Discussion :

[Mejdi20]

Tendances en matière de sécurité à observer en 2010

Vérification semestrielle

Lorsque l'année 2009 tirait à sa fin, Les experts de Symantec ont consulté leur boule de cristal et prédit quelques évènements attendus en 2010. Arrivés à la mi-2010, nous évaluons nos prédictions au regard des développements observés depuis le début de l’année.

Prédiction No. 1

Un antivirus n'est pas suffisant : Les menaces polymorphes et l'apparition accélérée de divers logiciels malveillants étant en hausse en 2009, l'industrie réalise que les approches traditionnelles visant à lutter contre les virus, tant les signatures de fichier que les capacités heuristiques/comportementales, sont insuffisantes contre les menaces existant aujourd'hui. Nous en sommes arrivés à un point d'inflexion où le taux de création de programmes malveillants est supérieur à celui du taux de création de bons programmes. Nous en sommes donc arrivés à un stade où l'analyse seule des logiciels malveillants n'a plus aucun sens. Des approches de sécurité examinant comment inclure tous les fichiers logiciels (telle une sécurité basée sur la réputation) seront clé en 2010.

État : en bonne voie

Observations : malheureusement, les créateurs de maliciels nous on donné raison. Symantec a créé 2 895 802 nouvelles signatures de codes malveillants rien que l'année dernière. En 2008, il s'est produit une augmentation de 71%, représentant plus de la moitié des signatures de codes malveillants jamais créées par Symantec. De plus, Symantec a identifié plus de 240 millions de nouveaux programmes malveillants distincts, représentant une augmentation de 100% par rapport à 2008. Nous sommes en bonne voie pour continuer cette progression en 2010. En un semestre seulement, nous avons créé 1,8 million de nouvelles signatures de codes malveillants et identifié plus de 124 millions de nouveaux programmes malveillants distincts.

Cela signifie qu'il est peu probable que les technologies de sécurité traditionnelles détectent les nouvelles menaces ; en dépit de la présence de systèmes automatisés, il existe tout simplement trop de menaces. Une technologie ne dépendant pas de la capture et de l'analyse d'une menace afin de s'en protéger, comme la sécurité basée sur la réputation de Symantec, devient effectivement impérative. Les technologies heuristiques, comportementales et de prévention contre les intrusions jouent également un rôle clé dans la lutte contres les menaces omniprésentes.

Prédiction No. 2

L'ingénierie sociale constitue le vecteur d'attaque principal : De plus en plus, les agresseurs s'en prennent directement à l'utilisateur final. Lui faisant croire qu'ils agissent légitimement, ils essaient de le duper afin qu'il télécharge un logiciel malveillant ou révèle des informations sensibles. La popularité de l'ingénierie sociale vient en partie du fait que le type de système d'exploitation ou navigateur Web utilisé sur l'ordinateur d'un utilisateur est largement sans incidence, car c'est l'utilisateur lui-même qui est ciblé, et pas nécessairement les faiblesses de l'ordinateur. L'ingénierie sociale constitue l'un des vecteurs d'attaque principaux utilisés aujourd'hui et Symantec estime qu'il est certain que le nombre de tentatives d'attaque utilisant les techniques d'ingénierie sociale augmentera en 2010.

État : en bonne voie

Observations : bon d'accord, nous ne nous sommes pas bien mouillés ici. L'ingénierie sociale représente probablement le deuxième plus vieux métier du monde et il n'est pas surprenant de la voir apparaître dans le milieu numérique. Cependant, son efficacité s'est encore accrue grâce au Web 2.0. Avec tant d'utilisateurs pris de passion pour le « social networking », il est devenu courant de recevoir des e-mails nous signalant qu'untel souhaite être notre « ami » ou nous « suit » maintenant. Les agresseurs exploitent ceci et échafaudent des ruses toujours plus créatives et convaincantes afin de pousser les utilisateurs à télécharger un logiciel malveillant ou à révéler des informations sensibles.

