Discussion :

[Gordon Fowler]

« 99% des attaques se déroulent alors qu'un correctif existe »
D'après le SIR 2011 de Microsoft, la France championne du Monde des adwares


Microsoft vient de publier son traditionnel rapport semestriel de sécurité sur les menaces et les attaques informatiques dans le monde, le SIG (pour Microsoft Security Intelligence Report).

L'enseignement le plus surprenant de cette étude est que les attaques zero-day ne représentent que 1% des tentatives d'exploitation des vulnérabilités. Ou pour le dire autrement, 99% des attaques se déroulent alors que des mises à jour ou un correctif existent.

Un des exemples les plus criants est l'impact des autoruns. Pour mémoire, l'autorun est un fichier qui permet de visualiser automatiquement le contenu d'un support externe ou de lancer une installation depuis une clef USB. Très utilisée par les éditeurs et les constructeurs de disques durs externes, les risques liés à cette fonctionnalité ont poussé Microsoft à la désactiver par défaut dans Windows 7 et à sortir un patch pour les versions précédentes de l'OS.

Pourtant, un tiers des infections des systèmes exploitent toujours l'autorun. Soit parce que ces correctifs ne sont pas appliqués, soit parce que l’utilisateur clique tout de même sur l’exécutable malicieux.

La plus grande vulnérabilité informatique se confirme donc, rapports après rapports. Le point faible est bien souvent l'Homme.

Un constat qui est également de mise, mais sous une autre forme, pour les mots de passe. Bernard Ourghanlian, Directeur Technique et de la Sécurité chez Microsoft, constate que les utilisateurs en choisissent souvent de trop simples. Résultat, les attaques par force brute se multiplient avec succès.

D'autant plus que les cyber-criminels ne rechignent pas à utiliser les dernières avancées technologiques. « Aujourd'hui, des services en mode Cloud offrent des possiblités d'attaques de force brute pour casser les mots de passe ». L'avantage pour les pirates est de pouvoir utiliser une puissance de calcul décuplée sans disposer nécessairement d'une infrastructure en propre.

Néanmoins, certaines régions du monde sont plus touchées que d'autres. Si le vol de mot de passe représente environ 20% des attaques au Brésil, il ne dépasse pas les 2% en France.

De manière générale la France fait d'ailleurs plutôt mieux que la moyenne mondiale. Son taux d'infection est de 8% et 6.8 % au premier et deuxième trimestre 2011, contre 11% et 9,8% pour le reste de la planète.

En revanche, la France est "Championne du Monde des Adwares". Ces logiciels malicieux publicitaires représentent 72,4% de tous les ordinateurs français infectés au 2ème trimestre 2011. Par comparaison, le seul pays à afficher un taux presque comparable d'adwares est l'Italie, deuxième et loin derrière, avec 60% des PC infectés qui le sont par ce type de programmes.

Si l'on regarde le Top 5 des malwares touchant la France, quatre (Offerbox, Hotbar, Shopper Report, et Click Potatoes) sont des logiciels publicitaires qui modifient le surf de l'utilisateur pour le rediriger vers des sites marchands ou qui affichent des pop-ups en fonction des pages qu'il visite

Offerbox à lui seul comptabilise 30,2% des infections en France. A l'opposé, les virus « traditionnels » ne représenteraient plus que 1,2% de celles-ci.

Les conseils que le Directeur Technique de Microsoft tire de ce rapport se résume en une phrase. Il faut « revenir aux aspects de base de la sécurité ».

A savoir « mettre à jour les systèmes de manière systématisée (sic) », même si cela peut s'avérer plus difficile en entreprise. Et faire de même pour les applications (ou mieux, migrer vers les dernières versions) et les outils comme la machine virtuelle Java et les lecteurs de PDF, que les attaquants ciblent particulièrement.

« Il faut également insister sur la qualité des mots de passe », continue Bernard Ourghanlian, qui prône l'utilisation de pass-phrase, ces phrases mnémotechniques qui permettent de générer des suites de lettres et de chiffres complexes. « On peut également se passer complètement de mot de passe, par exemple avec des cartes à puce ou des authentifications à plusieurs facteurs quand cela est possible ».

