[État des lieux d'Internet] / SécuritéRAPPORT D'INFORMATIONS SUR LES OPÉRATEURS

P R I N T E M P S 2 0 1 8

Présentation

Présentation / Akamai, plateforme de diffusion dans le cloud la plus fiable et la plus utilisée au monde, s'appuie sur sa solution Akamai Intelligent Platform™ distribuée mondialement, pour traiter plusieurs milliards de transactions sur Internet chaque jour. Cette plateforme nous permet de recueillir de grands volumes de données sur divers indicateurs, tels que la connectivité haut débit, la sécurité dans le cloud et la diffusion de contenu multimédia. Le rapport État des lieux d'Internet a été créé pour permettre aux entreprises et aux gouvernements de prendre des décisions stratégiques et éclairées en exploitant ces données et les connaissances qu'il fournit. Akamai publie ses rapports État des lieux d'Internet à partir de ces données, en mettant l'accent sur la connectivité haut débit et la sécurité dans le cloud.

Le rapport État des lieux d'Internet / Sécurité  : informations sur les opérateurs - Printemps  2018 se concentre sur les données  DNS de l'infrastructure mondiale d'Akamai et présente les recherches de nombreuses équipes du monde entier.

Conséquences commerciales / Plus que jamais, le partage de données et la collaboration sont essentiels pour la santé des entreprises et pour Internet dans son ensemble. Il ne s'agit pas simplement du fait que les entreprises doivent partager des données avec d'autres entreprises : elles doivent coopérer pour rendre les données pertinentes. Partager les données en interne et les mettre en corrélation en interne est un défi pour de nombreuses entreprises. Les partager entre entreprises complique considérablement le problème.

Ce rapport se concentre sur la façon dont le partage d'informations entre entreprises et en interne mène à une collecte accrue d'informations et à un Internet plus performant. L'auteur de ce rapport, Megan Stifel, PDG de Silicon Harbor Consultants et ancienne directrice de l'International Cyber Policy au National Security Council, souligne l'importance du partage de données et de la confiance pour sécuriser nos systèmes.

Apprendre à combiner des données provenant de différentes sources et à glaner des renseignements à partir de leur corrélation compte parmi les responsabilités les plus importantes des équipes de sécurité. Ce rapport est le fruit d'une évolution des rapports d'Akamai et d'un effort concentré pour faire ressortir les données et les renseignements de toute l'entreprise afin de donner un aperçu plus détaillé des menaces auxquelles nous sommes confrontés. Nous encourageons les entreprises à explorer leur propre environnement pour mieux comprendre les flux de données et les renseignements qui ne sont pas utilisés au maximum de leur potentiel aujourd'hui.

Fig. X Corrélation du C&C de Mirai le 23/01/2018 à 21:00

0,94

0,97

0,950,99

0,990,93

0,92

0,93

0,94

0,94

0,95

0,95

0,96

0,94

0,97

0,97

0,910,93

0,93

0,92

0,93

0,97

0,97

0,98

0,98

0,98

0,98

0,98 0,98

0,94

0,99

1,00

1,00

ccc.snicker.ir.,1

picesboats.club.,1

0x01.nexusiotsolutions.net.,1

snicker.ir.,1

rootyi.site.,1

nexusaquariums.ir.,1

nullstress.pw.,1

deathlives.ddns.net.,1

suckmyass1983.ddns.net.,1

bigboatzarereppin.hopto.org.,1

Présentation de l'éditeur / L'équipe de recherche sur la sécurité d'Akamai a analysé plus de 14  000  milliards de requêtes  DNS des six derniers mois afin de présenter à nos lecteurs les résultats de ses recherches sur les logiciels malveillants, les botnets et les autres menaces qui attaquent les entreprises et les particuliers quotidiennement. La famille de botnets Loapi fait ressortir une évolution des logiciels malveillants, qui deviennent plus flexibles par nature. Dans le même temps, nous constatons que les forces du marché sous l'impulsion des cryptomonnaies affectent les entreprises et les créateurs de logiciels malveillants de façon similaire. Combiner nos données  DNS avec des recherches plus vastes au sein d'Akamai, ainsi qu'avec d'autres entreprises, nous permet d'examiner de façon plus approfondie le botnet Mirai et son fonctionnement, ce qui représente un effort permanent pour de nombreuses entreprises.