Les attaques « phishing » sont un exemple typique de menace d'ingénierie sociale. Au cours du premier semestre de 2010, environ 1 e-mail sur 476 en moyenne comprenait une forme de phishing. Le fait que ces attaques ne dépendent d'aucun système d'exploitation les rend on ne peut plus dangereuses. Dans un monde toujours moins centralisé autour de l'ordinateur personnel, le phishing permet aux cybercriminels de profiter des utilisateurs, quel que soit le type de plateforme sur laquelle ils opèrent. Par exemple, en juillet 2010, Symantec a observé un site Web de phishing qui a bluffé un fournisseur d'accès Internet populaire en Australie. Les utilisateurs ont reçu un e-mail indiquant que le FAI n'était pas en mesure de vérifier leur compte en raison d'une modification récente de leurs coordonnées. Cet e-mail contenait un lien vers le faux site et demandait aux utilisateurs de s'y rendre afin de confirmer des informations client essentielles, notamment des détails de facturation tels que des numéros de carte bancaire. Dans de tels cas, les utilisateurs Windows, Macintosh et même les utilisateurs de téléphone portable sont vulnérables à la fraude en ligne.

L'ingénierie sociale a également joué un rôle important dans les récentes attaques médiatisées. Par exemple, au début de l'année, l'attaque tristement célèbre Hydraq contre un grand nombre d'entreprises importantes a utilisé, au moins en partie, des e-mails d'ingérierie sociale envoyés à un individu ou un petit groupe d'individus au sein de ces entreprises. Dès que l'utilisateur est dupé et clique sur un lien malveillant ou ouvre une pièce jointe, l'Hydraq troyen s'installe sur leur machine.

Prédiction No. 3

Les éditeurs de fausses alertes au virus intensifient leurs efforts : en 2010, attendez-vous à ce que les propagateurs de scams de fausses alertes au virus passent à la vitesse supérieure, notamment en piratant l'ordinateur des utilisateurs, le rendant inutile et le prenant en otage. Cependant, une étape suivante moins draconienne serait un logiciel qui n'est pas expressément malveillant, mais douteux au mieux. Par exemple, Symantec a déjà observé certains fournisseurs de faux antivirus vendant des copies de logiciel antivirus tiers comme les leurs. Dans de tels cas, les utilisateurs reçoivent techniquement le logiciel antivirus qu'ils ont acheté, mais celui-ci peut en réalité être téléchargé gratuitement ailleurs.

État : essentiellement en bonne voie

Observations : les fausses alertes au virus restent le problème le plus important auquel l'industrie de la sécurité et les clients font face, cependant une demande de rançon contre la libération d'un ordinateur n'est pas pratique courante dans le cas de telles applications malfaisantes. Ceci ne signifie pas, cependant, que nous n'avons pas vu les esprits malveillants user d'ingéniosité. Par exemple, Symantec a récemment mené une enquête sur la société Online PC Doctors. Celle-ci pratique des sollicitations à froid au cours desquelles un agent appelle au hasard et en temps réel un utilisateur d'ordinateur, et tente de le persuader que son ordinateur est « infecté ».

Après avoir convaincu l'utilisateur que son ordinateur est infecté, il ou elle offre de se connecter à distance à l'ordinateur afin de l'examiner de plus près. Bien entendu, l'agent signale la détection de plusieurs infections de logiciels malveillants - qu'il y en ait réellement une ou pas. Cependant, comme l'explique l'agent, il n'y a aucune crainte car Online PC Doctors peut « corriger » les problèmes, moyennant un prix bien entendu. Tout ce que l'utilisateur a maintenant à faire c'est d'envoyer un e-mail contenant toutes les informations de paiement nécessaires, notamment les détails complets de sa carte bancaire.

Prédiction No. 4

Les applications tierces de social networking seront visées par les fraudes : La popularité des sites des réseaux sociaux étant prête à prendre son essor pour une nouvelle année de croissance sans précédent, attendez-vous à voir la fraude associée suivre le mouvement. Dans le même ordre d'idées, attendez-vous à ce que les propriétaires de ces sites prennent des mesures proactives pour répondre à ces menaces. En même temps, comme ces sites offriront plus facilement au développeur tiers l'accès à leurs API (Interfaces de programmation d'applications), les agresseurs attaqueront plus probablement les vulnérabilités des applications tierces de comptes utilisateur de réseaux sociaux ; tout comme ils ont davantage exploité les plugins de navigateur alors que les navigateurs Web devenaient plus sécurisés.

