Embed Size (px)
Citation preview
Rapport
McAfee Labs
Rapport de McAfee sur le paysage des menaces :2e trimestre 2012
Rapport de McAfee sur le paysage des menaces : 2e trimestre 20122
SommaireMenaces ciblant les équipements mobiles 4
Logiciels malveillants 6
Logiciels malveillants signés 10
Les données prises en otage par le ransomware 12
Menaces propagées par la messagerie 12
Distribution des réseaux de robots 15
L'ingénierie sociale au service du spam 19
Menaces pour le réseau 20
Menaces web 23
Cybercriminalité 27
Hébergement pare-balles 27
Actions à l'encontre des cybercriminels 29
Cyberactivisme 30
Les auteurs 31
A propos de McAfee Labs 31
A propos de McAfee 31
3
Lao Tseu, philosophe emblématique de la Chine ancienne et auteur du Tao Te King, le Livre de la voie et de la vertu, a vécu au VIe siècle avant notre ère mais ses enseignements sont toujours d'actualité. Lorsqu’il écrivait « ma raison me pousse à baisser les bras mais mon cœur s’y refuse », il aurait pu parler du paysage changeant des menaces, qui prend si souvent l’allure d’un champ de bataille. Sun Tzu, autre philosophe et stratège de la Chine ancienne, affirmait quant à lui que « l'invincibilité réside dans la défense, les chances de victoire dans l'attaque ». De fait, en dépit de toutes les connaissances accumulées au fil des ans sur les logiciels malveillants et autres cybermenaces, ils semblent se multiplier et atteindre de nouveaux sommets chaque trimestre. Leur succès dépend de nombreux facteurs, eux-mêmes étroitement liés. Sun Tzu dit aussi : « Celui qui, prudent, se prépare à affronter l'ennemi qui n'est pas encore ; celui-là même sera victorieux ». Il semble donc que la préparation soit la clé de la victoire.
Plusieurs constatations ressortent de l'analyse du deuxième trimestre 2012 : l'émergence des téléchargements involontaires (drive-by downloads) comme nouveau vecteur d'attaque des téléphones mobiles (Android), l'utilisation de Twitter pour le contrôle des réseaux de robots mobiles, ainsi que l'apparition des logiciels de demande de rançon (ransomware) comme nouvelle méthode d'extorsion de fonds. La croissance et le regain d'activité des logiciels malveillants (malware) et des menaces observés le trimestre dernier restent forts. Le trimestre dernier, les logiciels malveillants sur PC avaient connu leur période la plus active depuis longtemps, mais l'activité a été encore plus intense ce trimestre. Nous avons constaté une croissance sensible des rootkits établis et un ralentissement de certains autres. La vaste majorité des familles de logiciels malveillants étudiées atteignent des niveaux sans précédent, avec une activité particulièrement soutenue des chevaux de Troie spécialisés dans le vol de mots de passe. Nous continuons de suivre le rootkit ZeroAccess, quelque peu en repli, et les logiciels malveillants signés, en légère hausse. Nous avons par ailleurs constaté une croissance régulière et soutenue des logiciels malveillants ciblant les Mac. Cette tendance, même si elle n'est pas très prononcée, est néanmoins réelle.
Le spam affiche une augmentation dans certaines parties du monde, mais la tendance à long terme reste à la régression. Parmi les pays présentés dans ce rapport, seuls la Colombie, le Japon, la Corée du Sud et le Venezuela ont connu une augmentation supérieure à 10 %. Les infections imputables aux réseaux de robots (botnets) ont fortement augmenté en mai avant de chuter au début du mois de juin.
Une fois de plus, les Etats-Unis arrivent en tête de la liste des pays hébergeant du contenu web malveillant. Cette dynamique apparaît dans d'autres sections du rapport. En effet, un large éventail de menaces provient en grande partie des Etats-Unis, qui en sont également la première cible. Le Web est un terrain dangereux pour les internautes mal informés et mal protégés. Soyez conscients des dangers et adoptez les mesures de protection qui s'imposent.
Nous présentons pour la seconde fois notre nouvelle section sur les attaques réseau. Vous pourrez découvrir des répartitions géographiques détaillées de divers types d'attaques, telle que les attaques par injection de code SQL ou exécution forcée de scripts sur les sites web, sous différentes perspectives.
En ce qui concerne le cybercrime, nous nous pencherons sur les logiciels criminels (crimeware) vendus sous la forme de services par des fournisseurs d’hébergement pare-balles (bulletproof hosting). Nous aborderons également les démantèlements, arrestations et mises en accusation majeurs du trimestre. Enfin, nous nous pencherons sur l'évolution récente du collectif Anonymous et du cyberactivisme en général.
Les cybercriminels mènent un long combat pour nous délester de notre argent. Alors que nous envisageons de nouveaux systèmes d'exploitation et d'autres technologies de défense, il serait sans doute intéressant de réfléchir à la citation suivante.
Il ne faut s'attacher avec outrance ni à des armes ni à des outils. Excès, insuffisance sont pareils. Inutile d'imiter les autres. Possédez les armes et les outils qui sont à votre portée.
— Miyamoto Musashi, Le Traité des cinq roues
Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
4 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Menaces ciblant les équipements mobilesAu cours des derniers trimestres, nous avons constaté que le système d'exploitation Android était devenu la cible de prédilection des auteurs de logiciels malveillants pour mobiles. C'est encore le cas ce trimestre, puisque pratiquement tous les nouveaux venus visaient la plate-forme Android. Il s’agissait par exemple de logiciels malveillants d'envoi de SMS, de réseaux de robots mobiles, de logiciels espions (spyware) ou encore de chevaux de Troie destructeurs.
Même si dans les chiffres, ce trimestre n'a pas connu une progression aussi fulgurante que le précédent, la croissance de cette année reste inédite.
Nombre total d'échantillons de logiciels malveillantspour mobiles dans la base de données
0
2 000
4 000
6 000
8 000
10 000
12 000
14 000
201220112010200920082007200620052004
1er trim.2012
2e trim.2012
4e trim.2011
3e trim.2011
2e trim.2011
1er trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
Nouveaux logiciels malveillants pour mobiles par trimestre
0
1 000
2 000
3 000
4 000
5 000
6 000
7 000
5Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Android
Symbian
Java ME
Autres
Nombre total de logiciels malveillantspour mobiles, par plate-forme
Android n'est plus épargné par les téléchargements involontaires (drive-by downloads) avec l'arrivée d'Android/NotCompatible.A. A l'instar des installations involontaires sur les PC, où le simple fait de visiter un site peut suffire à infecter votre ordinateur, les téléchargements involontaires sur mobiles déposent des logiciels malveillants sur votre téléphone lorsque vous consultez un site. La victime doit néanmoins installer le logiciel téléchargé ; mais dans la mesure où celui-ci porte un nom tel que « Android System Update 4.0.apk », la plupart des soupçons s'évanouissent.