Parfois, ces menaces donnent l'impression d'être statiques, de ne jamais changer et de ne jamais se développer. Toutefois, à d'autres moments, les capacités des cybercriminels semblent avancer à pas de géants, comme lorsque le botnet Mirai a été créé. Néanmoins, ce ne sont la plupart du temps que des illusions créées par les effets finaux de changements lents et progressifs qui se produisent de manière récurrente dans le paysage. C'est seulement en comprenant ces changements en apparence mineurs, comme le passage de Loapi à une structure modulaire, que nous pouvons anticiper les changements plus importants, tels que le développement rapide de la vulnérabilité via memcached pour les attaques DDoS. L'évolution semble soudaine uniquement si vous ne voyez pas ce qu'il se passe en coulisses lorsque vous ne regardez pas.

14 000 MILLIARDSDE REQUÊTES DNS ANALYSÉES EN 6 MOIS

Aucune entreprise, même avec un réseau d'envergure mondiale comme Akamai, ne peut tout voir et tout comprendre. C'est uniquement en combinant nos renseignements que nous pouvons voir les changements mineurs qui ont entraîné les grands bonds en avant.

Outil de suivi des menaces / Les menaces coûteuses ne sont pas forcément nouvelles. Au cours de la période considérée, deux pics d'activité malveillante ont été détectés. Le premier a eu lieu du 3 octobre au 1er novembre, il est survenu dans le cadre du trafic du domaine de commande et de contrôle du botnet Dorkbot. Le botnet est mis à jour pour tirer parti du travail des créateurs de logiciels malveillants sur les nouveaux algorithmes de génération de domaine.

Le deuxième pic n'est pas dû à un botnet spécifique. En fait, l'augmenta-tion des recherches de domaine a été provoquée par l'exploitation du protocole WPAD (Web Proxy Auto-Discovery). En cas de navigation sur Internet, le protocole WPAD permet à un pirate de transférer un fichier de configuration proxy aux systèmes exposés et d'ouvrir ces derniers aux attaques MitM (Man-in-the-Middle).

Il convient de rappeler que toutes les menaces ne sont pas mondialisées. Nous avons suivi cinq  menaces qui étaient très localisées. Parmi ces

Fig. 9 Répartition des bots par nombre de types de menaces distincts interrogés

Fig. 10 Pourcentage cumulé de bots par nombre de types de menaces

0 % 25 % 50 % 75 % 100°%

31 % 15 % 40 % 13 %

Fig. 11 Pourcentage des 500 bots les plus fréquents par menace

0 %

20 %

40 %

60 %

80 %

PROGRAMME MALVEILLANT COMMUNIQUANT AVEC SON ORIGINEAUTOIT SPYBOT SALITY TÉLÉCHARGEURS (DIVERS)CHEVAUX DE TROIE ANDROID (DIVERS)CONFICKER B PALEVO VIRUT ZERO DAY CLUSTER NECURS

0 %

25 %

50 %

75 %

100°%

9 %18 %

27 %32 % 36 % 39 % 42 % 47 % 53 %

63 %76 %

87 %95 % 98 % 99 % 100°%

1 TYPE 2 TYPES 3 TYPES 4 TYPES 5 TYPES 6 TYPES 7 TYPES 8 TYPES 9 TYPES 10 TYPES 11 TYPES 12 TYPES 13 TYPES 14 TYPES 15 TYPES 16 TYPES

68,4 % 68,4 % 67,6 % 66,2 %

46 %39,8 %

24 %19,4 %

11,4 % 10,2 % 7,6 %

1 À 4 TYPES 5 À 8 TYPES 9 À 12 TYPES 13 À 16 TYPES

Rien d'étonnant donc à ce que les logiciels malveillants surfent sur la vague des cryptomonnaies. Le Bitcoin ayant presque atteint 20 000 $ l'année dernière, les auteurs de programmes malveillants et les sites officiels commencent à rechercher des méthodes de minage de cryptodevises sur vos serveurs. S'il est évident qu'utiliser l'ordinateur d'autrui à des fins de minage en installant des programmes malveillants n'est pas bien, la moralité d'un site utilisant JavaScript et s'exécutant au moyen de vos cycles processeur reste contestable.

La collaboration en action / Un botnet comme Mirai ne se présente pas souvent. Toutefois, ce botnet est important car il a mis en évidence le meilleur de la sécurité. Plusieurs entreprises ont communiqué en arrière-plan pour recueillir, comprendre et diffuser autant d'informations que possible sur ce botnet. La plupart de ces entreprises continuent de croiser et de partager des données.