État :essentiellement en bonne voie

Observations : ceci est difficile à suivre directement, mais des comptes-rendus anecdotiques et une analyse des adresses URL du Service de sécurité Web des services hôte Symantec suggèrent tous deux que les sites de réseautage social déclenchent plus de blocages de contenu malveillant en 2010 qu'ils ne le faisaient en 2009. En moyenne, un blocage de service de sécurité Web sur 451 provenait d'un site de réseau social en 2009. Cependant, ce nombre est passé à 1 sur 301 en 2010.

Il existe également plusieurs comptes rendus récents d'applications fausses créées dans différents buts, certains pour la diffusion de logiciels malveillants, d'autres pour les fraudes financières ou pour profiter des utilisateurs et leur envoyer des spams. Par exemple, une application faisant partie d'un scam de test de QI a été récemment découverte. Le but de celui-ci était d'inscrire subrepticement les utilisateurs sur un forfait mobile premium de 10 dollars US par mois.

Validant d'autant plus l'hypothèse que cette tendance se développe, Facebook a récemment mis à jour son système d'autorisation d'applications pour tenter de réduire le nombre de ces scams et applications trompeuses propagés sur son réseau. Un utilisateur est maintenant informé lorsqu'une application demande la permission d'accéder aux coordonnées de base de l'utilisateur ou de poster quelque chose sur son mur.

Prédiction No. 5

Windows 7 se trouvera dans la ligne de mire des agresseurs : Microsoft a déjà émis les premiers correctifs de sécurité de son nouveau système d'exploitation. Tant que des humains sont en charge de la programmation des codes d'ordinateur, des défauts existeront, aussi exhaustifs que soient les tests précédant la mise sur le marché. L'existence de vulnérabilités non détectées est d'autant plus probable que le code est complexe. Le nouveau système d'exploitation de Microsoft, Windows 7, n'y fait pas exception, et une fois mis sur le marché et accepté en 2010, celui-ci sera sans aucun doute attaqué par des agresseurs qui découvriront des façons de l'exploiter à leur avantage.

État : toujours possible

Observations : jusqu'à présent, nous avons été agréablement surpris de n'avoir assisté qu'à une seule attaque majeure exploitant une vulnérabilité de Windows 7. Cependant, veuillez noter que cette vulnérabilité était également présente dans tous les systèmes Microsoft. d'exploitation pris en charge : l'attaque comprenait un élément logiciel malveillant appelé Stuxnet. Celui-ci exploite la vulnérabilité existant dans la prise en charge par Windows des liens de raccourcis. Limité dans sa distribution, Stuxnet était cependant médiatisé car il fut le premier élément logiciel malveillant attaquant spécifiquement les systèmes SCADA .

Les agresseurs étant toujours à rechercher la voie la plus aisée, nous pensons qu'une augmentation importante dans les attaques visant Windows 7, un des systèmes d'exploitation Microsoft se vendant le mieux, va avoir lieu. À cause de tous les bugs existant dans les navigateurs Web, des applications tierces en avant-plan et de la facilité de décodage des plugins, pirater le nouveau système d'exploitation n'a tout simplement pas été la méthode choisie pour accéder à ces systèmes, sauf rare exception, comme précédemment mentionné.

Prédiction No. 6

Augmentation des réseaux zombies utilisant Fast Flux : Fast flux est une technique utilisée par certains réseaux zombies, tels que le réseau zombie Storm, pour dissimuler les sites de phishing et sites malveillants derrière un réseau à évolution constante d'hôtes compromis agissant comme proxy. Utiliser une combinaison de mise en réseau pair à pair, de commandes et contrôles distribués, et d'équilibrage de charge Web et redirection de proxy rend difficile la traque de la géo-localisation d'origine des réseaux zombies. Les mesures de prévention de l'industrie réduisant l'efficacité des réseaux zombies traditionnels, attendez-vous à ce que cette technique soit de plus en plus utilisée pour effectuer des attaques.