Un nouveau client de botnet, Android/Twikabot.A, utilise Twitter pour prendre le contrôle. Au lieu de se connecter à un serveur web, le logiciel malveillant recherche des commandes émises par des comptes Twitter spécifiques, contrôlés par le pirate. Ce dernier peut envoyer des commandes par tweet et tous les équipements infectés les suivront. L'utilisation d'un service comme Twitter permet à un pirate d'exploiter les ressources d'autres utilisateurs sans payer pour un serveur dédié ou en voler un qui appartient à une victime. Les serveurs IRC ont été exploités par le passé pour des raisons similaires, mais le recours à un service web offre aux pirates un relatif anonymat.
Au cours du trimestre précédent, nous avions identifié un cheval de Troie pour Android, Android/Moghava.A, qui corrompt toutes les photos d'une carte SD. Ce trimestre, il semble que des auteurs de logiciels malveillants aient créé une nouvelle variante, Android/Stamper.A, qui utilise une autre photo et cible les fans d'un groupe de chanteuses japonaises très populaire. L'image provient du concours « What would your baby look like? » (A quoi ressemblerait votre bébé) de l'année dernière. Cette variante est en tout point identique à l'exception de l'image et de quelques chaînes dans le code de marquage de l'image d'Android/Moghava.A, ce qui signifie qu'il inclut également le même bogue responsable de la corruption des photos. Les fans qui s'attendent à obtenir les résultats des élections des fans du groupe se retrouvent avec l'image d'un bébé collée sur toutes leurs photos.
Il n'est guère surprenant que les logiciels malveillants Android ressemblent beaucoup à ceux ciblant les PC. Leurs auteurs exploitent en effet le savoir-faire accumulé au cours des années passées à écrire des logiciels malveillants pour d'autres plates-formes. Les logiciels malveillants mobiles sont bien loin d'être des preuves de concept, ou du code en phase initiale de développement. Leur code est très perfectionné et totalement fonctionnel, et leurs auteurs poursuivent un objectif précis : s'emparer des données des particuliers et des entreprises.
Rapport de McAfee sur le paysage des menaces : 2e trimestre 20126
Logiciels malveillantsDans son célèbre essai Le mythe de Sisyphe, Albert Camus expose sa philosophie de l'absurde : la recherche futile de clarté et d'un sens à la vie dans un monde incompréhensible, dénué de toute vérité et de toutes valeurs. Le dernier chapitre compare l'absurdité de la vie humaine au châtiment de Sisyphe, héros de la mythologie grecque condamné par les dieux à répéter sans cesse la même tâche vide de sens, à savoir pousser au sommet d'une montagne un rocher, qui roule à nouveau inéluctablement vers la vallée.
Si l'on considère la croissance des logiciels malveillants observée au cours de la dernière décennie, le parallèle avec Sisyphe et sa montagne devient malheureusement évident. Pire encore, il semble que ces dernières années, cette montagne se fait de plus en plus haute et de plus en plus abrupte. Dans notre précédent rapport, les détections du trimestre avaient atteint le nombre le plus élevé de logiciels malveillants jamais enregistré ces quatre dernières années... du moins jusqu'au trimestre qui nous occupe ! Nous avons identifié 1,5 million d'échantillons uniques de logiciels malveillants en plus ce trimestre par rapport au précédent. A ce rythme, notre « parc de logiciels malveillants » atteindra très probablement les 100 millions d'échantillons le trimestre suivant avec peut-être, pour la première fois, 10 millions d'échantillons identifiés au cours d'un seul trimestre. Ces chiffres ont-ils de l'importance ? Que nous enseignent-ils sur la façon dont nous envisageons la sécurité défensive des informations ?
A tout le moins, ils suggèrent que la tâche prend une ampleur démesurée. A quelques exceptions près, toutes les catégories de logiciels malveillants sont en hausse par rapport au trimestre précédent (alors que celui-ci affichait déjà une croissance record dans certaines catégories). Une chose est sûre : poursuivre dans la même voie relèverait d'une absurdité toute sisyphéenne. Peut-être devrions-nous adopter l'attitude prônée par Camus dans son essai : refuser notre sort et nous révolter... en innovant.
Nombre total d'échantillons de logiciels malveillants dans la base de données
0
20 000 000
40 000 000
60 000 000
80 000 000
100 000 000
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
30 000 000
50 000 000
70 000 000
90 000 000
10 000 000
Nouveaux logiciels malveillants
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
4e trim.2011
3e trim.2011
2e trim.2011
2e trim.2012
1er trim.2012
1er trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
4e trim.2009
3e trim.2009
2e trim.2009
1er trim.2009
7Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
En général, les rootkits enregistrent une légère progression ce trimestre, beaucoup plus marquée dans le cas de Koutodoor. ZeroAccess et TDSS connaissent un léger déclin, mais leur influence sur d'autres classes de logiciels malveillants se fait clairement sentir. Les rootkits, ou logiciels malveillants furtifs, constituent l'une des catégories de menaces les plus virulentes. Ils continuent d'influencer fortement presque toutes les autres catégories de logiciels malveillants. Ils sont conçus pour échapper à toute détection et « résident » sur un système pendant de longues périodes.
Echantillons uniques de rootkits identifiés
0
50 000
100 000
150 000
200 000
250 000
300 000
350 000
2e trim.2012
1er trim.2012
4e trim.2011
3e trim.2011
2e trim.2011
1er trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
4e trim.2009
3e trim.2009
2e trim.2009
1er trim.2009
Nouveaux échantillons de Koutodoor
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
160 000
180 000
200 000
1er trim.2012
2e trim.2012
4e trim.2011
3e trim.2011
2e trim.2011
1er trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
4e trim.2009
3e trim.2009
2e trim.2009
1er trim.2009
8 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Nouveaux échantillons de TDSS
0
50 000
100 000
150 000
200 000
250 000
300 000
1er trim.2012
2e trim.2012
4e trim.2011
3e trim.2011
2e trim.2011
1er trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
4e trim.2009
3e trim.2009
2e trim.2009
1er trim.2009
Nouveaux échantillons de ZeroAccess
0
50 000
100 000
150 000
200 000
250 000
1er trim.2012
2e trim.2012
4e trim.2011
3e trim.2011
2e trim.2011
1er trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
9Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Les faux antivirus, les autoexécutables et les chevaux de Troie voleurs de mots de passe sont toujours bien présents. Les faux antivirus sont en légère hausse, mais la tendance générale reste à la baisse. En revanche, les autoexécutables et les chevaux de Troie spécialisés dans le vol de mots de passe enregistrent une croissance considérable ce trimestre.
