas ce principe, à l'exception des rares cas où l'éditeur lui-même est réticent à l'idée de diffuser une mise à jour. Parfois, bien entendu, il peut arriver qu'on oublie une application rarement utilisée ou que l'on désactive ces notifications qui nous énervent. L'analyse des dates de détection de toutes les vulnérabilités dresse un tableau pessimiste : près de deux tiers (64 %) des failles détectées concernent des applications plus ou moins obsolètes (diffusées en 2010 ou avant). Mais pour pouvoir dresser un tableau plus précis, il faut tenir compte de la "popularité" de certains programmes malveillants. Pour ce faire, nous avons compté uniquement les vulnérabilités que nous avons détectées sur au moins 10 % des ordinateurs à un moment donné au cours de l'année.


Top des vulnérabilités par année de découverte

Et ici, la différence se note vraiment. Seules 37 vulnérabilités étaient assez diffusées pour être retenues par notre filtre artificiel. La répartition par âge est également différente : l'écrasante majorité des vulnérabilités populaires a été découverte en 2011 et 2012. Seules trois applications vulnérables datent de 2010 ou avant (la vulnérabilité détectée dans Microsoft Office 2007 étant une des plus notables).

  • Les 37 vulnérabilités de ce tableau figurent en fait dans plus de 70 % de l'ensemble des logiciels vulnérables détectés en 2012.

Il ne faut cependant pas oublier que des centaines de vulnérabilités rares pourraient toujours être utilisées dans le cadre d'attaques ciblées contre des entreprises.

Logiciels touchés


Différenciation des principales vulnérabilités par famille de logiciel Le nombre de vulnérabilités principales est fourni pour chaque famille de logiciel, ainsi que la période au cours de laquelle ces vulnérabilités ont été détectées

Le top 37 des vulnérabilités se trouve dans 10 familles de produits différentes. Les produits les plus vulnérables sont Adobe Shockwave/Flash Player, Apple iTunes/QuickTime et Oracle Java. Ensemble, ils représentent 28 vulnérabilités parmi celles détectées sur au moins 10 % des ordinateurs des utilisateurs en 2012.

Niveau de menace

La gravité d'une vulnérabilité est une de ces caractéristiques les plus importantes. Dans la base de données de Kaspersky Lab, les vulnérabilités sont évaluées sur une échelle allant de 1 (non critique) à 5 (extrêmement critique). Les vulnérabilités de niveau 5 sont considérées comme les plus dangereuses car elles peuvent, en théorie, être facilement exploitées et ce sont celles qui ont le plus de chance d'entraîner une perte de données sensibles. Sur la base du niveau de gravité de chacune des vulnérabilités du Top 37, nous pouvons calculer un niveau de menace moyen équivalent à 3,7 (quelque part entre moyennement et hautement critique).

Vulnérabilités extrêmement dangereuses

Cette section porte sur l'analyse de huit vulnérabilités sélectionnées parmi les 37 failles dans les logiciels qui sont utilisées activement par les cybercriminels dans des packs de codes d'exploitation très répandus. Bien que la majorité des vulnérabilités les plus fréquentes se trouvent dans des logiciels Adobe, les failles les plus souvent exploitées se trouvent dans Oracle Java.


Nombre de vulnérabilités exploitées activement, par logiciel dans lequel la vulnérabilité a été détectée

Analysons ces vulnérabilités, regroupées par logiciel.

Vulnérabilités dans Oracle Java

Java occupe sans conteste une position dominante en termes de vulnérabilités découvertes et 2012 aura été une année difficile pour Oracle. Nous avons recensé cinq vulnérabilités majeures dans ce logiciel, la plus ancienne ayant été découverte en octobre 2011 et la plus récente, en octobre 2012. Ce graphique illustre l'évolution des vulnérabilités Java et leur prévalence:


Prévalence des vulnérabilités Oracle Java en 2012

Dans le cadre d'une recherche de vulnérabilités potentielles, un seul point faible potentiel est enregistré pour chaque application, même si ce point faible peut être exposé à plusieurs vulnérabilités de la sécurité. Toutefois, dans le cas d'Oracle Java, ces cinq vulnérabilités ont toutes été activement exploitées par les cybercriminels. Ceci signifie que nous devons toutes les prendre en compte afin d'évaluer le nombre d'utilisateurs touchés. Comme nous pouvons le voir, à tout moment en 2012, un grand nombre d'utilisateurs courrait un risque à cause de vulnérabilités Java. Au point le plus bas, en février, plus d'un utilisateur sur trois était affecté ; le pic a été atteint en octobre lorsqu'une combinaison de trois vulnérabilités a touché 61,1 % des utilisateurs.