Bref, s'il ne fallait retenir qu'une seul enseignement de ce SIR 2011, ce serait pour Bernard Ourghanlian que « les bonnes pratiques sont des éléments essentiels pour se protéger ».

Plus que des technologies extrêmement sophistiquées, conclue-t-il en substance.

Consultez les résultats et téléchargez le SIR 2011 de Microsoft

Source : Conférence de presse du 11/10/11

Et vous ?

D'après vous, pourquoi les adwares ciblent plus la France et l'Italie ?
Que pensez-vous de ce faible impact des attaques zero-days et du recul des virus traditionnels : étonnant, logique, sous-évalué par Microsoft ?
Que vous inspirent les conseils de Bernard Ourghanlian ?

[Kiiwi]

A savoir « mettre à jour les systèmes de manière systématisée (sic) », même si cela peut s'avérer plus difficile en entreprise.

Je pense qu'en entreprise on dispose d'un antivirus, et qu'en théorie on est pas censé téléchargé n'importe quoi, ec qui réduit considérablement les risques.



Même un antivirus gratuit est amplement suffisant.

[Chuck_Norris]

Depuis quand l'autorun existe ? Depuis Windows 95 non ? Depuis quand Microsoft a enfin pris conscience, bien après tout le monde naturellement, à quel point c'était dangereux ?

Je ne suis pas certain que Microsoft peut prendre ceci en exemple pour donner des leçons au monde entier.

[fregolo52]

C'est bizarre !! Aucun troll linuxien !! Contrairement à la rubrique Antivirus gratuit/payant.

La recommandation de la mise à jour automatique n'est pas nouvelle !!!
J'ai oublié son nom, mais un virus avait infesté des millions de machines 2 jours après la diffusion d'un correctif de sécurité Microsoft. Comme les hackeurs savent que les machines ne sont pas "up to date" ils ont exploité le trou de sécurité (qui a été corrigé) et bingo !!!

Pour les adwares, en effet, un français ne me semble pas plus réceptif à de la pub qu'un italien, non ?
Peut-être une histoire de marketing et de recette publicitaire.
Peut-être que le français est radin et préfère la version gratuite avec pub qu'une version payante !

[Freem]

Pour le fait de dire que la pire vulnérabilité est l'homme, j'appelle ça enfoncer une porte ouverte...
Faudrait creuser un trou derrière cette porte, d'ailleurs, histoire que ceux qui le rappellent pour se rendre intéressants s'y cassent la g...

C'est bizarre !! Aucun troll linuxien !! Contrairement à la rubrique Antivirus gratuit/payant.

La recommandation de la mise à jour automatique n'est pas nouvelle !!!
J'ai oublié son nom, mais un virus avait infesté des millions de machines 2 jours après la diffusion d'un correctif de sécurité Microsoft. Comme les hackeurs savent que les machines ne sont pas "up to date" ils ont exploité le trou de sécurité (qui a été corrigé) et bingo !!!

Pour les adwares, en effet, un français ne me semble pas plus réceptif à de la pub qu'un italien, non ?
Peut-être une histoire de marketing et de recette publicitaire.
Peut-être que le français est radin et préfère la version gratuite avec pub qu'une version payante !

Et tu tentes le troll la... 'fin bref.

Je ne pense pas que les adwares soient une question d'être radin ou pas, mais simplement d'attention. Installer CCleaner ou DaemonTools sans lire le processus d'install vous ajoute déjà 2 de ces cochonneries. En lisant, on s'aperçoit qu'on ne peut pas enlever le malware de DaemonTools, d'ailleurs.

Ensuite, tout le monde utilise les logiciels les plus connus, dont les failles sont aussi les plus connues, du coup.
On dit souvent dans les trolls que Linux est aussi bourré de failles que windows voire plus, mais plus sûr de par son utilisation plus rare. Bon, ça, c'est un sujet sensible, alors je vais donner 2 autres exemples:
MSN et adobe PDF Reader.
Je suis sûr que la plupart des infections transitent à partir de MSN...