Nouveaux échantillons de faux logiciels antivirus
0
200 000
400 000
600 000
800 000
1 000 000
1er trim.2012
2e trim.2012
4e trim.2011
3e trim.2011
2e trim.2011
1er trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
4e trim.2009
3e trim.2009
2e trim.2009
1er trim.2009
Nouveaux échantillons de logiciels malveillants autoexécutables
0
200 000
400 000
600 000
800 000
1 000 000
1 200 000
1 400 000
1er trim.2011
2e trim.2011
3e trim.2011
1er trim.2012
2e trim.2012
4e trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
4e trim.2009
3e trim.2009
2e trim.2009
1er trim.2009
10 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Nouveaux échantillons de voleurs de mots de passe
0
200 000
400 000
600 000
800 000
1 000 000
1 200 000
1 400 000
1 600 000
1e trim.2011
2e trim.2011
3e trim.2011
4e trim.2011
1er trim.2012
2e trim.2012
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
4e trim.2009
3e trim.2009
2e trim.2009
1er trim.2009
Logiciels malveillants signésDans un excellent article de blog de McAfee Labs que nous vous invitons à lire, le chargé de recherche Craig Schmugar est revenu sur les raisons qui poussent les auteurs de logiciels malveillants à attribuer des signatures numériques à leurs créations :
Les pirates signent les logiciels malveillants pour les faire apparaître dignes de confiance aux yeux des utilisateurs et des administrateurs, mais également pour échapper à la détection des logiciels de sécurité et contourner les stratégies de protection des systèmes. Bon nombre utilisent les signatures de certificats volés, tandis que d'autres fichiers binaires sont autosignés ou signés à l'aide de certificats de test. La signature avec des certificats de test est parfois utilisée dans le cadre d'attaques d'ingénierie sociale1.
Cette méthode d'attaque avancée a connu une belle progression au cours du trimestre. Dans notre rapport Prévisions 2012 en matière de menaces, nous prédisions une augmentation du recours à cette technique, vraisemblablement inspirée par le succès de Duqu et Stuxnet2. Il semble que nos prophéties se réalisent.
Nombre total de fichiers binaires signés malveillants
0
100 000
200 000
300 000
400 000
500 000
600 000
700 000
800 000
1er DÉC.2011
1er JANV.2012
1er NOV.2011
1er FÉVR.2012
1er MARS2012
1er AVRIL2012
1er MAI2012
1er JUIN2012
1er OCT.2011
1er SEPT.2011
11Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Nouveaux fichiers binaires signés malveillants
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
MARS2012
AVR.2012
MAI2012
JUIN2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
Avis à tous les adeptes d'Apple : les logiciels malveillants pour Mac continuent leur progression. Certes, leur nombre reste très inférieur à celui des logiciels malveillants Windows, mais ces menaces doivent être prises au sérieux et les utilisateurs Mac feraient bien de prendre certaines précautions. N'oublions jamais que les logiciels malveillants peuvent être écrits pour n'importe quel système d'exploitation ou plate-forme.
Nouveaux logiciels malveillants pour Mac
0
100
200
300
400
500
600
700
1er trim.2011
2e trim.2011
3e trim.2011
1er trim.2012
2e trim.2012
4e trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
4e trim.2009
3e trim.2009
2e trim.2009
1er trim.2009
Après un pic à la mi-2011, les faux logiciels antivirus pour Mac sont en net repli ce trimestre.
Nouveaux faux logiciels antivirus pour Mac
0
100
200
300
400
500
600
1er trim.2012
2e trim.2012
4e trim.2011
3e trim.2011
2e trim.2011
1er trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
12 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Les données prises en otage par le ransomwareLa popularité de certains types de logiciels malveillants connaît des hauts et des bas. Les faux antivirus et logiciels de fausses alertes sont en régression depuis 2011, en termes de nombre total d'échantillons uniques et de nombre de machines signalant des détections. Ce déclin peut s'expliquer par diverses raisons, notamment le regain d'effort de la part des forces de l'ordre et la difficulté pour les cybercriminels de traiter les paiements par cartes de crédit. Malheureusement, les cybercriminels n'abandonnent pas la partie si l'une de leurs techniques ne fonctionne plus : ils en inventent d'autres. Ces derniers temps, les auteurs de logiciels malveillants se sont intéressés aux logiciels de demande de rançon, ou ransomware.
Ces derniers prennent en otage les données ou l'ordinateur d'une victime, en partie ou dans leur intégralité. Ils chiffrent les données ou tout l'ordinateur, puis exigent pour les restaurer une certaine somme supposée leur être versée à l'aide de méthodes de paiement anonymes. Le cybercriminel n'a plus besoin d'un outil de traitement des paiements par cartes de crédit. Ces escroqueries ne sont pas nouvelles. En 1989, AIDS-Trojan, l'un des premiers chevaux de Troie sur PC, fonctionnait exactement de cette manière ; toutefois, de telles attaques étaient peu fréquentes. Elles sont beaucoup plus répandues de nos jours.
Nouveaux logiciels de demande de rançon (ransomware)
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
1er trim.2012
2e trim.2012
4e trim.2011
3e trim.2011
2e trim.2011
1er trim.2011
4e trim.2010
3e trim.2010
2e trim.2010
1er trim.2010
Le nombre de logiciels de demande de rançon a augmenté ces derniers trimestres pour atteindre un nombre record les trois mois précédents.
Ils posent un problème grave car les dommages sont instantanés et les ordinateurs généralement inutilisables. Non seulement les données de la victime sont détruites, mais celle-ci perd de l'argent si elle tente de payer la rançon demandée. Si, pour un particulier, la perte de plusieurs années de données, de photos et de souvenirs est sans aucun doute traumatisante, la situation peut se révéler véritablement dramatique pour une entreprise si le logiciel malveillant chiffre toutes les données pour lesquelles la victime possède un accès en écriture sur le réseau d'entreprise.
De quels moyens disposons-nous pour nous défendre ? Outre qu'il faut être prudent avec les pièces jointes ou les liens présents dans les e-mails et en ligne, pensez à sauvegarder régulièrement vos systèmes. Les administrateurs d'entreprise doivent envisager la mise en place de règles de protection de l'accès dans leurs produits de sécurité pour éviter les infections.