Il ressort également que les utilisateurs hésitent de trop au moment de passer à une version mise à jour du logiciel, même si cela signifie la résolution d'un problème de sécurité dangereux. Dans un cas particulier impliquant plusieurs vulnérabilités Java découvertes en février 2012, le pourcentage d'utilisateurs affectés a atteint un maximum de 52,4 % à la fin du mois de février 2012. La mise à jour pour les version 6 et 7 de Java a été diffusée le 15 février. 16 semaines (ou 4 mois) plus tard, ce pourcentage avait chuté à seulement 37,3 % uniquement, ce qui reste malgré tout un chiffre élevé. Au cours de cette période, une autre mise à jour pour Java fut diffusée (26 avril) avec des correctifs qui ne concernaient pas la sécurité et à la fin de la période (le 12 juin) une autre mise à jour a été diffusée pour corriger des failles découvertes récemment dans la sécurité. Autrement dit, les utilisateurs avaient disposé d'environ quatre mois pour passer à la nouvelle version (sûre à l'époque), mais il leur aura fallu très longtemps avant de réagir.

Analyse de l'utilisation réelle de Java

Nous avons approfondi notre analyse de l'utilisation réelle de Java pendant la période comprise entre les deux mises à jour. Le 30 août, Oracle a lancé Java SE 7 mise à jour 7 et Java SE 6, mise à jour 35. Le 16 octobre, c'est Java SE 7, mise à jour 9 et SE 6, mise à jour 37 qui étaient diffusés. Toutes ces mises à jour concernaient des vulnérabilités graves. En utilisant une source de données de nos utilisateurs alternative (source qui vérifie le logiciel qui est en réalité utilisée), nous avons détecté 41 versions majeures différentes de Java 6 et 7. La vulnérabilité couverte par la mise à jour du 30 août (détails disponibles sur le site Internet d'Oracle) concerne également toutes les versions antérieures de Java. Par conséquent, nous avons combiné la part de toutes les versions antérieures (touchées) et nous les avons comparées aux deux versions mises à jour (corrigées). Les résultats sont repris dans ce tableau:


Part d'utilisateurs des versions plus récentes de Java (corrigées) comparée aux versions antérieures et vulnérables (touchées), sur une base hebdomadaire.

Vu l'impact élevé des vulnérabilités Java, nous avons utilisé une méthode complémentaire pour analyser la vitesse à laquelle les utilisateurs passent à une version plus récente de ce logiciel lorsqu'ils sont confrontés à une vulnérabilité exploitée activement dans la version précédente. Dans ce cas, les utilisateurs avaient disposé de sept semaines pour réaliser la mise à jour à la version sûre (à l'époque) de Java 6 ou 7 mais moins de 30 % des utilisateurs avaient en fait réalisé cette mise à jour avant la diffusion d'une version plus récente (qui corrigeait un autre ensemble de vulnérabilités). Dans un rapport antérieur consacré à l'utilisation des navigateurs, nous avons utilisé des données similaires pour calculer la vitesse de mise à jour pour Google Chrome, Firefox et Opera. Dans les trois cas, au moins 30 % des utilisateurs étaient passés à la version plus récente dans la semaine qui suivait la diffusion de la mise à jour. Il ne fait aucun doute que le processus de mise à jour pour Oracle Java peut être considéré comme très lent.

Vulnérabilités dans Adobe Flash Player

Sur la base du nombre de vulnérabilités fréquemment découvertes en 2012, Adobe Flash Player dépasse Java : nous avons détecté 11 vulnérabilités répandues au cours de cette période (cinq autres concernaient Shockwave Player, un type différent de logiciel). Heureusement, seules deux d'entre elles étaient exploitées par les cybercriminels (contre cinq pour Java). Tout d'abord, nous souhaitons mettre en évidence une vulnérabilité Flash en particulier qui se distingue de toutes les autres.


Part relative des vulnérabilités pour Adobe Flash Player détectées et corrigées en octobre 2010, sur une base hebdomadaire.