L'autorun...
C'est vrai que c'est ironique de la part de MS de remarquer avec w7 qu'il est dangereux. Ca fait quoi? 16 ans, p'tet, que ça existe... Et que nombre de saletés transitent par la! D'un autre côté, j'ai jamais entendu parler de ce truc sur un autre OS... (que ce soit DOS, mac ou hurd... (vous avez comme je tente d'esquiver l'appel au troll? xD))

En tout cas, je remarque que cet article souligne un point que j'ai remarqué depuis quelques années: je vois très peu de virus sur les machines, contrairement aux divers logiciel pourrisseurs de machines. Au point que je me demande si la débauche consommation de ressources des antivirus est vraiment justifiée...

Au sujet des failles 0-Day, c'est logique qu'elles soient les moins exploitées:
Il y a plus de scripts kidies que de hackers. Une faille 0-Day nécessite de la trouver, donc de chercher. Tandis que les failles corrigées ont régulièrement des PoC exploitables, et tout bon geek connaît le virus PEBKAC.

Quand aux conseils de MS, ils seront probablement plus suivis lorsque MS aura une véritable politique de mise à jour!
De devoir rebooter les machines à chaque fois, et d'attendre 3 plombes que la machine se mette à jour avant de s'éteindre est sûrement le principal frein à l'application des mises à jour.
C'est en tout cas l'un des principaux griefs que j'entends venant des utilisateurs windows autour de moi. Et aussi le truc qui me fait rager lorsque je dois réparer/réinstaller leurs machines. Installation des drivers, reboot après chaque (enfin, si je faisais ce que win me recommande), mises à jour, 1ère phase (celle qui permet d'installer l'outil de maj... sic), reboot. Mises à jours, 2nde phase, reboot.
Déjà 3 reboot. Et je ne compte pas les 3 reboot de l'installation.
Et ça, c'est pas du troll, c'est du fait réel, vécu et cuvé (oui, cuvé... parce que ça soûle)

Bon, maintenant, c'est sûr que d'éviter de cliquer sur le moindre lien dans le moindre mail ou message d'IM, ce sont les bases. Et trop d'utilisateurs ne prennent pas ça en compte.
Sans compter, bien sûr, les gratuiciels téléchargés sur un site commercial qui n'est pas le site officiel, lequel site ajoutant ses saletés au processus d'installation...

[mister3957]

J'ai travaillé chez Aedge Performance ou Aedgency c'est pareil, à Barcelone, notamment sur Deenero, OfferBox (et ses logiciels distributeurs comme RingToneMaker, FreeTvRadio, LetsTunes - qui est pas mal celui là, etc.).. Je peux vous dire qu'ils ne manquent pas d'imagination les gars, j'aimais bien

[f-k-z]

Yopyop,

D'après vous, pourquoi les adwares ciblent plus la France et l'Italie ?
Peut-être parce nous sommes habitués à avoir de la pub en permanance sur nos sites. Une enquête sérieuse avait montrée que la France était l'un des pays où il y avait le plus de pub en pop sur les pages web. Et à force de cela, beaucoup de personnes cliquent dessus, ce qui contribue au déployement des adwares.

Que pensez-vous de ce faible impact des attaques zero-days et du recul des virus traditionnels : étonnant, logique, sous-évalué par Microsoft ?
Malheureusement c'est sous évalué. Tout simplement, qu'un malware n'est reconnu qu'une seule fois identifié. Donc, on peut avoir des milliers de malwares distribués en petite quantité, ce n'est pas pour autant qu'ils seront reconnus.

Que vous inspirent les conseils de Bernard Ourghanlian ?
Bah il n'a pas tord, maintenant on utilise un Pc comme on utilise sa télévision. Qui respecte encore les conditions normales d'utilisation d'une télévision ? (distance et tout et tout). Maintenant quasi tout le monde à un Pc, certains dès l'âge de 10 ans (entrée au collége), au bout de 2 semaines, ils arrivent à faire des trucs qu'ils pensaient pas pouvoir faire, se prennent pour des boss, mais au final ne maitrisse en rien le système et encore moins la sécurité...

99% des attaques se déroulent alors qu'un correctif existe

Faudrait voir en fonction des versions légales et pirates du système (Je ne cherche pas à lancer un troll, mais nuancer les 99%).

Cdlt,

Ex-Fiki

[Kiiwi]

Venant de la part de Microsoft, je pense que ce sont les version originales de Windows.