Menaces propagées par la messagerieEn dépit des pics observés en octobre 2011 et en janvier 2012, les niveaux de spam continuent de diminuer. Nous avons constaté une légère hausse ce trimestre mais la tendance à la baisse devrait se confirmer. Dans les taux de spam par pays, nous avons constaté que les chiffres étaient stables pour certains et en régression pour d'autres. Seuls la Colombie, le Japon, la Corée du Sud et le Venezuela ont connu une augmentation du volume supérieure à 10 %. Mais ne vous faites aucune illusion : le spam reste dangereux et les attaques par spearphishing ciblées le sont encore plus.
13Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
0
0,2
0,4
0,6
0,8
1,0
1,2
1,4
1,6
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
Volume d'e-mails dans le monde (en milliers de milliards de messages)
Spam mensuel
E-mails légitimes
Volume de spam
Argentine
0
50 000
100 000
150 000
200 000
250 000
300 000
350 000
400 000
Australie
0
500 000
1 000 000
15 000 000
20 000 000
25 000 000
30 000 000
35 000 000
40 000 000
45 000 000
Brésil
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
14 000 000
16 000 000
18 000 000
Chine
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
Colombie
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
14 000 000
16 000 000
Allemagne
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
14 000 000
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
14 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Volume de spam
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
Italie
0
10 000 000
20 000 000
30 000 000
40 000 000
50 000 000
Indonésie
0
500 000
1 000 000
1 500 000
2 000 000
2 500 000
Japon
0
20 000 000
40 000 000
60 000 000
80 000 000
100 000 000
Russie
0
5 000 000
10 000 000
15 000 000
20 000 000
25 000 000
30 000 000
35 000 000
Corée du Sud
0
20 000 000
40 000 000
60 000 000
80 000 000
100 000 000
Inde
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
Espagne
0
2 000 000
4 000 000
6 000 000
8 000 000
10 000 000
12 000 000
Royaume-Uni
0
10 000 000
20 000 000
30 000 000
40 000 000
50 000 000
60 000 000
70 000 000
Venezuela
0
50 000 000
100 000 000
150 000 000
200 000 000
250 000 000
Etats-Unis
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
15Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Distribution des réseaux de robotsAu cours du trimestre précédent, la croissance des réseaux de robots de messagerie s'était stabilisée. Ce trimestre, en revanche, le nombre d'infections a atteint son niveau le plus élevé des douze derniers mois. Pratiquement au même moment, nous avons observé des pics dans le volume du spam mondial. Cette relation confirme la prévalence des réseaux de robots dans les activités de spam. Elle montre également que pour maintenir le niveau de spam, les charges de travail des botnets doivent augmenter.
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
Infections par réseaux de robots ciblant la messagerie dans le monde
0
1 000 000
2 000 000
3 000 000
4 000 000
5 000 000
6 000 000
7 000 000
Le volume de spam du trimestre est principalement imputable à la forte activité des réseaux de robots Cutwail et Grum.
Influence de Cutwail/Grum sur les infectionspar réseaux de robots dans le monde
0
200 000
400 000
600 000
800 000
1 000 000
1 200 000
1 400 000
1 600 000
1/4/
12
8/4/
12
15/4
/12
22/4
/12
29/4
/12
6/5/
12
13/5
/12
20/5
/12
27/5
/12
3/6/
12
10/6
/12
17/6
/12
24/6
/12
Tous
Cutwail
Grum
Le classement général des réseaux de robots de messagerie a peu évolué entre le dernier trimestre et celui-ci. Grum et Lethic se classent respectivement en deuxième et troisième places tandis que Cutwail occupe comme d'habitude le haut du tableau.
16 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
0
500 000
1 000 000
1 500 000
2 000 000
2 500 000
3 000 000
3 500 000
Cutwail
Grum
Lethic
Waledac
Festi
Bobax
Maazben
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2011
MAI2012
JUIN2012
AVR.2012
Principales infections par réseaux de robots dans le monde
La plupart des principaux réseaux de robots ciblant la messagerie ont affiché une stagnation, voire un déclin, en termes de nouvelles infections au cours de ce trimestre. Bobax, qui a disparu de la scène en juin lors de la réémergence de Maazben, constitue la seule exception.
Parmi les pays ayant connu une augmentation supérieure à 10 % en matière de nouveaux expéditeurs de botnets, citons la Chine, l'Inde, la Corée du Sud et les Etats-Unis. Ce sont les Coréens qui ont été les plus touchés puisque l'augmentation dépasse les 50 %.
Nouveaux expéditeurs de réseaux de robots
0
10 000
20 000
30 000
40 000
50 000
60 000
Argentine
0
2 000
4 000
6 000
8 000
10 000
12 000
14 000
Australie
0
50 000
100 000
150 000
200 000
Brésil
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
160 000
180 000
Chine
0
10 000
20 000
30 000
40 000
50 000
60 000
70 000
80 000
90 000
Allemagne
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
0
10 000
20 000
30 000
40 000
50 000
60 000
70 000
Corée du Sud
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
17Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Nouveaux expéditeurs de réseaux de robots
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
Indonésie
0
2 000
4 000
6 000
8 000
10 000
12 000
14 000
16 000
Japon
0
50 000
100 000
150 000
200 000
Russie
0
5 000
10 000
15 000
20 000
25 000
30 000
35 000
40 000
Royaume-Uni
Etats-Unis
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
160 000
0
10 000
20 000
30 000
40 000
50 000
60 000
70 000
Espagne
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
0
20 000
40 000
60 000
80 000
100 000
120 000
140 000
Venezuela
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
0
50 000
100 000
150 000
200 000
250 000
300 000
350 000
Inde
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
JANV.2012
DÉC.2011
NOV.2011
OCT.2011
SEPT.2011
AOÛT2011
JUIL.2011
18 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Le taux de nouvelles infections n'affecte pas l'état des infections actuelles. Notre répartition des réseaux de robots par pays montre que bon nombre d'entre eux sont toujours relativement actifs à travers le monde, malgré une relative diminution des nouvelles infections. Cutwail est le principal responsable des nouvelles infections et des infections actuelles dans le monde, hormis en Inde, au Pakistan et au Venezuela où Grum domine.
Australie Brésil
Chine Colombie
Allemagne
Inde
Japon Russie
Corée du Sud
Espagne
Royaume-Uni
Etats-Unis
Bobax
Cutwail
Festi
Grum
Lethic
Maazben
Autres
Réseaux de robots
Nouveaux expéditeurs de réseaux de robots
19Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
L'ingénierie sociale au service du spam Les lignes d'objet du spam diffèrent considérablement suivant la région géographique concernée. L'efficacité des leurres d'ingénierie sociale varie selon le pays, la culture, la religion et d'autres facteurs. Le leurre le plus utilisé à travers le monde reste la notification de non-remise, un grand classique, mais les arnaques aux médicaments sont également très prisées.