A la différence des autres vulnérabilités Adobe Flash Player qui nous analyserons plus tard, celle-ci avait été découverte et corrigée il y a plus de deux ans. Mais comme nous le voyons, les utilisateurs qui travaillent avec cette version en particulier n'avaient pas été informés de l'existence d'une mise à jour ou n'avaient pas souhaité réagir aux notifications de mise à jour automatiques. Cette version obsolète et vulnérable d'Adobe Flash Player était installée en moyenne sur 10,2 % des ordinateurs, ce qui est un nombre étonnant vu que l'existence d'un code d'exploitation pour cette vulnérabilité avait été confirmée mais que ce code n'était pas utilisé de manière active. Il se pourrait que cette vulnérabilité disparaisse uniquement lorsque tous les ordinateurs qui sont dotés de cette version obsolète du logiciel seront remplacés par de nouveaux ordinateurs.

Vulnérabilités pour Flash : vue d'ensemble


Niveaux relatifs des vulnérabilités Adobe Flash Player en 2012

La situation parmi les 10 autres vulnérabilités Flash est plus complexe. Ici aussi, la recherche de la présence éventuelle de vulnérabilités ne découvre qu'une vulnérabilité par application, ce qui explique pourquoi le tableau montre des vulnérabilités plus récentes qui en chevauchent d'autres ou qui les remplacent. Bien que seules deux vulnérabilités sur les 10 affichées sont exploitées dans les faits (celles découvertes en mai et en août 2012), le tableau montre également le niveau de vulnérabilité n'est pas prêt de changer : les utilisateurs prennent beaucoup de temps pour passer aux versions plus récentes du logiciel, quel que soit le danger des vulnérabilités qu'il contient. Dans les versions suivantes du rapport, nous nous concentrerons sur les statistiques d'utilisation effective d'Adobe Flash Player afin de définir la vitesse exacte des mises à jour d'une version à une autre.

Vulnérabilité Acrobat Reader/Acrobat


Modification dans la part d'une vulnérabilité, base hebdomadaire

La seule vulnérabilité Adobe Reader populaire et activement exploitée à ce moment a été découverte au début du mois de décembre 2011 et elle a été détectée en moyenne sur 13,5 % des ordinateurs en 2012. Bien qu'elle ait été corrigée immédiatement, ce nombre n'a pas beaucoup changé et il a atteint son pic en janvier 2012 avec 16,8 %. Tout comme pour les autres applications analysées, rien n'indique que cette vulnérabilité va reculer. Une fois de plus, cela indique que les utilisateurs tardent à actualiser leur logiciel, probablement à cause du manque d'efficacité du système de mise à jour automatique.

Conclusion

Cette recherche nous a permis d'examiner le niveau de menace des vulnérabilités dans les logiciels depuis un point de vue unique : présenter les failles dans la sécurité des logiciels comme des bombes à retardement qu'un cybercriminel pourrait faire exploser. Nos informations proviennent d'utilisateurs qui ont choisi nos solutions et qui, par conséquent, sont moins susceptibles de devenir les victimes d'un code d'exploitation. Mais même dans ces conditions, la situation est loin d'être réjouissante.

Même lorsqu'un éditeur de logiciel déploie tous les efforts pour reconnaître une faille et diffuser une mise à jour dans un délai raisonnable, une partie significative des utilisateurs de ce logiciel ignore complètement le geste. Une défaillance connue, dangereuse et exploitable demeure sur des millions d'ordinateurs des mois après sa découverte et après la diffusion d'une mise à jour. Il existe des cas de vulnérabilités qui demeurent des années après avoir été détectées et corrigées.

Nous ne pouvons pas vraiment rejeter la faute sur les utilisateurs : ils ne sont pas, et ils ne doivent pas être, des experts en sécurité. Ce qu'il faut, c'est un processus de mise à jour plus efficace et automatisé pour tous les logiciels installés et de meilleures pratiques en matière de sécurité chez les éditeurs en général. Toutefois, les utilisateurs doivent comprendre que la liberté de pouvoir installer n'importe quelle version de n'importe quelle application implique le respect de certaines mesures de précaution et le point de départ est une protection adéquate contre les menaces modernes, y compris des outils pour identifier et actualiser les logiciels vulnérables.