État : toujours possible

Observations : jusqu'à présent cette année, nous n'avons pas vu de nouvelles menaces importantes utilisant la technique Fast Flux. Nous espérons que cela va continuer, mais nous n'en sommes qu'au premier semestre. Nous avons cependant été témoin de la réapparition d'un ancien ennemi qui exploite la technique Fast Flux. Le réseau zombie Storm, qui a resurgi en tant que puissant réseau zombie, utilise toujours la technique Fast Flux pour dissimuler les domaines de site Web derrière ses hyperliens spams.

Nous avons également remarqué une augmentation dans le nombre de menaces telles que Spakrab, un programme troyen de porte dérobée généralement utilisé pour envoyer des messages spams. Cette menace se sert de techniques dont le résultat de camouflage est similaire aux résultats produits par Fast Flux, comme par exemple masquer les géo-localisations de serveur de commandes et contrôles en exploitant les fournisseurs DNS dynamique. DNS dynamique est gratuit, facile à installer et permet aux agresseurs d'utiliser des hôtes compromis ne possédant pas d'adresse IP statique, rendant de ce fait l'identification de leur localisation physique difficile.

Quelle que soit la technique utilisée (Fast Flux ou similaires), si la géo-localisation d'une menace ne peut pas être identifiée, arrêter le flux d'attaques devient plus difficile.Il est donc facile à comprendre pourquoi ces méthodes font fureur dans le monde du cybercrime et pourquoi nous pensons que leur popularité va continuer de croître.

Prédiction No. 7

Les services de réduction des adresses URL deviennent les meilleurs amis du phisheur : les utilisateurs ne sachant souvent pas où une adresse URL réduite les dirige vraiment, les phisheurs arrivent à déguiser les liens sur lesquels les utilisateurs soucieux de sécurité hésiteraient à cliquer. Utiliser cette tactique de distribution d'applications trompeuses semble être devenu une tendance et nous nous attendons à voir cette tendance s'accroître. Nous nous attendons également à voir les spammeurs exploiter les adresses URL réduites dans le but de contourner les filtres anti-spams pour accomplir leurs actes malveillants.

État : en bonne voie

Observations : comme nous l'avions prédit, l'utilisation des services de réduction des adresses URL dans le cadre de spams est devenue de plus en plus populaire. À son apogée en juillet 2009, 9,3% de spams comprenaient un type d'hyperlien réduit provenant de l'un des nombreux services de réduction en ligne gratuits ; ce qui correspond à plus de 10 milliards d'e-mails spams chaque jour dans le monde. Cependant en avril 2010, ce nombre a pratiquement doublé pour passer au pourcentage actuel de spams, c'est-à-dire 18 %.

Les phisheurs et auteurs de logiciels malveillants utilisent non seulement les adresses URL réduites pour tendre des pièges destinés aux utilisateurs d'ordinateurs, mais nous avons également constaté que ces adresses URL réduites sont utilisées pour raviver d'anciennes menaces. Par exemple, Symantec a constaté la réapparition du réseau zombie Storm fin avril/début mai 2010. La plupart des messages spams envoyés à partir du nouveau Storm, correspondant à 1,4 % à son apogée de tous les spams du 8 mai 2010, contenaient des liens vers des sites de pharmacie en ligne. La plupart de ces liens étaient des adresses URL réduites.

Prédiction No. 8

Le volume de logiciels malveillants sur Mac et les systèmes mobiles augmentera : Le nombre d'attaques conçues pour exploiter un système d'exploitation particulier ou une plateforme particulière est directement lié à la part de marché de cette plateforme, car les auteurs de logiciels malveillants ne sont intéressés que par l'argent et veulent le meilleur retour sur investissement. En 2009, nous avons constaté que les Mac et les smartphones sont plus souvent la cible des auteurs de logiciels malveillants, avec par exemple le réseau zombie Sexy Space visant l’OS Symbian et le programme troyen OSX.Iservice visant les utilisateurs Mac. La popularité des Mac et smartphones croissant fortement en 2010, de plus en plus d'agresseurs prendront le temps de concevoir des logiciels malveillants dans le but d'exploiter ces appareils.