AustralieTypes de spam
Fraudes nigérianes
Notifications de non-remise
Pornographie
Casinos
Médicaments
Offres d'emploi
Femmes seules
Loteries
Marketing
Bulletins d'informations
Phishing
Produits de contrefaçon
Voyages
Publicités non sollicitées
Virus
Séminaires en ligne
Brésil
Bélarus
France
Allemagne
Inde RussieRoyaume-Uni
Etats-Unis
20 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Menaces pour le réseauComme nous l'avons vu au trimestre dernier, nous avons considérablement élargi notre analyse sur les réseaux. L'examen de ces données indique que l'origine et l'attribution de la responsabilité des attaques est une tâche complexe. Il est difficile de savoir avec certitude d'où provient une attaque et qui en est l'auteur. Bien souvent, l'analyse du code ne suffit pas à en révéler le créateur. L'analyse des attaques réseau à la recherche d'indicateurs et de marqueurs d'attribution de la responsabilité est tout aussi compliquée. Nous sommes sur la bonne voie, mais nous n'en sommes qu'aux prémisses de l'identification des responsables. Parfois, les seules conclusions que nous puissions tirer concernent le comportement du code, les conséquences de l'attaque ou l'origine potentielle de la menace. Toute réflexion plus approfondie se heurterait à une critique semblable à celle d'Oscar Wilde vis-à-vis de l'art :
Tout art est à la fois surface et symbole.Ceux qui cherchent sous la surface le font à leurs risques et périls.Ceux-là aussi qui tentent de pénétrer le symbole.C'est le spectateur, et non la vie, que l'Art reflète réellement.Les diversités d'opinion sur une œuvre d'art montrent que cette œuvre est nouvelle, complexe et viable.
— Le portrait de Dorian Gray
Parmi les experts en sécurité informatique, les opinions sur l'attribution de la responsabilité sont aussi nombreuses que variées. La plupart ne sont que le reflet des idées préconçues de l'analyste. Cette diversité montre bien que nous en sommes aux balbutiements de la recherche sur l'attribution de la responsabilité. Parfois, la seule chose à faire est d'observer la situation et de dresser un constat.
Il ne fait aucun doute que les Etats-Unis sont, encore une fois, la principale source et la principale victime des cyberattaques. Analysons d'un peu plus près quelques domaines au départ des données recueillies par le réseau McAfee Global Threat Intelligence™.
Les menaces classées par type sont les mêmes qu'au trimestre dernier, mais leurs proportions respectives ont évolué en raison d'un plus grand nombre d'appels de procédure à distance. A la suite de ce changement, tous les autres types ont décliné, mais les catégories sont restées classées dans le même ordre.
Appel de procédure à distance
Injection de code SQL
Navigateur
Exécution forcée de scripts sur les sites web
Autres
Principales menaces pour les réseaux
21Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Les Etats-Unis l'emportent de peu sur le Venezuela en nombre de cybercriminels, mais se classent très nettement en première place dans la catégorie des victimes.
Etats-Unis
Venezuela
Royaume-Uni
Turquie
Espagne
Mexique
Chine
Corée du Sud
Autres
Principaux auteurs d'attaques par injection de code SQL
Etats-Unis
Chine
Espagne
Allemagne
Royaume-Uni
Corée du Sud
Japon
France
Autres
Principales victimes d'attaques par injection de code SQL
Comme au trimestre dernier, les Etats-Unis sont de loin le premier pays d'origine des attaques par exécution forcée de scripts.
Etats-Unis
Japon
Brésil
Inde
Jordanie
Venezuela
Autres
Principaux auteurs d'attaquesde type exécution forcée de scripts
22 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
En ce qui concerne les victimes de ces attaques, les Etats-Unis arrivent à nouveau en tête de liste des principales cibles. Loin derrière, la Turquie occupe la deuxième position.
Etats-Unis
Turquie
Japon
Autres
Principales d'attaques de type exécution forcée de scripts
Alors que nous annoncions, le trimestre dernier, que les réseaux de robots Mariposa et Pushdo (Cutwail) occupaient respectivement la première et la deuxième places, Darkshell et Maazben sont aujourd'hui les botnets les plus répandus.
Darkshell
Maazben
Ainslot.B
Darkness
Cycbot
Zeus
Cheval de Troie Carberp
SpyBot
BlackEnergy
DirtJumper
Principales détections de réseaux de robots
Parmi les victimes, les Etats-Unis détrônent le Venezuela à la première place. Le Chili arrive deuxième, avec moitié moins d'infections.
Etats-Unis
Chili
Brésil
Colombie
Royaume-Uni
Ukraine
Argentine
Chine
Autres
Principales victimes de réseaux de robots
23Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Les Etats-Unis occupent encore la première place en matière d'hébergement de serveurs de botnets, bien que ce chiffre ait chuté de 10 % ce trimestre. La Chine et le Venezuela sont les deux pays suivants au classement.
Etats-Unis
Chine
Venezuela
Allemagne
Russie
Pays-Bas
Royaume-Uni
Espagne
Autres
Principaux serveurs de contrôle de réseaux de robots
Menaces web Les sites web peuvent avoir une mauvaise réputation pour différentes raisons. La réputation peut être basée sur des domaines complets ou un certain nombre de sous-domaines, ainsi que sur une adresse IP ou une URL spécifique. Un site servant à des attaques par phishing ou hébergeant des logiciels malveillants ou des programmes potentiellement indésirables sera catalogué comme site malveillant. Nous détectons souvent sur certains sites des combinaisons de fonctions et de codes douteux. Ils représentent quelques-uns des facteurs intervenant dans notre évaluation de la réputation d'un site.
Fin juin, le nombre total d'URL malveillantes référencées par nos laboratoires dépassait 36 millions, soit l'équivalent de 22,6 millions de noms de domaine. Ce trimestre, nous avons enregistré, en moyenne, 2,7 millions de nouvelles URL malveillantes par mois. En juin, ces nouvelles URL étaient liées à 300 000 domaines malveillants environ, soit l'équivalent de 10 000 nouveaux domaines malveillants par jour, chiffre légèrement supérieur à celui du trimestre précédent. Il est intéressant de souligner que cette donnée est comparable aux 9 500 nouveaux sites web malveillants annoncés par Google en juin sur un blog3.