Recommandations pour les consommateurs

  • Utilisez les logiciels de sécurité en permanence : le fait d'avoir les versions les plus récentes de toutes les applications ne vous protège pas contre les codes d'exploitation les plus récents qui utilisent des vulnérabilités de type 0jour. Kaspersky Lab propose une nouvelle technologie baptisée Automatic Exploit Prevention qui permet de détecter et de bloquer les codes d'exploitation neufs ou inconnus.
  • Utiliser un ordinateur pendant plusieurs années sans réinstaller un système d'exploitation est un scénario fréquent. Si tel est votre cas, réalisez un inventaire des logiciels installés. Supprimez les applications que vous n'utilisez pas du tout. Pour les autres, mettez-les à jour jusque la version la plus récente, si possible.
  • Utilisez un logiciel spécial pour rechercher la présence éventuelle de vulnérabilités dans les applications installées. Faites de votre mieux pour mettre à jour les applications qui contiennent des vulnérabilités critiques. La manière la plus simple consiste à installer une suite logicielle de sécurité complète comme Kaspersky Internet Security.
  • Soyez particulièrement attentif à Oracle Java, Adobe Flash Player et Adobe Reader car ils s'agit des applications qui sont le plus souvent exploitées.
  • Si vous utilisez un Mac, ne supposez pas que vous êtes à l'abri des vulnérabilités. Elles sont souvent malheureusement multiplateformes. Par exemple, le tristement célèbre réseau de zombies Flashfake utilisait une vulnérabilité dans Java. Il en va de même pour Linux : bien que ces systèmes soient moins souvent attaqués par des cybercriminels, ils pourraient servir de passerelle à une attaque ciblée contre une société.

Recommandations pour les entreprises

  • Vous devez exercer un contrôle sur les logiciels utilisés dans votre société. Autrement dit, vous devez connaître les applications et leurs versions utilisées par les employés et vous devez savoir, bien entendu, si ces versions sont sûres. En général, le contrôle des applications doit être une opération centralisée et réalisée en temps réel, par exemple grâce à la solution Kaspersky Endpoint Security for Business associée à la console de gestion Kaspersky Security Center. Ces différents outils permettent d'assurer un suivi de l'activité des applications, des périphériques et d'Internet.
  • S'agissant des vulnérabilités, la première étape consiste à contrôler l'inventaire. Cette tâche est souvent si complexe qu'elle devient presqu'aussi exigeante que la protection contre les cybercriminels pour plusieurs services informatiques. Heureusement, la nouvelle solution de Kaspersky Lab pour entreprises permet de prendre les commandes de tous les aspects de la sécurité informatique, depuis l'inventaire du matériel et des logiciels jusqu'à la configuration et le déploiement aisés des systèmes d'extrémité et autres nœuds dans le réseau. L'évaluation des vulnérabilités et la fonction versatile de gestion des correctifs figurent parmi les points forts de ces nouvelles fonctionnalités.
  • Il se peut que la première recherche de vulnérabilités donne un résultat catastrophique vu que les stratégies de sécurité des entreprises limitent souvent la capacité des employés à actualiser eux-mêmes les applications. Comme nous l'avons démontré dans ce rapport, de nombreux utilisateurs ne pensent même pas à mettre à jour une application qui semble fonctionner normalement. Si l'on ajoute à cela les privilèges restreints, on peut se retrouver dans une situation où un logiciel obsolète est utilisé par tous les employés de la société pendant des années.
  • Quelle solution adopter ? Commencez par vous intéresser aux logiciels vulnérables les plus souvent utilisés décrits dans ce rapport. Comparez-les aux applications utilisées dans votre société. Il s'agit des victimes potentielles d'une attaque ciblée les plus probables. Toutes ces attaques débutent par un code d'exploitation qui vise un logiciel particulier utilisé par vos employés. Il convient également de faire attention aux vulnérabilités de longue date qui ont été répandues pendant très longtemps. Les mises à jour des logiciels de l'entreprise, comme l'inventaire, doivent être centralisées à l'aide d'une solution adéquate de gestion des correctifs.
  • Une manière supplémentaire d'améliorer la sécurité de l'entreprise est d'utiliser le nouveau scénario de refus par défaut. Dans les logiciels de Kaspersky Lab pour entreprises, ce scénario consulte une immense base de données comptant plus de 600 millions d'applications légitimes afin d'autoriser uniquement l'exécution de logiciels connus dont la réputation est bonne. Les applications qui ne sont pas autorisées par l'entreprise, les logiciels inconnus et les programmes malveillants sont totalement interdits par ce scénario. Parallèlement à cela, le fonctionnement des applications et des systèmes indispensables aux opérations est garantit par une catégorie "Golden Image" d'applications essentielles et le partenariat de Kaspersky Lab avec plus de 200 grands éditeurs de logiciels signifie que les versions les plus récentes des logiciels fondamentaux sont ajoutées à la liste d'autorisation.
  • Le chiffrement des données importantes peut réduire le risque de fuites. Les attaques ciblées contre une société visent en général à dérober des données et le chiffrement contribuera à protéger vos données même en cas d'infection du système.

Source:
Kaspersky Lab
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com