État : toujours possible

Observations : nous avons constaté l'apparition de nouveaux logiciels malveillants visant le système d'exploitation Mac OS X, mais jusqu'à présent, rien de faramineux ; et il est possible que rien de « faramineux » ne se produise jamais, particulièrement à l'aube de l'ère post-PC. Les périphériques iOS, tels que l'iPad, l'iPhone et l'iPod Touch, restent assez sécurisés du point de vue client. Cependant, et bien qu'Apple insiste que seulement 400 utilisateurs ont été affectés, nous avons vu l'App Store vendre plusieurs applications manifestant un comportement malveillant. Ce qui signifie que la plateforme a bien été attaquée, mais pas de la manière anticipée.

Du côté des portables, malgré les plus de 300 vulnérabilités iPhone et les douzaines de vulnérabilités de la plateforme Androïd détectées jusqu'à présent, aucune hausse importante de menaces contre la sécurité des portables n'a été remarquée. Cela dit, avec le nombre croissant d'applications envahissant le marché, certaines d'entre elles conçues par des programmeurs inexpérimentés à l'aide d'outils tels que l'App Inventor permettant de créer des applications Androïd de Google, nous pensons que l'intégrité de la sécurité des appareils mobiles pourrait être affectée. D'ailleurs, nous pensons que l'expansion rapide du marché d'applications pour les plateformes mobiles populaires sera le facteur clé dans l'évolution des menaces contre la sécurité des portables. Nous espérons avoir tort, mais le deuxième semestre 2010 peut encore voir naître cette tendance.

Prédiction No. 9

Les spammeurs ne respectent pas les règles : Avec la crise économique toujours d’actualité, de plus en plus de personnes exploiteront les restrictions vagues du CAN-SPAM Act aux Etats-Unis et nous verrons de plus en plus d'entreprises vendre des listes d'adresses e-mail sans autorisation et de plus en plus de spécialistes en commercialisation peu légitimes les utiliser pour envoyer des spams.

État : essentiellement en bonne voie

Observations : bien qu'aucune « explosion » n'ait encore eu lieu, nous constatons l'existence de plus en plus d'e-mails « ambigus » cette année comme par exemple, un bulletin d'informations par e-mail non sollicité mais apparemment légitime. Pour se conformer au CAN-SPAM Act, ces e-mails contiennent généralement un message de désinscription ; cependant, les utilisateurs ne se sont généralement jamais inscrits aux listes de distribution correspondantes en premier lieu, ce qui signifie que les expéditeurs ont obtenu leur liste de diffusion de sources peu légitimes. Des offres d'inscriptions gratuites aux bulletins d'information en ligne sont un exemple typique d'e-mail ambigu non sollicité. Symantec a récemment analysé un tel échantillon qui comprenait bien un message de désinscription (donc conforme au CAN-SPAM Act) ; cependant la vitesse du processus de désinscription est une autre histoire.


Prédiction No. 10

Les spammeurs s'adaptant, les volumes de spams continueront de varier : Depuis 2007, les spams ont connu une augmentation moyenne de 15 %. Bien que cette croissance importante ne soit probablement pas durable à long terme, il est évident que les spammeurs ne jetteront pas l'éponge tant qu'une motivation financière existe. Les spammeurs s'adaptant à la sophistication des logiciels de sécurité, à l'intervention des FAI responsables et des agences gouvernementales de par le monde, les volumes de spams continueront de fluctuer en 2010.

État : en bonne voie

Observations : la guerre des spams continue donc entre les spammeurs et les anti-spammeurs. Des victoires anti-spam telles que la fermeture du réseau zombie Mariposa ont été contrées par les spammeurs utilisant de manière explosive des adresses URL jetables et piratées.

Prédiction No. 11

Logiciels malveillants spécialisés : Des logiciels malveillants hautement spécialisés visant à exploiter certains guichets automatiques ont été découverts en 2009, ce qui indique un degré de connaissances élevé dans leur fonctionnement et exploitation. Attendez-vous à ce que cette tendance continue en 2010. Attendez-vous également à ce que des logiciels malveillants visent les systèmes de vote électronique utilisés dans le cadre d'élections politiques ou de vote par téléphone tels que les systèmes liés aux programmes de télé réalité et aux jeux concours.

État : toujours possible

Observations : nous n'avons pas constaté une irruption étendue de logiciels malveillants spécialisés, mais nous avons tout de même eu des aperçus d'activité qui nous donnent à penser que cette tendance peut encore se développer. En outre, la menace Stuxnet susmentionnée, découverte en juillet 2010, était conçue spécifiquement pour dérober des documents SCADA, y compris des plans de conception d'automatisation industrielle et des fichiers de contrôle.