AVR.2012
MAI2012
JUIN2012
FÉVR.2012
MARS2012
0
500 000
1 000 000
1 500 000
2 000 000
2 500 000
3 000 000
3 500 000
4 000 000
Nouvelles URL
Domaines associés
Nouvelles URL de mauvaise réputation
24 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
La plupart de ces URL (94,2 %) hébergent des logiciels malveillants, des exploits ou du code spécialement conçus pour pirater les ordinateurs. Le phishing et le spam en représentent respectivement 4 et 1 % environ.
Autres
Nouvelles URL liéesà des logiciels malveillants
Distribution de nouvelles URL de mauvaise réputation
Nouvelles URLliées au phishing
Nouvelles URLliées au spam
Autres
La distribution des domaines s'avère légèrement différente :
Distribution des nouveaux domaines de mauvaise réputation
Nouveaux domainesliés au phishing
Nouveaux domaines de messagerie liés au spam
Autres
Nouveaux domaines liés à des logiciels malveillants
Autres
25Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Nouvelles URL
Domaines associés
Nouvelles URL de phishing
0
20 000
40 000
60 000
80 000
100 000
120 000
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
Nouvelles URL
Domaines associés
Nouvelles URL de spam
JUIN2012
MAI2012
AVR.2012
MARS2012
FÉVR.2012
25 000
30 000
35 000
40 000
45 000
50 000
Nous avons observé une modification significative de l'emplacement de ces serveurs malveillants pendant cette période. Alors qu'au trimestre dernier, près de 92 % étaient basés en Amérique du Nord, ce trimestre, la plupart du contenu web malveillant se trouve en Europe et au Moyen-Orient. En étudiant de plus près chaque région, nous observons également une plus grande diversité et les Pays-Bas au premier rang.
Australie
Europe et Moyen-Orient
Amérique latine
Amérique du Nord
Emplacement des serveurs hébergeant du contenu malveillant
Asie-Pacifique
26 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Emplacement des serveurs hébergeant du contenu malveillant
Afrique du Sud
Sénégal
Seychelles
Tunisie
Autres
Afrique
Corée du Sud
Japon
Chine
Hong Kong
Indonésie
Autres
Australie
Nouvelle-Zélande
Australie et Nouvelle-Zélande
Pays-Bas
Suisse
Allemagne
Royaume-Uni
Italie
Autres
Europe et Moyen-Orient
Bahamas
Iles Vierges britanniques
Brésil
Autres
Amérique latine
Etats-Unis
Canada
Amérique du Nord
Asie/Pacifique
27Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Cybercriminalité Hébergement pare-ballesCe trimestre, nous poursuivons votre examen des logiciels criminels vendus sous la forme de « services », en nous attardant sur l'hébergement pare-balles. Au trimestre dernier, nous avons mis en avant l'opération « Open Market », une initiative des services secrets américains à l'encontre de 50 personnes, toutes membres, associées ou employées de l'organisation criminelle Carder.su.
Un accusé, connu sous les noms Dorbik et Matad0r, fournissait des infrastructures de ce type. En 2010, il évoquait ses services sur plusieurs forums spécialisés :
Prix pratiqués par Matad0r :
Hébergement Serveurs privés virtuels ou dédiés Serveurs dédiés
•2 Go sur le serveur
• Jusqu'à 10 domaines parqués
• Serveurs DNS dédiés
• Panneaux de configuration d'hébergement
•Trafic illimité
• Modules et logiciels nécessaires disponibles gratuitement
• 50 USD par mois
•Technologie VMware
•Accès superutilisateur complet aux serveurs
• Jusqu'à 25 % du processeur Xeon
•A partir de 1 Go de mémoire RAM
•A partir de 30 Go de stockage
•Trafic illimité
•Configuration/reconfiguration gratuite
• Suite logicielle complète
•Adresses IP supplémentaires si nécessaire
•150 USD par mois
• Différentes configurations
•Configuration en 24 heures
•Trafic illimité
•Configuration/reconfiguration gratuite
•Tout système d'exploitation (dont Windows) disponible gratuitement
•Adresses IP supplémentaires si nécessaire
•400 USD par mois
Aujourd'hui, les offres similaires sont nombreuses sur Internet et la nature de la clientèle ne fait aucun doute. Les exemples suivants se passent en Russie :
28 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
Autorisé• Torrent• Xrumer (spam)• Phishing• Faux• Industrie pharmaceutique• Insultes
Interdit• Pédopornographie• Pornographie zoophile• Fascisme• Incitation à la haine raciale• Spam (SMTP)
L'offre suivante mentionne des prix d'appel pour les serveurs dédiés (en haut) et pour les serveurs privés virtuels/serveurs dédiés.
Les commentaires russes indiquent :
Pour le spam et les projets « grey hat »
~ Turquie ~ Autorisé : Tout contenu
~ France ~ Autorisé : Tout contenu
29Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
~ Allemagne~ Autorisé : Tout contenu
~ Roumanie ~ Autorisé : Projets de type « grey hat » et « white hat ». Interdit : Pédopornographie
De nombreuses autres offres sont disponibles sur simple consultation du site web lié à cette boutique. Voici un exemple ciblant les clients français :
Les modes de paiement visibles sur cette capture d'écran parlent d'eux-mêmes.
Actions à l'encontre des cybercriminelsPlusieurs interventions policières ont été couronnées de succès ce trimestre :
• Huit suspects ont été arrêtés et mis en examen aux Etats-Unis et ailleurs pour leur participation à un commerce de drogue en ligne, uniquement accessible par le biais du réseau d'anonymisation Tor. Ces suspects dirigeaient un site web intitulé « The Farmer's Market », qui proposait entre autres du LSD, de l'ecstasy, de la marijuana, etc. Entre janvier 2007 et octobre 2009, ils ont traité environ 5 256 commandes en ligne au bénéfice de plus de 3 000 clients de 34 pays, pour une valeur totale de plus d'un million USD4. Avant de migrer vers Tor, en 2010, The Farmer's Market traitait les commandes par l'intermédiaire de Hushmail, un service de messagerie électronique chiffré.
• Le 26 avril, la SOCA, l'agence de répression de la grande criminalité organisée du Royaume-Uni, a annoncé la réalisation d'une opération commune avec le FBI et le ministère américain de la Justice, à l'encontre de plus de 36 sites web criminels agissant dans le domaine des cartes de crédit et des informations de comptes bancaires volées5. Ces sites utilisaient des plates-formes de commerce électronique, connues sous le nom de « Automated Vending Carts » (littéralement, stands automatisés) pour permettre aux criminels de vendre, rapidement et facilement, de grandes quantités de données volées.