En nous appuyant sur les recherches publiées dans le rapport État des lieux d'Internet au 4e trimestre 2017, nous nous intéressons de plus près aux vols d'identifiants et aux types d'outils qui sont utilisés dans ce cadre. Analyser les requêtes DNS et les résolutions de domaine des botnets nous donne un aperçu différent des activités de ce type de menaces.

Pour télécharger le rapport complet, consultez le site akamai.com/stateoftheinternet-security.

bots, plusieurs ciblaient des pays spécifiques, en maintenant une infrastructure spécifique à la région, tandis que d'autres s'appuyaient sur les services de cloud pour se développer.

Nouvelles tendances / L'utilisation de logiciels malveillants pour voler des données financières est dépassée, du moins c'est ce que semblent penser certains créateurs de logiciels malveillants. Le programme malveillant Terdot, issu de la famille de Zeus, s'est élargi à un ensemble d'identifiants sur les réseaux sociaux dans le cadre de sa campagne. Le logiciel malveillant fait office de proxy, ce qui lui permet de diriger l'utilisateur vers le site que souhaite son créateur, ouvrant ainsi de nombreuses options intéressantes.

Le botnet Loapi adopte une approche différente. Conçu pour fonctionner sur les terminaux mobiles, ce programme malveillant était à l'origine utilisé pour alimenter les attaques DDoS. Cependant, ses créateurs ont décidé qu'une seule corde à leur arc ne suffisait pas et ils ont diffusé une version modulaire. En d'autres termes, le botnet peut être facilement modifié lorsqu'une nouvelle vulnérabilité est découverte ou lorsqu'une nouvelle fonctionnalité est nécessaire.

Fig. 9 Répartition des bots par nombre de types de menaces distincts interrogés

Fig. 10 Pourcentage cumulé de bots par nombre de types de menaces

0 % 25 % 50 % 75 % 100°%

31 % 15 % 40 % 13 %

Fig. 11 Pourcentage des 500 bots les plus fréquents par menace

0 %

20 %

40 %

60 %

80 %

PROGRAMME MALVEILLANT COMMUNIQUANT AVEC SON ORIGINEAUTOIT SPYBOT SALITY TÉLÉCHARGEURS (DIVERS)CHEVAUX DE TROIE ANDROID (DIVERS)CONFICKER B PALEVO VIRUT ZERO DAY CLUSTER NECURS

0 %

25 %

50 %

75 %

100°%

9 %18 %

27 %32 % 36 % 39 % 42 % 47 % 53 %

63 %76 %

87 %95 % 98 % 99 % 100°%

1 TYPE 2 TYPES 3 TYPES 4 TYPES 5 TYPES 6 TYPES 7 TYPES 8 TYPES 9 TYPES 10 TYPES 11 TYPES 12 TYPES 13 TYPES 14 TYPES 15 TYPES 16 TYPES

68,4 % 68,4 % 67,6 % 66,2 %

46 %39,8 %

24 %19,4 %

11,4 % 10,2 % 7,6 %

1 À 4 TYPES 5 À 8 TYPES 9 À 12 TYPES 13 À 16 TYPES

[État des lieux d'Internet] / SécuritéRAPPORT D'INFORMATIONS SUR LES OPÉRATEURS

P R I N T E M P S 2 0 1 8

À propos d'Akamai / Plateforme de diffusion dans le cloud la plus fiable et la plus utilisée au monde, Akamai aide les entreprises à fournir à leurs clients des expériences digitales optimisées et sécurisées sur tous types de terminaux, à tout moment et partout dans le

monde. La plateforme massivement distribuée d'Akamai bénéficie d'un déploiement inégalé avec plus de 200 000 serveurs dans 130 pays, offrant ainsi aux clients des niveaux avancés de performances et de protection contre les menaces. Les solutions de diffusion vidéo, d'accès

professionnel, de sécurité dans le cloud et de performances Web et mobiles d'Akamai s'appuient également sur un service client exceptionnel et une surveillance 24 h/24 et 7 j/7. Pour découvrir pourquoi de grandes institutions financières, des leaders du e-commerce, des entreprises du divertissement et des médias et des organisations gouvernementales font confiance à Akamai, consultez les sites www.akamai.com/fr/fr,

blogs.akamai.com/fr/ ou suivez @Akamai sur Twitter. Nos coordonnées dans le monde entier sont disponibles à l'adresse www.akamai.com/locations. Publication : 4/18.

Contact :

sotisecurity@akamai.comTwitter : @akamai_soti / @akamai

www.akamai.com/stateoftheinternet-security