D'ailleurs, en référence à notre prédiction d'origine, Rodney Reed Caverly fut inculpé en avril 2010 pour fraude informatique pour avoir soi-disant créé un logiciel malveillant qui infecterait les réseaux bancaires et guichets automatiques. L'utilisation d'informations privilégiées concernant les systèmes informatiques et les guichets automatiques lui ont permis de commettre le crime et de voler environ 200 000 dollars US, si ce n'est plus, avant d'être arrêté.

Prédiction No. 12

La technologie CAPTCHA s'améliorera : Cette technologie s'améliorant, les spammeurs des économies naissantes ont de plus en plus de mal à décoder les codes CAPTCHA à l'aide de procédés automatiques et devront trouver le moyen d'utiliser de vraies personnes pour générer manuellement de nouveaux comptes vers lesquels envoyer des spams et par là-même contourner les dernières technologies. Symantec estime que la rémunération des individus employés pour la création manuelle de ces comptes s'élève à 10 % du chiffre d’affaires perçu par les spammeurs, les développeurs de comptes percevant 30 à 40 dollars US par millier de comptes.

État : en bonne voie

Observations : fin avril 2010, le New York Times publiait un article sur la rémunération, par les spammeurs, des travailleurs des pays en voie de développement qui entrent manuellement les codes CAPTCHA, générant ainsi de nouveaux comptes et permettant d’envoyer des spams. Selon l'article, le tarif en vigueur pour un tel travail est de 0,80 à 1,20 dollar US par millier de codes CAPTCHAS décodés. Il est vrai que nous n'avions pas bien prédit les rémunérations pour un tel travail - la situation est en réalité pire que nous le pensions - cependant, en ce qui concerne la tendance générale, nous avions malheureusement vu juste.

Prédiction No. 13

Spam de messagerie instantanée : alors que les cybercriminels explorent de nouvelles façons de contourner les technologies CAPTCHA, les attaques de messageries instantanées (IM) deviendront de plus en plus populaires. Les menaces IM seront largement composées de messages spams non sollicités comprenant des liens malveillants. Ces attaques viseront particulièrement à corrompre les comptes IM légitimes. D'ici la fin 2010, Symantec prédit qu'un message IM sur 300 comprendra une adresse URL. Symantec prédit également qu'en 2010, en moyenne, 1 hyperlien sur 12 sera lié à un domaine connu hébergeant des logiciels malveillants. Ainsi, 1 hyperlien sur 12 apparaissant dans les messages IM contiendra un domaine considéré suspect ou malveillant. Mi-2009, ce niveau était d'un hyperlien sur 78.

État : en bonne voie

Observations : En juin 2010, les données Symantec indiquent qu'un IM sur 387 contient un type d'hyperlien et qu'un hyperlien sur huit va vers un site Web malveillant, c'est-à-dire que le site Web contient un type de logiciel malveillant conçu pour attaquer en « drive-by » (au passage) un navigateur Web ou plugin vulnérable.

Prédiction No. 14

Les spams non anglophones seront plus courants : tandis que la pénétration du haut débit ira crescendo au niveau international, et particulièrement dans les pays émergents, les spams des pays non anglophones seront également plus nombreux. Symantec estime que les niveaux de spams localisés correspondront à plus de 50 % du nombre total de spams dans certaines régions d'Europe.

État : plus probable l'année prochaine

Observations : une analyse approfondie démontre que plus de 50 % des spams que certains domaines reçoivent sont dans la langue locale, mais la moyenne n'est pas aussi claire. Certains domaines, tels que les .com, attirent toujours plus de spams en anglais que les domaines principaux comportant un code de pays. Bien que nous nous attendions à ce que ce nombre augmente, le contraire s'est produit dans beaucoup de pays non anglophones. Par exemple, le Brésil détient systématiquement le pourcentage le plus élevé de spams en langue locale, mais plutôt que de voir ce nombre augmenter par rapport à ce que nous voyions fin 2009 (environ 41 %), le pourcentage de spams en portugais a chuté à environ 29 %.