• Le 3 mai, un avocat américain du New Jersey a annoncé que plusieurs individus, arrêtés en décembre 2011, avaient admis leur rôle dans un réseau de fraude sur Internet à l'origine du vol de plus de 1,3 million USD à la suite du phishing d'informations de compte confidentielles auprès d'internautes. En créant de faux permis de conduire portant les photos de passeurs, ils se faisaient passer pour de vrais clients pour réaliser des retraits non autorisés sur les comptes de leurs victimes6.
30 Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
• En mai, au Québec, la police a arrêté 45 personnes membres d'un réseau de fraude international actif en Grande-Bretagne, en Australie, en Nouvelle-Zélande, en Malaisie et en Tunisie. Les autorités ont saisi plus de 12 000 cartes bancaires contrefaites. Il semble que le réseau illicite ait drainé quelque 100 millions USD des comptes de titulaires de cartes bancaires. Les cyberfraudeurs étaient spécialisés dans la surveillance vidéo et la modification des distributeurs automatiques ; ils essayaient de découvrir les codes PIN ou de pirater les terminaux informatiques des magasins ou fabriquaient des cartes contrefaites pour réaliser des retraits illégaux. Dans certains cas, ils modifiaient les terminaux de point de vente des entreprises et des restaurants, en les piégeant à l'aide de la technologie Bluetooth pour lire les informations des cartes de crédit et de débit enregistrées sur l'ordinateur7.
• En juin, un autre groupe de Carberp a été neutralisé par les forces de l'ordre russes. Surnommé « The Hodprot Group » (du nom d'un logiciel malveillant qu'il avait utilisé auparavant), il a été actif pendant plus de quatre ans dans le domaine du vol de fonds des systèmes bancaires en ligne grâce à l'utilisation de logiciels malveillants bancaires. Les activités du groupe ont entraîné des dommages à hauteur de plus de 125 millions de roubles (soit environ 3,7 millions USD) pour les clients des systèmes bancaires en ligne8.
• La SOCA britannique a annoncé que deux cybercriminels, connus sous leurs pseudonymes t0pp8uzz et GM, ont été condamnés à des peines de prison pour avoir dirigé un site web de fraude pour une valeur estimée de 26,9 millions GBP (soit 41 millions USD ou 33,2 millions EUR). Arrêtés en 2011, ils géraient Freshshop, un site de revente d'informations financières volées9.
• Les autorités fédérales ont arrêté 24 personnes aux Etats-Unis et dans une dizaine d'autres pays au cours de ce qui était selon eux la plus grande opération secrète visant le commerce en ligne de numéros de cartes de crédit volés à l'échelle internationale. Cette opération a commencé en juin 2010 lorsque le FBI a mis sur pied un forum clandestin, baptisé « Carder Profit », permettant aux agents de surveiller l'activité liée aux cartes bancaires. Au cours de l'opération, le FBI a fourni aux fournisseurs de cartes de crédit des informations sur 411 000 cartes compromises, permettant ainsi l'économie de 205 millions USD en fraude à la carte bancaire avortée10. Parmi les cybercriminels interpellés se trouvait notamment le chef d'UGNazi, un groupe de pirates ayant revendiqué une déferlante d'attaques récentes sur Twitter et sur Google.
CyberactivismePlusieurs arrestations de cyberactivistes ont eu lieu ce trimestre :
• En avril, nous avons appris l'arrestation des membres de CabinCr3w, un groupe de pirates proche d'Anonymous. Kahuna et w0rmer étaient suspectés d'avoir piraté plusieurs sites web des services de police ou relatifs aux forces de l'ordre dans le courant du mois de février11.
• A demi-activiste, à demi-cyberarmée, le groupe TeaMp0isoN a de nouveau fait parler de lui. En avril 2011, il a lancé une attaque par déni de service d'une durée de 24 heures, menée par téléphone contre le MI6, les services de renseignements extérieurs britanniques. Le lendemain, TriCk, un possible leader du groupe, a appelé les bureaux londoniens de MI6 pour revendiquer l'attaque et les tourner en dérision. Il a expliqué que le groupe avait été motivé par une récente décision de la Cour européenne des Droits de l'homme autorisant l'extradition vers les Etats-Unis de personnes soupçonnées d'activités terroristes au Royaume-Uni12. Indéniablement trop confiant, TriCk, 17 ans, a été arrêté par Scotland Yard deux jours plus tard13. Cette arrestation semble avoir marqué la fin du groupe. En mai, les membres de TeaMp0isoN appelés MLT (17 ans) et Phantom (28 ans) ont été arrêtés respectivement au Royaume-Uni et en Russie.
• Bien que l'information n'ait que rarement été relayée par les médias, divers membres présumés d'Anonymous ont également été arrêtés en juin en France, en Belgique et au Québec.
L'avenir du mouvement Anonymous semble incertain. Le nombre d'opérations reste élevé mais, à quelques exceptions près, leurs effets et conséquences semblent décliner. Toutefois, il serait prématuré d'affirmer que le mouvement a disparu. Temps forts d'Anonymous ce trimestre :
• En avril, dans le cadre de l'opération Defense, Anonymous a lancé des attaques par déni de service distribué aux Etats-Unis à l'encontre de plusieurs organisations publiques et groupes industriels connus pour soutenir le Cyber Intelligence Sharing and Protection Act14.
31Rapport de McAfee sur le paysage des menaces : 2e trimestre 2012
• En mai, Anonymous a lancé l'opération Québec en réaction à l'adoption de la loi 78 par le gouvernement canadien ; loi destinée à limiter les manifestations étudiantes15. Dans le cadre de sa campagne, le groupe a piraté le Grand Prix de Formule 1 de Montréal et a publié les noms, les numéros de téléphone et les adresses e-mail de personnes ayant acheté des billets pour la course. Une dizaine de sites web du gouvernement et de la police du Québec ont été piratés et mis hors service, notamment les sites web du ministère de la Sécurité publique, du Parti libéral, du Bureau du coroner et de la Commission d'éthique de la police.
• En juin, Anonymous a lancé #OpIndia, qui s'opposait à la censure croissante d'Internet par les autorités indiennes et, plus particulièrement, à l'interdiction judiciaire de sites tels que Torrentz et Vimeo. Le 9 juin, les cyberactivistes indiens, faisant écho à l'appel d'Anonymous, ont organisé des manifestations dans plusieurs villes du pays. Le taux de participation était faible, mais les jeunes activistes, portant les masques d'Anonymous, ont manifesté dans 16 villes, dont Bombay, Pune et Bangalore. Anonymous a également attaqué les sites web cert-in.org.in et india.gov.in, hors service pendant une grande partie de la journée16.
• Au Japon, un nouvel amendement établissant des peines extrêmement sévères pour les personnes téléchargeant du contenu pirate, tel que des DVD et des Blu-Ray, a été ajouté aux lois relatives au copyright. En réponse, plusieurs pirates se sont revendiqués de #OpJapan alors qu'ils lançaient des attaques contre plusieurs cibles japonaises17.
Les forces de l'ordre restent l'une des cibles favorites du groupe Anonymous dans le monde entier :
• En avril, dans le cadre de l'initiative F**K FBI Friday, les pirates d'Anonymous ont attaqué le site web du shérif de Lake County, en Floride. Ils ont également dégradé le site de l'International Police Association18.
• Au Québec, les sympathisants d'Anonymous ont volé et publié des données du site web du SPVM (Service de police de la Ville de Montréal), notamment des milliers d'ID d'utilisateur, de noms, d'adresses e-mail, d'adresses postales et d'autres informations personnelles19. Dans le cadre d'opQuebec, ils s'en sont également pris à une caisse de crédit mutuel du groupe Desjardins réservée au personnel de la police. La page d'accueil habituelle a été remplacée par une simple page noire contenant des liens vers les ressources d'Anonymous. Les noms et les adresses e-mail de ce qui semblait être des clients et employés de la banque étaient aussi affichés20.
Les auteursCe rapport a été préparé et rédigé par Zheng Bu, Toralv Dirro, Paula Greve, Yichong Lin, David Marcus, François Paget, Vadim Pogulievsky, Craig Schmugar, Jimmy Shah, Dan Sommer, Peter Szor et Adam Wosotowsky de McAfee Labs.
A propos de McAfee LabsMcAfee Labs est l'équipe de recherche mondiale de McAfee. Seul organisme de recherche spécialisé dans tous les vecteurs de menaces (logiciels malveillants, vulnérabilités, menaces visant les environnements web, la messagerie électronique et les réseaux), McAfee Labs collecte des renseignements provenant de ses millions de sondes et de son service dématérialisé McAfee Global Threat Intelligence™. L'équipe de 350 chercheurs pluridisciplinaires de McAfee Labs, présente dans 30 pays, suit l'éventail complet des menaces en temps réel, identifiant les vulnérabilités des applications, analysant et mettant en corrélation les risques et permettant des corrections instantanées pour protéger les entreprises et les particuliers.
A propos de McAfeeMcAfee, filiale à part entière d'Intel Corporation (NASDAQ : INTC), est la plus grande entreprise au monde entièrement dédiée à la sécurité informatique. Elle propose dans le monde entier des solutions et des services proactifs et réputés, qui assurent la sécurisation des systèmes, des réseaux et des équipements mobiles et qui permettent aux utilisateurs de se connecter à Internet, de surfer ou d'effectuer leurs achats en ligne en toute sécurité. Grâce au soutien de son système hors pair de renseignements sur les menaces Global Threat Intelligence, McAfee crée des produits innovants au service des particuliers, des entreprises, du secteur public et des fournisseurs de services, pour les aider à se conformer aux réglementations, à protéger leurs données, à prévenir les perturbations dans le flux des activités, à identifier les vulnérabilités ainsi qu'à surveiller et à améliorer en continu leurs défenses. McAfee consacre tous ses efforts à trouver des solutions novatrices afin d'assurer à ses clients une protection irréprochable. www.mcafee.com/fr
McAfee S.A.S.Tour Franklin, La Défense 892042 Paris La Défense CedexFrance+33 1 47 62 56 00 (standard)www.mcafee.com/fr
1 http://blogs.mcafee.com/mcafee-labs/signed-malware-you-can-runbut-you-cant-hide2 http://www.mcafee.com/us/resources/reports/rp-threat-predictions-2012.pdf3 http://googleonlinesecurity.blogspot.co.uk/2012/06/safe-browsing-protecting-web-users-for.html4 http://www.wired.com/threatlevel/2012/04/online-drug-market-takedown/5 http://www.soca.gov.uk/news/446-web-domains-seized-in-international-operation-to-target-online-fraudsters6 http://www.ahherald.com/newsbrief-mainmenu-2/law-and-order/13094-man-admits-role-in-13-million-phishing-fraud-scheme7 http://www.cbc.ca/news/canada/montreal/story/2012/05/09/international-fraud-ring-montreal.html8 http://www.group-ib.com/index.php/7-novosti/633-group-ib-aided-russian-law-enforcement-agents-in-arresting-yet-another-cybercriminal-group%229 http://www.infosecurity-magazine.com/view/26219/soca-announces-jailing-of-two-uk-credit-card-crooks/10 http://www.infosecurity-magazine.com/view/26608/fbi-arrests-was-ugnazi-a-target-or-an-instrument/11 http://blogs.mcafee.com/mcafee-labs/hacker-leaves-online-trail-loses-anonymity12 http://news.softpedia.com/news/TeaMp0isoN-Phone-Bombs-UK-Foreign-Intelligence-Agency-MI6-264125.shtml13 http://news.softpedia.com/news/TeaMp0isoN-Confirm-TriCk-s-Arrest-Operation-Retaliation-Starts-264663.shtml14 http://www.securityweek.com/anonymous-launches-attacks-against-trade-associations-and-boeing15 http://www.msnbc.msn.com/id/47620087/ns/technology_and_science-security/t/anonymous-threatens-montreal-grand-prix-over-anti-protest-law/#.T-
r5_8XnNhw16 http://globalvoicesonline.org/2012/06/09/india-netizens-respond-to-anonymous-indias-protests/17 http://securityaffairs.co/wordpress/6829/hacking/opjapan-anonymous-against-japan-and-its-war-to-piracy.html18 http://news.softpedia.com/news/AntiSec-Hackers-Leak-40-GB-of-Data-from-Lake-County-Sheriff-s-Office-266784.shtml19 http://www.cyberwarnews.info/2012/06/02/canadian-police-server-hacked-lots-of-personal-information-leaked-by-anonymous/20 http://www.canada.com/health/Police+credit+union+site+hacked+Anonymous/6765994/story.html
McAfee, le logo McAfee et McAfee Global Threat Intelligence sont des marques commerciales ou des marques commerciales déposées de McAfee, Inc. ou de ses filiales aux Etats-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Les plans, les spécifications et les descriptions des produits mentionnés dans le présent document sont donnés à titre indicatif uniquement. Ils peuvent être modifiés sans préavis et sont fournis sans aucune garantie, implicite ou explicite. Copyright © 2012 McAfee48400rpt_quarterly-threat-q2_0812_fnl_ETMG
